为企业网配置合理的网络安全产品

屠卫平,吴解民

摘要：本文意在使CIO重示网络安全问题。文章介绍了三种流行网络安全产品及各自的优缺点，为CIO采用网络安全服务器或防火墙来构筑企业安全的Intranet提供参考意见。

通过Internet来构筑企业安全的Intranet，也就是把企业局域网LAN延伸到Internet上，已成为企业CIO(首席信息官)的首要工作，其中CIO最关心的是Intranet的安全问题。Intranet的安全问题非常复杂，一方面企业内部网络的部分数据是合作伙伴和客户需要经常访问的，Intranet必须为这种访问提供通道；另一方面又要防止外部或内部的非法入侵。在网络安全的领域很快出现了“防火墙”这一时髦名词（防火墙有时也称为安全网关）。它主要用于过滤外部网对内部网的各种访问，也可限制内部网对外部网的访问，一般安装在外部网（广域网）和内部网（局域网）的连接处，可以是软件和/或硬件形式。本文对三种不同厂家的网络安全产品：链路级防火墙、应用级防火墙和分布式防火墙（网络安全服务器）逐一介绍，CIO们可以根据各自的企业应用作出不同的选择。

根据国外建Intranet的经验，网络安全是一定要考虑的投资性问题。安全费用一般占网络总投资的10%～15%，CIO考虑企业Intranet方案时必须考虑这笔费用，否则建成的Intranet无人敢用。不信，看看下面网络不安全的种种实例。

日趋严重的网络完全问题
据美国FBI统计，美国每年因网络安全问题所造成的损失大约75亿美元。1995年8月21日，设防严密的美国花旗银行（CITYBANK）系统网络，被前苏联克格勃人员通过Intranet侵入，损失现金高达1160万美元。为弄清原因并防患于未然，花旗银行不惜用580万美元的现金让入侵者讲述入侵的秘密和详细部骤。1996年12月31日，美国《纽约时报》报道，“黑客入侵空军全球网，更换网页”，报道称1996年12月29日，黑客将空军网页修改为两只鲜血直流的红眼球，并书写“欢迎了解真相”，对美国政府大肆攻击。由于Internet的普及，黑客的攻击方法已传入我国。我国的ISP也曾被人侵入发生过私设帐号和网络瘫痪的事故。1997年6月，中国国际互联网信息中心CNNIC被美国南加州的黑客攻击，主页被更换为一个骷髅头，这一事件在我国引起巨大反响。

看到上列数据，企业CIO会想，那就不联公共网，用专线如DDN构筑企业Intranet，这样不就安全了吗？实际上专线并不能完全保证线路安全，费用很高，唯一的好处是速度快。另外，70%的网络攻击来自企业内部，这是专线无法解决的问题。在银行用计算机转帐造成的失窃案中，大部分是银行职员所为，计算机安全措施不力，操作管理不规范，是造成发案的主要原因。由于内部人员对数据的存储位置、信息重要性非常了解，这使得内部攻击更容易秦效。必须采取有效的防范措施来扼制网络内部的攻击。

黑客攻击网络的主要手段
目前已知的黑客攻击方法就有一千多种。根据ISS网络安全监测软件的实际测试，一个没有安全防护措施的网络，其安全漏洞通常在500个左右。Intranet所依赖的TCP/IP协议，本身在设计上就很不安全。ISO的安全体系结构将所有的安全威胁分为主动攻击和被动攻击。

主动攻击主要包括：截断、篡改、伪冒、服务失效等。

被动攻击是指攻击者不对网络中信息的传输进行干涉，正常通信的双方对这种攻击难以察觉。最常见的被动攻击的方式是窃听，网络中的窃听不乏利用先进的设备直接接收网络传输的信息，或通过对网络核心通信设备的控制来进行窃听。共享介质的以太网最容易被窃听，窃听猖獗的原因在于TCP/IP网络中众多的网络服务均是明码传输。窃听设备或软件可以清楚地看到信息从一台机器登录到另一台机器的全过程。

