七种适合企业级应用的防火墙产品
only_you
我们几乎不需要告诉您防火墙是抵御对网络进行非法攻击的重要的第一道防线,您肯定知道这些。但是您不知道的是,同一个网络在为用户访问重要数据提供方便途径的同时,也给任何在同一网络上利用已知的漏洞或者寻找新的弱点进行攻击的人提供了便利、易于访问的特点,还有操作系统(例如Unix和NT)声名狼藉的脆弱的安全性,这些加在一起就是一场眼看就要发生的灾难。所有的防火墙产品都提供一个集中控制点来控制访问,好的防火墙还能使您在期望的和不期望的数据可访问性之间达到微妙的平衡。
像防火墙这样的必需工具并不是解决种种更为复杂的问题的万能神药。例如,一旦您选择了一种防火墙,就要花费大量时间来计算你想通过它提供多少种访问。你还需要处理所有单个系统上操作系统的弱点,因为即使最好的防火墙也必须确定几种不同的访问级别。如果不这样作,就会使防火墙内的一切东西暴露出来而成为笑柄。幸运的是,有几种工具可以帮助您来完成这一艰巨的任务。
自我们上次评测防火墙产品以来,又有一些厂商因为看到用户对安全产品的需求而参加进来。这次我们的注意力集中在那些适合在企业环境中安装并具有优良的性能和管理功能的防火墙产品上。我们确定了八个我们认为符合标准的厂商,向它们发出邀请,并清楚地描述了我们的测试需求。八个厂商中有七家接受了邀请并向我们设在Syracuse大学的Real-World实验室提供了产品,这些厂商和它们的产品是:AXENT 科技 (提供Raptor Firewall)、 Check Point 软件科技公司 (FireWall-1)、Cisco 系统公司 (PIX Firewall 520)、CyberGuard公司 (Firewall)、NetGuard 公司(Guardian)、NetScreen科技公司(NetScreen-100) 和Secure Computing公司 (SecureZone)。只有NAI拒绝提供产品,也没有就此说明原因。
在研究过这些产品的性能和管理功能及其区分有效和非法网络访问的能力之后,我们感到所有的产品都将为成熟的防火墙市场带来良好的信誉。Check Point的FireWall-1提供了最佳的整体性能以及管理和日志功能,因此获得了我们的编辑选择奖。Check Point通过单一用户界面来实现最高防火墙策略管理,这个界面广泛使用颜色和图形以简化管理。此外,它的日志功能和监控功能也出类拔萃。
AXENT的Raptor和它强劲的代理应用程序也给我们留下了非常深刻的印象。实际上,所有七种产品都非常出色且各有所长,判定这些产品的优劣,将取决于您的具体需
求。
每个厂商都在它们提供的操作系统和硬件平台上安装了自己的产品。Check Point、AXENT和CyberGuard都提供Unix和NT版本的产品,因此它们必须在二者之间作出选择。由于我们强调性能,所以我们毫不奇怪这三个厂商都选择了Unix平台。
CyberGuard和Secure Computing公司提交了它们自己的“加固”版本的Unix,安装在Intel平台上。只有NetGuard为测试提供了基于NT的产品。Cisco的PIX在Intel硬件平台上运行它自己的专有操作系统,所以它本质上是一个“黑箱”解决方案。另一个黑箱解决方案由NetScreen提供,它使用了专用的ASIC。
代理和全状态检查的比较
全状态检查技术通过维护一些状态表来跟踪每个连接的状态,同时控制应用层,进而控制数据流。防火墙在数据被允许接触防火墙操作系统之前要检查这些状态表。如果预先定义的策略允许此次访问,则让来自源连接的报头信息通过防火墙而不对其进行修改。
代理技术的支持者们认为代理更安全一些,因为代理应用程序针对特定协议截取通信数据。它只允许进行必需的、安全的和有效的操作。全状态检查阵营则声称它们的技术同样能够达到代理技术所能达到的安全指标,而且可以避免因在防火墙上复制每个应用程序的数据包而带来的性能损失。在我们的测试中,AXENT的Raptor是最好的代理程序,它展示了一些属于全状态检查类型的FireWall-1所没有的安全控制特性,但是Raptor是以牺牲性能的代价做到这些的。
代理技术的另一个缺点是用户要受厂商的控制,需要厂商写代理程序来支持用户要用到的各种应用程序。在我们的测试中,尽管所有的代理厂商都设法提供对不支持协议的访问,但是它们的通用代理并没有因此而增加任何价值,因为它们没有相应的应用程序来检查这些流量,更糟的是,这些通用代理还会因此而影响性能。
除Check Point的FireWall-1之外,Cisco、 NetScreen和NetGuard的防火墙也采用了全状态检查方法。我们发现这些产品的性能通常要优于AXENT、CyberGuard和Secure Computing等采用代理技术的产品。事实上,Cisco的PIX的性能接近了线速。
其他资料
