關(guān)于此次評(píng)測(cè)

　　我們幾乎不需要告訴你防火墻是抵御對(duì)網(wǎng)絡(luò)進(jìn)行非法攻擊的重要的第一道防線(xiàn)，你肯定知道這些。但是你不知道的是，同一個(gè)網(wǎng)絡(luò)在為用戶(hù)訪問(wèn)重要數(shù)據(jù)提供方便途徑的同時(shí)，也給任何在同一網(wǎng)絡(luò)上利用已知的漏洞或者尋找新的弱點(diǎn)進(jìn)行攻擊的人提供了便利、易于訪問(wèn)的特點(diǎn)，還有操作系統(tǒng)(例如Unix和NT)聲名狼藉的脆弱的安全性，這些加在一起就是一場(chǎng)眼看就要發(fā)生的災(zāi)難。所有的防火墻產(chǎn)品都提供一個(gè)集中控制點(diǎn)來(lái)控制訪問(wèn)，好的防火墻還能使你在期望的和不期望的數(shù)據(jù)可訪問(wèn)性之間達(dá)到微妙的平衡。

　　像防火墻這樣的必需工具并不是解決種種更為復(fù)雜的問(wèn)題的萬(wàn)能神藥。例如，一旦你選擇了一種防火墻，就要花費(fèi)大量時(shí)間來(lái)計(jì)算你想通過(guò)它提供多少種訪問(wèn)。你還需要處理所有單個(gè)系統(tǒng)上操作系統(tǒng)的弱點(diǎn)，因?yàn)榧词棺詈玫姆阑饓σ脖仨毚_定幾種不同的訪問(wèn)級(jí)別。如果不這樣作，就會(huì)使防火墻內(nèi)的一切東西暴露出來(lái)而成為笑柄。幸運(yùn)的是，有幾種工具可以幫助你來(lái)完成這一艱巨的任務(wù)。

　　這次我們的注意力集中在那些適合在企業(yè)環(huán)境中安裝并具有優(yōu)良的性能和管理功能的防火墻產(chǎn)品上。我們確定了八個(gè)我們認(rèn)為符合標(biāo)準(zhǔn)的廠商，向它們發(fā)出邀請(qǐng)，并清楚地描述了我們的測(cè)試需求。八個(gè)廠商中有七家接受了邀請(qǐng)并向我們?cè)O(shè)在Syracuse大學(xué)的Real-World實(shí)驗(yàn)室提供了產(chǎn)品，這些廠商和它們的產(chǎn)品是：AXENT 科技 (提供Raptor Firewall)、 Check Point 軟件科技公司 (FireWall-1)、Cisco 系統(tǒng)公司 (PIX Firewall 520)、CyberGuard公司 (Firewall)、NetGuard 公司(Guardian)、NetScreen科技公司(NetScreen-100) 和Secure Computing公司 (SecureZone)。只有NAI拒絕提供產(chǎn)品，也沒(méi)有就此說(shuō)明原因。

　　在研究過(guò)這些產(chǎn)品的性能和管理功能及其區(qū)分有效和非法網(wǎng)絡(luò)訪問(wèn)的能力之后，我們感到所有的產(chǎn)品都將為成熟的防火墻市場(chǎng)帶來(lái)良好的信譽(yù)。Check Point的FireWall-1提供了最佳的整體性能以及管理和日志功能，因此獲得了我們的編輯選擇獎(jiǎng)。Check Point通過(guò)單一用戶(hù)界面來(lái)實(shí)現(xiàn)最高防火墻策略管理，這個(gè)界面廣泛使用顏色和圖形以簡(jiǎn)化管理。此外，它的日志功能和監(jiān)控功能也出類(lèi)拔萃。

　　AXENT的Raptor和它強(qiáng)勁的代理應(yīng)用程序也給我們留下了非常深刻的印象。實(shí)際上，所有七種產(chǎn)品都非常出色且各有所長(zhǎng)，判定這些產(chǎn)品的優(yōu)劣，將取決于你的具體需求。

　　每個(gè)廠商都在它們提供的操作系統(tǒng)和硬件平臺(tái)上安裝了自己的產(chǎn)品。Check Point、AXENT和CyberGuard都提供Unix和NT版本的產(chǎn)品，因此它們必須在二者之間作出選擇。由于我們強(qiáng)調(diào)性能，所以我們毫不奇怪這三個(gè)廠商都選擇了Unix平臺(tái)。

　　CyberGuard和Secure Computing公司提交了它們自己的“加固”版本的Unix，安裝在Intel平臺(tái)上。只有NetGuard為測(cè)試提供了基于NT的產(chǎn)品。Cisco的PIX在Intel硬件平臺(tái)上運(yùn)行它自己的專(zhuān)有操作系統(tǒng)，所以它本質(zhì)上是一個(gè)“黑箱”解決方案。另一個(gè)黑箱解決方案由NetScreen提供，它使用了專(zhuān)用的ASIC。

