网络安全设备评测：谁是最好的防火墙

　　juniper Networks SSG550M

　　juniper Networks SSG550M是520的高端型号。它们之间的主要差别是性能和冗余选项。juniper 声称550可以提供1Gbps的最大吞吐量和500Mbps的安全过滤宽带，而520的限制则是650Mbps和300Mbps。550还可以支持选择冗余电源，而520不能。对于电信公司来说，有个好消息，所有这两种型号都可以支持交流或直流电源。

　　SSG550M被安装在黑色的大型2RU机箱中。在机箱前部，包含了六个模块扩展槽——其中两个被16端口10/100/1000倍高网络模块所使用。一个扩展槽被ADSL卡所使用。前部的端口包含了另外四个10/100/1000网络端口、两个USB端口、一个控制台端口和辅助端口。电源和重启/配置开关采用凹入方式的，并且提供了电源、警报、状态和可用性的指示灯。每个网络端口还有两个LED指示灯显示连接、状态和活动情况。移动蓝色塑料面板可以看到通风过滤器;在机箱后部是更多的通风格栅。电源模块的连接也位于后部，使用的是国际电工委员会(IEC)标准的电源连接线。

　　juniper 认为550M可以将高性能、安全性和局域网/广域网连接完美地组合起来，可以部署在地区和分支办事处等办公环境中。ScreenOS是juniper 提供了实时安全特殊操作系统。它包括一系列特定的安全和管理工具，主要有：

　　· 符合常见标准并经过国际计算机安全协会认证的状态检测防火墙

　　· 支持互操作和安全通信的国际计算机安全协会认证IPSec VPN网关

　　· 深层检测防火墙可阻断应用层攻击

　　· 基于卡巴斯基实验室扫描引擎的防病毒保护，其中包含了反钓鱼、反间谍软件、反广告软件保护

　　· 与赛门铁克合作提供的反垃圾邮件保护，可以阻止已知的垃圾邮件和网络钓鱼攻击

　　· 采用了SurfControl提供的内容过滤技术，可以阻止对已知恶意网站或其他不适当内容的访问。

　　· 基于虚拟化功能的网络划分

　　· 拒绝服务攻击(DoS)牵制功能

　　· 面向H.323、SIP、SCCP和MGCP的应用层网关，可以用于检测并保护VoIP流量

　　考虑到juniper 在网络方面的优势和令人印象深刻运营商级的设备服务，难怪该公司的防火墙平台在普通网络支持功能方面也有着不俗的表现，举例来说，BGP、OSPF和RIPv2等路由协议都可以获得支持。 这样的融合功能可以在公司使用多种服务/服务商的情况下，为网络提供巨大的冗余。通过监测动态路由路径，可以在故障出现的时间，自动将连接转移到其他线路或者服务商上。juniper 提供了动态路由功能，还使得以路径为基础的虚拟专用网得以实现(定义多条VPN通道并且根据路径为流量选择最适合通道的技术)。

　　juniper 在图形用户界面管理/配置的设计上显得有些守旧，但功能本身并不落后。对于熟悉Netscreen/juniper 界面的用户来说，它保留了传统的外观和感受。它还保留了一个菜单系统，可以提供多层次的设备访问。juniper 还增加了一个新选项，可以将传统菜单转换为包含Java功能更整洁的菜单，可以实现一次点击弹出子菜单。不过我们的工程师发现，无论是采用哪种方法，配置/管理项目都很方便。

　　juniper 网络的图形用户界面

　　不论设备是属于远程环境还是位于本地，juniper (和货运业有着深厚的渊源)都提供了管理的方法。从标准的网络图形用户界面到以传统主机为基础的会话都被包含了进来。集中管理也是一个选择，并且，你会发现在必要时应该在不同的地域部署一些设备。

　　总的来说，这是一台功能非常强大并且可进行高度定制的设备。在历史上，juniper 就以提供用于关键任务的高可用性产品而著称。在澳大利亚企业和政府市场中，在任何情况下该设备都可以满足大中型企业的要求。

　　该设备的保修期为从购买之日起的一年之内。对于所有产品，juniper 都提供了两种类型的技术支持和维护选项：

　　· JCARE选项：juniper 的合作伙伴或经销商将(除了销售产品)销售设备维修合同。在这里可以对是否返厂、次日还是当日进行选择(取决于客户的服务品质协议)。所有的技术支持请求(举例来说juniper 网络技术支持中心、软件、硬件)都由juniper 直接提供给最终用户。

　　· JNASC合作伙伴：作为juniper 网络支持中心授权的合作伙伴，可以直接向最终客户提供的一级和二级支持服务。在juniper 升级支持下，合作伙伴可以为最终客户提供主要的技术支持。juniper 协助JNASC合作伙伴进行提高，并且提供三级的技术支持为最终用户解决面临的问题。

　　我们测试的550M，考虑到设计、应用、特色和功能，拥有一个非常合理的价格，15487澳元。