网络安全采用的主要防范手段
　

为防止黑客攻击，采用的安全防范手段主要有：

身份认证（Authentication）：用户需要对网络上的另一个用户进行认证，证实他确实是他所声称的那个人。认证方式又可细分为单向身份认证和双向身份认证，后者的安全性更高。
访问授权（Authorization）：网络安全管理控制中心需要能够控制任一用户谁能访问网络上的哪些信息，进行何种操作（例如：用户是否可以修改信息，还是只能读取）。
数据完整性(Integrity)：用数据加密和校验的方法来确保送到网络上传输的数据在传输过程中没有被篡改。
数据加密(Privacy)：防止通信内容在线路上被他人窃听或截取的主要防范手段就是数据加密。
VPN和安全隧道
跨地区的大企业要把众多的分公司、合作伙伴、移动用户等联成一个安全的Intranet可有多种联网方法。传统的长距离点对点连接方式既缺乏灵活性，成本又高，无法大规模推广。我们把一个利用部分公共网络资源（如Internet）组成的私用网络称为虚拟专用网（VPN - Virtual Private Network），VPN技术在费用低，灵活性方面要比传统的专线网占优。VPN技术的引入，为全球范围企业连网提供了高度灵活、安全、可靠、廉价的方法。采用VPN技术，每个专用网只需接入本地的Intranet供应商即可。如果想增加新的连接既简单，又廉价。目前，接入本地Internet供应商可用DDN、ISDN、PSTN等手段，将来ADSL、Cable modem等技术也会日益普及。借助于公用网建立的VPN均要采用隧道（Tunneling）技术及安全技术。企业用户通过授权认证建立起隧道，与企业网络进行连接，对于大型ISP来说，可建立成百上千个隧道及VPN来为企业服务。除了隧道技术外，VPN还包括授权访问、数据完整性、记帐等安全技术。隧道加安全我们称为安全隧道（Securities Tunneling）。

SunScreen 链路级防火墙技术特色
SunScreen 是SunSoft公司开发的网络安全产品，它把先进的包过滤及数据加密技术同简单的中央管理机制组合在一起，提供了强有力的安全解决方案，该方案独立于网络、协议及应用程序。SunScreen的配置包括：中央硬件装置（SunScreen SPF-100），安全管理站（规定SunScreen的安全规则和参数）。如图1-1所示是SunScreen SPF-100及SunScreen管理站

在配置SunScreen安全产品的网络时，要把SunScreen SPF-100放在边界路由的后面（见图1-2），但是SunScreen不是路由器，人们不能发现它。数据包通过时，显示不出任何标记，故潜在的黑客无机可乘。它还能管制多条通信线路，不必增加IP地址即可成为登录和管理网络安全通信的中心。

SunScreen采用SPARC技术的专用硬件设备。它可以成为筛选，登录，警戒，甚至在紧急情况下关闭系统的中心扼制点，全网可以通过一个SunScreen 安全管理站来调度协调管理策略，但不在同一物理位置的局域网要联成一个整体Intranet需要多台SunScreen SPF-100。如要10个城市的局域网联成一个Intranet需要10台SPF-100，但只要一个安全管理站。

SunScreen可对数据包进行任何部分的抽检，可以进行IP级包过滤，对IP级数据包的内容进行加密或解密，SunScreen可以利用公共网络（如：Internet）来建立安全的私有网络(如：Intranet)而无需专用线路。SunScreen通过加密手段建立安全遂道，连接在这种网络上的主机可以有相同的IP地址空间。SunScreen具有粗粒度的访问控制权，如允许文件单向传送或双向传送。SunScreen的最大特点是在整个网络上是隐形的、透明的、看不见的，可以解决IP包过滤、数据加密、粗粒度访问授权等问题。但由于SunScreen是链路级的防火墙，所处网络的层次是最低的（链路层）,安全遂道的出口最短，它无法防止链路层以上的网络漏洞。另外，跨地区构筑网络需要很多SunScreen SPF-100，成本高，灵活性较差。

