可疑根證書

A. 名偵探柯南人物介紹

工藤新一
帝丹高中二年極學生。與小蘭是青梅竹馬，兩人感情很好。有敏銳的觀察力、過人的推理能力，是位高中生偵探。他喜歡看推理小說，偶像是柯南．道爾所創造的名偵探：夏洛克．福爾摩斯。喜歡的人是青梅竹馬的毛利蘭。自父母3年前到美國居住，獨自一人住在「推理之家」中。首次偵辦的案件是在前往洛杉磯的飛機上。住址是東京都米花市米花町2丁目21番地。
名字的由來:「工藤」俊作。
初登場：001 雲霄飛車殺人事件
名言：真相永遠只有一個。

工藤優作
他是工藤新一的父親，推理能力超強，首屈一指的推理小說家。是目暮警官遇到瓶頸時諮商的對象。 20年前在一家高級義大利餐廳向有希子求婚。後來新一變小後住到小蘭家，結果新一家就空關著。

毛利蘭
蘭是故事裡的女主角，新一的青梅出馬，帝丹高中2年級生，和新一是同班同學，血型和新一相同，對他有著超越一般朋友的感情但又不願承認。好友為園子及和葉，堅強又溫柔的女孩， 對空手道有著濃厚的興趣，工夫也不淺，為空手道社的主將。 她曾經多次懷疑過柯南和新一是同一個人，但是陰差陽錯的被柯南瞞過去了。希望分居的父母能和好，經常計畫一起碰面，但總是被拆穿。
名字的由來：「莫理(mo ri)」士．盧布「朗(ran)」。
初登場：001 雲霄飛車殺人事件

毛利小五郎
小蘭的父親，職業是偵探，推理能力奇差，自行推理出的案件約不到十件，但一關繫到英理就變的非常精明，大多都由柯南的暗示才得以破解。所以每回柯南都把他麻醉後再用他的聲音揭破案件的真相，所以大家送這位毛利偵探一個"沉睡的小五郎"的名號。整天喝啤酒泡電視。特技:柔道，射擊。他原來是一名優秀的警局刑警，和目暮十三是同事，後來因為一起事件而辭職。小五郎一見漂亮女性就眼睛發直，最喜歡的偶像是歌星沖野洋子小姐。另外他的吃相非常不好，沒事喜歡去打麻將，或是喝啤酒，經常喝醉。因受不了小五郎的種種不良嗜好,老婆妃英理因此受不了他，於是在十年前就與他分居。
名字的由來：明智「小五郎」。
初登場：001 雲霄飛車殺人事件

妃英理
小蘭的母親，是個有名的律師，開了一家"妃法律事務所"。因受不了小五郎的種種不良嗜好，所以目前處於分居狀態。與小蘭的感情很好，經常連絡。有精密的分析頭腦，比小五郎能幹許多。因為新一和小蘭小時候出去探險而被她罵，故新一便不由得對她產生一種恐懼感。她燒的飯菜超級難吃。

B. 北京國稅局網站下載CA證書，提示說我的IP有攻擊行為怎麼辦

說明你操作太頻繁了，過幾分鍾進去再試就行了。

C. 招商銀行的網盾網監軟體好用嗎

唉，樓上回答得全倒是全了，但需要別人自己找答案，那不是和沒回答一樣嗎？

招行的「網盾」實際上是防禦釣魚網站的，對於木馬是沒有查殺能力的。它的原理是，作為IE載入項，當您運行IE的時候，它會隨時監督您輸入的數字。如果您輸入6225或者4392等等帶有招行信用卡/一卡通卡號的時候，網盾會核對當前網站是否為已經確認的安全網站，如果是它安全列表名單里沒有的可疑網站，它會彈出窗口警告。

所以從它的工作原理來說，只是一個簡單的監督與比對的過程，主要是對付做成真網付界面騙你填卡號的釣魚網站的，如果電腦里有木馬，它是沒有查殺能力的。

但畢竟多了這個功能，在安裝正版殺毒軟體的前提下，安裝網盾肯定是有好處的，至少為您的網付安全增加一道屏障。官網下載頁：http://app.cmbchina.com/webprotect/download.htm

