關(guān)于此次評(píng)測

　　我們幾乎不需要告訴你防火墻是抵御對(duì)網(wǎng)絡(luò)進(jìn)行非法攻擊的重要的第一道防線，你肯定知道這些。但是你不知道的是，同一個(gè)網(wǎng)絡(luò)在為用戶訪問重要數(shù)據(jù)提供方便途徑的同時(shí)，也給任何在同一網(wǎng)絡(luò)上利用已知的漏洞或者尋找新的弱點(diǎn)進(jìn)行攻擊的人提供了便利、易于訪問的特點(diǎn)，還有操作系統(tǒng)(例如Unix和NT)聲名狼藉的脆弱的安全性，這些加在一起就是一場眼看就要發(fā)生的災(zāi)難。所有的防火墻產(chǎn)品都提供一個(gè)集中控制點(diǎn)來控制訪問，好的防火墻還能使你在期望的和不期望的數(shù)據(jù)可訪問性之間達(dá)到微妙的平衡。

　　像防火墻這樣的必需工具并不是解決種種更為復(fù)雜的問題的萬能神藥。例如，一旦你選擇了一種防火墻，就要花費(fèi)大量時(shí)間來計(jì)算你想通過它提供多少種訪問。你還需要處理所有單個(gè)系統(tǒng)上操作系統(tǒng)的弱點(diǎn)，因?yàn)榧词棺詈玫姆阑饓σ脖仨毚_定幾種不同的訪問級(jí)別。如果不這樣作，就會(huì)使防火墻內(nèi)的一切東西暴露出來而成為笑柄。幸運(yùn)的是，有幾種工具可以幫助你來完成這一艱巨的任務(wù)。

　　這次我們的注意力集中在那些適合在企業(yè)環(huán)境中安裝并具有優(yōu)良的性能和管理功能的防火墻產(chǎn)品上。我們確定了八個(gè)我們認(rèn)為符合標(biāo)準(zhǔn)的廠商，向它們發(fā)出邀請，并清楚地描述了我們的測試需求。八個(gè)廠商中有七家接受了邀請并向我們設(shè)在Syracuse大學(xué)的Real-World實(shí)驗(yàn)室提供了產(chǎn)品，這些廠商和它們的產(chǎn)品是：AXENT 科技 (提供Raptor Firewall)、 Check Point 軟件科技公司 (FireWall-1)、Cisco 系統(tǒng)公司 (PIX Firewall 520)、CyberGuard公司 (Firewall)、NetGuard 公司(Guardian)、NetScreen科技公司(NetScreen-100) 和Secure Computing公司 (SecureZone)。只有NAI拒絕提供產(chǎn)品，也沒有就此說明原因。

　　在研究過這些產(chǎn)品的性能和管理功能及其區(qū)分有效和非法網(wǎng)絡(luò)訪問的能力之后，我們感到所有的產(chǎn)品都將為成熟的防火墻市場帶來良好的信譽(yù)。Check Point的FireWall-1提供了最佳的整體性能以及管理和日志功能，因此獲得了我們的編輯選擇獎(jiǎng)。Check Point通過單一用戶界面來實(shí)現(xiàn)最高防火墻策略管理，這個(gè)界面廣泛使用顏色和圖形以簡化管理。此外，它的日志功能和監(jiān)控功能也出類拔萃。

　　AXENT的Raptor和它強(qiáng)勁的代理應(yīng)用程序也給我們留下了非常深刻的印象。實(shí)際上，所有七種產(chǎn)品都非常出色且各有所長，判定這些產(chǎn)品的優(yōu)劣，將取決于你的具體需求。

　　每個(gè)廠商都在它們提供的操作系統(tǒng)和硬件平臺(tái)上安裝了自己的產(chǎn)品。Check Point、AXENT和CyberGuard都提供Unix和NT版本的產(chǎn)品，因此它們必須在二者之間作出選擇。由于我們強(qiáng)調(diào)性能，所以我們毫不奇怪這三個(gè)廠商都選擇了Unix平臺(tái)。

　　CyberGuard和Secure Computing公司提交了它們自己的“加固”版本的Unix，安裝在Intel平臺(tái)上。只有NetGuard為測試提供了基于NT的產(chǎn)品。Cisco的PIX在Intel硬件平臺(tái)上運(yùn)行它自己的專有操作系統(tǒng)，所以它本質(zhì)上是一個(gè)“黑箱”解決方案。另一個(gè)黑箱解決方案由NetScreen提供，它使用了專用的ASIC。

