本文发表在 rolia.net 枫下论坛八种防火墙产品评测
目前,防火墙新产品的加盟和功能的增强使得各产品的销售领域逐渐分散,但是位居榜首的仍然是Check Point Software公司的FireWall-1。
新增功能
如今,当我们看到产品海报上标有“全新的”和“改善的”字样时,心里不免犯嘀咕。可是,这两个词用来描述防火墙产品市场却恰如其分。目前,防火墙的新功能有:
1.提供的管理界面使防火墙的配置更安全,监控更容易;
2.可自动进行病毒扫描,堵截非法URL和Java过滤;
3.对远程用户进行身份验证,防止攻击性的访问,提高了安全性;
4.增加了防止基于协议攻击的“障碍物”,例如Ping of Death和TCP SYN"洪水”。
此外,防火墙厂商还把网络前沿技术,如Web页面超高速缓存、虚拟私人网络和带宽管理等与其产品结合起来。
评测概述
NetWork World实验室邀请了12家厂商参加一次对防火墙产品的评测,其中8家欣然接受。
Check Point Software公司的FireWall-1凭其丰富的功能和对各种企业级网络的适应性而荣膺桂冠。至于CyberGuard公司的CyberGuard Firewall,如果不考虑其对硬件平台支持的专有性,也是个相当不错的产品,除了拥有FireWall-1的大部分功能外,它还具备内置于操作系统中的各种安全特性,这点非常适合那些既担心内部安全又担心外部安全的用户。值得表扬的还有C isco Systems公司的PIX,它是一个大大简化了的但功能健全的防火墙,对仅希望控制访问的网络管理者极具吸引力。
本次评测中,还涌现出了一些新产品,如Watchguard Technologies公司的Watchguard Security System和Netguard公司的Guardian都值得注意,它们在某些方面功能独到,略胜一筹。虽然这两个产品目前还欠成熟,但都是潜在的、强大的竞争对手。
Ukiah Software公司的NetRoad FireWall for Windows NT,Elron Software公司的Elron FireWall Secure 32OS和Microsoft公司的Proxy Server(自称为防火墙)也各具特色,尤其适合小型网络的使用。但是,企业级的网络管理者会发现它们功能有限,且缺乏灵活性。
评测方法概述
用3种不同的安全规则建立防火墙,查看其灵活性和性能;
对每个安全规则,现场检查防火墙如何截停非法数据流、登陆、建立对话和闯入尝试;
本次测试中,除了Microsoft公司和Ukiah Software公司的产品,其他防火墙都得到了国际计算机安全协会的认证,因此未再重复这方面的测试;
测试大部分防火墙产品的硬件平台是200MHz Pentium CPU,128MB内存,软件平台是带有Service Pack 3的Windows NT 4.0,个别厂商自己提供了测试的软硬件捆绑。
配置工具
开始使用防火墙,首先需要一个直观的配置工具。少了它,很可能会延误一些必要的配置参数的改变。早期的防火墙产品只是一个工具和实用程序的拼凑产物;今天厂商们的共同目标是为用户提供一个统一的、明确的界面以进行安全的防火墙状态和参数的配置。最好的防火墙产品甚至考虑到了以下事实:配置界面并不常用,而联机文档和帮助才是最关键的。
最早的容易使用的配置工具之一是由Check Point公司在FireWall-1中提供的,它使得Fire Wall-1成为市场的领导者。其界面面向源和目标,采用简单的从上至下的顺序,同网络管理者查看网络的习惯非常吻合。虽然该配置工具的属性窗口中,有时多达八九个标签,显得比较麻烦,但仍然容易设置。尽管F ireWall-1中的用户界面一直比较好用,Check Point公司又增添了许多新功能,扩展了最初的界面,突破了原来的局限性。据说,在即将推出的版本里还包含了图形用户界面(GUI),尽管迟了些,但仍是个好消息。
其他产品如Ukiah Software公司的NetRoad 和 Netguard公司的Guardian也有着相似风格的界面,同样易于配置。事实上,由于它们的功能比FireWall-1少,也更简单,因此没有必要再测试这些用户界面设计的局限性。
如今,远程管理已经成为不足为奇的功能,主要涉及一个通信工作站上的客户端应用,它通过加密的链路连接在防火墙上。有些防火墙产品,如C isco公司的PIX, Elron Software公司的Elron FireWall和Watchguard Technologies公司的Watchguard Security System还需要配一个专门用于配置和管理的二级系统。本次测试的产品中,只有Ukiah Software公司的NetRoad FireWall不支持远程管理。
产品特点
FireWall-1可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。尽管其他厂商,如Microsoft,CyberGuard和NetGuard也允许单一控制台控制多个防火墙,但是它们都没有使用F ireWall-1的“一个策略适应全部”的方法。用户通过FireWall-1的管理界面,可用一个网络安全策略控制所有的防火墙以及任何一个路由器(通过访问规则和过滤器实现)。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的,只需编辑一次。而其他产品则要求独立维护每个防火墙,这大大增加了管理员的负担和配置出错的可能性。
