信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。
计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统反抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。
对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强自身反抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。
在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。
计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。
众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会碰到许多问题,最具代表性的为以下三个:
其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。
其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,假如系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。
其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。
下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中碰到的一些问题提出来,供大家借鉴。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言, Cisco PIX是同类硬件防火墙产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
但是,其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三:其一价格昂贵,其二升级困难,其三治理烦琐复杂。
与Microsoft ISA SERVER防火墙治理模块类似,Cisco公司也提供了集中式的防火墙治理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,这给我们留下了深刻印象,但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志治理、事件治理等方面远比不上ISA SERVER防火墙治理模块那么强劲易用,在对第三方厂商产品的支持这方面尤其显得不足。
它的治理功能模块的不足,是我们测试的所有产品中最差劲的一个:PIX的绝大多数治理都是通过命令行进行,没有漂亮的治理GUI,这使它的界面友好性较差,对于一些不熟悉指令的用户,使用PIX防火墙是件困难的事情。除此之外,用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中治理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,非凡是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。
此外,我们发现使用命令行设置NAT并非简单,决没有比使用大多数GUI更方便。但是我们还发现,除了简单的安全策略,PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时碰到了最大的麻烦,这需要对规则进行重新排序,在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继续过来的并不好用的功能。
PIX自身带了一个治理应用程序,但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件,我们可以通过Web来访问这个程序。假如使用Web界面治理PIX,我们只能在配置时使用它做一些非常简单的修改。 Cisco公司称,他们将在明年初开发出一个新的软件以改善PIX的治理功能。
PIX的日志和监视功能也比其他产品逊色不少,它没有实时日志功能,而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样,根据系统日志发出警报还是可以做到的。
还是那句话,若是你可以容忍PIX的种种缺点,只是看中了它的速度,那么你不妨试试。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙,是市场上老资格的软件防火墙产品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作,属状态检测型,综合性能比较优秀。兼容的平台较多是它的优点,但兼容性广泛也导致该产品的某种平台上没有深入集成优势,“泛而不精”。例如:但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。
先说该产品优点:1).尽管是状态检测型防火墙,但它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。
2). 它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比较灵活。
3) Check Point Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。
4). Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,基本达到线速(号称可达80Mbps)。
5). Check Point Firewall-1是集中治理模式,即用户可以通过GUI同防火墙治理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙治理模块则负责编译安全规则,并下载到各个防火墙模块中, 治理线条比较清楚。
主要缺点有:1).Check Point Firewall-1的处理性能过分的依靠硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时,无法为客户提供集群或是阵列服务,无法更进一步提高并发性能。
2) Check Point Firewall-1治理界面的功能较多,但功能模块分散,功能模块丰富而使用不便。在复杂的操作流程下,通过Check Point Firewall-1治理界面,来修改安全规则等,很轻易疏漏,难以相互照应。
3) 通过 Check Point Firewall-1治理模块,可以治理AXENT Raptor、Cisco PIX等,可以对Bay、Cisco、3Com等公司的路由器进行ACL设置,但这些功能模块是独立的,需要单独购买License,价格很贵。
4).Check Point Firewall-1最致命的缺点体现在:与操作系统的深入集成性比较差,非凡是与MS Winnt/Win2k的集成性,无法与操作系统相互照应,形成立体防护网。
5). Check Point Firewall-1底层操作系统对路由的支持较差,以及不具备ARP Proxy等方面,非凡是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。
3. AXENT Raptor
与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的较好的一种。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。
Raptor 防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的治理界面也相当简单。
显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,假如没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如MS ISASERVER灵活。
AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能较好的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor治理界面很一般,也有模块不集中的缺点。但AXENT Raptor的实时日志处理较好,则仅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制答应通过防火墙的SMTP命令;能剥去邮件报头中的内部网信息。与MS ISA SERVER相似,AXENT Raptor可以检测到邮件头部缓冲区溢出攻击,并在它探测到危害安全的企图时,答应你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web 服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。
Raptor的并发性能很差,没有支持企业级用户的防火墙阵列功能,海量级数据包分析过滤能力不够。在这一点上,它明显不如MS ISASERVER,甚至没有FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。
需要指出的是,当我们激活NAT的时候,AXENT Raptor有少许性能降低的迹象。而FireWall-1则相反,在启动NAT的时候性能显著下降,这是因为代理类型的防火墙本来就要重写报头。
还有一点,AXENT Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),对机器的硬件要求很高,你必须升级到更快的机器。
作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统—AXEN。在安装的时候就主动努力保护操作系统,关闭了I