CheckPointVPN-1/Firewall-1 NG
---- CheckPoint Firewall-1是目前市场占有率最高的防火墙产品,我们这次拿到的是最新推出的
CheckPoint NG系列中的VPN-1/Firewall-1 NG(后简称Firewall-1)。
---- Firewall-1功能丰富,并具有良好的高可用和分布式管理特性,防火墙模块可安装在不同的服务器上,由策略服务器统一管理,将策略分发至各个防火墙模块。在安装时,用户需要访问Internet上CheckPoint公司的用户中心页面进行注册,并获得许可证,从而完成安装。
---- Firewall-1中最有代表性的技术是状态监测(Stateful Inspection),Firewall-1的监测模块可以检查经过Internet网关、服务器、路由器、交换机等网络关键设备的数据包,将不符合企业安全策略的网络连接拒之门外。监测模块工作在数据链路层和网络层之间,可分析数据包中从网络层到应用层的状态和上下文特征数据,并进行动态更新。对于UDP或者RPC等无连接的协议,监测模块可创建虚会话信息用来进行跟踪。这一过程对最终用户完全透明。
---- Firewall-1的主要设定工作是由策略编辑器(Policy Editor NG)来完成的。在安全规则的设定上,Firewall-1使用了对象这一基本元素,各项策略都是对多个对象采取的不同动作。Firewall-1将对象分为8类,包括:1.网络对象,即工作站、网段和IP地址范围等,也包括防火墙;2.服务对象,即各种协议; 3.OPSEC组件对象,包括第三方的OPSEC组件;4.服务器对象,主要包括用于认证的服务器; 5.用户对象,包括用户和组; 6.时间对象,包括各种时间段;7.资源对象,包括HTTP URI以及FTP、SMTP等,用于控制应用层内容;8.虚拟链路对象。所有对象在左边窗口中分栏列出,如图2所示。
---- 需要注意的是,对象可具有隐含的全局属性,例如,在认证设置方面,我们可以在防火墙的属性设置中先限定可用的认证方法,设定规则时再做具体限定。
---- 我们使用Policy Editor轻而易举地完成了典型平安网络公司的安全策略设定。
---- 首先,我们定义了工作时间对象,然后逐一定义用户及组,Firewall-1内置了LDAP支持,同时可以很好地与Windows 2000 AD进行认证集成,这意味着我们可以不必另外建立和维护一套认证机制。事实上Firewall-1支持目前几乎所有的主流网络用户身份认证系统,很容易与已有的系统进行集成。
---- 完成了各种对象定义工作,我们首先在内网Net_192.168.1.0上启动了NAT(源网络地址转换)功能,在这里,Firewall-1支持2种转换形式,即隐藏(hiding)方式和静态(static)方式,前者是多对一的方式,将多个保留IP转换为一个真实IP,以不同的端口来区分不同的保留IP的连接,而后者是以一对一的方式将保留IP转换为真实IP,显然,我们需要选择隐藏方式,选择隐藏地址为防火墙的外部IP。点击确定后,Policy Editor会自动在地址翻译(Address Translation)一栏中添加相应的2条转换规则。但是,为了让Internet能够访问内部网中的邮件服务器,我们还需要手工添加一条转换规则,进行目的网络地址转换。需要指出的是,启动了NAT并不意味着内网的用户就都能够共享IP进行Internet访问。这还要由防火墙的安全策略来控制。
---- Policy Editor还提供了很多有特色的功能,例如,对于每条规则,Policy Editor提供了右键选单,可以用来禁止、启用和隐藏选项,这对于用户调试是十分方便的。用户还能对网络对象进行着色、分组显示,非常直观。Policy Editor甚至使用户能够以可视化的方式对网络拓扑结构进行察看和编辑。
---- CheckPoint是OPSEC的始创者和大力提倡者。Firewall-1可通过OPSEC规范来连接各种信息安全模块,如反病毒、入侵检测等。
---- CheckPoint NG还提供了一系列周边工具,包括日志察看器(Log Viewer NG),系统状态察看器(System Status NG)、流量监视器(Traffic Monitor NG)等等。