　代理和全狀態(tài)檢查的比較

　　全狀態(tài)檢查技術(shù)通過維護(hù)一些狀態(tài)表來跟蹤每個(gè)連接的狀態(tài)，同時(shí)控制應(yīng)用層，進(jìn)而控制數(shù)據(jù)流。防火墻在數(shù)據(jù)被允許接觸防火墻操作系統(tǒng)之前要檢查這些狀態(tài)表。如果預(yù)先定義的策略允許此次訪問，則讓來自源連接的報(bào)頭信息通過防火墻而不對(duì)其進(jìn)行修改。

　　代理技術(shù)的支持者們認(rèn)為代理更安全一些，因?yàn)榇�理�?yīng)用程序針對(duì)特定協(xié)議截取通信數(shù)據(jù)。它只允許進(jìn)行必需的、安全的和有效的操作。全狀態(tài)檢查陣營則聲稱它們的技術(shù)同樣能夠達(dá)到代理技術(shù)所能達(dá)到的安全指標(biāo)，而且可以避免因在防火墻上復(fù)制每個(gè)應(yīng)用程序的數(shù)據(jù)包而帶來的性能損失。在我們的測試中，AXENT的Raptor是最好的代理程序，它展示了一些屬于全狀態(tài)檢查類型的FireWall-1所沒有的安全控制特性，但是Raptor是以犧牲性能的代價(jià)做到這些的。

　　代理技術(shù)的另一個(gè)缺點(diǎn)是用戶要受廠商的控制，需要廠商寫代理程序來支持用戶要用到的各種應(yīng)用程序。在我們的測試中，盡管所有的代理廠商都設(shè)法提供對(duì)不支持協(xié)議的訪問，但是它們的通用代理并沒有因此而增加任何價(jià)值，因?yàn)樗鼈儧]有相應(yīng)的應(yīng)用程序來檢查這些流量，更糟的是，這些通用代理還會(huì)因此而影響性能。

　　除Check Point的FireWall-1之外，Cisco、 NetScreen和NetGuard的防火墻也采用了全狀態(tài)檢查方法。我們發(fā)現(xiàn)這些產(chǎn)品的性能通常要優(yōu)于AXENT、CyberGuard和Secure Computing等采用代理技術(shù)的產(chǎn)品。事實(shí)上，Cisco的PIX的性能接近了線速。

　　其他資料

　　當(dāng)使用多協(xié)議分析器在代理防火墻兩側(cè)排除一些連接故障時(shí)，我們注意到追蹤數(shù)據(jù)非常困難，而這對(duì)于全狀態(tài)檢查產(chǎn)品來說則很容易。原因是在報(bào)頭被重寫之后，通常用來在多位置情況下識(shí)別包的源端口和序列號(hào)也隨之被改變了，這使得系統(tǒng)很難識(shí)別這個(gè)數(shù)據(jù)包。我們被迫在數(shù)據(jù)層細(xì)心查找線索以便識(shí)別數(shù)據(jù)包。如果你曾經(jīng)試圖在網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)上觀察包的狀態(tài)，你就會(huì)知道我們的工作有多么困難和多么復(fù)雜了。在采用NAT技術(shù)時(shí)(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)，如果你試圖診斷錯(cuò)誤，你就會(huì)陷入到類似困境中，因?yàn)镹AT也要修改報(bào)頭。

　　我們沒有測試每個(gè)廠商的產(chǎn)品保護(hù)網(wǎng)絡(luò)免遭攻擊的能力，因?yàn)樗�有的產(chǎn)品都要通過ICSA(International Computer Security Association, 國際計(jì)算機(jī)安全協(xié)會(huì)，www.icsa.com)的鑒定，國際計(jì)算機(jī)安全協(xié)會(huì)有專職工作人員和一整套工具來進(jìn)行此類測試。我們覺得我們不會(huì)比他們做得更多。盡管如此也不要麻痹，不要允許任何并非絕對(duì)必要的訪問，牢記要系統(tǒng)地排除防火墻后面的機(jī)器上的所有可能的弱點(diǎn)，以防止某臺(tái)有弱點(diǎn)的機(jī)器成為破壞防火墻完整性的隱患。

