可疑根证书

A. 名侦探柯南人物介绍

工藤新一
帝丹高中二年极学生。与小兰是青梅竹马，两人感情很好。有敏锐的观察力、过人的推理能力，是位高中生侦探。他喜欢看推理小说，偶像是柯南．道尔所创造的名侦探：夏洛克．福尔摩斯。喜欢的人是青梅竹马的毛利兰。自父母3年前到美国居住，独自一人住在「推理之家」中。首次侦办的案件是在前往洛杉矶的飞机上。住址是东京都米花市米花町2丁目21番地。
名字的由来:「工藤」俊作。
初登场：001 云霄飞车杀人事件
名言：真相永远只有一个。

工藤优作
他是工藤新一的父亲，推理能力超强，首屈一指的推理小说家。是目暮警官遇到瓶颈时谘商的对象。 20年前在一家高级意大利餐厅向有希子求婚。后来新一变小后住到小兰家，结果新一家就空关着。

毛利兰
兰是故事里的女主角，新一的青梅出马，帝丹高中2年级生，和新一是同班同学，血型和新一相同，对他有着超越一般朋友的感情但又不愿承认。好友为园子及和叶，坚强又温柔的女孩， 对空手道有着浓厚的兴趣，工夫也不浅，为空手道社的主将。 她曾经多次怀疑过柯南和新一是同一个人，但是阴差阳错的被柯南瞒过去了。希望分居的父母能和好，经常计画一起碰面，但总是被拆穿。
名字的由来：「莫理(mo ri)」士．卢布「朗(ran)」。
初登场：001 云霄飞车杀人事件

毛利小五郎
小兰的父亲，职业是侦探，推理能力奇差，自行推理出的案件约不到十件，但一关系到英理就变的非常精明，大多都由柯南的暗示才得以破解。所以每回柯南都把他麻醉后再用他的声音揭破案件的真相，所以大家送这位毛利侦探一个"沉睡的小五郎"的名号。整天喝啤酒泡电视。特技:柔道，射击。他原来是一名优秀的警局刑警，和目暮十三是同事，后来因为一起事件而辞职。小五郎一见漂亮女性就眼睛发直，最喜欢的偶像是歌星冲野洋子小姐。另外他的吃相非常不好，没事喜欢去打麻将，或是喝啤酒，经常喝醉。因受不了小五郎的种种不良嗜好,老婆妃英理因此受不了他，于是在十年前就与他分居。
名字的由来：明智「小五郎」。
初登场：001 云霄飞车杀人事件

妃英理
小兰的母亲，是个有名的律师，开了一家"妃法律事务所"。因受不了小五郎的种种不良嗜好，所以目前处于分居状态。与小兰的感情很好，经常连络。有精密的分析头脑，比小五郎能干许多。因为新一和小兰小时候出去探险而被她骂，故新一便不由得对她产生一种恐惧感。她烧的饭菜超级难吃。

B. 北京国税局网站下载CA证书，提示说我的IP有攻击行为怎么办

说明你操作太频繁了，过几分钟进去再试就行了。

C. 招商银行的网盾网监软件好用吗

唉，楼上回答得全倒是全了，但需要别人自己找答案，那不是和没回答一样吗？

招行的“网盾”实际上是防御钓鱼网站的，对于木马是没有查杀能力的。它的原理是，作为IE加载项，当您运行IE的时候，它会随时监督您输入的数字。如果您输入6225或者4392等等带有招行信用卡/一卡通卡号的时候，网盾会核对当前网站是否为已经确认的安全网站，如果是它安全列表名单里没有的可疑网站，它会弹出窗口警告。

所以从它的工作原理来说，只是一个简单的监督与比对的过程，主要是对付做成真网付界面骗你填卡号的钓鱼网站的，如果电脑里有木马，它是没有查杀能力的。

但毕竟多了这个功能，在安装正版杀毒软件的前提下，安装网盾肯定是有好处的，至少为您的网付安全增加一道屏障。官网下载页：http://app.cmbchina.com/webprotect/download.htm

