信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。
计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。
对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。
在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。
计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。
众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:
其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。
其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。
其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。
下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言, Cisco PIX是同类硬件防火墙产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
但是,其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三:其一价格昂贵,其二升级困难,其三管理烦琐复杂。
与Microsoft ISA SERVER防火墙管理模块类似,Cisco公司也提供了集中式的防火墙管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,这给我们留下了深刻印象,但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志管理、事件管理等方面远比不上ISA SERVER防火墙管理模块那么强劲易用,在对第三方厂商产品的支持这方面尤其显得不足。
它的管理功能模块的不足,是我们测试的所有产品中最差劲的一个:PIX的绝大多数管理都是通过命令行进行,没有漂亮的管理GUI,这使它的界面友好性较差,对于一些不熟悉指令的用户,使用PIX防火墙是件困难的事情。除此之外,用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,特别是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。
此外,我们发现使用命令行设置NAT并非简单,决没有比使用大多数GUI更方便。但是我们还发现,除了简单的安全策略,PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦,这需要对规则进行重新排序,在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。
PIX自身带了一个管理应用程序,但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件,我们可以通过Web来访问这个程序。如果使用Web界面管理PIX,我们只能在配置时使用它做一些非常简单的修改。 Cisco公司称,他们将在明年初开发出一个新的软件以改善PIX的管理功能。
PIX的日志和监视功能也比其他产品逊色不少,它没有实时日志功能,而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样,根据系统日志发出警报还是可以做到的。
还是那句话,若是你可以容忍PIX的种种缺点,只是看中了它的速度,那么你不妨试试。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙,是市场上老资格的软件防火墙产品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作,属状态检测型,综合性能比较优秀。兼容的平台较多是它的优点,但兼容性广泛也导致该产品的某种平台上没有深入集成优势,“泛而不精”。例如:但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。
先说该产品优点:1).尽管是状态检测型防火墙,但它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。
2). 它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比较灵活。
3) Check Point Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。
4). Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,基本达到线速(号称可达80Mbps)。
5). Check Point Firewall-1是集中管理模式,即用户可以通过GUI同防火墙管理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中, 管理线条比较清晰。
主要缺点有:1).Check Point Firewall-1的处理性能过分的依赖硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时,无法为客户提供集群或是阵列服务,无法更进一步提高并发性能。