　　所有七種產(chǎn)品都采用NAT技術(shù)。NAT通過把防火墻內(nèi)所有設(shè)備的源地址轉(zhuǎn)換成防火墻外部地址的方法將這些設(shè)備對(duì)外發(fā)起連接的地址屏蔽掉。如果你換了家ISP而且你沒有自己的地址空間，或者你使用未經(jīng)注冊的地址空間，或者你只是想簡單地訪問Internet而不想暴露內(nèi)部網(wǎng)的細(xì)節(jié)，那么就有必要進(jìn)行地址轉(zhuǎn)換。如果你想允許外部世界訪問你內(nèi)部網(wǎng)絡(luò)的服務(wù)器，你可以提供額外的外部地址，并把這個(gè)地址直接映射到相應(yīng)的內(nèi)部地址上就行了。

　　防火墻顯然是設(shè)置VPN的地方，除了NetScreen-100，我們測試的所有防火墻都有這個(gè)功能。NetGuard是唯一不支持IPSec(IP安全協(xié)議)的產(chǎn)品。只有Raptor和FireWall-1從ICSA拿到了實(shí)現(xiàn)IPSec的證書。PIX、CyberGuard和FireWall-1都提供卸載選項(xiàng)，即把CPU處理加密的工作改由一塊單獨(dú)的插卡來完成。

產(chǎn)品點(diǎn)評(píng)

　　Check Point 軟件科技公司的 FireWall-1

　　Check Point的FireWall-1具有強(qiáng)有力的組合訪問控制、卓越的性能以及簡捷的管理工具。我們測試了4.0的beta版本，在你讀到這篇評(píng)測報(bào)告的時(shí)候4.0版應(yīng)該已經(jīng)正式發(fā)售了。

　　盡管FireWall-1被認(rèn)為不是代理類型的防火墻，但它的全狀態(tài)檢查能力非常接近代理類型的防火墻。例如，除了NAT之外，它還提供用戶認(rèn)證，能防止SYN和分割包(packet-fragmentation)攻擊，還可以實(shí)現(xiàn)基于“put”、“get”命令和文件名的FTP管制。對(duì)于SMTP，你可以管制各種命令并丟棄任何超過某一尺寸的郵件，可以檢查郵件中的病毒，并可以在郵件離開內(nèi)部網(wǎng)之前去掉郵件報(bào)頭信息中有關(guān)內(nèi)部網(wǎng)細(xì)節(jié)的信息。FireWall-1還能防止運(yùn)行可能造成危害的SMTP命令，例如“debug”。在FireWall-1提供這些給人以深刻印象的功能的同時(shí)，Raptor的SMTP 代理產(chǎn)品則更進(jìn)一步，它可以限制外來郵件的郵件報(bào)頭尺寸以防止緩沖區(qū)溢出攻擊(buffer overrun attack)。

　　FireWall-1還可以針對(duì)ActiveX和Java程序掃描HTTP流量，實(shí)現(xiàn)基于手工輸入文件的URL過濾器，或者集成第三方的URL過濾服務(wù)。Raptor的HTTP 代理再次超前提供了限制URL長度的功能以防止緩沖區(qū)溢出攻擊，因?yàn)樗�確實(shí)在運(yùn)行HTTP服務(wù)器代碼，所以它能夠做到只承認(rèn)有效的HTTP語法。

　　FireWall-1的用戶界面提供了一個(gè)集中控制點(diǎn)，使用它可以輕松定義和實(shí)現(xiàn)復(fù)雜的安全策略。所有的相關(guān)主機(jī)、網(wǎng)絡(luò)和服務(wù)都被定義成帶有關(guān)聯(lián)圖標(biāo)的對(duì)象，可以很輕松地將其放入對(duì)象組內(nèi)并用它們自己的圖標(biāo)來描述，然后可以在定義規(guī)則時(shí)使用這些圖標(biāo)。每個(gè)分立規(guī)則可以單獨(dú)指定其他描述集中日志和警告級(jí)別的圖標(biāo)。

　　每個(gè)規(guī)則有一個(gè)注釋域用來添加文檔，我們在Syracuse大學(xué)廣泛地使用了這一功能。隨著時(shí)間的推移，這一功能就會(huì)變得非常有用，可以用它來了解為什么指定一個(gè)特殊規(guī)則，還有日期，甚至添加這一規(guī)則的人的名字等信息。4.0版增加了輸入規(guī)則的能力，然后用一個(gè)紅色的"X"為它做注釋。我們還可以在這一版本中臨時(shí)隱藏規(guī)則，這使得長長的規(guī)則列表變得易讀。一個(gè)友好的用戶界面并不能擔(dān)保安全性，但它可以節(jié)約你的時(shí)間并減少出錯(cuò)的可能性，而且很容易培訓(xùn)其他人來管理這個(gè)防火墻。這個(gè)GUI還能讓你遠(yuǎn)程控制大量FireWall-1模塊，可以管理Bay、Cisco和3Com的路由器，甚至Cisco的PIX防火墻，并且可以在這些產(chǎn)品之上實(shí)現(xiàn)過濾功能。