当使用多协议分析器在代理防火墙两侧排除一些连接故障时,我们注意到追踪数据非常困难,而这对于全状态检查产品来说则很容易。原因是在报头被重写之后,通常用来在多位置情况下识别包的源端口和序列号也随之被改变了,这使得系统很难识别这个数据包。我们被迫在数据层细心查找线索以便识别数据包。如果你曾经试图在网络的多个节点上观察包的状态,你就会知道我们的工作有多么困难和多么复杂了。在采用NAT技术时(Network Address Translation,网络地址转换),如果你试图诊断错误,你就会陷入到类似困境中,因为NAT也要修改报头。
我们没有测试每个厂商的产品保护网络免遭攻击的能力,因为所有的产品都要通过ICSA(International Computer Security Association, 国际计算机安全协会,www.icsa.com)的鉴定,国际计算机安全协会有专职工作人员和一整套工具来进行此类测试。我们觉得我们不会比他们做得更多。尽管如此也不要麻痹,不要允许任何并非绝对必要的访问,牢记要系统地排除防火墙后面的机器上的所有可能的弱点,以防止某台有弱点的机器成为破坏防火墙完整性的隐患。
所有七种产品都采用NAT技术。NAT通过把防火墙内所有设备的源地址转换成防火墙外部地址的方法将这些设备对外发起连接的地址屏蔽掉。如果你换了家ISP而且你没有自己的地址空间,或者你使用未经注册的地址空间,或者你只是想简单地访问Internet而不想暴露内部网的细节,那么就有必要进行地址转换。如果你想允许外部世界访问你内部网络的服务器,你可以提供额外的外部地址,并把这个地址直接映射到相应的内部地址上就行了。
防火墙显然是设置VPN的地方,除了NetScreen-100,我们测试的所有防火墙都有这个功能。NetGuard是唯一不支持IPSec(IP安全协议)的产品。只有Raptor和FireWall-1从ICSA拿到了实现IPSec的证书。PIX、CyberGuard和FireWall-1都提供卸载选项,即把CPU处理加密的工作改由一块单独的插卡来完成。
Check Point 软件科技公司的 FireWall-1
Check Point的FireWall-1具有强有力的组合访问控制、卓越的性能以及简捷的管理工具。我们测试了4.0的beta版本,在您读到这篇评测报告的时候4.0版应该已经正式发售了。
尽管FireWall-1被认为不是代理类型的防火墙,但它的全状态检查能力非常接近代理类型的防火墙。例如,除了NAT之外,它还提供用户认证,能防止SYN和分割包(packet-fragmentation)攻击,还可以实现基于“put”、“get”命令和文件名的FTP管制。对于SMTP,你可以管制各种命令并丢弃任何超过某一尺寸的邮件,可以检查邮件中的病毒,并可以在邮件离开内部网之前去掉邮件报头信息中有关内部网细节的信息。FireWall-1还能防止运行可能造成危害的SMTP命令,例如“debug”。在FireWall-1提供这些给人以深刻印象的功能的同时,Raptor的SMTP 代理产品则更进一步,它可以限制外来邮件的邮件报头尺寸以防止缓冲区溢出攻击(buffer overrun attack)。
FireWall-1还可以针对ActiveX和Java程序扫描HTTP流量,实现基于手工输入文件的URL过滤器,或者集成第三方的URL过滤服务。Raptor的HTTP 代理再次超前提供了限制URL长度的功能以防止缓冲区溢出攻击,因为它确实在运行HTTP服务器代码,所以它能够做到只承认有效的HTTP语法。
FireWall-1的用户界面提供了一个集中控制点,使用它可以轻松定义和实现复杂的安全策略。所有的相关主机、网络和服务都被定义成带有关联图标的对象,可以很轻松地将其放入对象组内并用它们自己的图标来描述,然后可以在定义规则时使用这些图标。每个分立规则可以单独指定其他描述集中日志和警告级别的图标。
每个规则有一个注释域用来添加文档,我们在Syracuse大学广泛地使用了这一功能。随着时间的推移,这一功能就会变得非常有用,可以用它来了解为什么指定一个特殊规则,还有日期,甚至添加这一规则的人的名字等信息。4.0版增加了输入规则的能力,然后用一个红色的"X"为它做注释。我们还可以在这一版本中临时隐藏规则,这使得长长的规则列表变得易读。一个友好的用户界面并不能担保安全性,但它可以节约你的时间并减少出错的可能性,而且很容易培训其他人来管理这个防火墙。这个GUI还能让你远程控制大量FireWall-1模块,可以管理Bay、Cisco和3Com的路由器,甚至Cisco的PIX防火墙,并且可以在这些产品之上实现过滤功能。
我们在FireWall-1策略编辑器里启动了日志浏览器。这个浏览器根据选定的日志级别显示源地址和目的地址以及和每个规则有关联的端口。所有这些都带有时间戳和日期戳。所有信息都按照易读的专栏形式排列——描述可接受数据包的条目用绿色文本显示,描述丢弃和拒绝数据包的条目用红色文本显示。用鼠标指向并点击几下,我们就定制了可以在日志浏览器中显示的内容。例如,通过显示丢弃和拒绝数据包的日志条目,我们就可以很容易地发现那些试图进行非法访问的数据包。查找通过防火墙的正常通讯中的意外干扰是一个非常好的方法,日志可以让你看到有关的IP地址和相关服务,而且你可以由此确认出导致正常通讯中断的嫌疑犯。一般来说,对于正常通讯的中断,最新安装的防火墙最有嫌疑。其他产品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。尽管Raptor的日志更新快速而且相当详细,但是它没有对条目进行格式化,而且没有颜色编码,这使得它相当难读。