　代理和全狀態(tài)檢查的比較

　　全狀態(tài)檢查技術(shù)通過(guò)維護(hù)一些狀態(tài)表來(lái)跟蹤每個(gè)連接的狀態(tài)，同時(shí)控制應(yīng)用層，進(jìn)而控制數(shù)據(jù)流。防火墻在數(shù)據(jù)被允許接觸防火墻操作系統(tǒng)之前要檢查這些狀態(tài)表。如果預(yù)先定義的策略允許此次訪問(wèn)，則讓來(lái)自源連接的報(bào)頭信息通過(guò)防火墻而不對(duì)其進(jìn)行修改。

　　代理技術(shù)的支持者們認(rèn)為代理更安全一些，因?yàn)榇�理�?yīng)用程序針對(duì)特定協(xié)議截取通信數(shù)據(jù)。它只允許進(jìn)行必需的、安全的和有效的操作。全狀態(tài)檢查陣營(yíng)則聲稱(chēng)它們的技術(shù)同樣能夠達(dá)到代理技術(shù)所能達(dá)到的安全指標(biāo)，而且可以避免因在防火墻上復(fù)制每個(gè)應(yīng)用程序的數(shù)據(jù)包而帶來(lái)的性能損失。在我們的測(cè)試中，AXENT的Raptor是最好的代理程序，它展示了一些屬于全狀態(tài)檢查類(lèi)型的FireWall-1所沒(méi)有的安全控制特性，但是Raptor是以犧牲性能的代價(jià)做到這些的。

　　代理技術(shù)的另一個(gè)缺點(diǎn)是用戶(hù)要受廠商的控制，需要廠商寫(xiě)代理程序來(lái)支持用戶(hù)要用到的各種應(yīng)用程序。在我們的測(cè)試中，盡管所有的代理廠商都設(shè)法提供對(duì)不支持協(xié)議的訪問(wèn)，但是它們的通用代理并沒(méi)有因此而增加任何價(jià)值，因?yàn)樗鼈儧](méi)有相應(yīng)的應(yīng)用程序來(lái)檢查這些流量，更糟的是，這些通用代理還會(huì)因此而影響性能。

　　除Check Point的FireWall-1之外，Cisco、 NetScreen和NetGuard的防火墻也采用了全狀態(tài)檢查方法。我們發(fā)現(xiàn)這些產(chǎn)品的性能通常要優(yōu)于AXENT、CyberGuard和Secure Computing等采用代理技術(shù)的產(chǎn)品。事實(shí)上，Cisco的PIX的性能接近了線(xiàn)速。

　　其他資料

　　當(dāng)使用多協(xié)議分析器在代理防火墻兩側(cè)排除一些連接故障時(shí)，我們注意到追蹤數(shù)據(jù)非常困難，而這對(duì)于全狀態(tài)檢查產(chǎn)品來(lái)說(shuō)則很容易。原因是在報(bào)頭被重寫(xiě)之后，通常用來(lái)在多位置情況下識(shí)別包的源端口和序列號(hào)也隨之被改變了，這使得系統(tǒng)很難識(shí)別這個(gè)數(shù)據(jù)包。我們被迫在數(shù)據(jù)層細(xì)心查找線(xiàn)索以便識(shí)別數(shù)據(jù)包。如果你曾經(jīng)試圖在網(wǎng)絡(luò)的多個(gè)節(jié)點(diǎn)上觀察包的狀態(tài)，你就會(huì)知道我們的工作有多么困難和多么復(fù)雜了。在采用NAT技術(shù)時(shí)(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)，如果你試圖診斷錯(cuò)誤，你就會(huì)陷入到類(lèi)似困境中，因?yàn)镹AT也要修改報(bào)頭。

　　我們沒(méi)有測(cè)試每個(gè)廠商的產(chǎn)品保護(hù)網(wǎng)絡(luò)免遭攻擊的能力，因?yàn)樗�有的產(chǎn)品都要通過(guò)ICSA(International Computer Security Association, 國(guó)際計(jì)算機(jī)安全協(xié)會(huì)，www.icsa.com)的鑒定，國(guó)際計(jì)算機(jī)安全協(xié)會(huì)有專(zhuān)職工作人員和一整套工具來(lái)進(jìn)行此類(lèi)測(cè)試。我們覺(jué)得我們不會(huì)比他們做得更多。盡管如此也不要麻痹，不要允許任何并非絕對(duì)必要的訪問(wèn)，牢記要系統(tǒng)地排除防火墻后面的機(jī)器上的所有可能的弱點(diǎn)，以防止某臺(tái)有弱點(diǎn)的機(jī)器成為破壞防火墻完整性的隱患。