D. 支付寶裡面的錢安全嗎

很安全，理由如下：

支付寶已通過了Verisign簽發的全球安全證書，保障客戶的在線安全信息。支付寶平台系統對全部用戶信息、賬戶信息等進行128位SSL加密傳輸。

Verisign簽發的全球安全證書

支付寶已通過了Verisign簽發的全球安全證書，保障客戶的在線安全信息。使客戶的在線交易和客戶資料得到有效的保障。

支付寶已通過了Verisign簽發的全球安全證書，保障客戶的在線安全信息.使客戶的在線交易和客戶資料得到有效的保障。 國際認證體系證書是由全球最大的信息安全服務商Verisign頒發的，Verisign維護著一個覆蓋全球的信任體系，您所使用的國際認證體系的證書是屬於此信任域的，可以方便地被其它國家、地區的用戶所信任。您可以理解為Verisign維護的是一個國際組織，所有組織里的成員的身份都是靠此電子證書所標識的，當你在網路上同此組織內的人員進行網上交流的時候，雙方只需要出示此電子證書，就可以辨識對方的身份。

支付寶網站每天都在高度安全的監測、認證和保護下，為您提供服務。

128位SSL加密

支付寶平台系統對全部用戶信息、賬戶信息、等進行128位SSL加密傳輸。SSL是一種國際標準的加密及身份認證通信協議。

支付寶平台系統對全部用戶信息、賬戶信息、等進行128位SSL加密傳輸。SSL是一種國際標準的加密及身份認證通信協議。SSL協議使用通訊雙方的客戶證書以及CA根證書，允許客戶/伺服器應用以一種不能被偷聽的方式通訊，在通訊雙方間建立起了一條安全的、可信任的通訊通道。它具備以下基本特徵：信息保密性、信息完整性、相互鑒定。當您的地址欄中出現鎖型圖片時，表明您正在填寫的所有信息都處於128位的加密保護之下，其他人無法通過任何手段從網路中監測得到。 在您使用網路一切服務時資料傳輸皆已經加密處理。

風險管理組織結構及職責

支付寶公司具有完善的風險治理架構，董事會下設風險管理委員會全面負責支付寶風險管理工作。風險管理委員會下轄風險管理部、合規部與內控部。負責政策、法律法規的落實與檢查，並保持與人民銀行、國家外匯管理局等監管部門的緊密溝通。負責確保支付寶賬戶安全，交易安全，反洗錢，反盜卡、反套現工作落實，以及進行各種風險監控。

支付寶賬戶安全保障

確保支付寶用戶賬號的安全，免於網路盜用。

支付寶交易安全保障
確保用戶交易的安全，免於網路欺詐。
反洗錢工作
負責反洗錢各項具體工作的落實，包括客戶身份識別具體操作的規范以及大額和可疑交易核查工作。
反盜卡工作
致力於打擊利用支付寶平台實施盜卡、偽卡銷贓行為。
反套現工作
致力於打擊利用支付寶平台實施的信用卡套現行為。

智能實時風險監控系統（CTU系統）

由支付寶自主研發的智能實時風險監控系統（CTU系統），於2005年8月1日正式發布上線，並不斷優化升級，是目前國內最先進的網上支付風險實時監控系統之一。該系統是支付寶風險管理的一個核心系統，能通過數據分析、數據挖掘進行規則自學習，自動更新完善風險監控策略。CTU系統基於用戶行為來判斷風險等級，集風險分析、預警、控制為一體。並配備風險稽核專家小組進行風險稽查及處置。
7*24小時全天候風險監控，監控內容包括：
賬戶風險監控
交易風險監控
反洗錢監控
反盜卡監控
反套現監控
商戶違規監控