FireWall-1用户界面中有关NAT的部分令我们感到有些失望。比如为了建立一个静态映射,你就要在相当多的网络对象定义窗口之间出来进去。在映射建立起来之后,规则自动产生并显示在一个非常类似于策略编辑器的规则窗口之中,每个映射对应两个规则。我们发现如果仅简单地浏览视图则很难理解这个配置。我们还必须在Unix命令行下给每个映射设置路由。与之形成鲜明对比的是,尽管Cisco PIX的管理功能一般说来要差一些,但是它的单行命令对于设置NAT来说非常易于理解。然而,尽管FireWall-1运行NAT时的性能要比所有代理类型防火墙好(包括Raptor,它和FireWall-1一样安装在Solaris Ultra 2平台上),但是也显然要比不启用NAT时慢。Check Point在我们的测试进行之前并没有预先告诉我们启动NAT会影响性能。
Check Point通过它的OPSEC(Open Platform for Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方厂商提供API,第三方厂商可以使用这些API开发可以集成到这款防火墙中的产品。结果是100多种产品在内容安全、入侵侦测、容错和报告能力等方面充实了FireWall-1的内建功能。FireWall-1使用一种称作"Inspect"的宏语言创建全状态检查宏,尽管一般用户可能不会钻研这些东西,但这毕竟使得为复杂的新协议定义新的服务成为可能。它还允许Check Point为新的服务定义协议,用户只要简单地从Check Point的Web站点下载这些协议并把它们安装到FireWall-1防火墙上就行了。
AXENT 科技的 Raptor 防火墙
AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能最强大的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于Check Point的FireWall-1。尽管界面不如FireWall-1的漂亮,Raptor的GUI也是易于理解且易于操作的。Raptor的实时日志则仅次于FireWall-1。
显示Raptor强大实力的地方是它众多代理的深度和广度。它是唯一为运行在Microsoft网络上的NT服务器提供保护的产品。它可以控制读、写、更新命令,也可以把SMB(Server Message Block,服务器消息块)行为控制在有效操作的限度内。如果你使用Oracle,那你的运气不错:Raptor是唯一带有SQL*Net 代理的产品,可以控制对数据库表格的访问(读和更新)。从另一方面看,如果你运行Sybase或者Informix数据库,那么这一功能也很有用。
Raptor的SMTP 代理与 FireWall-1和Cisco PIX一样限制允许通过防火墙的SMTP命令。它还能剥去邮件报头中的内部网信息,FireWall-1也将提供这一功能。但是Raptor是唯一能检测到邮件头部缓冲区溢出攻击并在它探测到危害安全的企图时允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。给人以深刻印象的代理还包括NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。
Raptor的HTTP 代理非常安全,以至于我们很难在这一应用程序上运行我们的测试程序。为了避免这个问题,我们在一个定制运行在8080端口的通用代理上跑HTTP流量。尽管我们感觉它的并发性能已经足够好了,但它还是不如FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。需要指出的是,当我们激活NAT的时候没有感到任何性能降低的迹象。FireWall-1则相反,在启动NAT的时候性能显著下降,这是因为代理类型的防火墙本来就要重写报头。还有一点,Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),因此如果需要的话你可以升级到更快的机器。
作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统——AXENT在安装的时候就主动努力保护操作系统,关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后,Raptor继续监视操作系统中可能危及安全的新进程。与之对照,Secure Computing的SecureZone和CyberGuard的Firewall则采用了带有内建安全功能的专有版本的Unix。
