計算機網路閾值

『壹』 路由器設置了wmm電腦要如何連接

路由器設置其實是比較簡單的，首先我們連接好無線路由器與電腦網路設備的連線，下面筆者首先為大家分享一張路由器設備之間的連線原理，相信大家看了一眼就明白了無線路由器與無線設備之間的網線應該如何連接。如下圖所示WAN口連接寬頻進線，這里是連接貓的（什麼是貓？）。LAN口連接區域網內的電腦的，另外主要還要接上電源，之後還要開啟無線路由器電源開關即可，到這里無線路由器設備之間的網線連接就結束了，之後我們要做的是打開電腦，登錄路由器設置即可。
以上設備之間的線路連接好，並且開啟騰達路由器後，接下來我們就需要進入電腦設置了，首先我們可以先設置下本地IP地址，這個步驟也可以省略，但某些路由器如果不設置本地IP的話，可能無法登陸無線路由器管理界面，因此最好還是設置下電腦的本地IP地址（實質就是路由器IP地址），設置方法如下：一：首先進入電腦桌面，在「網上鄰居」桌面快捷方式上點擊滑鼠右鍵選擇「屬性」
二：之後進入網上鄰居屬性後就可以看到「本地連接」了，我們同樣將滑鼠放置於「本地連接」上，然後選擇滑鼠右鍵，之後選擇「屬性」
三：進入本地連接屬性後，我們在常規選項卡下選中「Internet 協議（TCP/IP）」，然後在點擊下面一點的「屬性」如下圖：
進入到了本地連接Internet 協議屬性對話框，默認情況下是自動獲取本地IP與自動獲取DNS地址的，
四：這里我們需要自己設置下，關於IP地址如何設置，請參考以下介紹，需要注意的很多路由器的默認登錄地址是192.168.1.1，而本文中騰達無線路由器登錄地址則為192.168.0.1，這個大家可以產看無線路由器上的標注，一把現在絕大多數無線路由器登錄地址都這2個，要判斷是哪個也非常簡單，看下路由器外殼上標注就知道了。這里設置的重點就是不用默認獲取IP，下面一起來看下如何設置本地IP與DNS地址：這里需要注意幾個問題，騰達無線路由器默認網關一定只能填寫：192.168.0.1，這就是填寫無線路由器上標注的默認IP地址，這個一定不能填錯，否則後面無法登陸無線路由器管理界面。IP地址可以填寫為192.168.0.XX，其中前面的東西與默認網關前面的幾位必須相同，最後一位填寫數字可以是2-255的任意數字，子掩碼其實無需填寫，填寫好了IP地址，點擊下子掩碼，會自動出現以上數字。最後就是下面的DNS伺服器地址了，這里的DNS伺服器地址需要咨詢網路商或者根據自己方位與網路商網路查找下都可以，也可以填寫8.8.8.8（谷歌提供的全球通用DNS伺服器地址）不建議大家填寫為192.168.0.1。以上填寫完畢後，點擊底部的「確定」即可，之後一路點「確定」完成本地IP地址設置，騰達無線路由器新手推薦IP地址設置
五：以上完成後，最後我們就需要登錄無線路由器管理界面進行設置了，方法為我們打開網頁瀏覽器，在瀏覽為網址地址框中輸入192.168.0.1，然後按回車確認鍵即可彈出騰達無線路由器登錄對話框，如下圖：如上圖，在用戶名與密碼框里分別填寫上admin即可，默認騰達路由器登錄用戶名都是admin，路由器表面一般都會明確標注。填寫好登錄賬號與密碼後，點擊「確認」即可登錄到騰達無線路由器設置界面了，如下圖：接下來我們根據設置向導，將我們的上網賬號與密碼填寫到裡面去，關於詳細的路由器內部設置寬頻連接的方法之前已經介紹過很多次了，與其它無線路由器方法都一樣，不懂的朋友請閱讀：無線路由器設置圖文教程 ，下面我們重點介紹騰達無線路由器的無線設置