CheckPoint FireWall-1应用级防火墙的技术特色
CheckPoint公司的FireWall-1防火墙产品是目前市场上最流行的防火墙产品之一，该产品是一个纯软件产品。安装在内部网络LAN和Internet站点二者之间的应用网关主机上，位于路由器的后面，内部网和外部网之间相互通信必须经过FireWall-1安全网关进行路由，从面保证了安全机制能复盖整个协议和服务，也保证了每个数据包被监视和检查，以确定它们是否遵守安全规则。

从网络安全需求的角度来看，可将FireWall-1的主要特点分为三大类。第一类为安全性，包括访问授权、授权认证、内容安全、数据加密；第二类为管理和记帐，包括安全策略、路由安全管理、记帐、监控等；第三类为连接控制，主要为企业消息发布的服务器提供可靠的连接服务，包括负载平衡、高可靠性等。下面主要介绍FireWall-1 3.0版的主要特点。

访问授权
评价访问授权的一个重要因素是要看其能否适用于现行的所有服务和应用，访问授权的粒度粗细。

CheckPoint FireWall-1应用状态监测技术，结合强大的面向对象的方法，可以提供全七层应用识别，对新应用很容易支持，目前支持160种以上的预定义应用和协议，包括所有的Internet服务，如安全的Web浏览；传统Internet应用(mail、 FTP、 telnet、UDP、 RPC等)；此外，支持重要的商业应用，如Oracle SQL*Net, Sybase SQL服务器数据库访问；支持多媒体应用，如RealAudio、CoolTalk、NetMeeting、InternetPhone等。FireWall-1开放系统具有良好的扩展性，可以方便地定制用户的服务，提供复杂的访问控制。

授权认证
在企业网中不但有本地用户，同时还会包含远程用户、移动用户、电信用户的访问，因此有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。在一个用户所要求的通信连接被允许之前，FireWall-1首先就其身份的真实性进行确认。FireWall-1提供的身份认证无需对服务器和客户端的应用进行任何修改（单向身份认证），FireＷall-1的授权认证考虑了整个企业范围的安全策略，可通过防火墙的GUI进行集中管理，同时对整个企业范围发生认证的过程进行全程监控、跟踪和记录。FireWall-1提供三种认证方法：

用户认证
用户认证对移动用户特别有意义，它与用户的IP地址无关，是基于每个用户访问权限的认证。是在防火墙系统的网关上实施的。FireWall-1网关截取需要认证的请求后，把该连接转向相应的安全服务器，当用户经过认证后，安全服务器打开第二个连接隧道，接入目的主机，其后续的数据包均经过网关上的FireWall-1检查。

客户认证
客户认证是基于客户端主机IP地址的一种认证。FireWall-1允许为特定IP地址的客户提供定制的访问权限。同用户认证相比客户认证和IP地址相关，对访问协议不做直接的限制，服务器和客户端无需增加或修改任何软件，系统管理员可以决定对每个用户如何授权，允许访问哪些服务器资源和应用程序，何时允许用户访问，允许建立多少会话等等。

会话认证
会话认证是基于每个会话的，属透明认证。实现会话认证需要在用户端安装Session Agent软件。当用户需要直接同服务器建立连接时，位于用户和用户要访问的目的主机间的防火墙系统网关截获该会话认证连接，并确认该用户是否已有用户级认证（用户认证或客户认证），如果有，则向会话认证代理（Session Agent）发起一个连接，由会话认证代理负责响应认证，决定是否该连接继续指向用户请求的服务器。