　　我們在FireWall-1策略編輯器里啟動(dòng)了日志瀏覽器。這個(gè)瀏覽器根據(jù)選定的日志級(jí)別顯示源地址和目的地址以及和每個(gè)規(guī)則有關(guān)聯(lián)的端口。所有這些都帶有時(shí)間戳和日期戳。所有信息都按照易讀的專欄形式排列??描述可接受數(shù)據(jù)包的條目用綠色文本顯示，描述丟棄和拒絕數(shù)據(jù)包的條目用紅色文本顯示。用鼠標(biāo)指向并點(diǎn)擊幾下，我們就定制了可以在日志瀏覽器中顯示的內(nèi)容。例如，通過顯示丟棄和拒絕數(shù)據(jù)包的日志條目，我們就可以很容易地發(fā)現(xiàn)那些試圖進(jìn)行非法訪問的數(shù)據(jù)包。查找通過防火墻的正常通訊中的意外干擾是一個(gè)非常好的方法，日志可以讓你看到有關(guān)的IP地址和相關(guān)服務(wù),而且你可以由此確認(rèn)出導(dǎo)致正常通訊中斷的嫌疑犯。一般來說，對(duì)于正常通訊的中斷，最新安裝的防火墻最有嫌疑。其他產(chǎn)品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。盡管Raptor的日志更新快速而且相當(dāng)詳細(xì)，但是它沒有對(duì)條目進(jìn)行格式化，而且沒有顏色編碼，這使得它相當(dāng)難讀。

　　FireWall-1用戶界面中有關(guān)NAT的部分令我們感到有些失望。比如為了建立一個(gè)靜態(tài)映射，你就要在相當(dāng)多的網(wǎng)絡(luò)對(duì)象定義窗口之間出來進(jìn)去。在映射建立起來之后，規(guī)則自動(dòng)產(chǎn)生并顯示在一個(gè)非常類似于策略編輯器的規(guī)則窗口之中，每個(gè)映射對(duì)應(yīng)兩個(gè)規(guī)則。我們發(fā)現(xiàn)如果僅簡單地瀏覽視圖則很難理解這個(gè)配置。我們還必須在Unix命令行下給每個(gè)映射設(shè)置路由。與之形成鮮明對(duì)比的是，盡管Cisco PIX的管理功能一般說來要差一些，但是它的單行命令對(duì)于設(shè)置NAT來說非常易于理解。然而，盡管FireWall-1運(yùn)行NAT時(shí)的性能要比所有代理類型防火墻好(包括Raptor，它和FireWall-1一樣安裝在Solaris Ultra 2平臺(tái)上)，但是也顯然要比不啟用NAT時(shí)慢。Check Point在我們的測試進(jìn)行之前并沒有預(yù)先告訴我們啟動(dòng)NAT會(huì)影響性能。

　　Check Point通過它的OPSEC(Open Platform for Secure Enterprise Connectivity，安全企業(yè)連通性開放平臺(tái))向第三方廠商提供API，第三方廠商可以使用這些API開發(fā)可以集成到這款防火墻中的產(chǎn)品。結(jié)果是100多種產(chǎn)品在內(nèi)容安全、入侵偵測、容錯(cuò)和報(bào)告能力等方面充實(shí)了FireWall-1的內(nèi)建功能。FireWall-1使用一種稱作"Inspect"的宏語言創(chuàng)建全狀態(tài)檢查宏，盡管一般用戶可能不會(huì)鉆研這些東西，但這畢竟使得為復(fù)雜的新協(xié)議定義新的服務(wù)成為可能。它還允許Check Point為新的服務(wù)定義協(xié)議，用戶只要簡單地從Check Point的Web站點(diǎn)下載這些協(xié)議并把它們安裝到FireWall-1防火墻上就行了。

AXENT 科技的 Raptor 防火墻

　　AXENT公司的Raptor 防火墻包括了我們測試的代理防火墻中功能最強(qiáng)大的一系列代理程序。在很多情況下，它檢查通過防火墻的數(shù)據(jù)的能力非常接近于Check Point的FireWall-1。盡管界面不如FireWall-1的漂亮，Raptor的GUI也是易于理解且易于操作的。Raptor的實(shí)時(shí)日志則僅次于FireWall-1。