Raptor把主机、网络和服务定义为“元素”,这是一个和Check Point采用的“对象”类似的概念。规则编辑器(它和这款防火墙产品中的所有工具类似,都是从HawkGUT垂直任务条上启动的)使用这些元素创建安全策略。尽管这个界面也易于使用,但是我们还是更喜欢FireWall-1的界面,因为FireWall-1包含方便阅读的颜色和图形。在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难,你必须为你想运行的应用程序激活相应的代理服务,否则相应流量将不被允许通过这个防火墙。Raptor的日志信息相当详细,给出了源和目的IP地址和端口,以及带有时间戳的试图连接的状态。
Raptor的特色是ICSA认证的IPSec兼容VPN(virtual private network,虚拟专用网)能力。不幸的是,Raptor没有使用硬件支持卡,所以你在启动这个大量加密连接的功能时要小心从事,因为它非常消耗CPU资源。
CyberGuard 公司的CyberGuard 防火墙 4.0版
CyberGuard防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面清晰而且简明。
CyberGuard加固了它的操作系统,从而使得它比我们测试的其他代理厂商的产品都要安全。它的多虚拟安全环境(Multiple Virtual Secure Environments,MVSE)系统谨慎地隔离所有进程、文件和目录,只允许绝对必要的通讯通过CyberGuard。和我们测试的其他防火墙一样,它也通过了ICSA认证。而且它还是唯一通过美国国防部国家计算机安全中心(Department of Defenses National Computer Security Center)认证的产品。
它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台,顶部的菜单条上列着所有的基本应用程序。使用这个菜单能轻松地访问通用系统管理作业,比如IP地址和路由配置等,这使得完成这些作业轻松多了,这一点比我们测试的大多数防火墙要强。实际防火墙策略在信息包过滤窗口中建立,窗口的上半部分是规则列表,下半部分是编辑模板。编辑模板可以使你很轻松地指定你想允许或者禁止的协议。这是一个便于使用的功能,可以快速建立日志并且可以让自己决定现在不想看哪些东西。和FireWall-1类似,CyberGuard使用颜色和图形使得策略更容易读。你可以在每个规则的上面或者下面添加注释,但是我们发现如果相关规则很多屏幕就会显得凌乱不堪。
尽管有可能从这个用户界面实施远程管理,然而我们只成功地用CyberGuard另外一个界面完全实施了远程管理。我们测试的其他防火墙都允许我们运行与实际防火墙引擎完全无关的管理软件。
CyberGuard声称支持加密和密钥管理的IPSec标准,但是目前这个应用程序还没有通过ICSA认证。
Secure Computing 公司的 SecureZone
我们在以前的防火墙评测中曾经测试过Secure Computing的Sidewinder。Sidewinder在性能和易用性方面落后于其他产品。SecureZone和那时比起来在这两方面有了巨大的进步。它在性能测试中表现良好。重新设计的用户界面用指向——点击操作实现安全策略,而且这种操作可以在任何运行JVM(Java Virtual Machine,Java虚拟机)的操作系统上执行。
SecureZone是一个基于代理技术的防火墙,它提供了很多代理。FTP 代理控制对文件和目录进行创建、删除和改名的操作,以及put和get操作。HTTP 代理过滤Java和ActiveX,此外还有一个有助于缓冲页面的内建URL过滤器。SecureZone不能扫描病毒,它计划在将来加入此项功能。和CyberGuard一样,SecureZone也有集成了防火墙软件的专有版本Unix。配置这个防火墙系统很简单,可以用控制台上的下拉菜单完成或者在远程界面完成。与之对比,Raptor和FireWall需要安装和配置Solaris操作系统,这不是件容易的事,当然并不需要经常这样做。SecureZone使用“类型强制”来划分所有进程和文件,并且只允许绝对必须的访问通过,这就降低了在入侵事件发生时某人可以取防火墙而代之的可能性。
SecureZone基于Java的用户界面既快速又稳定,这种评语在历史上还不曾和Java应用程序联系起来过。这个用户界面和其他产品的界面截然不同,SecureZone使用决策树风格的图表来建立安全策略。我们用它为各个“区域”建立独立的安全策略,分别描述不同的接口、网络和防火墙上的VPN。规则用对话框描述。另一个对话框包含所有允许的服务,并用箭头连接到代表其他允许访问区域的盒子上。箭头的指向表示区域之间的“从”“到”关系,还有一些其他图标分布在屏幕上,用来指示允许访问或者拒绝访问,或者是否应该执行NAT。需要花些时间来熟悉这种实现方法,但是当我们弄明白之后,我们就发现它非常好用。如果你有很多的VPN,并且需要在不同级别上相互访问,那么SecureZone是一个理想的选择。