Elron FireWall在其用户界面上采取了略微不同的方法,它把重点放在服务而不是系统上。这种基于服务的配置把规则建立在应用之上:域名系统允许通行吗?T elnet呢?而基于系统或基于地址的配置与这个过程恰恰相反,它会问:这个或那个地址能做什么?在一个具有相同结构的网中,基于服务的方法比起C heck Point ,Ukiah Software 和NetGuard所采用的面向系统的方法显得更加简单。Elron FireWall是这次测试中最容易配置的产品,但它只能进行简单的配置,对复杂环境,尤其在各系统的属性都不一样的情况下,用它构造防火墙极为困难,维护起来更难,因为配置的细节部分都深藏于好几层之下。
Cisco是一个敢于打破旧习俗的公司,在普遍使用图形化用户界面的今天,PIX仍坚持使用大量的命令行驱动方式。它也提供了一个Java的图形化用户界面,但是似乎比其命令行的界面更难理解和使用。到目前为止,P IX的配置命令有20多条,设计合理,简单易行,屏幕上显示的配置信息基本不超过一屏;另外,这些命令也非常直观,学起来很快。虽然测试组的同仁并不介意已经熟悉的命令行,但仍然希望C isco公司开发出图形化用户界面,早日把网络管理员从被迫进行的命令学习中解放出来。
Microsoft公司的Proxy Server深得图形界面精髓, 它的配置可通过微软的几种界面棗微软管理控制台(MMC)、Web浏览器或Dos命令行进行。但是,这个防火墙第一个版本的能力还需要一些考验,原因在于M icrosoft公司坚持让MMC与图形界面相适应,而不是与网络管理员的需求相适应。
Proxy Server功能较强,内置有Web页面超高速缓存、协议翻译、防火墙和SOCKS能力。它的配置界面相对其产品来说较为复杂,而且经常需要依靠微妙的术语来区别相关的功能。
Watchguard Technologies公司的Watchguard Security System的配置方法有所革新。它与Elron Software公司的Elron FireWall类似,采用了面向服务的配置,但在打包配置任务和主题上比Elron FireWall做得更好。例如,它允许用户创建一个独立的名单列出“总是堵塞的”TCP端口,作为规则的补充。有了这种灵活性,可想而知,用户不需要太多的帮助就能很快达到较高水平。
Watchguard Security System和PIX的配置工具也都给人留下了深刻印象,用户只需经过很少的训练,就能控制很多东西。这点对于那些两三个星期只调整一次防火墙配置参数的管理员格外重要。
安全策略
随着安全策略的进一步发展,防火墙市场日益成熟。早期的防火墙只有一种策略棗网络层的、传输层的或应用层的安全棗人们发现成功的防火墙往往得益于网络的安全。高端的产品也能增加这方面的特性,如基于协议的攻击检测和实时避免非法闯入。
同时,对SOCKS验证和代理系统的支持大大降低了,只有CyberGuard和Microsoft支持该协议。
测试组从两个角度评价安全性:一是判断数据流是否允许通过的规则;二是能够执行更多智能化处理的代理。代理可以在应用层中途拦截数据流,理解应用协议,这样一来,防火墙就可以基于应用进行数据流的过滤或修改,而不仅仅是I P地址或已验证的用户。例如,代理可以阻止从Web页面下载ActiveX applets或者允许用户用FTP获取文件,却不能把文件透过防火墙向外传送。但是本次评测中发现大部分厂商对自己产品的代理功能言过其实。
各产品的代理功能不一,从Elron Software 和Cisco公司的最简单的FTP代理功能到大量复杂的功能,如Microsoft公司的HTTP代理。最“强健”的代理集合是Check Point公司的FireWall-1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基于第二层,例如,NetRoad FireWall精心设计的FTP代理可以封住特定的FTP命令,并能阻止经过防火墙传送的某些类型的文件。
HTTP代理的能力在Microsoft Proxy Server上发挥至极,因为Microsoft Proxy Server原本就只是一个HTTP代理服务器。该服务器不仅能控制和重映射URL,还能把Web页面存在缓存里加快访问Internet数据的速度。Ch eck Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了实用的HTTP代理,可以进行病毒检查和拦截URL,但是没有缓存技术。Check Point的FireWall-1和Watchguard Technologies公司的Watchguard Security System的代理特别灵活,可以自动连接到外部的HTTP缓存服务器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP负载的服务,其中Check Point有很细致的选项。(Cisco在另一条独立产品线上提供了负载平衡功能)
本次测试中,虽然FireWall-1的可鉴别转发邮件的发送IP地址真伪的能力是一个聪明的革新,但是必须承认没有一个产品具有值得一用的简单邮件传输协议( Simple Mail Transfer Protocol)代理。大部分代理都是为1984年以前版本的邮件而设计的,没有产品能控制住最新的SMTP服务扩展内容ESMTP(Extended Simple Mail Transfer Protocol),这就在事实上降低了E-mail的安全性。好在所有的防火墙产品都可以关闭这个功能。