六：以上寬頻賬號設置好後，我們點擊左側菜單中的「無線設置」，然後右側會顯示無線設置相關操作，如下圖：如上圖，設置參考如下：啟用無線功能：「勾選」後，啟用無線功能，如果您不想使用無線，可以取消選擇，所有與無線相關的功能將禁止;網路模式：根據無線客戶端類型選擇其中一種模式。(一般如果不知道的話就選擇默認的混合模式)SSID：服務集合標識符、無線信號的網路名稱，可修改，SSID為必填項。廣播(SSID)：選擇「關閉」禁止路由器廣播SSID，無線客戶端將無法掃描到路由器的SSID。選擇「關閉」後，客戶端必須知道路由器的SSID才能與路由器進行通訊，默認為「開啟」。信道：路由器當前使用的信道，從下拉列表中可以選擇其它有效工作信道，可選項在1-13之間，一般默認即可。
七：以上設置完成後，別忘記了點擊底部的保存，之後無線在進入無線設置裡面的無線安全設置，這點很重要，也就是給無線路由器添加無線密碼，放置別人蹭網。我們再次點擊左側無線設置里的無線安全設置，之後可以選擇常用的三種加密方式，其中包括MixedWEP加密、WPA-個人、WPA2-個人等，一般我們選擇WPA2，如下圖：選擇SSID：選擇要設置的SSID，可以分別對主SSID和次SSID進行安全加密設置。安全模式：可從列表中選擇相應的安全加密模式，本路由器支持MixedWEP加密、WPA-個人、WPA2-個人。一般我們建議選擇WPA2-個人能有效防止被蹭網破解密碼。WPA加密規則：有TKIP、AES、TKIP&AES。推薦使用AES。密鑰：請輸入您想使用的加密字元串，有效字元為ASCII碼字元。長度為8到63個，建議盡量設置復雜一些，防止附近的其它人無線設備蹭網，影響自己上網速度，設置完後，記得點擊保存，。
八：設置完以上基本就可以使用了，這里最後簡單介紹下無線高級設置，大家也可以不看，有興趣的朋友也可以往下看看。依然點擊點擊左側無線設置無線高級設置。如果不是很懂高級選項的話建議用默認的。BG保護模式：有利於較慢的11b/g無線客戶端在復雜的多種模式下能順利連接到11n無線網路，默認為「自動」。基本數據速率：根據實際需要，調整無線基本傳輸速率。默認值為1-2-5.5-11Mbps。建議不要更改默認值。Beacon間隔：設置AP發送Beacon包頻率，一般來說，時間設置越小，無線客戶端接入的速度越快，時間設置越大，有助於無線網路數據傳輸效能提高，默認值為100，建議不要更改默認值。Fragment閾值：設定一個分片閾值，一旦無線數據包超過這個閾值將其分成多個片段，片段的大小和分片閾值，默認值為2346，建議不要更改默認值。RTS閾值：RTS(Requesttosend)，當數據包的大小超過這個閾值時，使用CTS/RTS機制，降低發生沖突的可能性。在存在干擾長距離客戶端接入情況下，可以設置相對較小的RTS值，在一般Soho辦公場所建議不要更改默認值，否則會影響AP性能。TX功率：該項用來設置無線發射功率等級。默認值為100。WMM-Capable：開啟時可以提高無線多媒體數據傳輸性能(如：視頻或在線播放)，如果您對WMM不熟悉，請設置為開啟。ASPDCapable：自動省電模式，默認為關閉。
這樣可以么？