Cisco Systems 的 Cisco PIX 防火墙 520
PIX在所有产品中性能最好,它的吞吐速率高达150Mbps,仅比我们的由两台交换机和一个连接电缆组成的基线的速度稍微低一些。更非同凡响的是即使激活NAT也不会降低它的性能。不幸的是,它的管理功能相当不好,是我们测试的所有产品中最差劲的一个。PIX可以阻止可能造成危害的SMTP命令,这给我们留下了深刻印象,但是在FTP方面它不能像大多数产品那样控制上载和下载操作。
PIX的大多数管理最好通过命令行进行。如果你熟悉Cisco路由器的命令行界面,那么恭喜你,因为你不必为没有漂亮的管理GUI而烦恼了,PIX的很多命令和操作与Cisco路由器上的非常相似。我们发现使用命令行设置NAT非常简单,甚至比使用大多数GUI更方便。但是我们还发现,除了简单的安全策略,PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦,这需要对规则进行重新排序,在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。PIX带了一个管理应用程序,但是需要一台NT服务器专门运行这个软件。我们可以通过Web来访问这个程序。如果使用Web界面管理PIX,我们只能在配置时使用它做一些非常简单的修改。Cisco对我们说它们将在今年年底开发出一个新的软件以改善PIX的管理功能。
PIX的日志和监视功能也比其他产品逊色不少,它没有实时日志功能,而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样,根据系统日志发出警报还是可以做到的。
NetScreen 科技的 NetScreen-100
和Cisco的PIX类似,NetScreen-100也运行专有操作系统。与运行在Intel平台上的PIX不同,NetScreen使用专有ASIC构成高性能防火墙,价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后,我们就可以通过Netscape或者微软的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall-1比NetScreen-100性能高,如果运行NAT,NetScreen的性能不会降低,因而比FireWall-1的性能要好。
NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能,防火墙内的任何主机或者路由器可以继续使用Internet路由器的网关地址,或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网,也不需要把外部路由器的地址移动到防火墙的内部接口上来,这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。
NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上,除了URL过滤和FTP,它没有任何其他比简单的包过滤更强大的功能。
用于 Windws NT 的NetGuardian 3.0
Guardian是唯一安装在NT平台上的产品,用户界面简捷明了,但是它的访问控制能力仅仅比NetScreen强一点。
Guardian在我们测试的产品中是性能最差的一个。当我们把测试结果提交给NetGuard的时候,他们表示了真诚的惊讶。于是我们重新安装软件,重新配置,重新测试,结果没有看到性能有什么改善。NetGuard提议给我们另外一台机器作测试,但是我们已经没有时间做了。我们同意分享NetGuard防火墙在KeyLab的测试结果,KeyLab用的是NetGuard的Firebench产品,吞吐量达到60Mbps,这一结果比我们测出的40Mbps高50%。KeyLab的性能指标是在一台200MHz机器上得出的,我们则是在一台233MHz的机器上测到的。启动NAT之后,NetGuard的产品的性能显著下降。根据我们的测试,Guardian可以在启动NAT的情况下毫无问题地支持T1或者10Mbps以太网,但是如果您想在将来也使用它则要小心从事。
Guardian的界面和FireWall-1的很类似。我们把网络和主机定义成对象,可以把这些对象添加到列在表格里的过滤规则中去。表格使用简单的图标指示可以执行那些符合规则流量的动作。尽管Guardian并不是FireWall-1,我们同样觉得它也很容易定义规则。用户界面可以运行在任何NT或者95/98机器上,而且可以轻松地远程管理运行防火墙引擎的NT机器。
Guardian的访问控制功能相当不完善,尽管比NetScreen-100好一些,它也只是停留在基于IP地址和端口号的简单访问控制的水平上。它还是唯一不具有IPSec兼容VPN能力的产品。NetGurad的独特功能是具有监视非法telnet登录企图的能力。
发布人:netbull 来自:LinuxAid