对于那些不需要太多智能的简单代理服务,诸如Telnet或Ping, 网络管理员通常更注重规则。参加测试的产品在这方面的差距不太明显,结果则更加微妙。例如,Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支持每周的某天和每天的某具体时间的限制。然而,几乎没有网络管理员会在下午五点钟大动安全规则。
其他方面的差别相对重要一些。Ukiah Software公司的NetRoad FireWall根本没有否决的概念,甚至用户只进行简单的网络配置也会发现这是个令人头痛的限制。与他类似,Elron FireWall假设了TCP/IP的堆栈,这会造成与那些端口号低于1024的系统不兼容。
小型网络使用基于服务的方法棗在每个方面定义许可或不许可的服务,显得绰绰有余。Watchguard Security System和 Elron FireWall即采用此法。然而,更大一些的网络或与外部有着复杂连接的网络则应采用基于地址的方法,这也是其他大部分产品所提供的,只有这样才能把网络的安全策略翻译成防火墙的配置。
很大规模的网络会发现基于地址的代理服务器也有局限性,因为这种服务器要求的是Windows客户端的软件,而不是HTTP、FTP和Gopher。
即使采用基于地址方法的防火墙产品也有明显的不同之处。例如,FireWall-1是唯一允许用户决定一个被拒绝的连接是被忽略,还是被立刻驳回的产品。
此外,一些产品的安全特性也给人留下了深刻印象。如Watchguard Security System探测到有被闯入的危险时,可从一些节点上动态修改网络的安全策略,从而封住所有的数据流。它还可以检测并躲避一些进攻者常用的“探针”工具。M icrosoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN"洪水”(一种普通的拒绝服务攻击)的保护功能。其中,Check Point的战略最具特色,它不仅详细记录了攻击过程,还给出了如何处理的选项。
监测与统计
大部分防火墙的管理已经包括了一个安全管理工作站,尽管它的日志和监控工具可应付常见情况,但仍然相当粗糙。特别是Elron Firewall,它居然不记录“对话”,这点很不可取。
CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其内置的实时显示功能给测试组留下了最深刻的印象。例如,Guardian可以让管理员查看目前所有实时更新的信息,如通过防火墙的连接、带宽的使用和其他统计资料等。这些信息在进行防火墙的配置时很有用,能够有助于理解防火墙怎样解释既定的规则,也有助于处理遇到的紧急情况。
大部分产品在日志报告方面都做得不太好,只提供原始的日志资料。用户不得不使用一些工具,如Perl,去生成总结性的信息。Cisco、C heck Point、CyberGuard和Ukiah Software的防火墙产品都是如此,只有Watchguard Security System提供的报告功能较强一些,但也得使用他自己的其他独立的产品。
另外,NetGuard公司也能提供最基本的总结工具。Microsoft在以下方面占据了领先位置:为日志提供分析工具(已安装,但没有许可权的独立产品),以及直接把日志记录到S QL或其他符合开放数据库标准的数据库中。
身份验证
在防火墙世界里,身份验证的最初含义是保证外部用户安全访问内部。随着该功能的重要性不断增加,身份验证已经开始用于验证内部用户访问外部I nternet服务。所有的防火墙都有某种方法让用户创建一个通过防火墙的信息。由于这种验证可以作为协议的一部分,当用户想连接资源或离线时,可以看到验证的请求信息。
验证也可以在离线时进行,但是要求运行另一个不同的程序或特殊的应用去打开防火墙。离线验证的过程可以如同用浏览器指定URL一样简单,复杂起来又像装载一个具有各种安全级别的特殊的客户端。例如,C heck Point 公司的FireWall-1可以拦截外出的文件传送、Telnet和HTTP查询,也可选择验证后继续操作。但是,正如Check Point公司所指出的,一旦验证已经发生,基于IP的访问就相当冒险。
CyberGuard Firewall和Watchguard Security System对此有更好的策略:客户端必须与防火墙建立连接,只有连接存在,才允许访问。
其他厂商对验证有更严格的限制。例如,NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一个特殊的Windows客户端应用,而不需要连接认证外部用户的数据库。Microsoft Proxy Server也有一个Windows客户端应用,但是,如果只是验证有关Web的交易,可以不用它,因为任何Web浏览器都能做到这点。
Proxy Server集成了NT用户的验证数据库,这点与Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中,Ukiah Software还集成了Novell公司的目录服务。
另外,Check Point、Cisco System、CyberGuard和NetGuard公司的防火墙产品都提供了一次口令机制,或自己直接完成,或是用网络认证系统实现,如Remote Authentication Dial-In User Service或TACACS+。
文档资料
文档资料也是许多参测产品的弱点。这方面的领先者是Microsoft公司,它提供了所有资料的在线文档,其中包括详尽的指南信息,美中不足的是没有印刷品资料。