内容安全
内容安全是建立安全Intranet难度最大的部分，因为要针对不同的高层协议编写不同的应用，从而是带来效率下降，配置困难等问题。FireWall-1把内容安全功能扩展到高层服务协议，保护用户的网络信息免遭宏病毒、恶意Java ActiveX小应用程序及不需要的Web文件入侵和骚扰，同时又能向Internet提供较好的访问，CheckPoint还提供集成第三方内容扫描程序的API接口，企业可根据需要自由选择内容扫描程序，以取得最佳效果。

FireWall-1提供以下内容安全机制：

计算机病毒扫描
URL扫描
Java、ActiveX小应用程序剥离
支持mail (SMTP)
HTTP过滤
支持FTP
FireWall-1在内容安全方面是一大特色，但要把这些内容安全全部选配上，其效率较低，配置繁锁。作为通用性的网络安全产品，这种设计思想是非常优秀的，它几乎面面具到，很多应用安全均已在考虑之中。但这儿要提醒大家注意，CheckPoint-1本身是不提供防病毒程序的，而且所有的防火墙产品均不提供这一功能，它仅仅提供防病毒扫描程序的接口，它要配用InocuLAN等防病毒软件才具有防病毒能力。因此，针对特别应用，最佳的方法是把安全策略写到您的应用中去，也即建立一个从应用到应用的安全遂道，这种安全遂道出口最长，相对最安全。由于安全和应用相结合，效率最高，同时排除了安全配置上的烦锁操作。其缺点是必须针对应用编写程序，必须和安全方案供应商建立联系，依赖安全供应商的解决方案。

数据加密
要防止企业信息在公共网上泄密（被窃听篡改或截取）最主要的防范手段是对数据加密，因此几乎所有的防火墙对数据加密都是主要手段。FireWall-1提供160多种预定义协议的可选择、透明的加密算法，允许企业充分利用Internet资源，安全地实现其所有商业和接入需求。FireWall-1提供的加密方案，密钥管理和内部权威密钥认证机构等等不亚于其它防火墙产品，为线路传输安全，数据完整性，数据保密性提供了足够的手段。

企业Intranet安装了FireWall-1防火墙网关就可对信息传输进行加密，由网关来保护LAN-LAN间的信息，但网关后的信息包是不加密的。在后面介绍的WebST分布式防火墙，只要在客户机上安装一个小软件，就可实现整个Intranet（包括企业内部LAN）所有数据均加密传输，安全性内外兼顾。

SecuRemote模块
FireWall-1 SecuRemote模块使WIN95和WinNT的移动用户和远程用户可以在任何地点访问他们的企业网络，可以直接或通过ISP连接企业的服务器，同时保证企业敏感数据的安全传输。

该模块把Intranet扩展到了远程用户、移动用户，SecuRemote是客户端的一个加密软件，装用该软件后远程、移动用户所送出的数据在离开客户端前已加密，故能为远程、移动用户到防火墙系统间的通信连接提供安全的解决方案。该软件可以透明地加密任何TCP/IP通信，没有必要对现有用户使用的网络应用程序作任何修改。

其它安全手段
路由器安全管理
IP地址翻译
负载平衡
日志、报警、记帐能力
得实WebST分布式防火墙的技术特色
最近得实发展集团推出的一种分布式防火墙（网络安全服务器）的纯软件网络安全产品，是网络安全的又一新概念。所谓分布式防火墙是防火墙概念的延伸，在技术实现上又不同与防火墙，它除了具备一些防火墙的特征外，更注重整个网络资源的安全，如果把防火墙比作Intranet上一扇大门的话，那么，分布式防火墙使Intranet除了大门外，内部还有许许多多小门（对各种资源的访问授权进行细粒度的控制），使安全概念进一步细化。从本质上来讲，WebST不是一个防火墙产品。