---- 测试中我们发现,典型平安软件公司的网络环境还未能让Firewall-1 NG得到充分发挥,这款产品能够胜任各种规模,不同类型网络的需要,尤其适合信息化水平较高,对网络安全要求较高的企业。
Microsoft ISA Server 2000
---- 过去,在安全性方面微软的产品经常遭受非议。产品本身固然有时会暴露出安全缺陷,但更多的情况是系统设置的问题,易用性和通用性一直是微软的产品的法宝,而易用和安全是一对矛盾。实际上,微软的产品大都有完善的安全机制,但为了用户的方便,系统默认的设置往往是不安全的。最近几年,微软在企业级产品领域取得了长足的发展,其产品的功能、性能和稳定性都可圈可点,而在企业级应用中,安全性更为重要,因此,微软前些时候宣布,今后将改变默认系统安全策略,采用默认安全(Security By Default)的设置。
---- ISA(Internet Security and Acceleration)Server 2000堪称默认安全准则的典范。ISA Server 2000是微软企业级服务器系列产品中的一员,是一款非常出色的防火墙/缓存产品。也是广大MS Proxy的用户翘首以待多年的新产品。事实证明,ISA Server的确没有令这些用户失望。
---- 与MS Proxy 2.0相比,ISA Server 2000是独立运行的,并不需要IIS,事实上,ISA Server的文档中建议用户卸载IIS,以进一步提高系统的安全性。
---- 我们测试的产品是ISA Server 2000企业版,在安装前,我们可以先选择“运行ISA Server企业初始化”选项将企业策略导出到AD中,供以后安装的域中的各台ISA Server共用,以组成阵列(Array)。当然,这项操作只有域管理组成员才能进行,显然,这款产品提供了良好的AD集成机制。
---- 安装过程中用户需要在防火墙模式、缓存模式和集成模式中做出选择,我们选择了集成模式,以便同时得到代理防火墙的功能,满足典型平安软件公司的要求,如图3所示。
---- 测试中我们发现,设置ISA Server 2000所需的时间是最短的,因为在安装结束时,系统提供了交互式的设置向导。
---- 我们首先需要设置的是安全策略所使用的元素(elements),这里的元素相当于Firewall-1中的对象,基本元素包括用户群组,客户机名及IP、时间和目的地址集等,如图4所示。然后是具体的各类元素设置。首先是时间元素,我们发现,系统已经内置了周末和工作时间,我们需要做的只是对工作时间进行微调,然后定义一个新元素所有时间。随后是定义客户及地址集合,我们定义了典型平安软件公司的内部网段,即192.168.1.1~192.168.1.254。
---- 然后是整个ISA Server 2000设置中最为关键的部分,即协议规则的定义,用来确定哪些协议能够通过防火墙。这部分包括Internet访问协议规则和普通协议规则,如图5所示。我们在Internet访问协议规则中选择了HTTP和HTTPS,满足员工访问Web的需求,然后随着向导的指引,选择规则的作用时间为工作时间,应用范围为特定的用户和组,随即选择了预先在域中定义好的全体员工组(allusers),而不需要单独添加防火墙用户和组。完成后,我们又设定了若干协议规则,允许特权小组、部门领导等用户组的访问。例如在设置特权小组访问规则时,选择时间为所有时间(all),允许协议为所有IP交通,作用对象为特权小组。
---- 随后是目的地址的设定,用来在规则中定义不同的目的地址集合。我们定义了典型平安网络公司的Web服务器网段。最后是站点和内容规则,用来决定特定的站点和内容是否可访问。我们只添加了允许规则。
---- 随向导设置后,我们已经完成了绝大部分安全策略设定工作。随后,只要在访问策略中略为修改即可。值得一提的是,所有的设置都是在MMC风格的ISA管理程序中进行的,即使是第一次安装,也没有陌生的感觉。
---- 如果仅仅访问Web,内部网用户只要登录到域,设置HTTP代理为防火墙即可,系统的默认端口为8080。如果需要使用非缓存协议,则客户端需要安装客户端程序,通常在ISA Server的共享目录mspclnt下,MS Proxy 2.0的用户一定对此非常熟悉。
---- 我们也尝试了安装时不用向导,事实证明这样很容易出错或遗漏某些东西,ISA Server 2000创造性地将复杂的工作简化,的确给用户带来了极大的便利。
