七款企业级应用的防火墙产品评测

　　我们几乎不需要告诉你防火墙是抵御对网络进行非法攻击的重要的第一道防线，你肯定知道这些。但是你不知道的是，同一个网络在为用户访问重要数据提供方便途径的同时，也给任何在同一网络上利用已知的漏洞或者寻找新的弱点进行攻击的人提供了便利、易于访问的特点，还有操作系统(例如Unix和NT)声名狼藉的脆弱的安全性，这些加在一起就是一场眼看就要发生的灾难。所有的防火墙产品都提供一个集中控制点来控制访问，好的防火墙还能使你在期望的和不期望的数据可访问性之间达到微妙的平衡。

　　像防火墙这样的必需工具并不是解决种种更为复杂的问题的万能神药。例如，一旦你选择了一种防火墙，就要花费大量时间来计算你想通过它提供多少种访问。你还需要处理所有单个系统上操作系统的弱点，因为即使最好的防火墙也必须确定几种不同的访问级别。如果不这样作，就会使防火墙内的一切东西暴露出来而成为笑柄。幸运的是，有几种工具可以帮助你来完成这一艰巨的任务。

　　这次我们的注意力集中在那些适合在企业环境中安装并具有优良的性能和管理功能的防火墙产品上。我们确定了八个我们认为符合标准的厂商，向它们发出邀请，并清楚地描述了我们的测试需求。八个厂商中有七家接受了邀请并向我们设在Syracuse大学的Real-World实验室提供了产品，这些厂商和它们的产品是：AXENT 科技 (提供Raptor Firewall)、 Check Point 软件科技公司 (FireWall-1)、Cisco 系统公司 (PIX Firewall 520)、CyberGuard公司 (Firewall)、NetGuard 公司(Guardian)、NetScreen科技公司(NetScreen-100) 和Secure Computing公司 (SecureZone)。只有NAI拒绝提供产品，也没有就此说明原因。

　　在研究过这些产品的性能和管理功能及其区分有效和非法网络访问的能力之后，我们感到所有的产品都将为成熟的防火墙市场带来良好的信誉。Check Point的FireWall-1提供了最佳的整体性能以及管理和日志功能，因此获得了我们的编辑选择奖。Check Point通过单一用户界面来实现最高防火墙策略管理，这个界面广泛使用颜色和图形以简化管理。此外，它的日志功能和监控功能也出类拔萃。

　　AXENT的Raptor和它强劲的代理应用程序也给我们留下了非常深刻的印象。实际上，所有七种产品都非常出色且各有所长，判定这些产品的优劣，将取决于你的具体需求。

　　每个厂商都在它们提供的操作系统和硬件平台上安装了自己的产品。Check Point、AXENT和CyberGuard都提供Unix和NT版本的产品，因此它们必须在二者之间作出选择。由于我们强调性能，所以我们毫不奇怪这三个厂商都选择了Unix平台。

　　CyberGuard和Secure Computing公司提交了它们自己的“加固”版本的Unix，安装在Intel平台上。只有NetGuard为测试提供了基于NT的产品。Cisco的PIX在Intel硬件平台上运行它自己的专有操作系统，所以它本质上是一个“黑箱”解决方案。另一个黑箱解决方案由NetScreen提供，它使用了专用的ASIC。

　　代理和全状态检查的比较

　　全状态检查技术通过维护一些状态表来跟踪每个连接的状态，同时控制应用层，进而控制数据流。防火墙在数据被允许接触防火墙操作系统之前要检查这些状态表。如果预先定义的策略允许此次访问，则让来自源连接的报头信息通过防火墙而不对其进行修改。

　　代理技术的支持者们认为代理更安全一些，因为代理应用程序针对特定协议截取通信数据。它只允许进行必需的、安全的和有效的操作。全状态检查阵营则声称它们的技术同样能够达到代理技术所能达到的安全指标，而且可以避免因在防火墙上复制每个应用程序的数据包而带来的性能损失。在我们的测试中，AXENT的Raptor是最好的代理程序，它展示了一些属于全状态检查类型的FireWall-1所没有的安全控制特性，但是Raptor是以牺牲性能的代价做到这些的。

　　代理技术的另一个缺点是用户要受厂商的控制，需要厂商写代理程序来支持用户要用到的各种应用程序。在我们的测试中，尽管所有的代理厂商都设法提供对不支持协议的访问，但是它们的通用代理并没有因此而增加任何价值，因为它们没有相应的应用程序来检查这些流量，更糟的是，这些通用代理还会因此而影响性能。

　　除Check Point的FireWall-1之外，Cisco、 NetScreen和NetGuard的防火墙也采用了全状态检查方法。我们发现这些产品的性能通常要优于AXENT、CyberGuard和Secure Computing等采用代理技术的产品。事实上，Cisco的PIX的性能接近了线速。

　　其他资料

　　当使用多协议分析器在代理防火墙两侧排除一些连接故障时，我们注意到追踪数据非常困难，而这对于全状态检查产品来说则很容易。原因是在报头被重写之后，通常用来在多位置情况下识别包的源端口和序列号也随之被改变了，这使得系统很难识别这个数据包。我们被迫在数据层细心查找线索以便识别数据包。如果你曾经试图在网络的多个节点上观察包的状态，你就会知道我们的工作有多么困难和多么复杂了。在采用NAT技术时(Network Address Translation，网络地址转换)，如果你试图诊断错误，你就会陷入到类似困境中，因为NAT也要修改报头。

　　我们没有测试每个厂商的产品保护网络免遭攻击的能力，因为所有的产品都要通过ICSA(International Computer Security Association, 国际计算机安全协会，www.icsa.com)的鉴定，国际计算机安全协会有专职工作人员和一整套工具来进行此类测试。我们觉得我们不会比他们做得更多。尽管如此也不要麻痹，不要允许任何并非绝对必要的访问，牢记要系统地排除防火墙后面的机器上的所有可能的弱点，以防止某台有弱点的机器成为破坏防火墙完整性的隐患。

　　所有七种产品都采用NAT技术。NAT通过把防火墙内所有设备的源地址转换成防火墙外部地址的方法将这些设备对外发起连接的地址屏蔽掉。如果你换了家ISP而且你没有自己的地址空间，或者你使用未经注册的地址空间，或者你只是想简单地访问Internet而不想暴露内部网的细节，那么就有必要进行地址转换。如果你想允许外部世界访问你内部网络的服务器，你可以提供额外的外部地址，并把这个地址直接映射到相应的内部地址上就行了。

　　防火墙显然是设置VPN的地方，除了NetScreen-100，我们测试的所有防火墙都有这个功能。NetGuard是唯一不支持IPSec(IP安全协议)的产品。只有Raptor和FireWall-1从ICSA拿到了实现IPSec的证书。PIX、CyberGuard和FireWall-1都提供卸载选项，即把CPU处理加密的工作改由一块单独的插卡来完成。