Check Point 公司的FireWall-1、CyberGuard公司的CyberGuard Firewall、Watchguard Technology公司的Watchguard Security System既有优秀的在线文档,也有印刷资料,且进一步阐述了防火墙的原理和操作。
Cisco PIX的资料与其防火墙的风格一致棗短小精悍,同时还提供Cisco信息系统光盘。尽管这些文档看起来有些“吝啬”,但根据它们能够很好地配置和管理防火墙。
Elron Software公司的Elron FireWall、NetGuard公司的Guardian和Ukiah Software公司的NetRoad FireWall的文档水平一般。最糟糕的是NetRoad FireWall,虽然包含了一百多页的安全指南,但没有一篇与产品功能和产品规格说明相关。而Ukiah Software公司,则是测试组为了理解产品功能和如何配置进行电话联系最多的厂家。Elron Software稍好一些,但资料删节得也比较多,它的作用更像一个桥,而非路由器,这种构建防火墙的做法比较正确,也很不同寻常。然而,这么重大的不同点在E lron Software的资料里都没有给予解释。市场上只有Network-1 Software&Technology公司的Firewall Plus采取了同样的办法。
评分标准和测试结果
评分标准
配置 25% 灵活性和高级功能 25% 日志报告/报警/检测 25% 综合能力 15% 支持平台 5% 文档和在线帮助 5% 总分
Check Point 8 8 6 8 8 8 7.50
Cyberguard 7 8 6 7 5 8 6.95
WatchGuard 7 7 7 6 5 8 6.80
NetGuard 6 7 8 5 5 6 6.55
Microsoft 5 6 7 7 5 8 6.20
Cisco 7 7 5 5 5 8 6.15
Ukiah 6 5 6 8 5 5 5.95
Elron 6 6 4 5 5 7 5.35
测试结果
Microsoft公司
产品: Proxy Server 2.0;
价格: 995美元;
平台: Windows NT 4.0;
优点: 紧密集成在所有的Windows NT网络;具有高级的HTTP代理功能;
不足: 对非Windows客户端,有些功能不可用;要求客户端在NT的用户数据库中注册,进行身份验证。
Check Point公司
产品: FireWall-1 3.0;
价格: 2995~18990美元;
平台: HP-UX, IBM AIX,Solaris,SunOS, WindowsNT;
优点: 易于配置和重配置,支持平台多,多点管理最佳,功能面广;
不足: 用户界面笨拙;监控工具和实时功能弱。
Cisco System公司
产品: PIX FireWall 4.1;
价格: 9000美元;
平台: 专用硬件;
优点: 安全模式简单,界面易于配置,熟悉Cisco路由器命令的人能很快掌握;
不足: 代理功能有限,安全模式相当不灵活。
Elron Software公司
产品: Elron Firewall/Secure 32OS;
价格: 4995美元以上;
平台: 基于Intel CPU的微机,防火墙运行于自己的操作系统;Mgmt界面运行在Windows NT/95上;
优点: 支持多协议,对简单网络可以快速配置;
不足: 没有实际意义上的代理,身份验证要求额外的Windows应用程序。
CyberGuard公司
产品: CyberGuard Firewall 4 for Unix;
价格: 5995~14995美元;
平台: 基于Intel CPU的微机,防火墙运行于固化在硬件里的操作系统之上;
优点: 实时监测工具很好,内置域名系统,功能强大的代理;
不足: 原始日志、配置界面不够平滑。
Ukiah Software公司
产品: NetRoad Firewall for Windows NT 2.0;
价格: 995美元以上;
平台: Windows NT;
优点: 安装快速,包括IPX-to-IP网关,成本很低;
不足: 文档资料较差,配置规则不灵活。
NetGuard公司
产品: Guardian V3.0;
价格: 3980~8980美元;
平台: Windows NT(管理界面运行在Windows 95上);
优点: 优异的实时连接监控,较好的简单网络配置向导;
不足: 文档资料不足,代理功能有限。
Watchguard Technology公司
产品: Watchguard Security System 3;
价格: 3995美元以上;
平台: 专有硬件(管理界面运行于Linux或Windows平台);
优点: 采用吸引小型网络的“黑盒子”方法,配置灵活,很好的实时冲突避免功能;
不足: 有限制的配置不能随需求增长,内部的Linux内核把支持操作系统的重担加在小厂商身上。
购买指导
本次测试发现:客户喜爱的品牌并没有因为已经取得的荣誉而裹足不前,CheckPoint Software公司的FireWall-1,CyberGuard公司的CyberGuard Firewall,和Cisco 公司的PIX都比上次测试又有了进步。 年轻的Watchguard Technology公司和NetGuard公司的产品第一次登台亮相,就获得了好评。
Microsoft公司的第一个防火墙版本虽然榜上名次不理想,但毕竟为本公司的软件资源和市场增添了力量。同样,Elron Software公司和Ukiah Software公司虽然没有名列前茅,但也取得了可喜的进步。如果用户需要对付非IP协议,如IPX, DECnet,和AppleTalk, Elron的产品显得格外有吸引力。更多精彩文章及讨论,请光临枫下论坛 rolia.net