E. 如何判斷 Office XP 中數字證書是否可靠

在 Microsoft Office XP 中，數字證書可用於簽署文件（例如文檔、演示文稿和工作簿）和宏項目。當您使用帶簽名的文件或宏項目時，數字簽名可以為該文件或項目提供一層額外的可靠性保護。如果整個文件已簽名，證書有助於確保文件自簽名之日起未被修改。同樣，如果文件中包含已簽名的宏，宏簽名所使用的證書可以確保宏自簽名之日起未被篡改。使用已簽名的宏還可以向「可信來源」列表中添加宏開發人員，以便可以打開來自此來源的宏，而不會收到警告消息。審閱證書當您審閱簽名文件或是收到包含簽名宏項目的文件時，最好查看隨附的證書以確定其是否有效。在決定信任文檔的內容、向可信來源列表中添加宏開發人員或者啟用宏之前，應該審閱證書。證書包含許多信息。雖然這些信息中有些看起來相當復雜，但還是有一些相對簡單的內容，您可以（也應該）查看這些內容以確保證書的有效性。例如，審閱證書時可以檢查以下內容：證書是否由可靠組織頒發；您是否認識或信任證書的被授予人；證書是否在有效期內等。查看文件的證書在「工具」菜單上，單擊「選項」。單擊「安全性」選項卡。單擊「數字簽名」。要查看某證書的詳細內容，請選擇簽名者的姓名，然後單擊「查看證書」。查看宏項目的證書如果您的「宏安全性」設置為「中」或「高」，當您要打開的文件包含用可疑證書簽名的宏時會收到警告。在警告對話框中，您可以單擊「詳細資料」以查看證書的屬性。 查看已打開文件的證書：在「工具」菜單上，指向「宏」，然後單擊「Visual Basic 編輯器」。使用「項目管理器」選擇所需的宏項目。在「Visual Basic 編輯器」中，單擊「工具」菜單上的「數字簽名」。在「數字簽名」對話框中，單擊「詳細信息」來查看證書的詳細信息。 注釋 「詳細信息」按鈕僅在項目中附帶了數字證書時才會顯示。檢查紅色的 X有效證書的左上角有一個無瑕疵證書的圖像。有問題的證書顯示的圖像上帶有紅色的 X。證書被標記為紅色 X 的原因有多種，包括：簽名的文件或宏已被篡改。證書並非由可信任的證書頒發機構 (CA) 頒發。證書的頒發未經過驗證（例如，是由 CA 作為免費的試用下載提供的）。證書在用於簽署文件或宏時無效。頒發者證書可由證書頒發機構（例如 VeriSign 或 E-lock）頒發。它們也可以由組織頒發，或由個人創建。您應查看「頒發者」欄位，確定您是否信任頒發證書的 CA（或組織、個人）。某些CA 頒發免費的、未經驗證的證書。證書的注釋部分會記錄這種未經驗證的情況，其內容類似於：VeriSign Class 1 CA Indivial Subscriber-Persona Not Validated（VeriSign 1 類 CA 個人用戶 － 未經驗證）個人使用 Office XP 附帶的 Selfcert.exe 工具創建的證書包含類似下面這樣的注釋:該CA 根證書不受信任。要啟用信任，請將該證書安裝到受信任的根證書頒發機構存儲。一般來說，不要信任帶有注釋（例如演示、測試或示範）的證書。頒發給正如您應對頒發證書的 CA 有一定的信任度，您也應了解證書的頒發對象（個人或組織）。有效期文件或宏項目應在數字證書的有效期內簽名。驗證簽名日期的方法根據您檢查的是文件還是宏而不同。驗證文件的簽名日期將證書的有效期與當前日期或收到文件的日期進行比較。如果證書在這些時間都無效，則大多數情況下不應相信簽名有效。驗證宏項目的簽名日期如果您的「宏安全性」設置為「中」或「高」，當您要打開的文件包含用可疑證書簽名的宏時會收到警告。在警告對話框中，您可以單擊「詳細資料」以查看證書的屬性。單擊「詳細信息」按鈕。在「數字簽名詳細信息」對話框的「常規」選項卡中查看。在「簽名人信息」中，檢查「簽名時間」框中顯示的日期。通過單擊「查看證書」，可以驗證證書在文件或宏簽名時是否仍然有效。為此，請單擊證書的「常規」選項卡，查看「有效期起始日期」旁邊的日期。比較文件或宏的簽名日期與證書上的「有效期起始日期」。

F. 支付寶中的錢不提現到銀行卡安全嗎

你好
你可以把支付寶的錢，轉到銀行卡裡面然後就可以取出
滿意請採納
謝謝

G. 什麼是SSL證書SSL證書哪個廠商的最好

你好！

SSL數字證書可憑借高強度簽名演算法，結合伺服器端的加密協議，完成專 Web 訪問客戶到伺服器間的 https 加密傳輸。證屬書頒發機構對證書申請者進行嚴格、可靠的信息核實驗證，使網站可信，防劫持、防篡改、防監聽。為網站訪問者提供真實、有效、安全的網站內容。