WebST分布式防火墙的第一个特点是采用集中式的网络安全服务器实现企业网统一的安全管理，重点是保护系统的各种资源，对资源的访问进行细粒度的控制，具有防止外部入侵和内部破坏的双重防护功能。所以也把WebST分布式防火墙称为WebST网络安全服务器。第二个特点是WebST具有跨平台异构网互联的特点，也即用WebST安全软件可在不同的操作系统平台、不同的应用平台上建立统一的安全策略和实施统一的安全管理，获得分布式协同作业和全网统一的安全性。第三个特点是核心的加密算法可替换为用户认可的加密算法，安全性更高。下面介绍这一技术。

WebST的组成
WebST系列产品是建立在客户机和服务器模型基础上的，WebST主要包括四个方面的安全技术：

访问授权
身份认证
数据加密和数据完整性
审计(Auditing)和记录：管理和控制网上访问活动，监听和记录所有访问信息，供以后分析。管理日志信息也可安全地远程存取。
WebST产品是由WebST安全服务器、WebST应用服务器、公共密钥管理服务器（PKMS-Public Key Management Server）、安全客户端软件NetSEAT、以及管理控制台组成。

身份认证
WebST用安全服务器作为集中式用户登记（身份认证）和访问授权控制中心，实施从用户到应用的安全管理，在用户和应用之间建立起安全隧道。对已认证的用户，根据其访问权限对应用服务进行访问控制管理。WebST在接受用户的访问服务请求时，首先进行访问授权检查，确认后再将用户身份和请求传递给应用服务器。

在WebST中，用户使用DCE（Distributed Computing Environment 分布计算环境）的Kerberos身份认证技术进行身份认证。WebST的PKMS用来对采用SSL（Secure Socket Layer 安全套接层）网络安全技术的Internet用户进行身份认证。

基于DCE/Kerberos的身份认证是通过用户在安全服务器上登录，获得身份的证明，在这里称为“票据”，当然在登录前该用户必须已经注册，同时在客户端必须运行DCE的客户端软件NetSEAT。NetSEAT捆绑在WebST系列产品中。可从DCE的登录过程来理解WebST的安全性（见图1-3）。DCE的登录过程：

客户端输入用户名，并向安全服务器发送登录请求。
安全服务器根据用户名取得用户密钥，生成会话密钥，建立用户票据，使用用户密钥加密票据，将加密的票据发送给客户端用户。
客户端用户输入口令，NetSEAT将口令转换成用户密钥，并用该密钥对加密票据进行解密。如果能够解密，表明口令正确，用户可获得票据,和WebST应用服务器进行会话。注意：口令不在线路上传输。
在进行第2步的同时，安全服务器把用户的会话密钥传送给应用服务器，为安全会话作准备。
如果登录成功，就完成了双向身份验证。客户端用户从票据中取得了访问授权和会话密钥，从而和应用服务器建立起安全遂道。
如果不能解密，表明输入的口令错误 ，登录过程失败。
从WebST的用户登录过程可以清楚地看到，用户口令是不在线路上传输的，黑客根本就没有机会从线路上窃取信息。

在Web应用中，用户也可使用SSL安全技术，PKMS可将基于公共密钥的SSL安全技术集成到WebST中。使用PKMS时，客户端不必使用WebST的客户端软件NetSEAT，可使用SSL浏览器登录到PKMS，PKMS将用户的身份映射成WebST用户身份，并且通过RPC（Remote Procedure Call 远程过程调用）进行传输，也就是将SSL的用户标识传递给WebST安全服务器（见图1-4）。

　

　

访问授权
WebST主要的特点之一就是访问授权。对一个企业网而言，可能运行着多种应用系统，在网中实施统一的访问控制策略，是管理企业网资源的有效手段。WebST的访问授权就是用来实现这一目标的，WebST为不同应用提供统一的访问控制策略。WebST将访问控制表(ACL)与应用服务器上的每一个对象联系起来。一个ACL规定对对象完成某些操作的权限。比如，如果目标对象是一个文件，ACL能规定某个用户对它进行读、写、执行、删除或移动操作的权限，同时也能规定这个文件在网络传输时是否必须加密。每个用户都有一组相关的权限关系，并由安全服务器进行维护。当用户登录WebST系统时，用户和权限就被联系起来。WebST安全服务可以将用户组成“用户组”，而同组成员具有相同的权限，这大大简化了访问授权的管理。比如所有“普通用户”组的成员可以允许读某些文件，而“管理员”组的成员就可以修改这些文件。