目前,防火墙新产品的加盟和功能的增强使得各产品的销售领域逐渐分散,但是位居榜首的仍然是Check Point Software公司的FireWall-1。
新增功能
如今,当我们看到产品海报上标有“全新的”和“改善的”字样时,心里不免犯嘀咕。可是,这两个词用来描述防火墙产品市场却恰如其分。目前,防火墙的新功能有:
1.提供的管理界面使防火墙的配置更安全,监控更容易;
2.可自动进行病毒扫描,堵截非法URL和Java过滤;
3.对远程用户进行身份验证,防止攻击性的访问,提高了安全性;
4.增加了防止基于协议攻击的“障碍物”,例如Ping of Death和TCP SYN"洪水”。
此外,防火墙厂商还把网络前沿技术,如Web页面超高速缓存、虚拟私人网络和带宽管理等与其产品结合起来。
评测概述
NetWork World实验室邀请了12家厂商参加一次对防火墙产品的评测,其中8家欣然接受。
Check Point Software公司的FireWall-1凭其丰富的功能和对各种企业级网络的适应性而荣膺桂冠。至于CyberGuard公司的CyberGuard Firewall,如果不考虑其对硬件平台支持的专有性,也是个相当不错的产品,除了拥有FireWall-1的大部分功能外,它还具备内置于操作系统中的各种安全特性,这点非常适合那些既担心内部安全又担心外部安全的用户。值得表扬的还有C isco Systems公司的PIX,它是一个大大简化了的但功能健全的防火墙,对仅希望控制访问的网络管理者极具吸引力。
本次评测中,还涌现出了一些新产品,如Watchguard Technologies公司的Watchguard Security System和Netguard公司的Guardian都值得注意,它们在某些方面功能独到,略胜一筹。虽然这两个产品目前还欠成熟,但都是潜在的、强大的竞争对手。
Ukiah Software公司的NetRoad FireWall for Windows NT,Elron Software公司的Elron FireWall Secure 32OS和Microsoft公司的Proxy Server(自称为防火墙)也各具特色,尤其适合小型网络的使用。但是,企业级的网络管理者会发现它们功能有限,且缺乏灵活性。
评测方法概述
用3种不同的安全规则建立防火墙,查看其灵活性和性能;
对每个安全规则,现场检查防火墙如何截停非法数据流、登陆、建立对话和闯入尝试;
本次测试中,除了Microsoft公司和Ukiah Software公司的产品,其他防火墙都得到了国际计算机安全协会的认证,因此未再重复这方面的测试;
测试大部分防火墙产品的硬件平台是200MHz Pentium CPU,128MB内存,软件平台是带有Service Pack 3的Windows NT 4.0,个别厂商自己提供了测试的软硬件捆绑。
配置工具
开始使用防火墙,首先需要一个直观的配置工具。少了它,很可能会延误一些必要的配置参数的改变。早期的防火墙产品只是一个工具和实用程序的拼凑产物;今天厂商们的共同目标是为用户提供一个统一的、明确的界面以进行安全的防火墙状态和参数的配置。最好的防火墙产品甚至考虑到了以下事实:配置界面并不常用,而联机文档和帮助才是最关键的。
最早的容易使用的配置工具之一是由Check Point公司在FireWall-1中提供的,它使得Fire Wall-1成为市场的领导者。其界面面向源和目标,采用简单的从上至下的顺序,同网络管理者查看网络的习惯非常吻合。虽然该配置工具的属性窗口中,有时多达八九个标签,显得比较麻烦,但仍然容易设置。尽管F ireWall-1中的用户界面一直比较好用,Check Point公司又增添了许多新功能,扩展了最初的界面,突破了原来的局限性。据说,在即将推出的版本里还包含了图形用户界面(GUI),尽管迟了些,但仍是个好消息。
其他产品如Ukiah Software公司的NetRoad 和 Netguard公司的Guardian也有着相似风格的界面,同样易于配置。事实上,由于它们的功能比FireWall-1少,也更简单,因此没有必要再测试这些用户界面设计的局限性。
如今,远程管理已经成为不足为奇的功能,主要涉及一个通信工作站上的客户端应用,它通过加密的链路连接在防火墙上。有些防火墙产品,如C isco公司的PIX, Elron Software公司的Elron FireWall和Watchguard Technologies公司的Watchguard Security System还需要配一个专门用于配置和管理的二级系统。本次测试的产品中,只有Ukiah Software公司的NetRoad FireWall不支持远程管理。
产品特点
FireWall-1可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。尽管其他厂商,如Microsoft,CyberGuard和NetGuard也允许单一控制台控制多个防火墙,但是它们都没有使用F ireWall-1的“一个策略适应全部”的方法。用户通过FireWall-1的管理界面,可用一个网络安全策略控制所有的防火墙以及任何一个路由器(通过访问规则和过滤器实现)。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的,只需编辑一次。而其他产品则要求独立维护每个防火墙,这大大增加了管理员的负担和配置出错的可能性。
