华为防火墙哪个好_华为防火墙的优点

1.juniper和华为防火墙哪个好

H3C以前华为和3COM公司合资成立的子公司，2007年分开后，就成了竞争对手。

以目前市场来看，华为主要针对的运营商市场，传输做的多一些，例如：移动、电信、广电、联通；

H3C主要是做行业市场，也就是、教育、医疗卫生、企业、电力能源等等数据网行业，优势行业是在和高教，定位为国内高端市场；

锐捷和神码的定位是中低端市场，价格较为便宜，产品线不是特别全面，优势行业是普教和医疗卫生这几个相对信息化建设投入较少的行业。

从市场占有量来看，2011年IDC的数据统计，H3C在国内行业网市场的交换机端口数和路由器台数的占有率分别为34.6%和29.8%；都在第一位。所以说H3C是国内行业市场第一品牌。

juniper和华为防火墙哪个好

防火墙、IDS和IPS之间有什么区别?

现在市场上的主流网络安全产品可以分为以下几个大类：

1、基础防火墙类

主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。

解决传统防火墙只能工作在4层以下的问题。

基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。

2、IDS类(入侵检测系统(IDS: Intrusion Detection Systems))

此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。

3、IPS类(入侵防御系统(IPS: Intrusion Prevention System))

解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。

在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容。

和IDS一样，IPS也要像防系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。

4、主动安全类，和前面的产品均不同，主动安全产品的特点是协议针对性非常强:

WAF就是专门负责HTTP协议的安全处理，

DAF就是专门负责数据库SQL查询类的安全处理。

在主动安全产品中通常会处理到应用级的访问流程。

对于不认识的业务访问全部隔离。

在这几类产品中，就可以分辨出什么是主动安全，什么是被动安全。

从安全的最基本概念来说，首先是关闭所有的通路，然后再开放允许的访问。

1、基础防火墙类

因此，传统防火墙可以说是主动安全的概念，因为默认情况下是关闭所有的访问，然后再通过定制策略去开放允许开放的访问。

但由于其设计结构和特点，不能检测到数据包的内容级别，因此，当攻击手段到达应用层面的时候，传统的防火墙都是无能为力的。

2、IDS类(入侵防御系统(IPS: Intrusion Prevention System))

IDS就不讲了，不能阻断只能是一个事后监督机制，因此在其后出现了IPS。

3、IPS类(入侵检测系统(IDS: Intrusion Detection Systems))

基本上所有的IPS系统都号称能检查到数据包的内容，但犯了一个致命的错误，就是把安全的原则反过来了：

变成默认开放所有的访问，只有自己认识的访问，才进行阻断。

从另外一个方面，由于在线式造成的性能问题，也不能像杀毒软件一样进行全面而细致的安全审计。

因此大多数的IPS在实际运行环境中都形同虚设，通常只是当作一个防DDOS的设备存在。

IPS尤其对于未知的，不在其安全库内的攻击手段，基本上都是无能为力的。

4、主动安全类，和前面的产品均不同，主动安全产品的特点是协议针对性非常强:

在主动安全的体系中，彻底改变了IPS 的致命安全错误。

其工作在协议层上，通过对协议的彻底分析和Proxy代理工作模式，同时，结合对应用的访问流程进行分析，

只通过自己认识的访问，而对于不认识的访问，则全部进行阻断。

比如在页面上的一个留言板，正常人登录都是填入一些留言，提问等，

但黑客则完全可能填入一段代码，如果服务器端的页面存在漏洞，

则当另外一个用户查看留言板的时候，则会在用户完全不知道的情况下执行这段代码，标准叫法，这叫做跨站攻击。

当这段代码被执行后，用户的本地任何信息都有可能被发送到黑客的指定地址上。

如果用防火墙或者IPS，对此类攻击根本没有任何处理办法，因为攻击的手段、代码每次都在变化，没有特征而言。

而在用主动安全的系统中，则可以严格的限制在留言板中输入的内容，由此来防范此类跨站攻击。

又如常见的认证漏洞，可能造成某些页面在没有进行用户登录的情况下可以直接访问，这些内容在防火墙或者IPS系统中更加无法处理了。

因为他们的请求和正常的请求完全一样，只是没有经过登录流程而已，因此不能进行防护。

在主动安全体系里，可以对用户的访问进行流程限定，比如访问一些内容必须是在先通过了安全认证之后才能访问，并且必须按照一定的顺序才能执行。

因此，工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。

硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

四类防火墙的对比

1、包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

2、应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。

3、状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

4、复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

常见的较好的硬件防火墙品牌如下，供参考：

Juniper

华为赛门铁克

思科

H3C

天融信

山石网科

飞塔

联想网御

NETGEAR

启明星辰