『貳』 遺傳演算法優化BP神經網路權閾值的適應度評價函數

評價閾值好壞的標准應該是：（網路實際輸出T-理論輸出P）的平方和。這里的實際輸出指神經網路計算值，理論輸出表示期望輸出值。
這個平方和值應該盡量小。越小說明神經網路計算越准確。

『叄』 怎樣設置計算機網路出口限制！

NetLimit 及 Appband 這2個軟體可以實現 本機網路流量的控制。
其他的都是通過ARP欺騙去控制區域網用戶的流量。或者網關設置流量上下限（超過就丟棄包）

NDIS驅動可以實現.
以前我做過這樣的東西.
不能精確限速.
大致思路就是 , 發送或者收取速度達到閾值的時候... 插入Sleep...
Passive Level裡面應該是可以的...
很挫, 見笑了.

『肆』 什麼是計算機網路，舉例說明計算機網路有哪些應用

1.計算機網路，是指將地理位置不同的具有獨立功能的多台計算機及其外部設備，通過通信線路連接起來，在網路操作系統，網路管理軟體及網路通信協議的管理和協調下，實現資源共享和信息傳遞的計算機系統。
2.電腦及系統、伺服器、通信設備、傳輸介質、!!
3.網路中的計算機等設備要實現互聯,就需要以一定的結構方式進行連接,這種連接方式就叫做"拓撲結構",通俗地講這些網路設備如何連接在一起的。
常見:匯流排拓撲結構 星型拓撲結構 環形拓撲結構!!
4.計算機網路協議是有關計算機網路通信的一整套規則，或者說是為完成計算機網路通信而制訂的規則、約定和標准。
5.TCP/IP!! OSI七層協議的名稱:應用層（Application Layer)。
6.(1)可實現資源共享。(2)可實現管理科學化和專業化。
(3)可快速進行信息處理。 (4)能更好地保護原有的資源。
7.FTP:文件傳輸!! Telnet:遠程登陸服務
8.IP地址就像你家的地址!! 域名就是為這個地址取個名字!!
9.超文本就是不僅僅只有文本,還可能有媒體(圖片 視頻...)
10:HTML:超文本標示語言(網頁文件的拓展名)!!
主頁:一般指個人網站!!
11:GOOGLE YAHOO BAIDU... 打開他們的首頁輸入相應的信息就可以查詢!!
12.電子郵件(electronic mail,簡稱E-mail,標志:@,也被大家昵稱為「伊妹兒」)又稱電子信箱、電子郵政,它是—種用電子手段提供信息交換的通信方式。
標題 收信人地址 內容(可能還會有附件!)
13.不上不良網站,安裝殺毒軟體....
.....
我這答案准對!!
我上學的時候就是這樣回答的!!
不對讓你老師來找我!!

『伍』 在遙感中閾值是什麼意思

在網路上找到的：
http://geosis.pku.e.cn/ziyuan/lucc.htm

閾值法：遙感圖像中，每類地物都對應特定的灰度域。在變化信息特徵增強的圖像上，變化區域的灰度值與其它區域的灰度值一般是明顯不同的。因此可以根據直方圖和影像特徵，交互確定變化存在區灰度域的上下限閾值。然後利用閾值將變化發生的區域從圖像中提取

這里有關於遙感的文章，不知道有沒有用
http://www.gissky.net/Article/rs/200610/300.htm
http://www.jsforestry.gov.cn/show_news.asp?id=2487

『陸』 考研 計算機網路擁塞控制 問題

在窗口管理中主要包括慢啟動和擁塞避免兩種機制，在後來為了使性能更加完善，增加了快速恢復和快速重傳機制。
��在慢啟動機制中，定義擁塞窗口作為輔助變數，這個窗口是按照報文段的數量來定義，而不是位元組來計算大小。初始情況下，允許發送端發送的報文數量是逐漸的增長，而不是突發式的增長，即所謂的「加性增」階段。在慢啟動過程中，發送端窗口增加到擁塞窗口的大小時，則將出現擁塞，這樣就轉到擁塞避免階段，進入「乘性減」階段。具體的操作如下：
��（1） 將慢啟動閾值設置成當前擁塞窗口的一半。
��（2） 將擁塞窗口設置為1，並啟動慢啟動過程，直到當前的擁塞窗口等於慢啟動閾值，在這個階段每收到一個ACK，則將擁塞窗口加1。
��（3） 當擁塞窗口大於慢啟動閾值的時侯，每經過一個往返時間對擁塞窗口加1。

『柒』 計算機網路中內積怎麼求

內積（inner proct），又稱數量積（scalar proct）、點積（dot proct）是一種向量運算，但其結果為某一數值，並非向量。其物理意義是質點在F的作用下產生位移S，力F所做的功，W=|F||S|cosθ。

在數學中，數量積（dot proct; scalar proct，也稱為點積）是接受在實數R上的兩個向量並返回一個實數值標量的二元運算。它是歐幾里得空間的標准內積。 兩個向量a = [a1, a2,…, an]和b = [b1, b2,…, bn]的點積定義為： a·b=a1b1+a2b2+……+anbn。 使用矩陣乘法並把（縱列）向量當作n×1 矩陣，點積還可以寫為： a·b=a*b^T，這里的b^T指示矩陣b的轉置。

