Check-Point-防火墙优势

到目前为止，CheckPoint防火墙引擎依然具有其独特领先的优势1、预定义300+协议，对网络应用及协议的全面支持2、深入的协议检测。Eg，防火墙引擎可控制的FTP命令为50+3、强大的认证功能。可以实现基于Session的用户认证4、认证集成功能。和MicrosoftAD集成实现用户认证单点登录5、链路负载均衡。Inbond/outbond链路复杂均衡，支持DNSProxy不同品牌竞争性对比产品名称CheckPointSecureGateway系列JuniperSRX系列CiscoASA系列FortinetFortigate系列生命周期技术发展与延续专业的安全厂商，安全网关产品系列技术延续发展，得到市场时间验证。新设计，抛弃了经营多年的NetscreenOS系统和ASIC芯片架构，改变为全新的基于交换路由的JUNOS系统和交换架构，推出时间太短，缺乏市场验证。产品以网络为主，安全产品无延续规划CiscoASA系列是在传统的PIX系列停产，而FWSM卡板交换机系列备受客户争议的时候，匆忙推出的；Cisco的产品以交换路由为主，其防火墙是弱项Fortinet的Fortigate系列，源于Netscreen的技术核心，产品线庞大，技术跟进困难，硬件特征明显，主要市场还是中小型客户技术能力分析CheckPoint防火墙是最早的状态检测防火墙-1993年，拥有状态监测技术专利；支持300多种预订义协议，支持深层检测深层检测能力缺乏，是SPF状态包过滤+应用代理方式；一旦开启相关的深层代理机制，其性能则显著下降；Cisco在安全产品并不专业，更接近路由设备；在状态检测，特别是深层检测，应用检测技术方面远低于其他专业厂商；老Netscreen的硬件技术路线，深层检测技术匮乏，支持深层分析协议少；在一些主要支持功能上过于简单，稳定性差集中管理能力基于图形化的管理，用户可以轻易进行网络对象托拽挪动;一键式VPN设置，智能管理；支持真正的统一管理，一张Policy策略表中可管理所有安全网关设备上，这将意味着大大减少企业管理员的工作量。Juniper的防火墙采用标准的Web管理方式，在集中控管方面有缺陷，实现不了真正的集中管理，对于企业用户而言，随着网络的扩大，安全网关设备的增多，集中管理将成为一个难题Cisco的管理则是命令行最为强大，虽然其也宣称有ADSM集中管理软件，但无论是功能/智能化/集中程度/实时监控能力/日志审计等方面，都无法与专业厂商相比。初步的集中管理能力，管理功能简单；基于日志选择阻断和日志自动切换等能力没有；VPN还需要逐个点的配置。甚至部分安全升级需down机HA高可用性能力分析CheckPoint的防火墙支持强大的Active–Active模式的HA功能，其专有的cluster集群技术可以支持多个节点的同时运行，实现全状态同步，动态负载均衡，而且这一功能由产品自身实现，不依赖第三方设备，外联设备只需要基本的2层交换机即可，是真正的双A。Juniper的防火墙过去一直宣称其“三明治“架构的双A模式，采用两组active–standby模式，两侧网络用负载均衡交换机来实现流量的分担，这意味着企业客户在选购防火墙的同时，还要购买额外的负载均衡交换机，成本的增加。Cisco的双机如果要实现双A架构，则必须依赖第三方的负载均衡设备，采购成本直线增加。同时额外增加的设备使网络更加复杂，增加了故障点的可能性不完善的HA功能支持，一旦启用应用层检测防护，状态表无法同步；不支持IPSecVPN和SSLVPN的双A模式等。