　　顯示Raptor強(qiáng)大實(shí)力的地方是它眾多代理的深度和廣度。它是唯一為運(yùn)行在Microsoft網(wǎng)絡(luò)上的NT服務(wù)器提供保護(hù)的產(chǎn)品。它可以控制讀、寫、更新命令，也可以把SMB(Server Message Block，服務(wù)器消息塊)行為控制在有效操作的限度內(nèi)。如果你使用Oracle，那你的運(yùn)氣不錯(cuò)：Raptor是唯一帶有SQL*Net 代理的產(chǎn)品，可以控制對(duì)數(shù)據(jù)庫表格的訪問(讀和更新)。從另一方面看，如果你運(yùn)行Sybase或者Informix數(shù)據(jù)庫，那么這一功能也很有用。

　　Raptor的SMTP 代理與 FireWall-1和Cisco PIX一樣限制允許通過防火墻的SMTP命令。它還能剝?nèi)ム]件報(bào)頭中的內(nèi)部網(wǎng)信息，F(xiàn)ireWall-1也將提供這一功能。但是Raptor是唯一能檢測到郵件頭部緩沖區(qū)溢出攻擊并在它探測到危害安全的企圖時(shí)允許你執(zhí)行跟蹤命令的防火墻產(chǎn)品。Raptor通過限制傳送到內(nèi)部Web服務(wù)器的URL長度來防止緩沖區(qū)溢出攻擊。它只認(rèn)可有效的HTTP命令并丟棄包含可以用來進(jìn)行轉(zhuǎn)義代碼攻擊(escape code attack)字符的數(shù)據(jù)包。給人以深刻印象的代理還包括NNTP(Network News Transfer Protocol，網(wǎng)絡(luò)新聞轉(zhuǎn)發(fā)協(xié)議)代理和NTP(Network Time Protocol，網(wǎng)絡(luò)時(shí)間協(xié)議)代理。

　　Raptor的HTTP 代理非常安全，以至于我們很難在這一應(yīng)用程序上運(yùn)行我們的測試程序。為了避免這個(gè)問題，我們在一個(gè)定制運(yùn)行在8080端口的通用代理上跑HTTP流量。盡管我們感覺它的并發(fā)性能已經(jīng)足夠好了，但它還是不如FireWall-1快，僅比CyberGuard和NetGuard的Guardian強(qiáng)一些。需要指出的是，當(dāng)我們激活NAT的時(shí)候沒有感到任何性能降低的跡象。FireWall-1則相反，在啟動(dòng)NAT的時(shí)候性能顯著下降，這是因?yàn)榇�理類型的防火墻本來就要重寫�?bào)頭。還有一點(diǎn)，Raptor運(yùn)行在Sun公司的硬件平臺(tái)上(FireWall-1也是一樣)，因此如果需要的話你可以升級(jí)到更快的機(jī)器。

　　作為一個(gè)代理類型的防火墻，Raptor要求所有的通信流量直接通過它，這就要冒遭受攻擊的風(fēng)險(xiǎn)。為了保護(hù)它自己，它“加固”了操作系統(tǒng)??AXENT在安裝的時(shí)候就主動(dòng)努力保護(hù)操作系統(tǒng)，關(guān)閉了IP轉(zhuǎn)發(fā)和路由以及其他不必要的、可能成為操作系統(tǒng)漏洞的進(jìn)程。安裝之后，Raptor繼續(xù)監(jiān)視操作系統(tǒng)中可能危及安全的新進(jìn)程。與之對(duì)照，Secure Computing的SecureZone和CyberGuard的Firewall則采用了帶有內(nèi)建安全功能的專有版本的Unix。

　　Raptor把主機(jī)、網(wǎng)絡(luò)和服務(wù)定義為“元素”，這是一個(gè)和Check Point采用的“對(duì)象”類似的概念。規(guī)則編輯器(它和這款防火墻產(chǎn)品中的所有工具類似，都是從HawkGUT垂直任務(wù)條上啟動(dòng)的)使用這些元素創(chuàng)建安全策略。盡管這個(gè)界面也易于使用，但是我們還是更喜歡FireWall-1的界面，因?yàn)镕ireWall-1包含方便閱讀的顏色和圖形。在代理類型防火墻上定義規(guī)則要比在全狀態(tài)檢查類型防火墻上執(zhí)行同樣的任務(wù)更困難，你必須為你想運(yùn)行的應(yīng)用程序激活相應(yīng)的代理服務(wù)，否則相應(yīng)流量將不被允許通過這個(gè)防火墻。Raptor的日志信息相當(dāng)詳細(xì)，給出了源和目的IP地址和端口，以及帶有時(shí)間戳的試圖連接的狀態(tài)。