D. 支付宝里面的钱安全吗

很安全，理由如下：

支付宝已通过了Verisign签发的全球安全证书，保障客户的在线安全信息。支付宝平台系统对全部用户信息、账户信息等进行128位SSL加密传输。

Verisign签发的全球安全证书

支付宝已通过了Verisign签发的全球安全证书，保障客户的在线安全信息。使客户的在线交易和客户资料得到有效的保障。

支付宝已通过了Verisign签发的全球安全证书，保障客户的在线安全信息.使客户的在线交易和客户资料得到有效的保障。 国际认证体系证书是由全球最大的信息安全服务商Verisign颁发的，Verisign维护着一个覆盖全球的信任体系，您所使用的国际认证体系的证书是属于此信任域的，可以方便地被其它国家、地区的用户所信任。您可以理解为Verisign维护的是一个国际组织，所有组织里的成员的身份都是靠此电子证书所标识的，当你在网络上同此组织内的人员进行网上交流的时候，双方只需要出示此电子证书，就可以辨识对方的身份。

支付宝网站每天都在高度安全的监测、认证和保护下，为您提供服务。

128位SSL加密

支付宝平台系统对全部用户信息、账户信息、等进行128位SSL加密传输。SSL是一种国际标准的加密及身份认证通信协议。

支付宝平台系统对全部用户信息、账户信息、等进行128位SSL加密传输。SSL是一种国际标准的加密及身份认证通信协议。SSL协议使用通讯双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通讯，在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征：信息保密性、信息完整性、相互鉴定。当您的地址栏中出现锁型图片时，表明您正在填写的所有信息都处于128位的加密保护之下，其他人无法通过任何手段从网络中监测得到。 在您使用网络一切服务时资料传输皆已经加密处理。

风险管理组织结构及职责

支付宝公司具有完善的风险治理架构，董事会下设风险管理委员会全面负责支付宝风险管理工作。风险管理委员会下辖风险管理部、合规部与内控部。负责政策、法律法规的落实与检查，并保持与人民银行、国家外汇管理局等监管部门的紧密沟通。负责确保支付宝账户安全，交易安全，反洗钱，反盗卡、反套现工作落实，以及进行各种风险监控。

支付宝账户安全保障

确保支付宝用户账号的安全，免于网络盗用。

支付宝交易安全保障
确保用户交易的安全，免于网络欺诈。
反洗钱工作
负责反洗钱各项具体工作的落实，包括客户身份识别具体操作的规范以及大额和可疑交易核查工作。
反盗卡工作
致力于打击利用支付宝平台实施盗卡、伪卡销赃行为。
反套现工作
致力于打击利用支付宝平台实施的信用卡套现行为。

智能实时风险监控系统（CTU系统）

由支付宝自主研发的智能实时风险监控系统（CTU系统），于2005年8月1日正式发布上线，并不断优化升级，是目前国内最先进的网上支付风险实时监控系统之一。该系统是支付宝风险管理的一个核心系统，能通过数据分析、数据挖掘进行规则自学习，自动更新完善风险监控策略。CTU系统基于用户行为来判断风险等级，集风险分析、预警、控制为一体。并配备风险稽核专家小组进行风险稽查及处置。
7*24小时全天候风险监控，监控内容包括：
账户风险监控
交易风险监控
反洗钱监控
反盗卡监控
反套现监控
商户违规监控

