| |
信息安全,歷來都是計算機應用中的重點話題。在計算機網絡日益擴展與普及的今天,計算機信息安全的要求更高了,涉及面也更廣了。
計算機信息安全主要研究的是計算機病毒的防治和系統的安全。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。
在防治網絡病毒方面,主要防范在下載可執行軟件如:*.exe ,*.zip,等文件時,病毒的潛伏與復制傳播。
對于系統本身安全性,主要考慮服務器自身穩定性、健狀性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統的威脅。對重要商業應用,必須加上防火墻和數據加密技術加以保護。
在數據加密方面,更重要的是不斷提高和改進數據加密技術,使心懷叵測的人在網絡中難有可乘之機。
計算機信息安全是個很大的研究范疇,本文主要討論保障網絡信息安全時,作為防火墻的用戶如何來評測自身的業務需求,如何來通過產品的對比選型,選擇合適自己的防火墻產品。
眾所周知,我們目前保護計算機系統信息安全的主要手段,就是部署和應用防火墻。可是,我們在使用防火墻時會遇到許多問題,最具代表性的為以下三個:
其一,防火墻是用硬件防火墻呢,還是用軟件防火墻?這個對于許多人都是難以確定的。硬、軟件防火墻,各有各的優勢,可是誰的優勢大一些,作為普通用戶,很難深入了解。
其二,防火墻如何選型?防火墻產品的種類如此之多,而各防火墻廠商的技術水平參差不齊,到底選誰的?要知道,若是選錯了產品,投資回報低是小事,如果系統因此而受到攻擊,導致重要信息泄密或受損,則用戶的損失就大了。
其三,若是選定了某種軟件防火墻,它和用戶目前的操作系統的兼容性如何,有沒有集成的優勢?這也是防火墻用戶常問的問題。
下面列舉一些防火墻的主流產品,從其各自的特點、功能、處理性能及操作復雜程度等方面進行比較,并將實際使用中遇到的一些問題提出來,供大家借鑒。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墻,屬狀態檢測型。由于它采用了自有的實時嵌入式操作系統,因此減少了黑客利用操作系統BUG攻擊的可能性。就性能而言,Cisco PIX是同類硬件防火墻產品中最好的,對100BaseT可達線速。因此,對于數據流量要求高的場合,如大型的ISP,應該是首選。
但是,其優勢在軟件防火墻面前便不呈現不明顯了。其致命傷主要有三:其一價格昂貴,其二升級困難,其三管理煩瑣復雜。
與Microsoft ISA SERVER防火墻管理模塊類似,Cisco公司也提供了集中式的防火墻管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,這給我們留下了深刻印象,但是在FTP方面它不能像大多數產品那樣控制上載和下載操作。在日志管理、事件管理等方面遠比不上ISA SERVER防火墻管理模塊那么強勁易用,在對第三方廠商產品的支持這方面尤其顯得不足。
它的管理功能模塊的不足,是我們測試的所有產品中最差勁的一個:PIX的絕大多數管理都是通過命令行進行,沒有漂亮的管理GUI,這使它的界面友好性較差,對于一些不熟悉指令的用戶,使用PIX防火墻是件困難的事情。除此之外,用戶還可以通過命令行方式或是基于Web的命令行方式對PIX進行配置,但這種方式不支持集中管理模式,必須對每臺設備單獨進行配置。而且,配置復雜的過濾規則是相當麻煩的,特別是當需要前插一條安全規則時,后面的所有過濾規則都得先擦除,再重寫。
此外,我們發現使用命令行設置NAT并非簡單,決沒有比使用大多數GUI更方便。但是我們還發現,除了簡單的安全策略,PIX在設置基于服務的訪問、主機和網絡的時候非常不好用。我們在修改安全策略時遇到了最大的麻煩,這需要對規則進行重新排序,在插入一個新的列表之前必須刪除原來的規則列表。這是一個從Cisco路由器繼承過來的并不好用的功能。
PIX自身帶了一個管理應用程序,但是需要一臺WINDOWS NT/WINDOWS 2K服務器專門運行這個軟件,我們可以通過Web來訪問這個程序。如果使用Web界面管理PIX,我們只能在配置時使用它做一些非常簡單的修改。Cisco公司稱,他們將在明年初開發出一個新的軟件以改善PIX的管理功能。
PIX的日志和監視功能也比其他產品遜色不少,它沒有實時日志功能,而且所有的日志信息都要送到另外一臺運行syslog的機器上去。不管怎樣,根據系統日志發出警報還是可以做到的。
