LZ好，作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为

用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室

对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有

希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外

12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal

all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre

火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺

利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC

2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren

试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还

使用NAI公司的Sniffer Pro软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管

理性、VPN、加密认证以及日志审计等多方面功能。

最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些

勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能

一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火

在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大

差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲

，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见

的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙

软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（

如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作

系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时

将防火墙配置为最简单的方式：路由模式下内外网全通。

我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性

能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线

速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延

迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢

帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为

在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到83.60%，位居第一

，其次是方正方御防火墙，结果为71.72%。

延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200

0与龙马卫士的数值不分伯仲，名列前茅。

帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百

分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测

一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能

自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后

64字节帧的吞吐量比单向吞吐量结果略高。

最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个

非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务

的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也

我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防

攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接

Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，

安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是

50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC

P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La

nd-based三种攻击包全部都过滤掉。

Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对

于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包

都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允

许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效

防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况

过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些

ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每

秒钟通过的ping包数量。

千兆防火墙性能结果分析

由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占

的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结

果都明显要高于百兆防火墙。

5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧

长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结

在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没

墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击

包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的

攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一

和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击

测试结果为1000个攻击包全都过滤掉。

在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲

自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产

品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原

在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate

公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由

模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端

口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用

来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用

作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络

则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块，这显示了防火墙与交换机融合的市场趋势。

对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、

HCP 服务器和客户端，这是非常独特的地方。

在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre

en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子

端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项

管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置

、各种管理方式的易用性以及带宽管理特性。

不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防

火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG

FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制

目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串

口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火

墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己

喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使

用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明

了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令

功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我

们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火

墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理

多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正

方御的GUI管理软件安装和使用都比较容易。

带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更

好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支

持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分

配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的

流量控制实现对防火墙各个接口的带宽控制。

防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网

VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES

、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算

法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算

支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防

火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程

管理、远程日志等功能通过加密也能够提升其安全性。

在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、

SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持

得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙

主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃

防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒

扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防

在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病

毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙

在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清

华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3

协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤

在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火

墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设

置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门

端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现

互动，以实现更强劲的防攻击能力。

代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信

息被限制在代理网关的内侧。

参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3

、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部

网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内

部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都

有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N

负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负

载分担，而其他防火墙则支持服务器之间的负载均衡。

目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机

热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之

防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量

的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同

时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都

安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG

FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利

用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务

当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，

防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、

报警程序等方式进行报警。

对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、

天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将

日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分

为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想

、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详

细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne

tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有

利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户

手册，但缺憾在于它们全部是英文的。

此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所

以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞

从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200

、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式

在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不

同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S

要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne

tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略

和建立VPN通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安

装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便

用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙

在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、

限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带

宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制

F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在

防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器

,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报

“正品 神州数码 多核安全网关 DCFW-1800L-E8 防火墙系列产品”详细信息

　　如今网络防火墙已经成为了各位网友上网，但是又有对少人能让他的网络防火墙真正发挥他的作用呢？

　　许多人对于网络防火墙的功能不加以设置，对网络防火墙的规则不加以设置——这样，网络防火墙作用就会大大减弱……

　　网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。试问，这样的设置就一定会100%适合你吗？肯定不可能。下面，我就以我自己实践的经验，谈谈我自己的看法。

　　功能设置属于外部设置。为什么这样说呢？主要因为，这些设置不会改变规则中要求拦截和放行对象。

　　对于我这个经常上网的宽带用户来说，随机启动是绝对不可少的。如果是拨号用户或不常上网的用户来说，防火墙的启动有两种方案：

　　方案一：上网前手动开启防火墙(一般用户)

　　方案二：用一个文件使防火墙和网络连接一起启动(高级用户)