Elron FireWall在其用户界面上采取了略微不同的方法,它把重点放在服务而不是系统上。这种基于服务的配置把规则建立在应用之上:域名系统允许通行吗?T elnet呢?而基于系统或基于地址的配置与这个过程恰恰相反,它会问:这个或那个地址能做什么?在一个具有相同结构的网中,基于服务的方法比起C heck Point ,Ukiah Software 和NetGuard所采用的面向系统的方法显得更加简单。Elron FireWall是这次测试中最容易配置的产品,但它只能进行简单的配置,对复杂环境,尤其在各系统的属性都不一样的情况下,用它构造防火墙极为困难,维护起来更难,因为配置的细节部分都深藏于好几层之下。
Cisco是一个敢于打破旧习俗的公司,在普遍使用图形化用户界面的今天,PIX仍坚持使用大量的命令行驱动方式。它也提供了一个Java的图形化用户界面,但是似乎比其命令行的界面更难理解和使用。到目前为止,P IX的配置命令有20多条,设计合理,简单易行,屏幕上显示的配置信息基本不超过一屏;另外,这些命令也非常直观,学起来很快。虽然测试组的同仁并不介意已经熟悉的命令行,但仍然希望C isco公司开发出图形化用户界面,早日把网络管理员从被迫进行的命令学习中解放出来。
Microsoft公司的Proxy Server深得图形界面精髓, 它的配置可通过微软的几种界面棗微软管理控制台(MMC)、Web浏览器或Dos命令行进行。但是,这个防火墙第一个版本的能力还需要一些考验,原因在于M icrosoft公司坚持让MMC与图形界面相适应,而不是与网络管理员的需求相适应。
Proxy Server功能较强,内置有Web页面超高速缓存、协议翻译、防火墙和SOCKS能力。它的配置界面相对其产品来说较为复杂,而且经常需要依靠微妙的术语来区别相关的功能。
Watchguard Technologies公司的Watchguard Security System的配置方法有所革新。它与Elron Software公司的Elron FireWall类似,采用了面向服务的配置,但在打包配置任务和主题上比Elron FireWall做得更好。例如,它允许用户创建一个独立的名单列出“总是堵塞的”TCP端口,作为规则的补充。有了这种灵活性,可想而知,用户不需要太多的帮助就能很快达到较高水平。
Watchguard Security System和PIX的配置工具也都给人留下了深刻印象,用户只需经过很少的训练,就能控制很多东西。这点对于那些两三个星期只调整一次防火墙配置参数的管理员格外重要。
安全策略
随着安全策略的进一步发展,防火墙市场日益成熟。早期的防火墙只有一种策略棗网络层的、传输层的或应用层的安全棗人们发现成功的防火墙往往得益于网络的安全。高端的产品也能增加这方面的特性,如基于协议的攻击检测和实时避免非法闯入。
同时,对SOCKS验证和代理系统的支持大大降低了,只有CyberGuard和Microsoft支持该协议。
测试组从两个角度评价安全性:一是判断数据流是否允许通过的规则;二是能够执行更多智能化处理的代理。代理可以在应用层中途拦截数据流,理解应用协议,这样一来,防火墙就可以基于应用进行数据流的过滤或修改,而不仅仅是I P地址或已验证的用户。例如,代理可以阻止从Web页面下载ActiveX applets或者允许用户用FTP获取文件,却不能把文件透过防火墙向外传送。但是本次评测中发现大部分厂商对自己产品的代理功能言过其实。
各产品的代理功能不一,从Elron Software 和Cisco公司的最简单的FTP代理功能到大量复杂的功能,如Microsoft公司的HTTP代理。最“强健”的代理集合是Check Point公司的FireWall-1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基于第二层,例如,NetRoad FireWall精心设计的FTP代理可以封住特定的FTP命令,并能阻止经过防火墙传送的某些类型的文件。
HTTP代理的能力在Microsoft Proxy Server上发挥至极,因为Microsoft Proxy Server原本就只是一个HTTP代理服务器。该服务器不仅能控制和重映射URL,还能把Web页面存在缓存里加快访问Internet数据的速度。Ch eck Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了实用的HTTP代理,可以进行病毒检查和拦截URL,但是没有缓存技术。Check Point的FireWall-1和Watchguard Technologies公司的Watchguard Security System的代理特别灵活,可以自动连接到外部的HTTP缓存服务器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP负载的服务,其中Check Point有很细致的选项。(Cisco在另一条独立产品线上提供了负载平衡功能)
本次测试中,虽然FireWall-1的可鉴别转发邮件的发送IP地址真伪的能力是一个聪明的革新,但是必须承认没有一个产品具有值得一用的简单邮件传输协议( Simple Mail Transfer Protocol)代理。大部分代理都是为1984年以前版本的邮件而设计的,没有产品能控制住最新的SMTP服务扩展内容ESMTP(Extended Simple Mail Transfer Protocol),这就在事实上降低了E-mail的安全性。好在所有的防火墙产品都可以关闭这个功能。
