2003年是防火墙技术在网络安全应用中快速发展的一年。对于用户来说,该如何理性地按需选择合适的防火墙呢?为此,中国计算机报社联手第三方评测机构赛迪评测网络安全实验室,组织了9款主流防火墙百兆产品的横向评测,发现,目前防火墙的易用性、对不同网络应用需求的针对性都有了不同程度的提高,这表明防火墙厂商在开发产品时,对产品的功能、性能等方面有了理性认识――应用才是防火墙产品进一步发展的真谛。
横向测试报告
基于对用户不同应用需求的研究和分析,赛迪评测在本次9款百兆防火墙的横向评测中,改进了以往的评测内容和方法,将测试重点集中在防火墙的应用上,以帮助用户了解当前防火墙产品对安全应用需求的适应性。
测试内容
针对防火墙在各个行业中不同的应用需求,赛迪评测对其工作模式的可应用性、内容过滤、代理服务、对用户的认证、流量控制、状态监控以及防火墙的日志审计等功能进行了全面测试。同时也重点考查了防火墙产品的性能,性能测试主要包括吞吐能力、最小延迟、最大延迟、平均延迟、丢包率等。赛迪评测认为,目前,产品的性能仍然是防火墙技术发展的重要内容,同以往的性能测试相比,本次评测无论是从测试内容还是测试方法上,都有了较大提高与改进,以便更接近防火墙产品的实际应用环境。
参测厂商
本次百兆防火墙横向评测由中国计算机报组织,委托赛迪评测进行测试。参测的厂商及产品共9个,其中5个表现比较突出,具体如表一所示。
测试结果
工作模式测试
防火墙在实际应用中,经常困扰应用的问题包括防火墙如何接入?防火墙以何种工作模式工作?接入防火墙后如何保证原有网络的正常运行和应用?是否需要更改防火墙后端网络的设置?如何减少防火墙对用户日常应用的影响?这一系列问题涉及到防火墙的工作模式,因此,通过对工作模式的测试,可以帮助用户明确防火墙所提供的工作模式对具体应用的影响。防火墙的工作模式主要有三种,即路由模式、交换模式以及混合模式。
在工作模式测试中,方正方御FG 6340防火墙、清华紫光UF3500防火墙、亿阳网警BOCO.SFW-3000防火墙、阿姆瑞特AS-F300防火墙等都提供了灵活的接入支持功能,包含交换、路由和混合接入三种工作模式。在混合模式下,各网络端口间可以自由设置使用交换模式或是路由模式,内部网和Internet之间采用路由模式,配合NAT功能,节省上网IP,而DMZ和Internet之间采用交换模式,使得DMZ区的服务器保留公网IP地址。这种模式可以根据用户的实际情况灵活地进行设置,无需改动原有网络拓扑结构与设置,适用于网络结构较复杂的用户。其中,方正方御防火墙可以支持用户复杂的网络环境要求,如VLAN/TRUNK、ARP代理等。天融信防火墙4000支持桥模式、路由模式和混合模式。混合模式可根据网络应用环境自动适应,实现方式可以在防火墙接口上增加不同网段的虚拟地址。
防火墙安全认证
防火墙的认证授权是防火墙安全保障的重要内容之一,防火墙不但要保证系统自身的安全性,同时还要保障受保护网络的安全性,因此,安全认证功能就显得非常重要。在对用户的网络访问进行控制时,要求对不同用户进行身份认证,适应网络的安全需求。
目前网络层用户认证系统的主要功能有系统管理认证和客户应用认证两种。 系统管理认证主要是对防火墙系统及防火墙的各种管理权限进行控制。当用户通过客户端软件、电子钥匙或手动认证等方式通过身份认证后,该用户才可以成为防火墙系统认可的认证用户,从而保证网络应用的安全性。
在防火墙安全认证功能中,方正方御FG 6340防火墙、天融信防火墙4000、清华紫光UF3500防火墙、亿阳网警BOCO.SFW-3000防火墙、阿姆瑞特AS-F300防火墙在一定程度上都支持安全认证功能。
其中,方正方御FG 6340防火墙、天融信防火墙4000在管理认证授权方面借鉴了Windows的先进设计理念,使用电子证书形成统一认证的实施域。方正方御FG 6340防火墙实施域内的防火墙统一认证,域内账号统一管理,并建立了实施域管理权、策略管理权、审计管理权、日志查看权四级授权体系。用户使用一套账号可以管理域内所有防火墙,账号变更也可以统一完成,不必对每台防火墙设置账号密码。在用户认证授权方面,方正方御防火墙可提供内置账户、NT域账户、Radius用户、PAP/CHAP, MSCHAP/MSCHAPv2等多种认证方式。
清华紫光UF3500防火墙、阿姆瑞特AS-F300防火墙、亿阳网警BOCO.SFW-3000防火墙的认证方式支持本地用户认证、一次性口令、RADIUS认证;客户端支持透明认证和非透明认证两种方式。
天融信防火墙4000支持Radius服务器认证、TACACS/TACACS+两种方式。认证的方式是采用主动认证、被动认证。管理权限分为安全审计、安全管理、高级管理。
信息内容过滤