在數學裡面，內積空間就是增添了一個額外的結構的向量空間。這個額外的結構叫做內積，或標量積，或點積。這個增添的結構允許我們談論向量的角度和長度。內積空間由歐幾里得空間抽象而來，這是泛函分析討論的課題。
內積空間有時也叫做准希爾伯特空間，因為由內積定義的距離完備化之後就會得到一個希爾伯特空間。在早期的著作中，內積空間被稱作酉空間，但這個詞現在已經被淘汰了。在將內積空間稱為酉空間的著作中，「內積空間」常指任意維（可數/不可數）的歐幾里德空間。

在生產生活中，內積同樣應用廣泛。利用內積可判斷一個多邊形是否面向攝像機還是背向攝像機。向量的內積與它們夾角的餘弦成正比，因此在聚光燈的效果計算中，可以根據內積來得到光照效果，如果內積越大，說明夾角越小，則物理離光照的軸線越近，光照越。物理中，內積可以用來計算合力和功。若b為單位矢量，則內積即為a在方向b的投影，即給出了力在這個方向上的分解。功即是力和位移的內積。計算機圖形學常用來進行方向性判斷，如兩矢量點積大於0，則它們的方向朝向相近；如果小於0，則方向相反。矢量內積是人工智慧領域中的神經網路技術的數學基礎之一，此方法還被用於動畫渲染（Animation-Rendering）。

線性變換中點積的意義：
根據點積的代數公式：a·b=a1b1+a2b2+……+anbn，假設a為給定權重向量，b為特徵向量，則a·b其實為一種線性組合，函數F（a·b）則可以構建一個基於a·b+c = 0 （c為偏移）的某一超平面的線性分類器，F是個簡單函數，會將超過一定閾值的值對應到第一類，其它的值對應到第二類。

『捌』 上網速率不高於1Mbps是什麼意思

就是說上網速度不高於128k/s的網速。

2M，即2Mb/s，寬頻理論速率是 256KB/s。實際速率大約為103--200kB/s。（其原因是受用戶計算機性能、網路設備質量、資源使用情況、網路高峰期、網站服務能力、線路衰耗、信號衰減等多因素的影響而造成的）。

如果流量沒有超過使用限度，可以換個區域重新上網，或者將別的電腦（手機）連接到電信，看是否存在這個問題。如果依舊存在可以聯系電信客服進行檢修及相關的維護。

(8)計算機網路閾值擴展閱讀

bit是表示信息的最小單位，叫做二進制位；一般用0和1表示。Byte叫做位元組，由8個位（8bit）組成一個位元組(1Byte)，用於表示計算機中的一個字元。

bit與Byte之間可以進行換算，其換算關系為：1Byte=8bit（或簡寫為：1B=8b），即1bit簡寫為1b(注意是小寫英文字母b)，1Byte簡寫為1B。

在計算機網路或者是網路運營商中，一般，寬頻速率的單位用bps(或b/s)表示；bps表示比特每秒即表示每秒鍾傳輸多少位信息，是bit per second的縮寫。在實際所說的1M帶寬的意思是1Mbps（是兆比特每秒Mbps不是兆位元組每秒MBps）。

在網速很卡時，很可能是配置問題，若配置很高，但機子不行的話，那配置的優勢也發揮不出來，若配置太低，則跟高寬頻不匹配，因此，也難發揮出效果，只有更換設備才能解決。

家用寬頻都是用電話線作為連接的，但隨著時間的增長，電話線難免會現象磨損，氧化或老化現象，從而影響我們的上網品質，因此，需要更換老化的線路，並定期對線路進行檢修。

『玖』 急~~~~~~~~~計算機網路問題

作為企業用戶首選的網路安全產品，防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據，《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。

《網路世界》評測實驗室依然本著科學、客觀公正的原則，不向廠商收取費用，向所有
希望參加評測的廠商開放。

我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品，其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW，聯想網御2000，NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆，千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下，順
利完成了對其他12款產品的評測任務。

測試內容主要涵蓋性能、防攻擊能力以及功能三個方面，這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備，利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時，為准確判定被攻擊方收到的包是否是攻擊包，我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。

在功能測試方面，我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。

最後，我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司，同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。

性能綜述

對於網路設備來說，性能都是率先要考慮的問題。與其他網路設備相比，防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。