　　所有七種產(chǎn)品都采用NAT技術(shù)。NAT通過(guò)把防火墻內(nèi)所有設(shè)備的源地址轉(zhuǎn)換成防火墻外部地址的方法將這些設(shè)備對(duì)外發(fā)起連接的地址屏蔽掉。如果你換了家ISP而且你沒(méi)有自己的地址空間，或者你使用未經(jīng)注冊(cè)的地址空間，或者你只是想簡(jiǎn)單地訪問(wèn)Internet而不想暴露內(nèi)部網(wǎng)的細(xì)節(jié)，那么就有必要進(jìn)行地址轉(zhuǎn)換。如果你想允許外部世界訪問(wèn)你內(nèi)部網(wǎng)絡(luò)的服務(wù)器，你可以提供額外的外部地址，并把這個(gè)地址直接映射到相應(yīng)的內(nèi)部地址上就行了。

　　防火墻顯然是設(shè)置VPN的地方，除了NetScreen-100，我們測(cè)試的所有防火墻都有這個(gè)功能。NetGuard是唯一不支持IPSec(IP安全協(xié)議)的產(chǎn)品。只有Raptor和FireWall-1從ICSA拿到了實(shí)現(xiàn)IPSec的證書(shū)。PIX、CyberGuard和FireWall-1都提供卸載選項(xiàng)，即把CPU處理加密的工作改由一塊單獨(dú)的插卡來(lái)完成。

產(chǎn)品點(diǎn)評(píng)

　　Check Point 軟件科技公司的 FireWall-1

　　Check Point的FireWall-1具有強(qiáng)有力的組合訪問(wèn)控制、卓越的性能以及簡(jiǎn)捷的管理工具。我們測(cè)試了4.0的beta版本，在你讀到這篇評(píng)測(cè)報(bào)告的時(shí)候4.0版應(yīng)該已經(jīng)正式發(fā)售了。

　　盡管FireWall-1被認(rèn)為不是代理類(lèi)型的防火墻，但它的全狀態(tài)檢查能力非常接近代理類(lèi)型的防火墻。例如，除了NAT之外，它還提供用戶(hù)認(rèn)證，能防止SYN和分割包(packet-fragmentation)攻擊，還可以實(shí)現(xiàn)基于“put”、“get”命令和文件名的FTP管制。對(duì)于SMTP，你可以管制各種命令并丟棄任何超過(guò)某一尺寸的郵件，可以檢查郵件中的病毒，并可以在郵件離開(kāi)內(nèi)部網(wǎng)之前去掉郵件報(bào)頭信息中有關(guān)內(nèi)部網(wǎng)細(xì)節(jié)的信息。FireWall-1還能防止運(yùn)行可能造成危害的SMTP命令，例如“debug”。在FireWall-1提供這些給人以深刻印象的功能的同時(shí)，Raptor的SMTP 代理產(chǎn)品則更進(jìn)一步，它可以限制外來(lái)郵件的郵件報(bào)頭尺寸以防止緩沖區(qū)溢出攻擊(buffer overrun attack)。

　　FireWall-1還可以針對(duì)ActiveX和Java程序掃描HTTP流量，實(shí)現(xiàn)基于手工輸入文件的URL過(guò)濾器，或者集成第三方的URL過(guò)濾服務(wù)。Raptor的HTTP 代理再次超前提供了限制URL長(zhǎng)度的功能以防止緩沖區(qū)溢出攻擊，因?yàn)樗�確實(shí)在運(yùn)行HTTP服務(wù)器代碼，所以它能夠做到只承認(rèn)有效的HTTP語(yǔ)法。

　　FireWall-1的用戶(hù)界面提供了一個(gè)集中控制點(diǎn)，使用它可以輕松定義和實(shí)現(xiàn)復(fù)雜的安全策略。所有的相關(guān)主機(jī)、網(wǎng)絡(luò)和服務(wù)都被定義成帶有關(guān)聯(lián)圖標(biāo)的對(duì)象，可以很輕松地將其放入對(duì)象組內(nèi)并用它們自己的圖標(biāo)來(lái)描述，然后可以在定義規(guī)則時(shí)使用這些圖標(biāo)。每個(gè)分立規(guī)則可以單獨(dú)指定其他描述集中日志和警告級(jí)別的圖標(biāo)。

　　每個(gè)規(guī)則有一個(gè)注釋域用來(lái)添加文檔，我們?cè)赟yracuse大學(xué)廣泛地使用了這一功能。隨著時(shí)間的推移，這一功能就會(huì)變得非常有用，可以用它來(lái)了解為什么指定一個(gè)特殊規(guī)則，還有日期，甚至添加這一規(guī)則的人的名字等信息。4.0版增加了輸入規(guī)則的能力，然后用一個(gè)紅色的"X"為它做注釋。我們還可以在這一版本中臨時(shí)隱藏規(guī)則，這使得長(zhǎng)長(zhǎng)的規(guī)則列表變得易讀。一個(gè)友好的用戶(hù)界面并不能擔(dān)保安全性，但它可以節(jié)約你的時(shí)間并減少出錯(cuò)的可能性，而且很容易培訓(xùn)其他人來(lái)管理這個(gè)防火墻。這個(gè)GUI還能讓你遠(yuǎn)程控制大量FireWall-1模塊，可以管理Bay、Cisco和3Com的路由器，甚至Cisco的PIX防火墻，并且可以在這些產(chǎn)品之上實(shí)現(xiàn)過(guò)濾功能。