在防火墙中增加内容过滤功能,对用户的应用来讲具有很强的针对性。好的内容过滤功能一方面能够根据用户的实际需求过滤相应关心的内容,如邮政、电信、政府、学校等都可根据不同需求过滤相关内容,更重要的是,好的内容过滤功能不但能够对普通用户的网络应用提供安全保障,如对ActiveX控件和Java Applet过滤的支持,防止了恶意代码的侵入;同时,完整的内容过滤功能还包含了完整的内容过滤数据库以及对病毒的过滤,这样的内容过滤虽然牺牲了网络的性能,但若不考虑对性能的影响,采用这样的内容过滤能够最大限度地保护网络的安全需求,也正是由于这些原因,内容过滤功能在防火墙产品中得到了越来越多的重视,这也是本次对信息内容过滤重点测试的原因之一。
方正方御FG 6340防火墙、天融信防火墙4000、清华紫光UF3500防火墙、亿阳网警BOCO.SFW-3000防火墙在内容过滤方面各有不同。
方正方御FG 6340防火墙通过智能IP识别技术(包括先进的内核调度算法、零拷贝流分析ZeSA算法和快速搜索算法)实现了对HTTP、FTP等高层协议内容的快速分析和过滤。例如对HTML页面的阻断、关键字过滤、对URL的屏蔽、文件扩展名过滤,可以使管理员禁止用户访问非法站点、屏蔽色情、反动的主页和内容,以及对一些特定类型文件(如Java、JavaScript等)的访问。另外,通过对内部网的WWW服务器的某些内容和URL屏蔽,可以消除服务器本身的安全漏洞,从而对WWW服务器进行保护。
天融信防火墙4000由于是状态检测防火墙,因此,对get、put等命令不能进行限制。对HTTP过滤中,只能对URL进行过滤,不能针对某些关键词进行过滤。它对其他方式的服务也不能进行过滤。
清华紫光UF3500防火墙可以对选定内容进行智能分析和过滤功能。当有符合条件的数据流通防火墙时,系统可以根据一定的逻辑(如关键字的组合)检查内容,条件成立后会根据预先设定的控制逻辑处理该数据流,如拒绝进入、记入日志等,管理员可以观看日志统计结果调整包过滤策略,实现内容控制。根据安全策略,在访问Web资源时,从HTTP页面剥离Java Applet、ActiveX等小程序及Script等代码。控制FTP的操作,过滤FTP传输的文件内容。可保证SMTP的内容安全,隐藏内部地址、剥离特定类型的附件等。
亿阳网警BOCO.SFW-3000防火墙在透明代理的基础上实现了URL过滤和文本内容过滤功能,屏蔽不良的非法的网站,对Web内容进行细粒度的精确过滤和控制,防止所有内部网络用户浏览需要限制的网页。它同时支持URL过滤、站点过滤、文件扩展名过滤、索引擎缓存过滤、过滤google等搜索引擎的缓存内容、智能加权过滤、文件类型过滤、关键字过滤等。
阿姆瑞特AS-F300防火墙本身不提供内容过滤功能,但是,可以通过pbr支持第三方软件的方法来实现。
总体来说,目前的内容过滤技术大部分对URL过滤和网站的过滤较为有效,关键词匹配和智能过滤技术等还处于初级阶段,图像过滤、模版过滤等还处于理论研究阶段,许多技术瓶颈尚未解决,但在实际测试中,方正、亿阳、天融信等对URL有较好的过滤。
在测试中发现,有的产品在内容过滤中,不能正确显示正常的页面,更重要的是不能对加密的内容或网站进行过滤,这也是防火墙技术需要进一步提高的一个领域。
代理功能
在网络安全领域里应用代理程序,作为一种防火墙技术,能有效弥补数据包过滤和应用网关技术存在的缺点,全面保护网络的安全。代理功能能够提供HTTP、SMTP、FTP和DNS 等服务,能有效阻断恶意代码的传输,确保网络安全。
方正方御FG 6340防火墙、天融信防火墙4000、清华紫光UF3500防火墙、亿阳网警BOCO.SFW-3000防火墙、阿姆瑞特AS-F300防火墙都可提供代理服务的功能。
方正方御FG 6340防火墙可提供高性能的代理缓存服务功能,支持FTP、HTTP、HTTPS等常用应用协议。和一般的代理缓存软件不同,方御用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。方御防火墙将数据元缓存在内存中,同时也缓存DNS查询的结果,除此之外,它还支持非模块化的DNS查询,对失败的请求进行消极缓存。方御支持SSL,支持访问控制。由于使用了ICP(轻量Internet缓存协议),方御能够实现层叠的代理阵列,从而最大限度地节约带宽。管理员可以在用户管理中为用户设置代理服务权限,在访问规则中设置“禁止用户访问的站点”和“仅允许访问的站点”,同时还可以对时间、协议、方法、地址、DNS域、目的端口和URL来进行控制。通过建立禁止用户访问的URL列表,方御防火墙可以对该列表进行匹配,禁止对列表中的URL的访问。违反限制规则的访问企图将被记录到系统日志中。
亿阳网警BOCO.SFW-3000防火墙的代理服务器支持多种TCP上层协议、完全的透明性,对防火墙以外的任何设备以及主机无需做任
