飞塔防火墙和Juniper防火墙优势对比,哪个更好?
一、产品型号对比:
|
Fortinet防火墙 |
Juniper防火墙 |
|
|
运营商/MSSP |
FortiGate 5140 FortiGate 5050 FortiGate 5020 FortiGate 3950B |
SRX 5800 SRX 5600 |
|
企业级 |
FortiGate 3810A FortiGate 1024B FortiGate 3016B FortiGate 620B FortiGate 310B FortiGate 110C |
SRX 3600 SRX 3400 SRX 650 SRX 240 SRX 210 SSG 550/550M SSG 520/520M SSG 350M SSG 320M SSG 140 |
|
SOHO/中小企业 |
FortiGate 80C FortiGate/Wifi 60B FortiGate/Wifi 50B FortiGate 30B |
SSG 20 SSG 5 |
二、硬件架构对比:
1、飞塔防火墙
飞塔UTM防火墙采用双ASIC芯片加速,CP(内容处理器)用于内容扫描,NP(网络处理器)用于防火墙、VPN和防DoS攻击,SPM用于IPS和组播处理;新品千兆设备1240B和万兆设备3950B提供了大容量并发会话,新建会话和高容量包转发性能和低延迟。
2、Juniper防火墙
2、Juniper防火墙
只有NS、ISG系列使用了ASIC芯片对防火墙进行加速,没有应用层加速芯片。SSG系列未使用ASIC。SRX使用MIPS多核CPU,在新建会话能力有所增强,但包转发速度和延迟问题明显,一些传统功能不再支持,不支持虚拟防火墙,不支持透明模式,不支持IPV6等功能。
另外飞塔防火墙在中高端多款型号支持标准AMC扩展。Juniper产品的OSPF、BGP需要额外的LicenseNS/ISG/SSG/SRX均不支持SSL VPN,需要购买单独的产品——SAActive-Active模式HA需要额外的License不支持应用控制、WAN优化,没有完整的DLP功能不支持中文管理界面。
另外飞塔防火墙在中高端多款型号支持标准AMC扩展。Juniper产品的OSPF、BGP需要额外的LicenseNS/ISG/SSG/SRX均不支持SSL VPN,需要购买单独的产品——SAActive-Active模式HA需要额外的License不支持应用控制、WAN优化,没有完整的DLP功能不支持中文管理界面。
三、Juniper防火墙的产品优缺分析:
1、ISG 1000/2000防火墙:
A、ISG是典型的 Firewall/VPN产品
B、该系列的局限是缺少全套的UTM功能
C、附加的 IPS模块没有真正地和ISG融合在一起
D、2004年开始销售,现在已经接近产品的终结。其客户称之为 “The last of the good NetScreen Firewalls” ,并且对Juniper转向采用SSG来争夺UTM市场表示不是很理解。
2、Secure Services Gateway (SSG)防火墙:
A、可怜的性能和安全效果,绝大多数Juniper/NetScreen用户会选择ISG和IDP,而不会是SSG系列,据报道,SSG的反垃圾邮件功能效果非常差 (低于40%的捕获率),在Web过滤上缺乏细粒度控制,FortiGate IPS在性能和有效性上高于 SSG IPS,FortiGate UTM安全服务是完全集成在一起的,在SSG平台调试各个厂家产品的问题是令人痛苦的。
B、SSG 550是Juniper UTM产品中最高端产品 (企业级)
•性能远低于FortiGate-1000A和3600A
•SSG 550防火墙吞吐量仅为1 Gbps, FG-1000A的防火墙吞吐量为 2 Gbps,FG3600A则为 6 Gbps
•SSG 550 标准型号仅有 4个 10/100/1000接口,六个扩展插槽,每个插槽仅能支持一个千兆接口
•Juniper对于每个额外接口要求支付$1500,要达到FG1000A的接口密度,需要共支付 $19,500,无法达到 12x GigE接口,也无法升级到10G接口
C、它采用的是 Kaspersky的 AV, Symantec的反垃圾软件, SurfControl的Web过滤技术
•它没有自己的团队支持这些服务,这就意味着响应速度慢,以及它合作伙伴发生变化给用户带来不可知的风险,比如以前它是与趋势的合作
•Juniper没有获得ICSA labs的 AV和IPS认证,也没有NSS UTM/AV认证,VB100%
D、SSG 550 提供了额外的 WAN接口,比如 T1/E1, DS3 或 PPP (serial)
•需要为每个端口支持$1000到$8500,其占据扩展接口,降低了端口密度,也许会比采用外接 WAN CSU/DSUs便宜一些。
3、Juniper SRX(中小企业级防火墙)
3、Juniper SRX(中小企业级防火墙)
A、基于MIPS多核CPU架构
•每秒新建会话可达35万,但需要多个SPC卡
•但64字节性能不能达到线速,网络延迟大
B、采用Kaspersky的 AV和反垃圾软件,Websense的Web过滤技术
•它没有自己的团队支持这些服务,这就意味着响应速度慢,以及它合作伙伴发生变化给用户带来不可知的风险,比如以前它是与趋势的合作。
C、防病毒的问题
§FullAV – 来自Kasperksy的引擎和病毒库,只支持HTTP、FTP、SMTP、POP3、IMAP,不支持加密协议(HTTPS等),只能处理4层压缩文件,性能很低(纯CPU处理)。
§ExpressAV – 流处理,实际上是IPS方式,查杀率低。只支持HTTP和POP3协议,只支持1层压缩。SRX Datasheet上的标称值是使用expressAV方式的结果,实际应该对应FortiGate的IPS吞吐量。
D、功能限制
§只有低端型号210/240/650支持UTM功能
§高端型号3400/3600/5600/5800只有防火墙和IPS功能,同时不支持IPV6,SIP ALG,动态IPSEC VPN接入,CRL,SCEP等
§所有型号均不支持SSL VPN、应用控制、WAN优化、透明模式、虚拟防火墙功能。
本文由:飞塔UTM于(2012-07-29)发表了关于飞塔utm防火墙和Juniper防火墙优势对比,哪个更好的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