　　我們?cè)贔ireWall-1策略編輯器里啟動(dòng)了日志瀏覽器。這個(gè)瀏覽器根據(jù)選定的日志級(jí)別顯示源地址和目的地址以及和每個(gè)規(guī)則有關(guān)聯(lián)的端口。所有這些都帶有時(shí)間戳和日期戳。所有信息都按照易讀的專(zhuān)欄形式排列??描述可接受數(shù)據(jù)包的條目用綠色文本顯示，描述丟棄和拒絕數(shù)據(jù)包的條目用紅色文本顯示。用鼠標(biāo)指向并點(diǎn)擊幾下，我們就定制了可以在日志瀏覽器中顯示的內(nèi)容。例如，通過(guò)顯示丟棄和拒絕數(shù)據(jù)包的日志條目，我們就可以很容易地發(fā)現(xiàn)那些試圖進(jìn)行非法訪問(wèn)的數(shù)據(jù)包。查找通過(guò)防火墻的正常通訊中的意外干擾是一個(gè)非常好的方法，日志可以讓你看到有關(guān)的IP地址和相關(guān)服務(wù),而且你可以由此確認(rèn)出導(dǎo)致正常通訊中斷的嫌疑犯。一般來(lái)說(shuō)，對(duì)于正常通訊的中斷，最新安裝的防火墻最有嫌疑。其他產(chǎn)品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。盡管Raptor的日志更新快速而且相當(dāng)詳細(xì)，但是它沒(méi)有對(duì)條目進(jìn)行格式化，而且沒(méi)有顏色編碼，這使得它相當(dāng)難讀。

　　FireWall-1用戶(hù)界面中有關(guān)NAT的部分令我們感到有些失望。比如為了建立一個(gè)靜態(tài)映射，你就要在相當(dāng)多的網(wǎng)絡(luò)對(duì)象定義窗口之間出來(lái)進(jìn)去。在映射建立起來(lái)之后，規(guī)則自動(dòng)產(chǎn)生并顯示在一個(gè)非常類(lèi)似于策略編輯器的規(guī)則窗口之中，每個(gè)映射對(duì)應(yīng)兩個(gè)規(guī)則。我們發(fā)現(xiàn)如果僅簡(jiǎn)單地瀏覽視圖則很難理解這個(gè)配置。我們還必須在Unix命令行下給每個(gè)映射設(shè)置路由。與之形成鮮明對(duì)比的是，盡管Cisco PIX的管理功能一般說(shuō)來(lái)要差一些，但是它的單行命令對(duì)于設(shè)置NAT來(lái)說(shuō)非常易于理解。然而，盡管FireWall-1運(yùn)行NAT時(shí)的性能要比所有代理類(lèi)型防火墻好(包括Raptor，它和FireWall-1一樣安裝在Solaris Ultra 2平臺(tái)上)，但是也顯然要比不啟用NAT時(shí)慢。Check Point在我們的測(cè)試進(jìn)行之前并沒(méi)有預(yù)先告訴我們啟動(dòng)NAT會(huì)影響性能。

　　Check Point通過(guò)它的OPSEC(Open Platform for Secure Enterprise Connectivity，安全企業(yè)連通性開(kāi)放平臺(tái))向第三方廠商提供API，第三方廠商可以使用這些API開(kāi)發(fā)可以集成到這款防火墻中的產(chǎn)品。結(jié)果是100多種產(chǎn)品在內(nèi)容安全、入侵偵測(cè)、容錯(cuò)和報(bào)告能力等方面充實(shí)了FireWall-1的內(nèi)建功能。FireWall-1使用一種稱(chēng)作"Inspect"的宏語(yǔ)言創(chuàng)建全狀態(tài)檢查宏，盡管一般用戶(hù)可能不會(huì)鉆研這些東西，但這畢竟使得為復(fù)雜的新協(xié)議定義新的服務(wù)成為可能。它還允許Check Point為新的服務(wù)定義協(xié)議，用戶(hù)只要簡(jiǎn)單地從Check Point的Web站點(diǎn)下載這些協(xié)議并把它們安裝到FireWall-1防火墻上就行了。

AXENT 科技的 Raptor 防火墻

　　AXENT公司的Raptor 防火墻包括了我們測(cè)試的代理防火墻中功能最強(qiáng)大的一系列代理程序。在很多情況下，它檢查通過(guò)防火墻的數(shù)據(jù)的能力非常接近于Check Point的FireWall-1。盡管界面不如FireWall-1的漂亮，Raptor的GUI也是易于理解且易于操作的。Raptor的實(shí)時(shí)日志則僅次于FireWall-1。