在WebST的访问控制机制中，有两种控制粒度：粗粒度控制，是基于网络连接的访问控制；细粒度控制，是基于具体应用对象的访问控制。对于企业应用而言，首先需要粗粒度的访问控制，来管理和控制谁可以访问哪些服务器的哪些应用。比如，员工甲只能访问某台服务器的Web应用，而员工乙可以访问这台服务器的FTP和Telnet；其次在某些应用上实现细粒度访问控制来加强对网络资源的管理。比如，员工甲可以访问Web服务器上的哪些页面。

安全隧道
在WebST中，各部分都使用安全隧道进行通讯。在客户端可以使用两种方式，运行NetSEAT安全客户端软件时，使用WebST安全隧道，即DCE的安全PRC协议。安全服务器负责管理和分发加密密钥，对传输的数据有选择地进行加密，以提高系统效率。使用SSL浏览器时，客户端使用SSL隧道与WebST通讯，SSL对所有的传输数据都进行加密。

使用WebST安全隧道时，身份认证和数据加密都基于秘密密钥。而SSL隧道则是在身份认证时基于公共密钥，而数据加密是基于秘密密钥。

　

　

数据加密的手段
在网络应用中采用了两种加密形式：秘密密钥和公共密钥。每种加密形式都有其优点并被应用于不同的场合。

秘密密钥加密
如果没有特别指定，WebST缺省采用数据加密标准 (DES) 进行加密。这是一种秘密密钥加密的方法，秘密密钥加密有时也被称作对称式密钥加密。当使用DES时，采用秘密密钥对报文加密，加密后的报文通过安全隧道传送给接收方。接收方采用同样秘密密钥对报文进行解密。两个用户为了使用DES他们必须知道同一个密钥。密钥还具有阶段性，阶段性的密钥只在一段有限的时间内有效，这段时间额长度由安全管理员指定。

公共密钥加密
有些Internet用户采用了基于公共密钥加密技术如SSL或S-HTTP的浏览器，为了能建立起一种相互信任的关系，WebST也可以使用公共密钥加密（有时也被称作非对称密钥）。公钥加密仅用来作身份认证，由于公共密钥在对大量数据进行加密时速度太慢，因此在通信双方之间进行安全数据传输还是采用秘密密钥加密。

WebST的其它特性
高性能多线程的Web服务器
通过灵巧节点于其它安全服务器结合
负载平衡和容错性能
支持审计和记录功能
支持多种平台 服务器端：UnixWare、Sun-Solaris、 HP-UX OpenServer、DASCOM AD、Windows NT等。
　

客户端： Windows 95/3.x、Windows NT

三种安全产品的集成使用
SunScreen、Firewall-1和WebST针对网络不同层次进行安全管理和控制，着重点有所不同。对规模较大的网络可以同时使用多种网络安全产品，在公共网络上建立起虚拟的专用网络。比如，一大型企业或机构在世界范围内有若干个分支机构，通过Internet将各分支机构的局域网连接起来，构建其虚拟的专用网络。其中一个局域网的安全构架如下：

　

如上图所示，在边界路由器和内部LAN之间设立停火区（非军事区），停火区的作用是，Internet的外部访问只能到达停火区，不能直接进入内部LAN；而内部LAN对外的访问也只能到达停火区，不能直接进入Internet。要穿越停火区只能通过代理（Proxy），或者地址转换（NAT）。在上图中，SunScreen负责加密和解密企业内部网数据流，实现在链路层的数据安全；Firewall-1负责监视和过滤所有进出的数据流，并为合法的访问提供代理服务，实现内部网和外部网之间的安全管理；WebST安全服务器提供企业网内部用户的身份认证，WebST安全服务器与应用服务器结合，为网络资源实施应用层的访问控制。这三种产品各司其责，实现各个层次的安全性。