在我們測試的過程中，感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性，從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
，目前主要有三種，一種使用ASIC體系，一種採用網路處理器（NP），還有一種也是最常見
的，採用普通計算機體系結構，各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響，目前防火牆軟體平台有的是在開放式系統（
如Linux，OpenBSD）上進行了優化，有的使用自己專用的操作系統，還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小，測試防火牆性能時
將防火牆配置為最簡單的方式：路由模式下內外網全通。

我們此次測試過程中，針對百兆與千兆防火牆的性能測試項目相同，主要包括：雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率；單向性能測試項目包括吞吐量、10%線速下的延
遲；起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。

百兆防火牆性能解析

作為用戶選擇和衡量防火牆性能最重要的指標之一，吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中，64位元組幀，安氏領信防火牆表現最為
出眾，達到了51.96%的線速，NetsScreen-208也能夠達到44.15%，

在單向吞吐量測試中，64位元組幀長NetScreen-208防火牆成績已經達到83.60%，位居第一
，其次是方正方御防火牆，結果為71.72%。

延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明，聯想網御200
0與龍馬衛士的數值不分伯仲，名列前茅。

幀丟失率決定防火牆在持續負載狀態下應該轉發，但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性，吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下，NetScreen-208在256、512和1518位元組幀下結果為0，64位元組幀下結果為5
7.45%。

一般來講，防火牆起NAT後的性能要比起之前的單向性能略微低一些，因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。

最大並發連接數決定了防火牆能夠同時支持的並發用戶數，這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標，尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首，而龍馬衛士防火牆結果也
達到80萬。

我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接，考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。

Syn Flood目前是一種最常見的攻擊方式，防火牆對它的防護實現原理也不相同，比如，
安氏領信防火牆與NetScreen-208採用SYN代理的方式，在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流，兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。

Teardrop攻擊測試將合法的數據包拆分成三段數據包，其中一段包的偏移量不正常。對
於這種攻擊，我們通過Sniffer獲得的結果分析防火牆有三種防護方法，一種是將三段攻擊包
都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆，還有一種是將第二段丟棄，另外兩段分別穿過防火牆，這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
，神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況，Netscreen-208屬於
第三種情況。

對於Ping Sweep和Ping Flood攻擊，所有防火牆都能夠防住這兩種攻擊，SG-300防火牆
過濾掉了所有攻擊包，而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過，但大部分攻擊包都能夠被過濾掉，這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。

千兆防火牆性能結果分析

由於千兆防火牆主要應用於電信級或者大型的數據中心，因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說，三款千兆防火牆之間的差異相當大，但性能結
果都明顯要高於百兆防火牆。

雙向吞吐量測試結果中，NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯，NetScreen-5200的雙向10%線速下的延遲相當低，64位元組幀長僅為4.68祍，1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後，NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式，所有隻測了NAT 結果，該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明，NetScreen-5200防火牆達到100萬。

在防攻擊能力測試中， 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好，沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊， NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包，SG2000H防火牆測試時對發送的45個攻擊包，丟棄了後面的兩個攻擊
包，這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時，F600+防火牆丟棄了所有的
攻擊包，ServGate-2000防火牆只保留了第一個攻擊包，NetSreen-5200防火牆則保留了第一
和第三個攻擊包，這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。

功能綜述

在我們此次測試防火牆的過程中，感受到了不同防火牆產品之間的千差萬別，並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。

包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術，從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。

在工作方式方面，大部分防火牆都支持路由模式和橋模式（透明模式），來自ServGate
公司的SG300和SG2000H，其工作方式主要是橋模式和 NAT模式，沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。

百兆防火牆

與交換機走向融合？

當我們拿到要測試的防火牆時，有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口，正在朝向多個埠方向發展，帶有4個埠的防火牆非常常見，我們都知道三個埠是用
來劃分內網、外網和DMZ區，那麼增加的第4個埠有什麼用呢？不同產品差別很大，但以用
作配置管理的為主，安氏的防火牆將該埠作為與IDS互動的埠，比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠，Netscreen-208有8個固定埠，Netscreen-5200
則是模塊化的千兆防火牆，可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊，這顯示了防火牆與交換機融合的市場趨勢。

對DHCP協議的支持方面，防火牆一般可以作為DHCP信息的中繼代理，安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端，這是非常獨特的地方。