　　顯示Raptor強(qiáng)大實(shí)力的地方是它眾多代理的深度和廣度。它是唯一為運(yùn)行在Microsoft網(wǎng)絡(luò)上的NT服務(wù)器提供保護(hù)的產(chǎn)品。它可以控制讀、寫(xiě)、更新命令，也可以把SMB(Server Message Block，服務(wù)器消息塊)行為控制在有效操作的限度內(nèi)。如果你使用Oracle，那你的運(yùn)氣不錯(cuò)：Raptor是唯一帶有SQL*Net 代理的產(chǎn)品，可以控制對(duì)數(shù)據(jù)庫(kù)表格的訪問(wèn)(讀和更新)。從另一方面看，如果你運(yùn)行Sybase或者Informix數(shù)據(jù)庫(kù)，那么這一功能也很有用。

　　Raptor的SMTP 代理與 FireWall-1和Cisco PIX一樣限制允許通過(guò)防火墻的SMTP命令。它還能剝?nèi)ム]件報(bào)頭中的內(nèi)部網(wǎng)信息，F(xiàn)ireWall-1也將提供這一功能。但是Raptor是唯一能檢測(cè)到郵件頭部緩沖區(qū)溢出攻擊并在它探測(cè)到危害安全的企圖時(shí)允許你執(zhí)行跟蹤命令的防火墻產(chǎn)品。Raptor通過(guò)限制傳送到內(nèi)部Web服務(wù)器的URL長(zhǎng)度來(lái)防止緩沖區(qū)溢出攻擊。它只認(rèn)可有效的HTTP命令并丟棄包含可以用來(lái)進(jìn)行轉(zhuǎn)義代碼攻擊(escape code attack)字符的數(shù)據(jù)包。給人以深刻印象的代理還包括NNTP(Network News Transfer Protocol，網(wǎng)絡(luò)新聞轉(zhuǎn)發(fā)協(xié)議)代理和NTP(Network Time Protocol，網(wǎng)絡(luò)時(shí)間協(xié)議)代理。

　　Raptor的HTTP 代理非常安全，以至于我們很難在這一應(yīng)用程序上運(yùn)行我們的測(cè)試程序。為了避免這個(gè)問(wèn)題，我們?cè)谝粋�(gè)定制運(yùn)行在8080端口的通用代理上跑HTTP流量。盡管我們感覺(jué)它的并發(fā)性能已經(jīng)足夠好了，但它還是不如FireWall-1快，僅比CyberGuard和NetGuard的Guardian強(qiáng)一些。需要指出的是，當(dāng)我們激活NAT的時(shí)候沒(méi)有感到任何性能降低的跡象。FireWall-1則相反，在啟動(dòng)NAT的時(shí)候性能顯著下降，這是因?yàn)榇�理�?lèi)型的防火墻本來(lái)就要重寫(xiě)報(bào)頭。還有一點(diǎn)，Raptor運(yùn)行在Sun公司的硬件平臺(tái)上(FireWall-1也是一樣)，因此如果需要的話(huà)你可以升級(jí)到更快的機(jī)器。

　　作為一個(gè)代理類(lèi)型的防火墻，Raptor要求所有的通信流量直接通過(guò)它，這就要冒遭受攻擊的風(fēng)險(xiǎn)。為了保護(hù)它自己，它“加固”了操作系統(tǒng)??AXENT在安裝的時(shí)候就主動(dòng)努力保護(hù)操作系統(tǒng)，關(guān)閉了IP轉(zhuǎn)發(fā)和路由以及其他不必要的、可能成為操作系統(tǒng)漏洞的進(jìn)程。安裝之后，Raptor繼續(xù)監(jiān)視操作系統(tǒng)中可能危及安全的新進(jìn)程。與之對(duì)照，Secure Computing的SecureZone和CyberGuard的Firewall則采用了帶有內(nèi)建安全功能的專(zhuān)有版本的Unix。

　　Raptor把主機(jī)、網(wǎng)絡(luò)和服務(wù)定義為“元素”，這是一個(gè)和Check Point采用的“對(duì)象”類(lèi)似的概念。規(guī)則編輯器(它和這款防火墻產(chǎn)品中的所有工具類(lèi)似，都是從HawkGUT垂直任務(wù)條上啟動(dòng)的)使用這些元素創(chuàng)建安全策略。盡管這個(gè)界面也易于使用，但是我們還是更喜歡FireWall-1的界面，因?yàn)镕ireWall-1包含方便閱讀的顏色和圖形。在代理類(lèi)型防火墻上定義規(guī)則要比在全狀態(tài)檢查類(lèi)型防火墻上執(zhí)行同樣的任務(wù)更困難，你必須為你想運(yùn)行的應(yīng)用程序激活相應(yīng)的代理服務(wù)，否則相應(yīng)流量將不被允許通過(guò)這個(gè)防火墻。Raptor的日志信息相當(dāng)詳細(xì)，給出了源和目的IP地址和端口，以及帶有時(shí)間戳的試圖連接的狀態(tài)。