图示只是一个LAN与Internet连接的架构图，在多个LAN连接时，各产品的配置和管理不完全相同。对于SunScreen，每个LAN需配置SPF-100，但整个Intranet只需一个管理站，由该管理站统一管理所有的SPF-100；对于Firewall-1，每个LAN需独立安装和配置，相互之间独立管理；对于WebST，需设立一个LAN主WebST安全服务器，在其它LAN设立一个复制的安全服务器用于提高本地访问效率，整个Intranet实施集中的统一管理。

这样就将这三个产品构建在一个统一的网络结构中，实现完整的安全性。

三种网络安全产品性能对比
安全隧道
从Intranet全局来看，三种产品安全隧道出口不一样。SunScreen 处于链路层位置，安全隧道出口最短；FireWall-1安全隧道终止于网关，安全隧道较长；WebST安全隧道终止于PRC或应用，安全隧道最长。所以WebST具有防外也防内的特征，从这个角度看WebST是较好的安全产品。

数据加密　
SunScreen 采用SPARC技术的硬件，数据加密解密速度快，效率高；FireWall-1加密手段最多，适应性很强；WebST基本配置是基于64位秘密密钥系统的加密方案，可配接128位加密方案，替代WebST原有的加密算法，这是WebST在市场的一大优势，因为美国政府限制对我国出口64位以上的加密方案，而各种进口安全软件所配加密算法均不得超过64位，而且这些算法本身有无安全陷井无从知道，因此高安全要求的部门会十分看重这一点。

应用安全
SunScreen 是链路级的防火墙，主要是链路安全特性，几乎无应用安全可言； FireWall-1是应用安全最全面的软件，一般的应用问题均能在FireWall-1上找到相应的安全设置，不愧是一个优秀的全面的软件，如无特殊安全应用要求，FireWall-1就作够了；WebST提供部分应用安全（如Web、FTP、Telnet等）能力，但由于其有相当的国产成分，得实发展集团称可针对应用作相应的开发，一是为了提高应用效率，二是加长安全隧道，其说法也有一定道理，从某种程度上弥补了应用安全的不足。另外，WebST跨平台异构网互联性能，也使它在应用安全上增色不少。

管理控制台
三种产品均具有从一个管理控制台全面管理配置全网的特点。其中以SunScreen管理最为简单；WebST次之；FireWall-1由于有太多应用级的管理，显得较为复杂。如果把全部应用安全均配上效率低，牺牲了太多性能，所以往往只选配部分安全，采用折衷方案。

价格
价格是企业CIO十分关心的一个问题。如果只有几个网点需要安全，SunScreen方案是最便宜的，但随着网点的上升，SunScreen可能是最贵的，因为你至少每个网点得买一个SunScreen　SPK-100；WebST价格比FireWall-1便宜，随着网点增多费用几乎不增，有10个以上网点的企业，买WebST应该是最便宜的。

结论
三种产品各有特色。SunScreen管理简单、效率高，满足一般线路安全的要求，如果企业联公共网的接口不多，无应用安全要求，这是一个不错的选择；FireWall-1是安全最全面的软件，能满足全方位的安全需求，企业如无特殊应用要求，有较充余的资金支持，可选FireWall-1产品；WebST适合于异构网的场合和高度安全应用的场合，选用WebST一般有相应的安全应用集成问题需要解决，必须和得实发展集团联系。对于大的网上商业应用应该考虑一试。另外，它的通用产品价格较低，也是一个优势。

对于大型网络的安全配置，可以将SunScreen或FireWall-1与WebST结合使用，以达到从局域到广域、从链路到应用的全面安全控制和管理。