　　Raptor的特色是ICSA認(rèn)證的IPSec兼容VPN(virtual private network，虛擬專用網(wǎng))能力。不幸的是，Raptor沒有使用硬件支持卡，所以你在啟動(dòng)這個(gè)大量加密連接的功能時(shí)要小心從事，因?yàn)樗�非常消耗CPU資源。

CyberGuard 公司的CyberGuard 防火墻 4.0版

　　CyberGuard防火墻和AXENT以及Secure Computing的產(chǎn)品都是基于代理技術(shù)的。盡管它也有一長串代理應(yīng)用程序,但是它的代理功能遠(yuǎn)沒有Raptor那樣豐富。CyberGuard包括允許對(duì)直接通過的信息包進(jìn)行過濾的選項(xiàng)。我們發(fā)現(xiàn)它的用戶界面清晰而且簡明。

　　CyberGuard加固了它的操作系統(tǒng)，從而使得它比我們測試的其他代理廠商的產(chǎn)品都要安全。它的多虛擬安全環(huán)境(Multiple Virtual Secure Environments，MVSE)系統(tǒng)謹(jǐn)慎地隔離所有進(jìn)程、文件和目錄，只允許絕對(duì)必要的通訊通過CyberGuard。和我們測試的其他防火墻一樣，它也通過了ICSA認(rèn)證。而且它還是唯一通過美國國防部國家計(jì)算機(jī)安全中心(Department of Defense's National Computer Security Center)認(rèn)證的產(chǎn)品。

　　它的用戶界面包括一個(gè)運(yùn)行在防火墻監(jiān)視器上的全屏幕控制臺(tái)，頂部的菜單條上列著所有的基本應(yīng)用程序。使用這個(gè)菜單能輕松地訪問通用系統(tǒng)管理作業(yè)，比如IP地址和路由配置等，這使得完成這些作業(yè)輕松多了，這一點(diǎn)比我們測試的大多數(shù)防火墻要強(qiáng)。實(shí)際防火墻策略在信息包過濾窗口中建立，窗口的上半部分是規(guī)則列表，下半部分是編輯模板。編輯模板可以使你很輕松地指定你想允許或者禁止的協(xié)議。這是一個(gè)便于使用的功能，可以快速建立日志并且可以讓自己決定現(xiàn)在不想看哪些東西。和FireWall-1類似，CyberGuard使用顏色和圖形使得策略更容易讀。你可以在每個(gè)規(guī)則的上面或者下面添加注釋，但是我們發(fā)現(xiàn)如果相關(guān)規(guī)則很多屏幕就會(huì)顯得凌亂不堪。

　　盡管有可能從這個(gè)用戶界面實(shí)施遠(yuǎn)程管理，然而我們只成功地用CyberGuard另外一個(gè)界面完全實(shí)施了遠(yuǎn)程管理。我們測試的其他防火墻都允許我們運(yùn)行與實(shí)際防火墻引擎完全無關(guān)的管理軟件。

　　CyberGuard聲稱支持加密和密鑰管理的IPSec標(biāo)準(zhǔn)，但是目前這個(gè)應(yīng)用程序還沒有通過ICSA認(rèn)證。

Secure Computing 公司的 SecureZone

　　我們在以前的防火墻評(píng)測中曾經(jīng)測試過Secure Computing的Sidewinder。Sidewinder在性能和易用性方面落后于其他產(chǎn)品。SecureZone和那時(shí)比起來在這兩方面有了巨大的進(jìn)步。它在性能測試中表現(xiàn)良好。重新設(shè)計(jì)的用戶界面用指向??點(diǎn)擊操作實(shí)現(xiàn)安全策略，而且這種操作可以在任何運(yùn)行JVM(Java Virtual Machine，Java虛擬機(jī))的操作系統(tǒng)上執(zhí)行。