E. 如何判断 Office XP 中数字证书是否可靠

在 Microsoft Office XP 中，数字证书可用于签署文件（例如文档、演示文稿和工作簿）和宏项目。当您使用带签名的文件或宏项目时，数字签名可以为该文件或项目提供一层额外的可靠性保护。如果整个文件已签名，证书有助于确保文件自签名之日起未被修改。同样，如果文件中包含已签名的宏，宏签名所使用的证书可以确保宏自签名之日起未被篡改。使用已签名的宏还可以向“可信来源”列表中添加宏开发人员，以便可以打开来自此来源的宏，而不会收到警告消息。审阅证书当您审阅签名文件或是收到包含签名宏项目的文件时，最好查看随附的证书以确定其是否有效。在决定信任文档的内容、向可信来源列表中添加宏开发人员或者启用宏之前，应该审阅证书。证书包含许多信息。虽然这些信息中有些看起来相当复杂，但还是有一些相对简单的内容，您可以（也应该）查看这些内容以确保证书的有效性。例如，审阅证书时可以检查以下内容：证书是否由可靠组织颁发；您是否认识或信任证书的被授予人；证书是否在有效期内等。查看文件的证书在“工具”菜单上，单击“选项”。单击“安全性”选项卡。单击“数字签名”。要查看某证书的详细内容，请选择签名者的姓名，然后单击“查看证书”。查看宏项目的证书如果您的“宏安全性”设置为“中”或“高”，当您要打开的文件包含用可疑证书签名的宏时会收到警告。在警告对话框中，您可以单击“详细资料”以查看证书的属性。 查看已打开文件的证书：在“工具”菜单上，指向“宏”，然后单击“Visual Basic 编辑器”。使用“项目管理器”选择所需的宏项目。在“Visual Basic 编辑器”中，单击“工具”菜单上的“数字签名”。在“数字签名”对话框中，单击“详细信息”来查看证书的详细信息。 注释 “详细信息”按钮仅在项目中附带了数字证书时才会显示。检查红色的 X有效证书的左上角有一个无瑕疵证书的图像。有问题的证书显示的图像上带有红色的 X。证书被标记为红色 X 的原因有多种，包括：签名的文件或宏已被篡改。证书并非由可信任的证书颁发机构 (CA) 颁发。证书的颁发未经过验证（例如，是由 CA 作为免费的试用下载提供的）。证书在用于签署文件或宏时无效。颁发者证书可由证书颁发机构（例如 VeriSign 或 E-lock）颁发。它们也可以由组织颁发，或由个人创建。您应查看“颁发者”字段，确定您是否信任颁发证书的 CA（或组织、个人）。某些CA 颁发免费的、未经验证的证书。证书的注释部分会记录这种未经验证的情况，其内容类似于：VeriSign Class 1 CA Indivial Subscriber-Persona Not Validated（VeriSign 1 类 CA 个人用户 － 未经验证）个人使用 Office XP 附带的 Selfcert.exe 工具创建的证书包含类似下面这样的注释:该CA 根证书不受信任。要启用信任，请将该证书安装到受信任的根证书颁发机构存储。一般来说，不要信任带有注释（例如演示、测试或示范）的证书。颁发给正如您应对颁发证书的 CA 有一定的信任度，您也应了解证书的颁发对象（个人或组织）。有效期文件或宏项目应在数字证书的有效期内签名。验证签名日期的方法根据您检查的是文件还是宏而不同。验证文件的签名日期将证书的有效期与当前日期或收到文件的日期进行比较。如果证书在这些时间都无效，则大多数情况下不应相信签名有效。验证宏项目的签名日期如果您的“宏安全性”设置为“中”或“高”，当您要打开的文件包含用可疑证书签名的宏时会收到警告。在警告对话框中，您可以单击“详细资料”以查看证书的属性。单击“详细信息”按钮。在“数字签名详细信息”对话框的“常规”选项卡中查看。在“签名人信息”中，检查“签名时间”框中显示的日期。通过单击“查看证书”，可以验证证书在文件或宏签名时是否仍然有效。为此，请单击证书的“常规”选项卡，查看“有效期起始日期”旁边的日期。比较文件或宏的签名日期与证书上的“有效期起始日期”。