SSL證書起到對訪客與網站之間的數據進行加密傳輸的作用，防止如帳號、密碼、信用卡等敏感數據在傳輸過程中被竊取，基本上有帳號密碼輸入的網站都需要SSL證書，SSL證書還能防止傳輸數據被篡改，一旦傳輸數據被篡改，可能是被插入廣告，插入危險代碼，也有可能是網站流量劫持，讓用戶訪問到其他網站。

SSL證書簽發機構Gworg成立於1998年全球可信安全頂級CA機構！支持目前所有主流瀏覽器和移動設備。Gworg和頂級權威的CA機構合作，提供安全有保障的SSL證書。數字證書認證可信力、加密強度、權益保障最大化，讓用戶網站真正安全可信賴。

Gworg根據不同web應用選擇不同認證等級和域名支持能力的證書服務，給用戶更大的選擇和擴展空間，基於同一證書管理平台輕松實現證書升級。

H. 關於考證書，在網上看到一些廣告，內容講考汽修證，電工證，只要提供電話手機號碼，很快有人聯系你

BD推廣害死人，回答不上你的問題，因為他們只是銷售人員，而不是老師；這種事版情十有八九權是詐騙，長點心把；現在說的詐騙不是說直接騙錢，是變相騙錢，先讓你學點東西，感覺他們很專業，然後發送一堆免費資料你學習，降低你的戒心，讓你心動，然後問你想不想系統的學習這個東西，你如果說想就上了他們的套路了，馬上讓你交錢，說可以學到什麼什麼，學成了怎麼怎麼，還包安排工作；如果說不想他們就跟你洗腦，問你情況，說學會了就怎樣。讓你憧憬美好未來，但是未來真的有這么好還在這里騙人？
總結：別人可能真的會教你一些東西，但是需要學費，很貴！但是你記住，他們都是以賺錢為目的。搞得不好哪天就跑路了。如果你想學就要去正規的機構，查工商營業執照，歷史評論口碑，不要貪圖小便宜上了別人的套！

I. 急~~~~~~~~~計算機網路問題

作為企業用戶首選的網路安全產品，防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據，《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。

《網路世界》評測實驗室依然本著科學、客觀公正的原則，不向廠商收取費用，向所有
希望參加評測的廠商開放。

我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品，其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW，聯想網御2000，NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆，千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下，順
利完成了對其他12款產品的評測任務。

測試內容主要涵蓋性能、防攻擊能力以及功能三個方面，這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備，利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時，為准確判定被攻擊方收到的包是否是攻擊包，我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。

在功能測試方面，我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。

最後，我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司，同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。

性能綜述

對於網路設備來說，性能都是率先要考慮的問題。與其他網路設備相比，防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。

在我們測試的過程中，感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性，從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
，目前主要有三種，一種使用ASIC體系，一種採用網路處理器（NP），還有一種也是最常見
的，採用普通計算機體系結構，各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響，目前防火牆軟體平台有的是在開放式系統（
如Linux，OpenBSD）上進行了優化，有的使用自己專用的操作系統，還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小，測試防火牆性能時
將防火牆配置為最簡單的方式：路由模式下內外網全通。

我們此次測試過程中，針對百兆與千兆防火牆的性能測試項目相同，主要包括：雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率；單向性能測試項目包括吞吐量、10%線速下的延
遲；起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。

百兆防火牆性能解析

作為用戶選擇和衡量防火牆性能最重要的指標之一，吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中，64位元組幀，安氏領信防火牆表現最為
出眾，達到了51.96%的線速，NetsScreen-208也能夠達到44.15%，

在單向吞吐量測試中，64位元組幀長NetScreen-208防火牆成績已經達到83.60%，位居第一
，其次是方正方御防火牆，結果為71.72%。

延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明，聯想網御200
0與龍馬衛士的數值不分伯仲，名列前茅。

幀丟失率決定防火牆在持續負載狀態下應該轉發，但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性，吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下，NetScreen-208在256、512和1518位元組幀下結果為0，64位元組幀下結果為5
7.45%。

一般來講，防火牆起NAT後的性能要比起之前的單向性能略微低一些，因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。

最大並發連接數決定了防火牆能夠同時支持的並發用戶數，這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標，尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首，而龍馬衛士防火牆結果也
達到80萬。

我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接，考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。