還是那句話,若是你可以容忍PIX的種種缺點,只是看中了它的速度,那么你不妨試試。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墻,是市場上老資格的軟件防火墻產品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系統平臺上工作,屬狀態檢測型,綜合性能比較優秀。兼容的平臺較多是它的優點,但兼容性廣泛也導致該產品的某種平臺上沒有深入集成優勢,“泛而不精”。例如:但是Check Point Firewall-1防火墻與Win2K的系統集成性就比較差。
先說該產品優點:1).盡管是狀態檢測型防火墻,但它可以進行基于內容的安全檢查,如對URL進行控制;對某些應用,它甚至可以限制可使用的命令,如FTP。
2). 它不僅可以基于地址、應用設置過濾規則,而且還提供了多種用戶認證機制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比較靈活。
3) Check Point Firewall-1是一個開放的安全系統,提供了API,用戶可以根據需要配置安全檢查模塊,如病毒檢查模塊。
4). Check Point Firewall-1采用的是狀態檢測方式,因而處理性能也較高,對于10BaseT接口,基本達到線速(號稱可達80Mbps)。
5). Check Point Firewall-1是集中管理模式,即用戶可以通過GUI同防火墻管理模塊(Check Point Firewall Management Module)通信,維護安全規則;而防火墻管理模塊則負責編譯安全規則,并下載到各個防火墻模塊中, 管理線條比較清晰。
主要缺點有:1).Check Point Firewall-1的處理性能過分的依賴硬件平臺的配置,主要是硬件平臺的內存和CPU的處理速度。當客戶需求達到企業級時,無法為客戶提供集群或是陣列服務,無法更進一步提高并發性能。
2) Check Point Firewall-1管理界面的功能較多,但功能模塊分散,功能模塊豐富而使用不便。在復雜的操作流程下,通過Check Point Firewall-1管理界面,來修改安全規則等,很容易疏漏,難以相互照應。
3) 通過 Check Point Firewall-1管理模塊,可以管理AXENT Raptor、Cisco PIX等,可以對Bay、Cisco、3Com等公司的路由器進行ACL設置,但這些功能模塊是獨立的,需要單獨購買License,價格很貴。
4).Check Point Firewall-1最致命的缺點體現在:與操作系統的深入集成性比較差,特別是與MS Winnt/Win2k的集成性,無法與操作系統相互照應,形成立體防護網。
5). Check Point Firewall-1底層操作系統對路由的支持較差,以及不具備ARP Proxy等方面,特別是后者,在做地址轉換(NAT)時,不僅要配置防火墻,還要對操作系統的路由表進行修改,大大增加了NAT配置的復雜程度。
3. AXENT Raptor
與Check Point Firewall-1和PIX不同,Raptor完全是基于代理技術的軟件防火墻,它是代理服務型防火墻中的較好的一種。這主要體現在,相對于其他代理型防火墻而言,可支持的應用類型多;相對于狀態檢測型防火墻而言,由于所采用的技術手段不同,使得Raptor在安全控制的力度上較上述產品更加細致。
Raptor防火墻甚至可以對NT服務器的讀、寫操作進行控制,并對SMB(Server Message Block)進行限制。對Oracle數據庫,Raptor還可以作為SQL Net的代理,從而對數據庫操作提供更好的保護。Raptor防火墻的管理界面也相當簡單。
顯然,由于Raptor防火墻所采用的技術,決定了其處理性能較前面兩種防火墻低。而且,對于用戶新增的應用,如果沒有相應的代理程序,那么就不可能透過防火墻。在這一點上,不如MS ISASERVER靈活。
AXENT公司的Raptor 防火墻包括了我們測試的代理防火墻中功能較好的一系列代理程序。在很多情況下,它檢查通過防火墻的數據的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模塊不集中的缺點。但AXENT Raptor的實時日志處理較好,則僅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允許通過防火墻的SMTP命令;能剝去郵件報頭中的內部網信息。與MS ISA SERVER相似,AXENT Raptor可以檢測到郵件頭部緩沖區溢出攻擊,并在它探測到危害安全的企圖時,允許你執行跟蹤命令的防火墻產品。Raptor通過限制傳送到內部Web服務器的URL長度來防止緩沖區溢出攻擊。它只認可有效的HTTP命令并丟棄包含可以用來進行轉義代碼攻擊(escape code attack)字符的數據包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,網絡新聞轉發協議)代理和NTP(Network Time Protocol,網絡時間協議)代理。