F. 支付宝中的钱不提现到银行卡安全吗

你好
你可以把支付宝的钱，转到银行卡里面然后就可以取出
满意请采纳
谢谢

G. 什么是SSL证书SSL证书哪个厂商的最好

你好！

SSL数字证书可凭借高强度签名算法，结合服务器端的加密协议，完成专 Web 访问客户到服务器间的 https 加密传输。证属书颁发机构对证书申请者进行严格、可靠的信息核实验证，使网站可信，防劫持、防篡改、防监听。为网站访问者提供真实、有效、安全的网站内容。

SSL证书起到对访客与网站之间的数据进行加密传输的作用，防止如帐号、密码、信用卡等敏感数据在传输过程中被窃取，基本上有帐号密码输入的网站都需要SSL证书，SSL证书还能防止传输数据被篡改，一旦传输数据被篡改，可能是被插入广告，插入危险代码，也有可能是网站流量劫持，让用户访问到其他网站。

SSL证书签发机构Gworg成立于1998年全球可信安全顶级CA机构！支持目前所有主流浏览器和移动设备。Gworg和顶级权威的CA机构合作，提供安全有保障的SSL证书。数字证书认证可信力、加密强度、权益保障最大化，让用户网站真正安全可信赖。

Gworg根据不同web应用选择不同认证等级和域名支持能力的证书服务，给用户更大的选择和扩展空间，基于同一证书管理平台轻松实现证书升级。

H. 关于考证书，在网上看到一些广告，内容讲考汽修证，电工证，只要提供电话手机号码，很快有人联系你

BD推广害死人，回答不上你的问题，因为他们只是销售人员，而不是老师；这种事版情十有八九权是诈骗，长点心把；现在说的诈骗不是说直接骗钱，是变相骗钱，先让你学点东西，感觉他们很专业，然后发送一堆免费资料你学习，降低你的戒心，让你心动，然后问你想不想系统的学习这个东西，你如果说想就上了他们的套路了，马上让你交钱，说可以学到什么什么，学成了怎么怎么，还包安排工作；如果说不想他们就跟你洗脑，问你情况，说学会了就怎样。让你憧憬美好未来，但是未来真的有这么好还在这里骗人？
总结：别人可能真的会教你一些东西，但是需要学费，很贵！但是你记住，他们都是以赚钱为目的。搞得不好哪天就跑路了。如果你想学就要去正规的机构，查工商营业执照，历史评论口碑，不要贪图小便宜上了别人的套！

I. 急~~~~~~~~~计算机网络问题

作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为
用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室
对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有
希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外
12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal
l -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST210
4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW
all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防
火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺
利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC
2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren
t公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测
试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还
使用NAI公司的Sniffer Pro软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管
理性、VPN、加密认证以及日志审计等多方面功能。

最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些
勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

性能综述

对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能
一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火
墙来说是巨大的挑战。

在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大
差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲
，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见
的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙
软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（
如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作
系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时
将防火墙配置为最简单的方式：路由模式下内外网全通。

我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性
能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线
速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延
迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

百兆防火墙性能解析

作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢
帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为
出众，达到了51.96%的线速，NetsScreen-208也能够达到44.15%，

在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到83.60%，位居第一
，其次是方正方御防火墙，结果为71.72%。

延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200
0与龙马卫士的数值不分伯仲，名列前茅。

帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百
分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测
试的5种帧长度下，NetScreen-208在256、512和1518字节帧下结果为0，64字节帧下结果为5
7.45%。

一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能
自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后
64字节帧的吞吐量比单向吞吐量结果略高。

最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个
非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务
的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也
达到80万。

我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防
攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接
的能力。

Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，
安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是
50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC
P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La
nd-based三种攻击包全部都过滤掉。

Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对
于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包
都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允
许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效
防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况
，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于
第三种情况。

对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙
过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些
ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每
秒钟通过的ping包数量。

千兆防火墙性能结果分析

由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占
的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结
果都明显要高于百兆防火墙。

双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为
58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低
都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.
5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧
长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结
果表明，NetScreen-5200防火墙达到100万。

在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没
有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火
墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击
包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的
攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一
和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击
测试结果为1000个攻击包全都过滤掉。