2) Check Point Firewall-1管理界面的功能较多,但功能模块分散,功能模块丰富而使用不便。在复杂的操作流程下,通过Check Point Firewall-1管理界面,来修改安全规则等,很容易疏漏,难以相互照应。
3) 通过 Check Point Firewall-1管理模块,可以管理AXENT Raptor、Cisco PIX等,可以对Bay、Cisco、3Com等公司的路由器进行ACL设置,但这些功能模块是独立的,需要单独购买License,价格很贵。
4).Check Point Firewall-1最致命的缺点体现在:与操作系统的深入集成性比较差,特别是与MS Winnt/Win2k的集成性,无法与操作系统相互照应,形成立体防护网。
5). Check Point Firewall-1底层操作系统对路由的支持较差,以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。
3. AXENT Raptor
与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的较好的一种。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。
Raptor 防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。
显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如MS ISASERVER灵活。
AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能较好的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模块不集中的缺点。但AXENT Raptor的实时日志处理较好,则仅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允许通过防火墙的SMTP命令;能剥去邮件报头中的内部网信息。与MS ISA SERVER相似,AXENT Raptor可以检测到邮件头部缓冲区溢出攻击,并在它探测到危害安全的企图时,允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web 服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。
Raptor的并发性能很差,没有支持企业级用户的防火墙阵列功能,海量级数据包分析过滤能力不够。在这一点上,它明显不如MS ISASERVER,甚至没有FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。
需要指出的是,当我们激活NAT的时候,AXENT Raptor有少许性能降低的迹象。而FireWall-1则相反,在启动NAT的时候性能显著下降,这是因为代理类型的防火墙本来就要重写报头。
还有一点,AXENT Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),对机器的硬件要求很高,你必须升级到更快的机器。
作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统―AXEN。在安装的时候就主动努力保护操作系统,关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后,Raptor继续监视操作系统中可能危及安全的新进程。这也是AXENT Raptor明显不足之一。
AXENT Raptor和MS ISA SERVER都把主机、网络和服务定义为“元素”,这是一个和Check Point采用的“对象”类似。规则编辑器利用这些元素创建安全策略。但AXENT Raptor的这个管理界面实在令人不敢恭维。但是我们还是更喜欢MS ISA SERVER的界面,因为MS ISA SERVER包含方便阅读的颜色和图形,并且实现所有管理模块的集中。
另外,在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难,在AXENT Raptor中,你必须为你想运行的应用程序激活相应的代理服务,否则相应流量将不被允许通过这个防火墙。
Raptor也支持ICSA认证的IPSec并兼容VPN(virtual private network,虚拟专用网),但不幸的是,Raptor没有使用硬件支持卡,所以你在启动这个大量加密连接的功能时要小心从事,因为它非常消耗CPU资源,直至你的系统死机。
4. NAI Gauntlet
Gauntlet是美国网络联盟公司(NAI)推出的PGP网络安全解决方案中的防火墙套件产品。该产品属于应用层网关一级的防火墙。
Gauntlet 在应用层按照安全策略检查双向的通信,具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性,可用于Internet/Intranet和远程访问等多种领域,但这些功能模块相对简单,性能相对较低,而且配置管理界面基本是基于命令行的,没有GUI那么直观和友好。
用户在使用Gauntlet防火墙产品时,还可以根据需求选择防病毒措施,这是他的特色之一。配置Gauntlet防火墙,还可以检查进入网络的文件、消息和Web内容;防止Java和ActiveX程序攻击网络;过滤URL、对远程访问进行报告和实时报警。