在VLAN支持方面，Netscreen防火牆又一次顯示了強大的實力。與交換機類似，Netscre
en-208支持每個埠劃分為子埠，每個子埠屬於不同的VLAN，支持802.1Q，並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸現

管理功能是一個產品是否易用的重要標志，對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。

不同的防火牆對管理員的許可權分級方式不同，但總的來說，不同的管理員許可權在保護防
火牆的信息的同時，通過三權分立確保了防火牆的管理者職責分明，各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。

目前，對防火牆的管理一般分為本地管理和遠程管理兩種方式，具體來說，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講，像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式，非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂，對於很多用戶來說使
用會比較困難，而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了，這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然，很多防火牆的CLI命令
功能比較簡單，主要功能還是留給了GUI管理軟體，方正、聯想防火牆是非常典型的例子。

從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面，同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然，對於要集中管理
多台防火牆來說，GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。

帶寬管理正在成為防火牆中必不可少的功能，通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量，對不同的用戶，每天分
配固定的流量，當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。

VPN和加密認證

防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec，這6款防火牆都提供了良好的支持。

安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法，如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然，加密除了用於VPN之外，遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。

在身份認證方面，防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准，這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證，認證過程採用一次性口令(OTP)的協議SKEY，可以抵抗網路竊
聽。

防禦功能

防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描，使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。

在病毒掃描方面，表現最突出的當屬聯想網御2000，它集成了病毒掃描引擎，具有防病
毒網關的作用，能夠實時監控HTTP、FTP、SMTP數據流，使各種病毒和惡意文件在途徑防火牆
時就被捕獲。

在內容過濾方面，大部分防火牆都支持URL過濾功能，可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊，為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾，能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。

在防禦攻擊方面，Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項，用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外，還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動，以實現更強勁的防攻擊能力。

安全特性

代理機制通過阻斷內部網路與外部網路的直接聯系，保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。

參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能，包括HTTP、SMTP、POP3
、FTP等，從而能夠屏蔽某些特殊的命令，並能過濾不安全的內容。

NAT通過隱藏內部網路地址，使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路，從而可以在一定程度上保護內
部網路。另一方面，NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能，雖然大家叫的名稱不同，但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。

高可用性

負載均衡的功能現在在防火牆身上也開始有所體現，Netscreen-208支持防火牆之間的負
載分擔，而其他防火牆則支持伺服器之間的負載均衡。

目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠，實現防火牆之
間的Active-Active高可用性。

日誌審計和警告功能

防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息，為了在繁多的日誌中進行查詢和分析，有必要對這些日誌進行審計和管理，同
時防火牆存儲空間較小，因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。

安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理，可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式，包括Internal、Syslog、WebTrends、flash卡等。

當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時，根據設定的規則，
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。

對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種，事件日誌分為8個不同等級。

優秀的文檔很關鍵

大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面，內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹，還舉了很多實用的例子幫助用戶比較快地配好防火牆，使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋，非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊，但缺憾在於它們全部是英文的。

千兆防火牆

此次總共收集到4款千兆防火牆產品，但北大青鳥在性能測試尚未完成時就自行退出，所
以共測試完成了三款千兆防火牆，它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表，而SG2000H則是采
用網路處理器的例子。

從實現原理來看，三者都主要是基於狀態檢測技術，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式，而ServGate SG2000H則支持橋模式和NAT模式
。

F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面，NetScreen-5200的每個埠可以設定不同子埠，每個子埠可以支持不
同的VLAN，可以非常容易集成到交換網路中。據稱，該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且，還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。

從管理上來看，NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理，串口CLI命令功能很簡單。從配置上來說，Ne
tScreen-5200配置界面非常美觀，菜單清晰，並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大，但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上，非常方便
用戶使用，而該管理軟體與防火牆之間則通過128位加密進行通信，有利於對多台防火牆
的管理。

在帶寬管理上，F600+很有特色，它通過「管道」概念實現，每個管道可以具有優先順序、
限制和分組等特點，可以給防火牆規則分配一個或多個管道，還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。

在VPN支持方面，NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道，還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN，而SG2000
H未加VPN模塊。在認證方法上，只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。

F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器，它雖然不支持在
防火牆中記錄日誌，但能夠在防火牆管理器中實時顯示日誌數據，還支持Syslog 日誌伺服器
,提供靈活的審計報表，並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器，NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。