功能综述

在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲
自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产
品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原
理。

在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate
公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由
模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

百兆防火墙

与交换机走向融合？

当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端
口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用
来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用
作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络
卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200
则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块，这显示了防火墙与交换机融合的市场趋势。

对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、
清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D
HCP 服务器和客户端，这是非常独特的地方。

在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre
en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子
端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸现

管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置
、各种管理方式的易用性以及带宽管理特性。

不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防
火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG
FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制
。

目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火
墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己
喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使
用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明
了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令
功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我
们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火
墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理
多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正
方御的GUI管理软件安装和使用都比较容易。

带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更
好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支
持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分
配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的
流量控制实现对防火墙各个接口的带宽控制。

VPN和加密认证

防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网
御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有
VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算
法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算
法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地
支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防
火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程
管理、远程日志等功能通过加密也能够提升其安全性。

在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、
SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持
得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙
主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃
听。

防御功能

防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒
扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防
护能力。

在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病
毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙
时就被捕获。

在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清
华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3
协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤
的功能。

在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火
墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设
置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门
端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现
互动，以实现更强劲的防攻击能力。

安全特性

代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信
息被限制在代理网关的内侧。

参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3
、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部
网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内
部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都
有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N
AT以及端口NAT。

高可用性

负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负
载分担，而其他防火墙则支持服务器之间的负载均衡。

目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机
热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之
间的Active-Active高可用性。

日志审计和警告功能

防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量
的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同
时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都
非常必要。

安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG
FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利
用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务
器的存储方式，包括Internal、Syslog、WebTrends、flash卡等。

当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，
防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行
报警程序等方式进行报警。

对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、
天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将
日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分
为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

优秀的文档很关键

大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想
、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详
细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne
tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有
利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户
手册，但缺憾在于它们全部是英文的。

千兆防火墙

此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所
以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采
用网络处理器的例子。

从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式
。

F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。
在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不
同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S
G2000H也支持802.1Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路
由协议。

从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主
要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne
tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略
和建立VPN通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安
装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便
用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙
的管理。

在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、
限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带
宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制
进出的网络流量。

在VPN支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道，还支持
DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN，而SG2000
H未加VPN模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L
DAP。

F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在
防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器
,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报
表方面都支持著名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flas
h卡、NetScreen Global Pro等方式进行处理。

J. https加密能力有多强

https安全通信分三个阶段：1）认证服务器2）交换加密key3）https流量传输如果想攻击https，可以分别从这三个阶段入手。

第一：认证阶段—虚假证书欺骗诱导用户安装根证书，一旦根证书（CA公钥）安装好，一个信任链就形成了，CA可以用自己的私钥给任何服务器签署证书，只要CA愿意。举例一一公司想监控用户的流量，包括https流量，只要预先给员工电脑里安装一个根证书，然后在公司网络出口有监控软件，有根证书的私钥。当用户访问https服务器时，监控软件欺骗用户自己就是https服务器，与用户建立SSL连接。然后监控软件再与真正的https服务器建立SSL连接。用户与服务器的加密流量监控软件可以一览无余。

第二：交换key阶段—攻击DH算法采用超级计算机，离线计算DH算法素数对，经过常年累月的计算，形成一个庞大的素数对数据库，用这个数据库来比对捕获到的DH交换，一旦匹配到，用户的session key 就获得了，可以解密https流量。斯诺登团队就是这么干的！第三：加密key暴力破解目前加密算法使用AES256块式加密，如果不知道key，而使用暴力破解，理论上需要2^256 次才能破解，这个计算量是一个不可能完成的任务。所以现实的做法是使用第一、第二种方法破解SSL流量。Https只加密http报文，IP层完全是明文，所以谈不上任何的隐身。Https安全注意事项浏览器里的安全选项-SSL，只勾选TLS 1.2，其它统统不要。不随意安装根证书，遇到可疑证书删掉为好！