对于那些不需要太多智能的简单代理服务,诸如Telnet或Ping, 网络管理员通常更注重规则。参加测试的产品在这方面的差距不太明显,结果则更加微妙。例如,Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支持每周的某天和每天的某具体时间的限制。然而,几乎没有网络管理员会在下午五点钟大动安全规则。
其他方面的差别相对重要一些。Ukiah Software公司的NetRoad FireWall根本没有否决的概念,甚至用户只进行简单的网络配置也会发现这是个令人头痛的限制。与他类似,Elron FireWall假设了TCP/IP的堆栈,这会造成与那些端口号低于1024的系统不兼容。
小型网络使用基于服务的方法棗在每个方面定义许可或不许可的服务,显得绰绰有余。Watchguard Security System和 Elron FireWall即采用此法。然而,更大一些的网络或与外部有着复杂连接的网络则应采用基于地址的方法,这也是其他大部分产品所提供的,只有这样才能把网络的安全策略翻译成防火墙的配置。
很大规模的网络会发现基于地址的代理服务器也有局限性,因为这种服务器要求的是Windows客户端的软件,而不是HTTP、FTP和Gopher。
即使采用基于地址方法的防火墙产品也有明显的不同之处。例如,FireWall-1是唯一允许用户决定一个被拒绝的连接是被忽略,还是被立刻驳回的产品。
此外,一些产品的安全特性也给人留下了深刻印象。如Watchguard Security System探测到有被闯入的危险时,可从一些节点上动态修改网络的安全策略,从而封住所有的数据流。它还可以检测并躲避一些进攻者常用的“探针”工具。M icrosoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN"洪水”(一种普通的拒绝服务攻击)的保护功能。其中,Check Point的战略最具特色,它不仅详细记录了攻击过程,还给出了如何处理的选项。
监测与统计
大部分防火墙的管理已经包括了一个安全管理工作站,尽管它的日志和监控工具可应付常见情况,但仍然相当粗糙。特别是Elron Firewall,它居然不记录“对话”,这点很不可取。
CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其内置的实时显示功能给测试组留下了最深刻的印象。例如,Guardian可以让管理员查看目前所有实时更新的信息,如通过防火墙的连接、带宽的使用和其他统计资料等。这些信息在进行防火墙的配置时很有用,能够有助于理解防火墙怎样解释既定的规则,也有助于处理遇到的紧急情况。
大部分产品在日志报告方面都做得不太好,只提供原始的日志资料。用户不得不使用一些工具,如Perl,去生成总结性的信息。Cisco、C heck Point、CyberGuard和Ukiah Software的防火墙产品都是如此,只有Watchguard Security System提供的报告功能较强一些,但也得使用他自己的其他独立的产品。
另外,NetGuard公司也能提供最基本的总结工具。Microsoft在以下方面占据了领先位置:为日志提供分析工具(已安装,但没有许可权的独立产品),以及直接把日志记录到S QL或其他符合开放数据库标准的数据库中。
身份验证
在防火墙世界里,身份验证的最初含义是保证外部用户安全访问内部。随着该功能的重要性不断增加,身份验证已经开始用于验证内部用户访问外部I nternet服务。所有的防火墙都有某种方法让用户创建一个通过防火墙的信息。由于这种验证可以作为协议的一部分,当用户想连接资源或离线时,可以看到验证的请求信息。
验证也可以在离线时进行,但是要求运行另一个不同的程序或特殊的应用去打开防火墙。离线验证的过程可以如同用浏览器指定URL一样简单,复杂起来又像装载一个具有各种安全级别的特殊的客户端。例如,C heck Point 公司的FireWall-1可以拦截外出的文件传送、Telnet和HTTP查询,也可选择验证后继续操作。但是,正如Check Point公司所指出的,一旦验证已经发生,基于IP的访问就相当冒险。
CyberGuard Firewall和Watchguard Security System对此有更好的策略:客户端必须与防火墙建立连接,只有连接存在,才允许访问。
其他厂商对验证有更严格的限制。例如,NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一个特殊的Windows客户端应用,而不需要连接认证外部用户的数据库。Microsoft Proxy Server也有一个Windows客户端应用,但是,如果只是验证有关Web的交易,可以不用它,因为任何Web浏览器都能做到这点。
Proxy Server集成了NT用户的验证数据库,这点与Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中,Ukiah Software还集成了Novell公司的目录服务。
另外,Check Point、Cisco System、CyberGuard和NetGuard公司的防火墙产品都提供了一次口令机制,或自己直接完成,或是用网络认证系统实现,如Remote Authentication Dial-In User Service或TACACS+。
文档资料
文档资料也是许多参测产品的弱点。这方面的领先者是Microsoft公司,它提供了所有资料的在线文档,其中包括详尽的指南信息,美中不足的是没有印刷品资料。
Check Point 公司的FireWall-1、CyberGuard公司的CyberGuard Firewall、Watchguard Technology公司的Watchguard Security System既有优秀的在线文档,也有印刷资料,且进一步阐述了防火墙的原理和操作。
