七款企业级应用的防火墙产品评测

　　产品点评

　　Check Point 软件科技公司的 FireWall-1

　　Check Point的FireWall-1具有强有力的组合访问控制、卓越的性能以及简捷的管理工具。我们测试了4.0的beta版本，在你读到这篇评测报告的时候4.0版应该已经正式发售了。

　　尽管FireWall-1被认为不是代理类型的防火墙，但它的全状态检查能力非常接近代理类型的防火墙。例如，除了NAT之外，它还提供用户认证，能防止SYN和分割包(packet-fragmentation)攻击，还可以实现基于“put”、“get”命令和文件名的FTP管制。对于SMTP，你可以管制各种命令并丢弃任何超过某一尺寸的邮件，可以检查邮件中的病毒，并可以在邮件离开内部网之前去掉邮件报头信息中有关内部网细节的信息。FireWall-1还能防止运行可能造成危害的SMTP命令，例如“debug”。在FireWall-1提供这些给人以深刻印象的功能的同时，Raptor的SMTP 代理产品则更进一步，它可以限制外来邮件的邮件报头尺寸以防止缓冲区溢出攻击(buffer overrun attack)。

　　FireWall-1还可以针对ActiveX和Java程序扫描HTTP流量，实现基于手工输入文件的URL过滤器，或者集成第三方的URL过滤服务。Raptor的HTTP 代理再次超前提供了限制URL长度的功能以防止缓冲区溢出攻击，因为它确实在运行HTTP服务器代码，所以它能够做到只承认有效的HTTP语法。

　　FireWall-1的用户界面提供了一个集中控制点，使用它可以轻松定义和实现复杂的安全策略。所有的相关主机、网络和服务都被定义成带有关联图标的对象，可以很轻松地将其放入对象组内并用它们自己的图标来描述，然后可以在定义规则时使用这些图标。每个分立规则可以单独指定其他描述集中日志和警告级别的图标。

　　每个规则有一个注释域用来添加文档，我们在Syracuse大学广泛地使用了这一功能。随着时间的推移，这一功能就会变得非常有用，可以用它来了解为什么指定一个特殊规则，还有日期，甚至添加这一规则的人的名字等信息。4.0版增加了输入规则的能力，然后用一个红色的"X"为它做注释。我们还可以在这一版本中临时隐藏规则，这使得长长的规则列表变得易读。一个友好的用户界面并不能担保安全性，但它可以节约你的时间并减少出错的可能性，而且很容易培训其他人来管理这个防火墙。这个GUI还能让你远程控制大量FireWall-1模块，可以管理Bay、Cisco和3Com的路由器，甚至Cisco的PIX防火墙，并且可以在这些产品之上实现过滤功能。

　　我们在FireWall-1策略编辑器里启动了日志浏览器。这个浏览器根据选定的日志级别显示源地址和目的地址以及和每个规则有关联的端口。所有这些都带有时间戳和日期戳。所有信息都按照易读的专栏形式排列——描述可接受数据包的条目用绿色文本显示，描述丢弃和拒绝数据包的条目用红色文本显示。用鼠标指向并点击几下，我们就定制了可以在日志浏览器中显示的内容。例如，通过显示丢弃和拒绝数据包的日志条目，我们就可以很容易地发现那些试图进行非法访问的数据包。查找通过防火墙的正常通讯中的意外干扰是一个非常好的方法，日志可以让你看到有关的IP地址和相关服务,而且你可以由此确认出导致正常通讯中断的嫌疑犯。一般来说，对于正常通讯的中断，最新安装的防火墙最有嫌疑。其他产品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。尽管Raptor的日志更新快速而且相当详细，但是它没有对条目进行格式化，而且没有颜色编码，这使得它相当难读。

　　FireWall-1用户界面中有关NAT的部分令我们感到有些失望。比如为了建立一个静态映射，你就要在相当多的网络对象定义窗口之间出来进去。在映射建立起来之后，规则自动产生并显示在一个非常类似于策略编辑器的规则窗口之中，每个映射对应两个规则。我们发现如果仅简单地浏览视图则很难理解这个配置。我们还必须在Unix命令行下给每个映射设置路由。与之形成鲜明对比的是，尽管Cisco PIX的管理功能一般说来要差一些，但是它的单行命令对于设置NAT来说非常易于理解。然而，尽管FireWall-1运行NAT时的性能要比所有代理类型防火墙好(包括Raptor，它和FireWall-1一样安装在Solaris Ultra 2平台上)，但是也显然要比不启用NAT时慢。Check Point在我们的测试进行之前并没有预先告诉我们启动NAT会影响性能。

