当您购买安全系统时,您将发现,防火墙市场充斥着各种类似的且相互竞争的产品以及不同的观点。您满耳听到的是这样一种老式的争论:建议使用基于代理的防火墙,并宣称它们是更安全的产品,就像非常好的状态包检验冠军自我吹嘘的那样。评委们仍在争论哪一种技术更好,而您却有可能希望两者共同保护您的网络。
基于代理的防火墙源于人们对越来越牢不可破的安全方法的需求。网络黑客很快就发现了曾用来限制网络间访问的名为包过滤的原始防火墙技术的漏洞。由于人所共知的弱点以及难以逻辑配置的一整套规则,安全专家们有一种贬低包过滤程序的趋向。同样,原始的包过滤程序内在地受限于其在入包中所能看到的信息量――仅能看到源地址和目的地址及网络层的端口号――因此,它们是保护网络的最后一招。
代理――在应用层操作,在通信栈方面高于包过滤程序――可提供更为安全的选项。代理的功能是作为网络与外部世界的调解者,接受以内部服务器为目标的连接。它可为外部客户机开放单独的内部连接;而就外出申请而言,它开放外部连接。在代理保护网络之间不会进行任何直接的包传送。由于代理可处理入通信量的应用逻辑,因此,它们可以提供极好的访问控制、登录能力以及地址转换功能。
但是,随着安全性的增多,各种不便也变得越来越明显。例如,如果新的多媒体应用没有任何代理的话,那么,您将无法通过代理防火墙来使用它。
代理的最显著的缺点是性能瓶颈。由于它们所处理的入和出通信量的缘故,它们比简单的包过滤程序要慢得多,因为包过滤程序仅检查网络层信息。为了满足对快速防火墙的需求,有必要开发包检验。
包检验实际上就是包过滤,它将检查包内的所有数据,从网络层到应用层。一流的防火墙厂商Check Point Software已在包检验方面采取了下一步骤,亦即:跟踪穿过防火墙的会话状态。此技术也称状态检验,它可以检查协议信息以确认指定连接是合法对话的一部分。
状态检验可以挫败妨碍包过滤程序的攻击,而且相当于或胜过代理访问的安全性,因为它还可以通过应用层指令检查信息。
同样地,由于基于包检验防火墙无法处理客户/服务器交互作用的逻辑,因此,它们操作起来通常比其代理竞争对手要快。优越的性能是以牺牲没有问题的安全为代价吗?理论上讲是的:如果访问规则允许,包检验引擎可以传送包而不做任何修改,但是,代理却可以在再次发送所有信息之前截获、证实并重写所有信息。然而,市场却已用响亮的“不”回答了这一问题。在状态技术方面还未见出现任何明显问题的报道,这种技术已为人们所广泛采纳。
因此,您是选择基于包检验的还是基于代理的防火墙呢?理想地讲,您应部署这两项技术,但是,它们在应用层的相似的操作方式却妨碍了在一台装置中实现它们。最好的也是最现实的解决方案就是采取一种混合方式:在合适的时候,购买一种把高性能状态包过滤与高安全性的代理融合于一体的防火墙。
在本次测试中心评测当中,至少有两种产品,即:Internet Devices Fort Knox Policy Router F-3000和Watch Guard Security Management System 3.1 (Firebox II),是混合式防火墙,它们可以执行动态包过滤,同时又可以为数个公用应用提供代理。它们的包过滤能力可以跟踪状态和其它重要参数,但是,它们却缺乏真正的包检验,而这项工作是由代理来完成的。
最新出现的防火墙技术是Network Associates公司最近宣布的Adaptive Proxy技术。据称,Adaptive Proxy首先使用代理以及所有所需的认证和登录来启动防火墙连接。然后,如果它满足安全政策标准的话,将切换到与高性能包过滤程序的连接。这样就不必在安全与性能之间进行权衡。少数几种主要的防火墙产品已融合了类似的先进能力。
如果历史是指南的话,那么,安全将因任何防火墙――状态、代理或混合――的出现而得到极大的改进,这总比没有任何防火墙的出现要好得多。在一种被证明是刀枪不入的技术出现之前,请记住包过滤程序、代理和状态检验的主要优点和缺点,而且千万不要被安全FUD因素――防火墙不稳定和不确定――所吓倒。