　　Raptor的特色是ICSA認(rèn)證的IPSec兼容VPN(virtual private network，虛擬專(zhuān)用網(wǎng))能力。不幸的是，Raptor沒(méi)有使用硬件支持卡，所以你在啟動(dòng)這個(gè)大量加密連接的功能時(shí)要小心從事，因?yàn)樗�非常消耗CPU資源。

CyberGuard 公司的CyberGuard 防火墻 4.0版

　　CyberGuard防火墻和AXENT以及Secure Computing的產(chǎn)品都是基于代理技術(shù)的。盡管它也有一長(zhǎng)串代理應(yīng)用程序,但是它的代理功能遠(yuǎn)沒(méi)有Raptor那樣豐富。CyberGuard包括允許對(duì)直接通過(guò)的信息包進(jìn)行過(guò)濾的選項(xiàng)。我們發(fā)現(xiàn)它的用戶(hù)界面清晰而且簡(jiǎn)明。

　　CyberGuard加固了它的操作系統(tǒng)，從而使得它比我們測(cè)試的其他代理廠商的產(chǎn)品都要安全。它的多虛擬安全環(huán)境(Multiple Virtual Secure Environments，MVSE)系統(tǒng)謹(jǐn)慎地隔離所有進(jìn)程、文件和目錄，只允許絕對(duì)必要的通訊通過(guò)CyberGuard。和我們測(cè)試的其他防火墻一樣，它也通過(guò)了ICSA認(rèn)證。而且它還是唯一通過(guò)美國(guó)國(guó)防部國(guó)家計(jì)算機(jī)安全中心(Department of Defense's National Computer Security Center)認(rèn)證的產(chǎn)品。

　　它的用戶(hù)界面包括一個(gè)運(yùn)行在防火墻監(jiān)視器上的全屏幕控制臺(tái)，頂部的菜單條上列著所有的基本應(yīng)用程序。使用這個(gè)菜單能輕松地訪問(wèn)通用系統(tǒng)管理作業(yè)，比如IP地址和路由配置等，這使得完成這些作業(yè)輕松多了，這一點(diǎn)比我們測(cè)試的大多數(shù)防火墻要強(qiáng)。實(shí)際防火墻策略在信息包過(guò)濾窗口中建立，窗口的上半部分是規(guī)則列表，下半部分是編輯模板。編輯模板可以使你很輕松地指定你想允許或者禁止的協(xié)議。這是一個(gè)便于使用的功能，可以快速建立日志并且可以讓自己決定現(xiàn)在不想看哪些東西。和FireWall-1類(lèi)似，CyberGuard使用顏色和圖形使得策略更容易讀。你可以在每個(gè)規(guī)則的上面或者下面添加注釋?zhuān)�但是我們發(fā)現(xiàn)如果相關(guān)規(guī)則很多屏幕就會(huì)顯得凌亂不堪。

　　盡管有可能從這個(gè)用戶(hù)界面實(shí)施遠(yuǎn)程管理，然而我們只成功地用CyberGuard另外一個(gè)界面完全實(shí)施了遠(yuǎn)程管理。我們測(cè)試的其他防火墻都允許我們運(yùn)行與實(shí)際防火墻引擎完全無(wú)關(guān)的管理軟件。

　　CyberGuard聲稱(chēng)支持加密和密鑰管理的IPSec標(biāo)準(zhǔn)，但是目前這個(gè)應(yīng)用程序還沒(méi)有通過(guò)ICSA認(rèn)證。

Secure Computing 公司的 SecureZone

　　我們?cè)谝郧暗姆阑饓υu(píng)測(cè)中曾經(jīng)測(cè)試過(guò)Secure Computing的Sidewinder。Sidewinder在性能和易用性方面落后于其他產(chǎn)品。SecureZone和那時(shí)比起來(lái)在這兩方面有了巨大的進(jìn)步。它在性能測(cè)試中表現(xiàn)良好。重新設(shè)計(jì)的用戶(hù)界面用指向??點(diǎn)擊操作實(shí)現(xiàn)安全策略，而且這種操作可以在任何運(yùn)行JVM(Java Virtual Machine，Java虛擬機(jī))的操作系統(tǒng)上執(zhí)行。