---- 在之后的使用过程中,我们感到非常值得称道的是ISA Server 2000的记录功能,尤其对于缓存协议,该产品提供了强大的记录和统计功能,比MS Proxy 2.0和其他防火墙产品都有明显的优势。
---- 该产品适用于各种规模的网络,尤其适用于使用微软网络环境的网络。
PowerGuard
---- 拓林思公司面向中小企业的整合信息化解决方案Power Solutions中也包含了防火墙解决方案,即与京联特公司合作的PowerGuard。
---- PowerGuard是代理和包过滤结合的产品,其动态包过滤模块,工作在数据链路层和网络层之间,可根据IP/UDP/ICMP等协议封包的连续动态信息来实施规则,其应用代理模块工作在应用层,可对应用层协议的内容进行控制。
---- 我们基于TurboLinux Server 6.5平台对PowerGuard3.3版进行了试用。该产品在服务器上的安装比较简单,安装过程中需要输入厂商根据防火墙软件版本及防火墙外部IP地址生成的认证码。PowerGuard在管理上使用了专有协议,管理和监控工作通过运行在Windows平台上的管理工具来完成。
---- 使用PowerGuard系统设定工具,我们比较顺利地实施了既定的安全策略。该工具的界面比较直观,可设定的对象包括用户及用户组、主机及子网、时间和协议等,如图6所示。我们发现,该产品的内置支持的协议较少,对于NetMeeting、PC Anywhere、Outlook以及各种即时消息应用,都需要用户逐一定义,但自定制协议相当容易,我们顺利添加了基于SSH和180两个TCP端口。在创建了工作时间以及用户群组对象后,便可逐一设定规则了。典型的规则设定如图7所示。
---- 每一条能够根据用户群组、来源地址、目的地址、协议(服务)以及时间来决定包的处理。前3项除了可以使用预先定义或自定义的对象外,还可以自动取反。我们发现,在使用“网络访问控管平台”添加规则的时候,用户可以选择“用户交集”选项,对用户及群组属性中设定的来源网络、允许时间等规则与访问规则的相应项取交集,实现更严格的访问控制。2种记录方式相比较,短记录可记录用户、源地址、目的地址以及协议等基本信息,而长记录可记录协议封包中的部分内容,如Telnet的指令、FTP传送的文件名称、传输指令等。需要注意的是,只有以应用代理形式提供支持的协议,即FTP、HTTP、SMTP、POP3和TELNET 5种协议可以使用长记录。
---- PowerGuard针对一些典型的需求提供了若干简单而基本功能选项。如SMTP防滥发功能(如图8所示),基于自定义URL的Web访问控制功能,防止Sync flooding及端口转发等常见攻击类型的功能等,并可与InterScan Virus Wall防毒防火墙产品进行集成,查杀SMTP、FTP以及HTTP协议数据中的病毒。“色情防堵”是PowerGuard的特色功能之一,如图9所示。该功能允许用户自定义色情网站过滤、非色情网站、过滤关键字等,并能够从京联特网站自动定期下载色情管制数据。
---- 在身份认证方面,PowerGuard提供了3种用户身份认证模式,即主机模式、对谈模式和代理模式,但没有提供与Windows NT域或Windows 2000 AD以及其他认证系统的集成,需要用户单独建立一套安全机制。
---- 总的来说,该产品的本地化特色非常突出,易于使用,适合中小企业以及网吧/学校等单位使用。
Linux――防火墙的优秀平台
---- 防火墙是Linux系统的流行应用之一,用户可以将Linux进行定制,使用各种开放源代码(但并非都遵守GPL授权方式)的软件来构建防火墙/代理系统。这些软件包括:IPChains/IPtables等核心层的包过滤/网络地址转换系统、以Squid为代表的Web缓存系统、以FWTK为代表的应用层代理系统以及以Socks4/5为代表的电路层网关系统,将其中某些系统整合,可以在一定程度上实现商业防火墙软件的功能。但在多数情况下,对广大中小企业用户来说,如果没有精通Linux的技术人员,使用基于Linux的免费方案并非合理的选择,虽然实现一定的功能并不难,但正确而高效地配置这些产品需要相当的技巧,导致维护成本较高。相比之下,商业软件在功能、性能和易维护性等方面都占有优势。Linux开放灵活的特性以及强大的网络性能使其成为优秀的防火墙平台。现在,已经有很多安全厂商提供基于Linux平台的防火墙产品,包括CheckPoint。