Cisco PIX的资料与其防火墙的风格一致棗短小精悍,同时还提供Cisco信息系统光盘。尽管这些文档看起来有些“吝啬”,但根据它们能够很好地配置和管理防火墙。
Elron Software公司的Elron FireWall、NetGuard公司的Guardian和Ukiah Software公司的NetRoad FireWall的文档水平一般。最糟糕的是NetRoad FireWall,虽然包含了一百多页的安全指南,但没有一篇与产品功能和产品规格说明相关。而Ukiah Software公司,则是测试组为了理解产品功能和如何配置进行电话联系最多的厂家。Elron Software稍好一些,但资料删节得也比较多,它的作用更像一个桥,而非路由器,这种构建防火墙的做法比较正确,也很不同寻常。然而,这么重大的不同点在E lron Software的资料里都没有给予解释。市场上只有Network-1 Software&Technology公司的Firewall Plus采取了同样的办法。
评分标准和测试结果
评分标准
配置 25% 灵活性和高级功能 25% 日志报告/报警/检测 25% 综合能力 15% 支持平台 5% 文档和在线帮助 5% 总分
Check Point 8 8 6 8 8 8 7.50
Cyberguard 7 8 6 7 5 8 6.95
WatchGuard 7 7 7 6 5 8 6.80
NetGuard 6 7 8 5 5 6 6.55
Microsoft 5 6 7 7 5 8 6.20
Cisco 7 7 5 5 5 8 6.15
Ukiah 6 5 6 8 5 5 5.95
Elron 6 6 4 5 5 7 5.35
测试结果
Microsoft公司
产品: Proxy Server 2.0;
价格: 995美元;
平台: Windows NT 4.0;
优点: 紧密集成在所有的Windows NT网络;具有高级的HTTP代理功能;
不足: 对非Windows客户端,有些功能不可用;要求客户端在NT的用户数据库中注册,进行身份验证。
Check Point公司
产品: FireWall-1 3.0;
价格: 2995~18990美元;
平台: HP-UX, IBM AIX,Solaris,SunOS, WindowsNT;
优点: 易于配置和重配置,支持平台多,多点管理最佳,功能面广;
不足: 用户界面笨拙;监控工具和实时功能弱。
Cisco System公司
产品: PIX FireWall 4.1;
价格: 9000美元;
平台: 专用硬件;
优点: 安全模式简单,界面易于配置,熟悉Cisco路由器命令的人能很快掌握;
不足: 代理功能有限,安全模式相当不灵活。
Elron Software公司
产品: Elron Firewall/Secure 32OS;
价格: 4995美元以上;
平台: 基于Intel CPU的微机,防火墙运行于自己的操作系统;Mgmt界面运行在Windows NT/95上;
优点: 支持多协议,对简单网络可以快速配置;
不足: 没有实际意义上的代理,身份验证要求额外的Windows应用程序。
CyberGuard公司
产品: CyberGuard Firewall 4 for Unix;
价格: 5995~14995美元;
平台: 基于Intel CPU的微机,防火墙运行于固化在硬件里的操作系统之上;
优点: 实时监测工具很好,内置域名系统,功能强大的代理;
不足: 原始日志、配置界面不够平滑。
Ukiah Software公司
产品: NetRoad Firewall for Windows NT 2.0;
价格: 995美元以上;
平台: Windows NT;
优点: 安装快速,包括IPX-to-IP网关,成本很低;
不足: 文档资料较差,配置规则不灵活。
NetGuard公司
产品: Guardian V3.0;
价格: 3980~8980美元;
平台: Windows NT(管理界面运行在Windows 95上);
优点: 优异的实时连接监控,较好的简单网络配置向导;
不足: 文档资料不足,代理功能有限。
Watchguard Technology公司
产品: Watchguard Security System 3;
价格: 3995美元以上;
平台: 专有硬件(管理界面运行于Linux或Windows平台);
优点: 采用吸引小型网络的“黑盒子”方法,配置灵活,很好的实时冲突避免功能;
不足: 有限制的配置不能随需求增长,内部的Linux内核把支持操作系统的重担加在小厂商身上。
购买指导
本次测试发现:客户喜爱的品牌并没有因为已经取得的荣誉而裹足不前,CheckPoint Software公司的FireWall-1,CyberGuard公司的CyberGuard Firewall,和Cisco 公司的PIX都比上次测试又有了进步。 年轻的Watchguard Technology公司和NetGuard公司的产品第一次登台亮相,就获得了好评。
Microsoft公司的第一个防火墙版本虽然榜上名次不理想,但毕竟为本公司的软件资源和市场增添了力量。同样,Elron Software公司和Ukiah Software公司虽然没有名列前茅,但也取得了可喜的进步。如果用户需要对付非IP协议,如IPX, DECnet,和AppleTalk, Elron的产品显得格外有吸引力。更多精彩文章及讨论,请光临枫下论坛 rolia.net