第二部分:商业防火墙产品介绍
作者:panda
在安装Linux防火墙之前,选择适当的防火墙软件是相当关键的。有的防火墙功能齐全,但是要收取一定的费用,有的是完全免费的。
我们在这里主要介绍的是几种国际上比较通用的防火墙产品:FireWall-1,Phoenix Adaptive Firewall, Gateway Guardian,XSentry。
FireWall-1
在今年的1月,著名的Check Point Software公司推出了该公司的旗舰产品FireWall-1。FireWall-1是在Linux市场上最好的商业性安全软件产品。它能在包括Linux在内的5种操作系统上使用。FireWall-1与其第一流的安全防范能力,可靠的性能在Linux界受到了极大的关注。
FireWall-1也是一个在Linux平台上强有力的商业防火墙解决方案。FireWall-1并不是Linux阵营中唯一的知名的商业版本,另一个著名的商业防火墙--AXENT Raptor 防火墙也将于2000年的第三季度进军Linux市场。
自然的,FireWall-1作为一款专业的网络系统安全软件包含了大量的应用工具和先进的安全技术。这意味着FireWall-1 不是任何人都能随便都能安装使用的,FireWall-1 在工作站,服务器上的安装十分复杂。如果在拨号网络和低带宽的网络上使用FireWall-1 无疑是巨大的浪费。FireWall-1 是一套内建有标准组建everything-in-one 的软件套装。用户无需购买额外的应用软件,当你需要的时候可以很容易的把所需要的软件安装上去。FireWall-1 的组成部分还可以用在其他的操作系统上,如Window NT4.0( X86结构),Solaris 2.6/2.7 ,HP-UX, IBM AIX以及Linux。
不幸的是,目前不是所有的组建都能在Linux下使用。其中一些缺少的组建是十分重要的。另外一个重要的问题就是FireWall-1不能识别来自AXENT Defender 和 RSA Secure ID系统的用户。FireWall-1同时也缺少了一个入侵侦测的组建。FireWall-1的整合版本是一个来自ISS RealSecure的OEM版本,ISS RealSecure是一个动态的network-monitoring 引擎服务器系统。整合版本只有在Solaris,Windows NT平台上才能使用,Linux用户暂时还不能使用。
把FireWall-1缺少一些组件的事情放在一边,无论如何,Check Point的FireWall-1还是有其优点的:
安全服务:一个用户自定义的FireWall-1可以用来保护一台服务器运行数据库服务。
可扩充的安全机制:FireWall-1能为多种路由器(Cisco, Nortel, 3Com) 和网络装置的网络安全支持。
帐号管理组件:使用在FireWall-1/VPN-1里的LDAP服务可以管理帐号。
连接控制:可以管理网络中的计算机群。
OPSEC SDK:OPSEC是一套软件开发包,能使用C语言库来为系统的安全提供支持。
FireWall-1 防火墙的Linux版本中还有一项非常有用的功能:它可以使用一个LDAP的服务来管理用户帐号。
在Linux下安装FireWall-1的全过程
以安装FireWall-1/VPN-1 Gateway 4.1 为例,这个版本的防火墙包括FireWall-1, VPN-1, Management Console,GUI 工具。这个版本所有的东西都在一张CP 2000 v.4.1 DES Edition 套装 CD-ROM光盘上。这个防火墙将要安装在Red Hat Linux 6.1/Intel (kernel version 2.2.12)这个操作系统中。FireWall-1几乎支持所有在Red Hat 6.1上能认出的以太网卡。硬件的支持还是相当不错的。
FireWall-1 在Linux中最通常的网络完整性控制系统设置方法分为3个步骤:第一是安装调试好外部网络;第二步是网络的内部安全设置。第三步才是整个网络的设置。在内部网络和严格的防火墙底下用户可以设定好整个网站,FTP,和电子邮件服务器。
VPN/FireWall-1 在Linux底下分为3个组成部分:
kernel module:kernel module 是一个监视Linux下kernel的安全运算法则模块。
firewall daemon :firewall daemon是一个监视通过kernel模块的数据的安全策略。它也能用来验证用户的身份和帐号的合法性。
management server daemon :management server daemon 是一个单独的主机防火墙。
FireWall-1 的超级用户管理
安装Linux对一些人来说不是什么太难的事情,可是在安装FireWall-1的时候应当注意,FireWall-1 是一个标准的RPM软件包,大约有4MB。FireWall-1 安装后,所有的二进制数据,LOG文件,所有的安全设置文件都能在/opt/CPfw1-41子目录和/etc/fw处可以找到。FireWall-1 的安装和一般的RPM文件安装没有太大的区别。但在安装好FireWall-1 后需要运行cpconfig 这个命令来初始化防火墙。例如,你需要加入一个许可代码来允许你运行防火墙和定义防火墙的超级用户或管理员。接着,你需要使用图形用户界面来给主机定义IP地址和外部网络的防火墙界面。在设置防火墙的同时,你还要给过滤器进行设定,防止非法用户更改防火墙。实际上,使用FireWall-1的默认模式就可以了,或者仅仅允许超级用户和管理员能更改防火墙的内部参数。最后一步就是产生你的CA RSA钥匙,这样FireWall-1 就能在Linux底下工作了。
FireWall-1 的超级用户管理可以通过一个特别的GUI(图形用户界面)管理工具来实现。这个 FireWall-1 的超级用户管理工具主要包括Policy Editor(策略编辑器) 和 Log Viewer(LOG查看器)。但这个管理工具在Linux底下并没有,只存在于Microsoft Windows 9x/NT 4.0, Solaris, HP-UX 10.20, AIX这几个系统中。图一是FireWall-1 Log Viewer(LOG查看器);图二是运行在Windows NT下的FireWall-1 Policy Editor(策略编辑器)的界面。
图一:FireWall-1 Log Viewer(LOG查看器)
Policy Editor(策略编辑器)很容易让人明白:用户可以使用它来查看和编辑防火墙的规则和设定参数。这些参数能决定FireWall-1 的安全机制。 for FireWall-1 Internet Gateway 的收费标准是2995美元/25个IP地址。6995美元/无限IP地址。
图二:FireWall-1 Policy Editor(策略编辑器)