Gauntlet 提供了比较丰富的代理服务清单,其中包括:FTP(诸如Microsoft公司的NetShow、RealNetworks公司的RealPlayer、 ZingTechnology公司的StreamWorks以及VDOnet公司的VDOLive之类的多媒体)、SNMP、新闻以及其他几种,它还具有建立定制代理的功能。其鉴定服务包括:AccessKeyⅡ、CryptocardRB-Ⅰ、AxentTechnologies公司的 DefenderSecurityServer、VascoDataSecurity公司的Digipass、SecureComputing公司的 SafeWordAuthenticationServer、SecureNetKey、SecurID、S/Key以及可重用口令(内置)。
NAI Gauntlet不含有Integrated Web Cache功能,不能加速企业的网络信息访问,并且没有支持企业级应用的防火墙阵列功能,这一点对于任何软件防火墙都是及其必要的。总体而言,NAI Gauntlet更像是一个给其他防火墙提供辅助功能的一个增强模块,让它独立担纲,有点勉为其难。
5.NetScreen 科技的 NetScreen-100
和Cisco的PIX类似,NetScreen-100也运行专有操作系统。与运行在Intel平台上的PIX不同,NetScreen使用专有 ASIC构成高性能防火墙,价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后,我们就可以通过 Netscape或者微软的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall-1比NetScreen-100性能高,如果运行 NAT,NetScreen的性能不会降低,因而比FireWall-1的性能要好。
NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能,防火墙内的任何主机或者路由器可以继续使用Internet路由器的网关地址,或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网,也不需要把外部路由器的地址移动到防火墙的内部接口上来,这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。
NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上,除了URL过滤和FTP,它没有任何其他比简单的包过滤更强大的功能。
6.CyberGuard 公司的CyberGuard 防火墙
CyberGuard 防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面非常粗糙和简单。
CyberGuard加固了它自己的操作系统,使它的多虚拟安全环境(Multiple Virtual Secure Environments,MVSE)系统谨慎地隔离所有进程、文件和目录,只允许绝对必要的通讯通过CyberGuard。
它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台,顶部的菜单条上列着所有的基本应用程序。使用这个菜单能勉强能访问通用系统管理作业,比如 IP地址和路由配置等,这使得完成这些作业不是很轻松,这一点远不如MS ISA SERVER 和Check Point FireWall-1。
它的实际防火墙策略在信息包过滤窗口中建立,窗口的上半部分是规则列表,下半部分是编辑模板。编辑模板可以使你指定你想允许或者禁止的协议,可以快速建立日志并且可以让自己决定现在不想看哪些东西。你可以在每个规则的上面或者下面添加注释,但是我们发现如果相关规则对应着自己的屏幕就会显得凌乱不堪。
CyberGuard声称支持加密和密钥管理的IPSec标准,但是目前这个应用程序还没有通过ICSA认证。
总体而言,CyberGuard功能相对简单,性能一般,适合中小型部门使用。
7. 3Com OfficeConnect Firewall
与MS ISA SERVER类似,3Com OfficeConnect Internet防火墙也可以用来控制局域网对Internet的使用,为小企业提供确保网络安全的廉价和高效的方法,用户可以禁止访问不恰当的资料,记录哪些站点最常被访问,以及Internet连接使用着多大的带宽。..
产品评测:1) 3Com公司的OfficeConnect Firewall,使用全静态数据包检验技术,可以防止非法的网络接入和防止来自Internet的“拒绝服务”攻击,但防范其他攻击的措施不多,这会使技术经验有限的用户无所适从。
2) OfficeConnect Internet Firewall可以限制局域网用户对Internet的不恰当使用。DMZ可支持多达100个局域网用户。这使局域网上的公共服务器可以被 Internet访问,又不会使局域网遭受攻击。但性能相对较弱,只能用于50台机器的中小行企业网络中。
3) OfficeConnect Internet Firewall可以使整个办公室可以共享ISP提供的一个IP地址,从而节省费用,配置比较简单。
4) OfficeConnect Internet Firewall最主要的问题在于防火墙的性能较差,功能模块比较单一且可配置选项少。主要优点是维护相对简单,因为简单嘛。
8. 清华紫光UNISECURE UF3500
UF3500防火墙具有防火墙和流量控制等功能,结合了网络级包过滤(Network-level Packet Filter)和应用级代理服务器(Application-level Proxy Server)的功能。UF3500使用户可以轻松地设置安全策略、带宽优先级和访问记录。
产品评测:1) UF3500防火墙同样含有网络地址转换(NAT)功能,可以隐蔽内部IP地址,增强了安全性,节约了从ISP得到的外部IP地址。
2) 具备简单多级过滤、动态过滤和代理,可以通过数据包检测,保护内部网络不被破坏,并且保护网络服务和重要的私人数据。