Syn Flood目前是一種最常見的攻擊方式，防火牆對它的防護實現原理也不相同，比如，
安氏領信防火牆與NetScreen-208採用SYN代理的方式，在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流，兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。

Teardrop攻擊測試將合法的數據包拆分成三段數據包，其中一段包的偏移量不正常。對
於這種攻擊，我們通過Sniffer獲得的結果分析防火牆有三種防護方法，一種是將三段攻擊包
都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆，還有一種是將第二段丟棄，另外兩段分別穿過防火牆，這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
，神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況，Netscreen-208屬於
第三種情況。

對於Ping Sweep和Ping Flood攻擊，所有防火牆都能夠防住這兩種攻擊，SG-300防火牆
過濾掉了所有攻擊包，而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過，但大部分攻擊包都能夠被過濾掉，這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。

千兆防火牆性能結果分析

由於千兆防火牆主要應用於電信級或者大型的數據中心，因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說，三款千兆防火牆之間的差異相當大，但性能結
果都明顯要高於百兆防火牆。

雙向吞吐量測試結果中，NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯，NetScreen-5200的雙向10%線速下的延遲相當低，64位元組幀長僅為4.68祍，1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後，NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式，所有隻測了NAT 結果，該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明，NetScreen-5200防火牆達到100萬。

在防攻擊能力測試中， 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好，沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊， NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包，SG2000H防火牆測試時對發送的45個攻擊包，丟棄了後面的兩個攻擊
包，這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時，F600+防火牆丟棄了所有的
攻擊包，ServGate-2000防火牆只保留了第一個攻擊包，NetSreen-5200防火牆則保留了第一
和第三個攻擊包，這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。

功能綜述

在我們此次測試防火牆的過程中，感受到了不同防火牆產品之間的千差萬別，並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。

包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術，從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。

在工作方式方面，大部分防火牆都支持路由模式和橋模式（透明模式），來自ServGate
公司的SG300和SG2000H，其工作方式主要是橋模式和 NAT模式，沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。

百兆防火牆

與交換機走向融合？

當我們拿到要測試的防火牆時，有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口，正在朝向多個埠方向發展，帶有4個埠的防火牆非常常見，我們都知道三個埠是用
來劃分內網、外網和DMZ區，那麼增加的第4個埠有什麼用呢？不同產品差別很大，但以用
作配置管理的為主，安氏的防火牆將該埠作為與IDS互動的埠，比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠，Netscreen-208有8個固定埠，Netscreen-5200
則是模塊化的千兆防火牆，可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊，這顯示了防火牆與交換機融合的市場趨勢。

對DHCP協議的支持方面，防火牆一般可以作為DHCP信息的中繼代理，安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端，這是非常獨特的地方。

在VLAN支持方面，Netscreen防火牆又一次顯示了強大的實力。與交換機類似，Netscre
en-208支持每個埠劃分為子埠，每個子埠屬於不同的VLAN，支持802.1Q，並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸現

管理功能是一個產品是否易用的重要標志，對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。

不同的防火牆對管理員的許可權分級方式不同，但總的來說，不同的管理員許可權在保護防
火牆的信息的同時，通過三權分立確保了防火牆的管理者職責分明，各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。

目前，對防火牆的管理一般分為本地管理和遠程管理兩種方式，具體來說，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講，像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式，非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂，對於很多用戶來說使
用會比較困難，而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了，這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然，很多防火牆的CLI命令
功能比較簡單，主要功能還是留給了GUI管理軟體，方正、聯想防火牆是非常典型的例子。

從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面，同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然，對於要集中管理
多台防火牆來說，GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。

帶寬管理正在成為防火牆中必不可少的功能，通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量，對不同的用戶，每天分
配固定的流量，當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。

VPN和加密認證

防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec，這6款防火牆都提供了良好的支持。

安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法，如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然，加密除了用於VPN之外，遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。

在身份認證方面，防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准，這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證，認證過程採用一次性口令(OTP)的協議SKEY，可以抵抗網路竊
聽。

防禦功能

防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描，使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。

在病毒掃描方面，表現最突出的當屬聯想網御2000，它集成了病毒掃描引擎，具有防病
毒網關的作用，能夠實時監控HTTP、FTP、SMTP數據流，使各種病毒和惡意文件在途徑防火牆
時就被捕獲。

在內容過濾方面，大部分防火牆都支持URL過濾功能，可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊，為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾，能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。