　　SecureZone是一個(gè)基于代理技術(shù)的防火墻，它提供了很多代理。FTP 代理控制對(duì)文件和目錄進(jìn)行創(chuàng)建、刪除和改名的操作，以及put和get操作。HTTP 代理過(guò)濾Java和ActiveX,此外還有一個(gè)有助于緩沖頁(yè)面的內(nèi)建URL過(guò)濾器。SecureZone不能掃描病毒，它計(jì)劃在將來(lái)加入此項(xiàng)功能。和CyberGuard一樣，SecureZone也有集成了防火墻軟件的專(zhuān)有版本Unix。配置這個(gè)防火墻系統(tǒng)很簡(jiǎn)單，可以用控制臺(tái)上的下拉菜單完成或者在遠(yuǎn)程界面完成。與之對(duì)比，Raptor和FireWall需要安裝和配置Solaris操作系統(tǒng)，這不是件容易的事，當(dāng)然并不需要經(jīng)常這樣做。SecureZone使用“類(lèi)型強(qiáng)制”來(lái)劃分所有進(jìn)程和文件，并且只允許絕對(duì)必須的訪問(wèn)通過(guò)，這就降低了在入侵事件發(fā)生時(shí)某人可以取防火墻而代之的可能性。

　　SecureZone基于Java的用戶(hù)界面既快速又穩(wěn)定，這種評(píng)語(yǔ)在歷史上還不曾和Java應(yīng)用程序聯(lián)系起來(lái)過(guò)。這個(gè)用戶(hù)界面和其他產(chǎn)品的界面截然不同，SecureZone使用決策樹(shù)風(fēng)格的圖表來(lái)建立安全策略。我們用它為各個(gè)“區(qū)域”建立獨(dú)立的安全策略，分別描述不同的接口、網(wǎng)絡(luò)和防火墻上的VPN。規(guī)則用對(duì)話(huà)框描述。另一個(gè)對(duì)話(huà)框包含所有允許的服務(wù)，并用箭頭連接到代表其他允許訪問(wèn)區(qū)域的盒子上。箭頭的指向表示區(qū)域之間的“從”“到”關(guān)系，還有一些其他圖標(biāo)分布在屏幕上，用來(lái)指示允許訪問(wèn)或者拒絕訪問(wèn)，或者是否應(yīng)該執(zhí)行NAT。需要花些時(shí)間來(lái)熟悉這種實(shí)現(xiàn)方法，但是當(dāng)我們弄明白之后，我們就發(fā)現(xiàn)它非常好用。如果你有很多的VPN，并且需要在不同級(jí)別上相互訪問(wèn)，那么SecureZone是一個(gè)理想的選擇。

Cisco Systems 的 Cisco PIX 防火墻 520

　　PIX在所有產(chǎn)品中性能最好，它的吞吐速率高達(dá)150Mbps，僅比我們的由兩臺(tái)交換機(jī)和一個(gè)連接電纜組成的基線(xiàn)的速度稍微低一些。更非同凡響的是即使激活NAT也不會(huì)降低它的性能。不幸的是，它的管理功能相當(dāng)不好，是我們測(cè)試的所有產(chǎn)品中最差勁的一個(gè)。PIX可以阻止可能造成危害的SMTP命令，這給我們留下了深刻印象，但是在FTP方面它不能像大多數(shù)產(chǎn)品那樣控制上載和下載操作。

　　PIX的大多數(shù)管理最好通過(guò)命令行進(jìn)行。如果你熟悉Cisco路由器的命令行界面，那么恭喜你，因?yàn)槟悴槐貫闆](méi)有漂亮的管理GUI而煩惱了，PIX的很多命令和操作與Cisco路由器上的非常相似。我們發(fā)現(xiàn)使用命令行設(shè)置NAT非常簡(jiǎn)單，甚至比使用大多數(shù)GUI更方便。但是我們還發(fā)現(xiàn)，除了簡(jiǎn)單的安全策略，PIX在設(shè)置基于服務(wù)的訪問(wèn)、主機(jī)和網(wǎng)絡(luò)的時(shí)候非常不好用。我們?cè)谛薷陌踩�策略時(shí)遇到了最大的麻煩，這需要對(duì)規(guī)則進(jìn)行重新排序，在插入一個(gè)新的列表之前必須刪除原來(lái)的規(guī)則列表。這是一個(gè)從Cisco路由器繼承過(guò)來(lái)的并不好用的功能。PIX帶了一個(gè)管理應(yīng)用程序，但是需要一臺(tái)NT服務(wù)器專(zhuān)門(mén)運(yùn)行這個(gè)軟件。我們可以通過(guò)Web來(lái)訪問(wèn)這個(gè)程序。如果使用Web界面管理PIX，我們只能在配置時(shí)使用它做一些非常簡(jiǎn)單的修改。Cisco對(duì)我們說(shuō)它們將在今年年底開(kāi)發(fā)出一個(gè)新的軟件以改善PIX的管理功能。

　　PIX的日志和監(jiān)視功能也比其他產(chǎn)品遜色不少，它沒(méi)有實(shí)時(shí)日志功能，而且所有的日志信息都要送到另外一臺(tái)運(yùn)行syslog的機(jī)器上去。不管怎樣，根據(jù)系統(tǒng)日志發(fā)出警報(bào)還是可以做到的。