3)用户可以配置的带宽使用、网络传输和防火墙系统记录,支持最大流量的控制,还以多优先级方式保护重要任务的应用,但配置相对分散。
4)支持 URL过滤,可以按URL地址进行过滤,可分别允许或禁止同一IP上的多个虚拟主机。
5)支持基于SSL的浏览器管理界面,允许通过流行的Web浏览器使用https协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。支持浏览器超时退出的功能,保证了管理员离开管理计算机后的安全。
6)其缺点是功能与性能相对偏弱,安全规则的定义范围完备性不够。不支持阵列性能,不适合高端应用。
9. 东方龙马防火墙
东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则保护内部网络,同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
产品评测:1)支持动态设置过滤规则的功能,根据实际应用的需要,在建立应用服务的时候动态地增加一组规则,在服务结束的时候,自动地把规则删除,这一点接近MS ISA SERVER的功能。
2) 支持双向的网络地址转换功能,同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换。
3) 具有比较简单的抗攻击和自我保护能力。通过体系结构来防范一系列外部黑客的攻击,如抗IP假冒攻击、抗特洛伊木马攻击等。
4) 提供GUI图形化用户界面对防火墙进行配置,并支持负载均衡技术,将用户的服务请求分布到多台服务器上面,但在这一点上,我们发现其没有达到企业级阵列应用的性能指标。
10. 微软网络安全和网络加速解决方案:Microsoft ISA Server 2000
Microsoft ISA Server 2000是微软公司设计与开发的,产品全称为Microsoft® Internet Security and Acceleration (ISA) Server 2000。
随着因特网和电子商务技术发展,商务应用对网络速度提出了更高的要求。企业的商务应用不只是局限于企业内部网,还需要通过企业外部网、因特网访问其它企业的应用。在竞争非常激烈的市场经济大环境中,对于一个企业来说,速度就是一切,为此商务因特网应用对网络的响应速度提出了更高的要求。所以,在现有的条件下,如何让企业对外的访问速度加倍,并且确保业务的运营环境通行无阻,安全可靠,已是企业刻不容缓的任务。
为了解决网络的整体安全,帮助企业组织控制在因特网及其内部网络间流通的信息,同时帮助企业加快网络的速度,微软公司推出了Microsoft® ISA Server 2000。
Microsoft® ISA Server 2000是Windows 2000 Server平台上同时具有防火墙与网站缓存的服务器软件。当用户付费时会发现,用相近的价格买回的防火墙产品,居然同时具备了PROXY(代理服务器)功能。这是我们拿到ISA SERVER后第一个感受。
Microsoft® ISA Server 2000提供多层次的企业级防火墙,并结合专用的防毒软件,在企业Internet推出的第一道关卡,保护网络资源,避免病毒、黑客及未获授权的存取行为,同时加速公司内部对内与对外的存取速度,节省Internet网络带宽,并且向使用者提供更快的Web存取速度,进而进行统一Internet资源管理。
Microsoft® ISA Server 2000具备高度扩展能力的防火墙与网站缓存服务器,它与Windows® 2000整合,提供了基于策略(policy-based)的安全性,同时也具备快速存取与易于管理的网络功能。Microsoft® ISA Server 2000提供了两个高度整合的模式:一个多层次的防火墙(firewall)与一个高效率的网站缓存服务器(Web cache server)。
防火墙提供了下列的功能:包(packet)、链路(circuit)与应用(Application)的过滤功能;检查通过防火墙的资料的功能:存取策略(access policy)的控制(如下图):信息流量的路由(routing)。缓存功能通过将最常存取的网站内容储存起来的方式,来改善网络的效率与使用者存取的速度。防火墙与缓存可以分别被布署在不同的服务器上,也可布署在同一台服务器上
Microsoft® ISA Server 2000巧妙设计的管理工具简化了策略的定义、流量路由、服务器发布与监控等工作,并以智能的管理界面,让管理者可以轻松设定防火墙与企业内部网络的复杂环境.
Microsoft® ISA Server 2000建立在Windows® 2000的安全性、目录服务、虚拟私有网络(VPN)与带宽控制的基础上,因此无论是分别布署防火墙、网站缓存,或是布署为两者兼具的整合模式, Microsoft® ISA Server 2000都能够强化网络的安全性、强制实施一致的Internet使用原则、加速Internet的存取。
Microsoft® ISA Server 2000能够在效率、管理、扩展性等各方面满足Internet高流量的需求,同时它也具备集中管理、多层次存取原则与容错的功能。Microsoft® ISA Server 2000 企业版为关键任务的Internet连接,提供了一个快速、安全与高扩展能力的环境。
这是我平时留意各厂家的一些资料集合起来的.防火墙的创始人是CHECKPOINT,所以无疑,他是最强的,世界上第一个针对应用层做过滤的防火墙是 ISA,所以他的卖点也是很明显的.随着企业的需求不断复杂,不断提高,硬件防火墙都开始效仿ISA的功能对应用层做处理了(原来的硬件防火墙只在低层次做过滤),最典型的是WATCHGUARD的防火墙,还有FOTINET等等.大家可以研究一些有代表性的产品,其他的都是千编一例