　　SecureZone是一個(gè)基于代理技術(shù)的防火墻，它提供了很多代理。FTP 代理控制對(duì)文件和目錄進(jìn)行創(chuàng)建、刪除和改名的操作，以及put和get操作。HTTP 代理過濾Java和ActiveX,此外還有一個(gè)有助于緩沖頁面的內(nèi)建URL過濾器。SecureZone不能掃描病毒，它計(jì)劃在將來加入此項(xiàng)功能。和CyberGuard一樣，SecureZone也有集成了防火墻軟件的專有版本Unix。配置這個(gè)防火墻系統(tǒng)很簡單，可以用控制臺(tái)上的下拉菜單完成或者在遠(yuǎn)程界面完成。與之對(duì)比，Raptor和FireWall需要安裝和配置Solaris操作系統(tǒng)，這不是件容易的事，當(dāng)然并不需要經(jīng)常這樣做。SecureZone使用“類型強(qiáng)制”來劃分所有進(jìn)程和文件，并且只允許絕對(duì)必須的訪問通過，這就降低了在入侵事件發(fā)生時(shí)某人可以取防火墻而代之的可能性。

　　SecureZone基于Java的用戶界面既快速又穩(wěn)定，這種評(píng)語在歷史上還不曾和Java應(yīng)用程序聯(lián)系起來過。這個(gè)用戶界面和其他產(chǎn)品的界面截然不同，SecureZone使用決策樹風(fēng)格的圖表來建立安全策略。我們用它為各個(gè)“區(qū)域”建立獨(dú)立的安全策略，分別描述不同的接口、網(wǎng)絡(luò)和防火墻上的VPN。規(guī)則用對(duì)話框描述。另一個(gè)對(duì)話框包含所有允許的服務(wù)，并用箭頭連接到代表其他允許訪問區(qū)域的盒子上。箭頭的指向表示區(qū)域之間的“從”“到”關(guān)系，還有一些其他圖標(biāo)分布在屏幕上，用來指示允許訪問或者拒絕訪問，或者是否應(yīng)該執(zhí)行NAT。需要花些時(shí)間來熟悉這種實(shí)現(xiàn)方法，但是當(dāng)我們弄明白之后，我們就發(fā)現(xiàn)它非常好用。如果你有很多的VPN，并且需要在不同級(jí)別上相互訪問，那么SecureZone是一個(gè)理想的選擇。

Cisco Systems 的 Cisco PIX 防火墻 520

　　PIX在所有產(chǎn)品中性能最好，它的吞吐速率高達(dá)150Mbps，僅比我們的由兩臺(tái)交換機(jī)和一個(gè)連接電纜組成的基線的速度稍微低一些。更非同凡響的是即使激活NAT也不會(huì)降低它的性能。不幸的是，它的管理功能相當(dāng)不好，是我們測試的所有產(chǎn)品中最差勁的一個(gè)。PIX可以阻止可能造成危害的SMTP命令，這給我們留下了深刻印象，但是在FTP方面它不能像大多數(shù)產(chǎn)品那樣控制上載和下載操作。

　　PIX的大多數(shù)管理最好通過命令行進(jìn)行。如果你熟悉Cisco路由器的命令行界面，那么恭喜你，因?yàn)槟悴槐貫闆]有漂亮的管理GUI而煩惱了，PIX的很多命令和操作與Cisco路由器上的非常相似。我們發(fā)現(xiàn)使用命令行設(shè)置NAT非常簡單，甚至比使用大多數(shù)GUI更方便。但是我們還發(fā)現(xiàn)，除了簡單的安全策略，PIX在設(shè)置基于服務(wù)的訪問、主機(jī)和網(wǎng)絡(luò)的時(shí)候非常不好用。我們在修改安全策略時(shí)遇到了最大的麻煩，這需要對(duì)規(guī)則進(jìn)行重新排序，在插入一個(gè)新的列表之前必須刪除原來的規(guī)則列表。這是一個(gè)從Cisco路由器繼承過來的并不好用的功能。PIX帶了一個(gè)管理應(yīng)用程序，但是需要一臺(tái)NT服務(wù)器專門運(yùn)行這個(gè)軟件。我們可以通過Web來訪問這個(gè)程序。如果使用Web界面管理PIX，我們只能在配置時(shí)使用它做一些非常簡單的修改。Cisco對(duì)我們說它們將在今年年底開發(fā)出一個(gè)新的軟件以改善PIX的管理功能。

　　PIX的日志和監(jiān)視功能也比其他產(chǎn)品遜色不少，它沒有實(shí)時(shí)日志功能，而且所有的日志信息都要送到另外一臺(tái)運(yùn)行syslog的機(jī)器上去。不管怎樣，根據(jù)系統(tǒng)日志發(fā)出警報(bào)還是可以做到的。