NetScreen 科技的 NetScreen-100

　　和Cisco的PIX類(lèi)似，NetScreen-100也運(yùn)行專(zhuān)有操作系統(tǒng)。與運(yùn)行在Intel平臺(tái)上的PIX不同，NetScreen使用專(zhuān)有ASIC構(gòu)成高性能防火墻，價(jià)格便宜而且易于安裝。我們發(fā)現(xiàn)它通過(guò)串行連接給接口分配IP地址的安裝辦法非常簡(jiǎn)單。完成這一步之后，我們就可以通過(guò)Netscape或者微軟的瀏覽器來(lái)進(jìn)行進(jìn)一步的工作。在不運(yùn)行NAT時(shí)只有PIX和FireWall-1比NetScreen-100性能高，如果運(yùn)行NAT，NetScreen的性能不會(huì)降低，因而比FireWall-1的性能要好。

　　NetScreen是唯一不路由消息包就讓它們通過(guò)的產(chǎn)品。使用這一功能，防火墻內(nèi)的任何主機(jī)或者路由器可以繼續(xù)使用Internet路由器的網(wǎng)關(guān)地址，或者使用任何其它能訪問(wèn)外部網(wǎng)絡(luò)的路由器。這樣就不必在防火墻和外部路由器之間增加另外一個(gè)子網(wǎng)，也不需要把外部路由器的地址移動(dòng)到防火墻的內(nèi)部接口上來(lái)，這樣內(nèi)部主機(jī)就不必更改它們的網(wǎng)關(guān)地址了。我們?cè)谡�常防火墻和透明操作模式這兩種情況下都成功地進(jìn)行了路由。

　　NetScreen防火墻的網(wǎng)絡(luò)訪問(wèn)控制是所有產(chǎn)品中最脆弱的。事實(shí)上，除了URL過(guò)濾和FTP，它沒(méi)有任何其他比簡(jiǎn)單的包過(guò)濾更強(qiáng)大的功能。

用于 Windws NT 的NetGuardian 3.0

　　Guardian是唯一安裝在NT平臺(tái)上的產(chǎn)品，用戶(hù)界面簡(jiǎn)捷明了，但是它的訪問(wèn)控制能力僅僅比NetScreen強(qiáng)一點(diǎn)。

　　Guardian在我們測(cè)試的產(chǎn)品中是性能最差的一個(gè)。當(dāng)我們把測(cè)試結(jié)果提交給NetGuard的時(shí)候，他們表示了真誠(chéng)的驚訝。于是我們重新安裝軟件，重新配置，重新測(cè)試，結(jié)果沒(méi)有看到性能有什么改善。NetGuard提議給我們另外一臺(tái)機(jī)器作測(cè)試，但是我們已經(jīng)沒(méi)有時(shí)間做了。我們同意分享NetGuard防火墻在KeyLab的測(cè)試結(jié)果，KeyLab用的是NetGuard的Firebench產(chǎn)品，吞吐量達(dá)到60Mbps，這一結(jié)果比我們測(cè)出的40Mbps高50%。KeyLab的性能指標(biāo)是在一臺(tái)200MHz機(jī)器上得出的，我們則是在一臺(tái)233MHz的機(jī)器上測(cè)到的。啟動(dòng)NAT之后，NetGuard的產(chǎn)品的性能顯著下降。根據(jù)我們的測(cè)試，Guardian可以在啟動(dòng)NAT的情況下毫無(wú)問(wèn)題地支持T1或者10Mbps以太網(wǎng)，但是如果你想在將來(lái)也使用它則要小心從事。

　　Guardian的界面和FireWall-1的很類(lèi)似。我們把網(wǎng)絡(luò)和主機(jī)定義成對(duì)象，可以把這些對(duì)象添加到列在表格里的過(guò)濾規(guī)則中去。表格使用簡(jiǎn)單的圖標(biāo)指示可以執(zhí)行那些符合規(guī)則流量的動(dòng)作。盡管Guardian并不是FireWall-1，我們同樣覺(jué)得它也很容易定義規(guī)則。用戶(hù)界面可以運(yùn)行在任何NT或者95/98機(jī)器上，而且可以輕松地遠(yuǎn)程管理運(yùn)行防火墻引擎的NT機(jī)器。

　　Guardian的訪問(wèn)控制功能相當(dāng)不完善，盡管比NetScreen-100好一些，它也只是停留在基于IP地址和端口號(hào)的簡(jiǎn)單訪問(wèn)控制的水平上。它還是唯一不具有IPSec兼容VPN能力的產(chǎn)品。NetGurad的獨(dú)特功能是具有監(jiān)視非法telnet登錄企圖的能力。

標(biāo)簽： http服務(wù)器 isp web服務(wù)器 安全 標(biāo)準(zhǔn) 代碼 防火墻 防火墻策略 防火墻軟件 防火墻系統(tǒng) 服務(wù)器 計(jì)劃 漏洞 美國(guó) 評(píng)測(cè) 企業(yè) 數(shù)據(jù)庫(kù) 通信 網(wǎng)絡(luò) 問(wèn)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。