　　通常，网络防火墙都会有一个安全等级选项。对于这个选择，绝对不可以随便选。因为，有不少用户就是因为不根据实际情况选择，而导致无法使用某些网络资源或被黑客有机可乘。

　　像我这样的固定ip的技术性局域网用户来说，我认为设置为中等即可。因为，我们不像某些用户那样可以随意改变自己的ip，所以我们的防御必须比动态ip用户要高一些。

　　但是，是不是越高越好呢？不是。某些用户，因为不切实际的把安全等级设置为高级，而又不会在规则中设置相应网络规则，而导致无法使用某些网络资源，如在线直播等。

　　因此，我建议一般用户将规则设置为中低即可。

　　至于其他报警设置等，我也不想多说了。但是，我还是要提醒一句，拦截一定要记录在日志里。这样才以便我们复查。

　　ICMP IGMP炸弹都让一些用户感到心惊胆战。所以，某些用户索性禁止所有ICMP和IGMP。

　　这样，显然是不大好的设置。为什么呢？因为ICMP IGMP固然被人利用来做炸弹，但是总不能“宁可杀错一万，不能放走一个”的全部拦截。且不说别的，就说因为全部拦截ICMP IGMP所耗费的系统资源就数不胜数……

　　我建议，拦截的只需是ICMP的1型(即echo requset)就已经足够了。为什么呢？拦截ICMP的1型主要是为了防黑客用ping命令查询你是否在线，所以此类ICMP必须拦截。

　　如果你还是担心ICMP IGMP炸弹，不妨去微软那打个补丁。

　　网络防火墙的一大功能就是防木马和防黑客，所以自己设置规则拦截木马和阻截黑客是必要的。

　　你也许会说，网络防火墙不是有默认的规则吗？的确，有。但是，这只是最常见的木马和漏洞。对于新的危害大的木马和漏洞，恐怕原先的规则就不能胜任他的任务了。

　　那么，我们怎样设置规则呢？

　　首先，我们必须利用反病毒厂家网站提供的信息。因为，那里详细记载了许多病毒、木马的分析结果和漏洞的资料。我认为哪怕你有分析木马源程序和找出漏洞的能力，也没必要任何事情都亲力亲为，因为木马和漏洞是在太多了，全部代码都自己分析，根本是不切实际的。

　　然后，就设置自己的防火墙。由于不同厂家网络防火墙设置规则上有所不同，所以本文不可能详细讲解。

　　当然，这需要一定专业知识。对于一般用户来说，恐怕就有点困难了。怎么办？不怕，可以借用别人的成果。例如，去论坛请教高手或直接发邮件询问高手即可解决。

　　还应该提醒大家的是防火墙规则不要重复，更不要矛盾。重复的规则浪费系统资源;矛盾的规则让防火墙左右为难，最终让别人有机可乘……

　　网络防火墙设置是一门永远也讲不完的学问，有兴趣你也可以去研究研究。

　　神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。

　　另一方面，神州数码DCFW-1800系列防火墙还内置了VPN功能，可以实现利用Internet构建企业的虚拟专用网络。

　　防火墙VPN解决方案

　　作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网(Internet)IPSEC通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：

IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。

　　-支持密钥生存周期可定制-支持完美前项保密-支持多种加密与认证算法：

　　防火墙双机热备方案

　　为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。

　　神州数码网络安全解决方案主要由防火墙、入侵检测、防病毒等安全产品以及安全系统集成服务构成。

　　由于神州数码DCFW-1800E防火墙支持流量映射功能，也就是说防火墙的HA接口可以复制其他网络接口的流量，因此入侵检测设备可以方便的接入网络，同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。

　　防病毒方案由四部分构成，即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新，管理策略、病毒扫描配置等的分发。

　　安全系统集成服务包括两个方面，一方面，是指对不同类安全产品(如防火墙、防病毒等产品)的安装、配置和维护，另一方面，是在漏洞扫描和安全评估的基础上对用户的网络进行安全性增强配置服务。

　　安全性增强配置服务主要包括网络设备的安全性增强配置、主机操作系统的安全性增强配置、应用系统安全性增强配置等。