　　Check Point通过它的OPSEC(Open Platform for Secure Enterprise Connectivity，安全企业连通性开放平台)向第三方厂商提供API，第三方厂商可以使用这些API开发可以集成到这款防火墙中的产品。结果是100多种产品在内容安全、入侵侦测、容错和报告能力等方面充实了FireWall-1的内建功能。FireWall-1使用一种称作"Inspect"的宏语言创建全状态检查宏，尽管一般用户可能不会钻研这些东西，但这毕竟使得为复杂的新协议定义新的服务成为可能。它还允许Check Point为新的服务定义协议，用户只要简单地从Check Point的Web站点下载这些协议并把它们安装到FireWall-1防火墙上就行了。

　　AXENT 科技的 Raptor 防火墙

　　AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能最强大的一系列代理程序。在很多情况下，它检查通过防火墙的数据的能力非常接近于Check Point的FireWall-1。尽管界面不如FireWall-1的漂亮，Raptor的GUI也是易于理解且易于操作的。Raptor的实时日志则仅次于FireWall-1。

　　显示Raptor强大实力的地方是它众多代理的深度和广度。它是唯一为运行在Microsoft网络上的NT服务器提供保护的产品。它可以控制读、写、更新命令，也可以把SMB(Server Message Block，服务器消息块)行为控制在有效操作的限度内。如果你使用Oracle，那你的运气不错：Raptor是唯一带有SQL*Net 代理的产品，可以控制对数据库表格的访问(读和更新)。从另一方面看，如果你运行Sybase或者Informix数据库，那么这一功能也很有用。

　　Raptor的SMTP 代理与 FireWall-1和Cisco PIX一样限制允许通过防火墙的SMTP命令。它还能剥去邮件报头中的内部网信息，FireWall-1也将提供这一功能。但是Raptor是唯一能检测到邮件头部缓冲区溢出攻击并在它探测到危害安全的企图时允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。给人以深刻印象的代理还包括NNTP(Network News Transfer Protocol，网络新闻转发协议)代理和NTP(Network Time Protocol，网络时间协议)代理。

　　Raptor的HTTP 代理非常安全，以至于我们很难在这一应用程序上运行我们的测试程序。为了避免这个问题，我们在一个定制运行在8080端口的通用代理上跑HTTP流量。尽管我们感觉它的并发性能已经足够好了，但它还是不如FireWall-1快，仅比CyberGuard和NetGuard的Guardian强一些。需要指出的是，当我们激活NAT的时候没有感到任何性能降低的迹象。FireWall-1则相反，在启动NAT的时候性能显著下降，这是因为代理类型的防火墙本来就要重写报头。还有一点，Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样)，因此如果需要的话你可以升级到更快的机器。

　　作为一个代理类型的防火墙，Raptor要求所有的通信流量直接通过它，这就要冒遭受攻击的风险。为了保护它自己，它“加固”了操作系统——AXENT在安装的时候就主动努力保护操作系统，关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后，Raptor继续监视操作系统中可能危及安全的新进程。与之对照，Secure Computing的SecureZone和CyberGuard的Firewall则采用了带有内建安全功能的专有版本的Unix。

　　Raptor把主机、网络和服务定义为“元素”，这是一个和Check Point采用的“对象”类似的概念。规则编辑器(它和这款防火墙产品中的所有工具类似，都是从HawkGUT垂直任务条上启动的)使用这些元素创建安全策略。尽管这个界面也易于使用，但是我们还是更喜欢FireWall-1的界面，因为FireWall-1包含方便阅读的颜色和图形。在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难，你必须为你想运行的应用程序激活相应的代理服务，否则相应流量将不被允许通过这个防火墙。Raptor的日志信息相当详细，给出了源和目的IP地址和端口，以及带有时间戳的试图连接的状态。

　　Raptor的特色是ICSA认证的IPSec兼容VPN(virtual private network，虚拟专用网)能力。不幸的是，Raptor没有使用硬件支持卡，所以你在启动这个大量加密连接的功能时要小心从事，因为它非常消耗CPU资源。