七款企业级应用的防火墙产品评测

　　CyberGuard 公司的CyberGuard 防火墙 4.0版

　　CyberGuard防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面清晰而且简明。

　　CyberGuard加固了它的操作系统，从而使得它比我们测试的其他代理厂商的产品都要安全。它的多虚拟安全环境(Multiple Virtual Secure Environments，MVSE)系统谨慎地隔离所有进程、文件和目录，只允许绝对必要的通讯通过CyberGuard。和我们测试的其他防火墙一样，它也通过了ICSA认证。而且它还是唯一通过美国国防部国家计算机安全中心(Department of Defense's National Computer Security Center)认证的产品。

　　它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台，顶部的菜单条上列着所有的基本应用程序。使用这个菜单能轻松地访问通用系统管理作业，比如IP地址和路由配置等，这使得完成这些作业轻松多了，这一点比我们测试的大多数防火墙要强。实际防火墙策略在信息包过滤窗口中建立，窗口的上半部分是规则列表，下半部分是编辑模板。编辑模板可以使你很轻松地指定你想允许或者禁止的协议。这是一个便于使用的功能，可以快速建立日志并且可以让自己决定现在不想看哪些东西。和FireWall-1类似，CyberGuard使用颜色和图形使得策略更容易读。你可以在每个规则的上面或者下面添加注释，但是我们发现如果相关规则很多屏幕就会显得凌乱不堪。

　　尽管有可能从这个用户界面实施远程管理，然而我们只成功地用CyberGuard另外一个界面完全实施了远程管理。我们测试的其他防火墙都允许我们运行与实际防火墙引擎完全无关的管理软件。

　　CyberGuard声称支持加密和密钥管理的IPSec标准，但是目前这个应用程序还没有通过ICSA认证。

　　Secure Computing 公司的 SecureZone

　　我们在以前的防火墙评测中曾经测试过Secure Computing的Sidewinder。Sidewinder在性能和易用性方面落后于其他产品。SecureZone和那时比起来在这两方面有了巨大的进步。它在性能测试中表现良好。重新设计的用户界面用指向——点击操作实现安全策略，而且这种操作可以在任何运行JVM(Java Virtual Machine，Java虚拟机)的操作系统上执行。

　　SecureZone是一个基于代理技术的防火墙，它提供了很多代理。FTP 代理控制对文件和目录进行创建、删除和改名的操作，以及put和get操作。HTTP 代理过滤Java和ActiveX,此外还有一个有助于缓冲页面的内建URL过滤器。SecureZone不能扫描病毒，它计划在将来加入此项功能。和CyberGuard一样，SecureZone也有集成了防火墙软件的专有版本Unix。配置这个防火墙系统很简单，可以用控制台上的下拉菜单完成或者在远程界面完成。与之对比，Raptor和FireWall需要安装和配置Solaris操作系统，这不是件容易的事，当然并不需要经常这样做。SecureZone使用“类型强制”来划分所有进程和文件，并且只允许绝对必须的访问通过，这就降低了在入侵事件发生时某人可以取防火墙而代之的可能性。

　　SecureZone基于Java的用户界面既快速又稳定，这种评语在历史上还不曾和Java应用程序联系起来过。这个用户界面和其他产品的界面截然不同，SecureZone使用决策树风格的图表来建立安全策略。我们用它为各个“区域”建立独立的安全策略，分别描述不同的接口、网络和防火墙上的VPN。规则用对话框描述。另一个对话框包含所有允许的服务，并用箭头连接到代表其他允许访问区域的盒子上。箭头的指向表示区域之间的“从”“到”关系，还有一些其他图标分布在屏幕上，用来指示允许访问或者拒绝访问，或者是否应该执行NAT。需要花些时间来熟悉这种实现方法，但是当我们弄明白之后，我们就发现它非常好用。如果你有很多的VPN，并且需要在不同级别上相互访问，那么SecureZone是一个理想的选择。

　　Cisco Systems 的 Cisco PIX 防火墙 520

　　PIX在所有产品中性能最好，它的吞吐速率高达150Mbps，仅比我们的由两台交换机和一个连接电缆组成的基线的速度稍微低一些。更非同凡响的是即使激活NAT也不会降低它的性能。不幸的是，它的管理功能相当不好，是我们测试的所有产品中最差劲的一个。PIX可以阻止可能造成危害的SMTP命令，这给我们留下了深刻印象，但是在FTP方面它不能像大多数产品那样控制上载和下载操作。

　　PIX的大多数管理最好通过命令行进行。如果你熟悉Cisco路由器的命令行界面，那么恭喜你，因为你不必为没有漂亮的管理GUI而烦恼了，PIX的很多命令和操作与Cisco路由器上的非常相似。我们发现使用命令行设置NAT非常简单，甚至比使用大多数GUI更方便。但是我们还发现，除了简单的安全策略，PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦，这需要对规则进行重新排序，在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。PIX带了一个管理应用程序，但是需要一台NT服务器专门运行这个软件。我们可以通过Web来访问这个程序。如果使用Web界面管理PIX，我们只能在配置时使用它做一些非常简单的修改。Cisco对我们说它们将在今年年底开发出一个新的软件以改善PIX的管理功能。

　　PIX的日志和监视功能也比其他产品逊色不少，它没有实时日志功能，而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样，根据系统日志发出警报还是可以做到的。