NetScreen 科技的 NetScreen-100

　　和Cisco的PIX類似，NetScreen-100也運(yùn)行專有操作系統(tǒng)。與運(yùn)行在Intel平臺(tái)上的PIX不同，NetScreen使用專有ASIC構(gòu)成高性能防火墻，價(jià)格便宜而且易于安裝。我們發(fā)現(xiàn)它通過串行連接給接口分配IP地址的安裝辦法非常簡單。完成這一步之后，我們就可以通過Netscape或者微軟的瀏覽器來進(jìn)行進(jìn)一步的工作。在不運(yùn)行NAT時(shí)只有PIX和FireWall-1比NetScreen-100性能高，如果運(yùn)行NAT，NetScreen的性能不會(huì)降低，因而比FireWall-1的性能要好。

　　NetScreen是唯一不路由消息包就讓它們通過的產(chǎn)品。使用這一功能，防火墻內(nèi)的任何主機(jī)或者路由器可以繼續(xù)使用Internet路由器的網(wǎng)關(guān)地址，或者使用任何其它能訪問外部網(wǎng)絡(luò)的路由器。這樣就不必在防火墻和外部路由器之間增加另外一個(gè)子網(wǎng)，也不需要把外部路由器的地址移動(dòng)到防火墻的內(nèi)部接口上來，這樣內(nèi)部主機(jī)就不必更改它們的網(wǎng)關(guān)地址了。我們在正常防火墻和透明操作模式這兩種情況下都成功地進(jìn)行了路由。

　　NetScreen防火墻的網(wǎng)絡(luò)訪問控制是所有產(chǎn)品中最脆弱的。事實(shí)上，除了URL過濾和FTP，它沒有任何其他比簡單的包過濾更強(qiáng)大的功能。

用于 Windws NT 的NetGuardian 3.0

　　Guardian是唯一安裝在NT平臺(tái)上的產(chǎn)品，用戶界面簡捷明了，但是它的訪問控制能力僅僅比NetScreen強(qiáng)一點(diǎn)。

　　Guardian在我們測試的產(chǎn)品中是性能最差的一個(gè)。當(dāng)我們把測試結(jié)果提交給NetGuard的時(shí)候，他們表示了真誠的驚訝。于是我們重新安裝軟件，重新配置，重新測試，結(jié)果沒有看到性能有什么改善。NetGuard提議給我們另外一臺(tái)機(jī)器作測試，但是我們已經(jīng)沒有時(shí)間做了。我們同意分享NetGuard防火墻在KeyLab的測試結(jié)果，KeyLab用的是NetGuard的Firebench產(chǎn)品，吞吐量達(dá)到60Mbps，這一結(jié)果比我們測出的40Mbps高50%。KeyLab的性能指標(biāo)是在一臺(tái)200MHz機(jī)器上得出的，我們則是在一臺(tái)233MHz的機(jī)器上測到的。啟動(dòng)NAT之后，NetGuard的產(chǎn)品的性能顯著下降。根據(jù)我們的測試，Guardian可以在啟動(dòng)NAT的情況下毫無問題地支持T1或者10Mbps以太網(wǎng)，但是如果你想在將來也使用它則要小心從事。

　　Guardian的界面和FireWall-1的很類似。我們把網(wǎng)絡(luò)和主機(jī)定義成對(duì)象，可以把這些對(duì)象添加到列在表格里的過濾規(guī)則中去。表格使用簡單的圖標(biāo)指示可以執(zhí)行那些符合規(guī)則流量的動(dòng)作。盡管Guardian并不是FireWall-1，我們同樣覺得它也很容易定義規(guī)則。用戶界面可以運(yùn)行在任何NT或者95/98機(jī)器上，而且可以輕松地遠(yuǎn)程管理運(yùn)行防火墻引擎的NT機(jī)器。

　　Guardian的訪問控制功能相當(dāng)不完善，盡管比NetScreen-100好一些，它也只是停留在基于IP地址和端口號(hào)的簡單訪問控制的水平上。它還是唯一不具有IPSec兼容VPN能力的產(chǎn)品。NetGurad的獨(dú)特功能是具有監(jiān)視非法telnet登錄企圖的能力。

標(biāo)簽： http服務(wù)器 isp web服務(wù)器 安全 標(biāo)準(zhǔn) 代碼 防火墻 防火墻策略 防火墻軟件 防火墻系統(tǒng) 服務(wù)器 計(jì)劃 漏洞 美國 評(píng)測 企業(yè) 數(shù)據(jù)庫 通信 網(wǎng)絡(luò) 問

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。