在防禦攻擊方面，Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項，用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外，還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動，以實現更強勁的防攻擊能力。

安全特性

代理機制通過阻斷內部網路與外部網路的直接聯系，保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。

參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能，包括HTTP、SMTP、POP3
、FTP等，從而能夠屏蔽某些特殊的命令，並能過濾不安全的內容。

NAT通過隱藏內部網路地址，使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路，從而可以在一定程度上保護內
部網路。另一方面，NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能，雖然大家叫的名稱不同，但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。

高可用性

負載均衡的功能現在在防火牆身上也開始有所體現，Netscreen-208支持防火牆之間的負
載分擔，而其他防火牆則支持伺服器之間的負載均衡。

目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠，實現防火牆之
間的Active-Active高可用性。

日誌審計和警告功能

防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息，為了在繁多的日誌中進行查詢和分析，有必要對這些日誌進行審計和管理，同
時防火牆存儲空間較小，因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。

安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理，可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式，包括Internal、Syslog、WebTrends、flash卡等。

當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時，根據設定的規則，
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。

對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種，事件日誌分為8個不同等級。

優秀的文檔很關鍵

大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面，內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹，還舉了很多實用的例子幫助用戶比較快地配好防火牆，使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋，非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊，但缺憾在於它們全部是英文的。

千兆防火牆

此次總共收集到4款千兆防火牆產品，但北大青鳥在性能測試尚未完成時就自行退出，所
以共測試完成了三款千兆防火牆，它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表，而SG2000H則是采
用網路處理器的例子。

從實現原理來看，三者都主要是基於狀態檢測技術，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式，而ServGate SG2000H則支持橋模式和NAT模式
。

F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面，NetScreen-5200的每個埠可以設定不同子埠，每個子埠可以支持不
同的VLAN，可以非常容易集成到交換網路中。據稱，該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且，還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。

從管理上來看，NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理，串口CLI命令功能很簡單。從配置上來說，Ne
tScreen-5200配置界面非常美觀，菜單清晰，並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大，但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上，非常方便
用戶使用，而該管理軟體與防火牆之間則通過128位加密進行通信，有利於對多台防火牆
的管理。

在帶寬管理上，F600+很有特色，它通過「管道」概念實現，每個管道可以具有優先順序、
限制和分組等特點，可以給防火牆規則分配一個或多個管道，還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。

在VPN支持方面，NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道，還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN，而SG2000
H未加VPN模塊。在認證方法上，只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。

F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器，它雖然不支持在
防火牆中記錄日誌，但能夠在防火牆管理器中實時顯示日誌數據，還支持Syslog 日誌伺服器
,提供靈活的審計報表，並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器，NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。

J. https加密能力有多強

https安全通信分三個階段：1）認證伺服器2）交換加密key3）https流量傳輸如果想攻擊https，可以分別從這三個階段入手。

第一：認證階段—虛假證書欺騙誘導用戶安裝根證書，一旦根證書（CA公鑰）安裝好，一個信任鏈就形成了，CA可以用自己的私鑰給任何伺服器簽署證書，只要CA願意。舉例一一公司想監控用戶的流量，包括https流量，只要預先給員工電腦里安裝一個根證書，然後在公司網路出口有監控軟體，有根證書的私鑰。當用戶訪問https伺服器時，監控軟體欺騙用戶自己就是https伺服器，與用戶建立SSL連接。然後監控軟體再與真正的https伺服器建立SSL連接。用戶與伺服器的加密流量監控軟體可以一覽無余。

第二：交換key階段—攻擊DH演算法採用超級計算機，離線計算DH演算法素數對，經過常年累月的計算，形成一個龐大的素數對資料庫，用這個資料庫來比對捕獲到的DH交換，一旦匹配到，用戶的session key 就獲得了，可以解密https流量。斯諾登團隊就是這么乾的！第三：加密key暴力破解目前加密演算法使用AES256塊式加密，如果不知道key，而使用暴力破解，理論上需要2^256 次才能破解，這個計算量是一個不可能完成的任務。所以現實的做法是使用第一、第二種方法破解SSL流量。Https只加密http報文，IP層完全是明文，所以談不上任何的隱身。Https安全注意事項瀏覽器里的安全選項-SSL，只勾選TLS 1.2，其它統統不要。不隨意安裝根證書，遇到可疑證書刪掉為好！