Raptor的并發性能很差,沒有支持企業級用戶的防火墻陣列功能,海量級數據包分析過濾能力不夠。在這一點上,它明顯不如MS ISASERVER,甚至沒有FireWall-1快,僅比CyberGuard和NetGuard的Guardian強一些。
需要指出的是,當我們激活NAT的時候,AXENT Raptor有少許性能降低的跡象。而FireWall-1則相反,在啟動NAT的時候性能顯著下降,這是因為代理類型的防火墻本來就要重寫報頭。
還有一點,AXENT Raptor運行在Sun公司的硬件平臺上(FireWall-1也是一樣),對機器的硬件要求很高,你必須升級到更快的機器。
作為一個代理類型的防火墻,Raptor要求所有的通信流量直接通過它,這就要冒遭受攻擊的風險。為了保護它自己,它“加固”了操作系統—AXEN。在安裝的時候就主動努力保護操作系統,關閉了IP轉發和路由以及其他不必要的、可能成為操作系統漏洞的進程。安裝之后,Raptor繼續監視操作系統中可能危及安全的新進程。這也是AXENT Raptor明顯不足之一。
AXENT Raptor和MS ISA SERVER都把主機、網絡和服務定義為“元素”,這是一個和Check Point采用的“對象”類似。規則編輯器利用這些元素創建安全策略。但AXENT Raptor的這個管理界面實在令人不敢恭維。但是我們還是更喜歡MS ISA SERVER的界面,因為MS ISA SERVER包含方便閱讀的顏色和圖形,并且實現所有管理模塊的集中。
另外,在代理類型防火墻上定義規則要比在全狀態檢查類型防火墻上執行同樣的任務更困難,在AXENT Raptor中,你必須為你想運行的應用程序激活相應的代理服務,否則相應流量將不被允許通過這個防火墻。
Raptor也支持ICSA認證的IPSec并兼容VPN(virtual private network,虛擬專用網),但不幸的是,Raptor沒有使用硬件支持卡,所以你在啟動這個大量加密連接的功能時要小心從事,因為它非常消耗CPU資源,直至你的系統死機。
4. NAI Gauntlet
Gauntlet是美國網絡聯盟公司(NAI)推出的PGP網絡安全解決方案中的防火墻套件產品。該產品屬于應用層網關一級的防火墻。
Gauntlet在應用層按照安全策略檢查雙向的通信,具有用戶透明、集成管理、強力加密和內容安全、高吞吐量的特性,可用于Internet/Intranet和遠程訪問等多種領域,但這些功能模塊相對簡單,性能相對較低,而且配置管理界面基本是基于命令行的,沒有GUI那么直觀和友好。
用戶在使用Gauntlet防火墻產品時,還可以根據需求選擇防病毒措施,這是他的特色之一。配置Gauntlet防火墻,還可以檢查進入網絡的文件、消息和Web內容;防止Java和ActiveX程序攻擊網絡;過濾URL、對遠程訪問進行報告和實時報警。
Gauntlet提供了比較豐富的代理服務清單,其中包括:FTP(諸如Microsoft公司的NetShow、RealNetworks公司的RealPlayer、ZingTechnology公司的StreamWorks以及VDOnet公司的VDOLive之類的多媒體)、SNMP、新聞以及其他幾種,它還具有建立定制代理的功能。其鑒定服務包括:AccessKeyⅡ、CryptocardRB-Ⅰ、AxentTechnologies公司的DefenderSecurityServer、VascoDataSecurity公司的Digipass、SecureComputing公司的SafeWordAuthenticationServer、SecureNetKey、SecurID、S/Key以及可重用口令(內置)。
NAI Gauntlet不含有Integrated Web Cache功能,不能加速企業的網絡信息訪問,并且沒有支持企業級應用的防火墻陣列功能,這一點對于任何軟件防火墻都是及其必要的。總體而言,NAI Gauntlet更像是一個給其他防火墻提供輔助功能的一個增強模塊,讓它獨立擔綱,有點勉為其難。
5.NetScreen 科技的 NetScreen-100
和Cisco的PIX類似,NetScreen-100也運行專有操作系統。與運行在Intel平臺上的PIX不同,NetScreen使用專有ASIC構成高性能防火墻,價格便宜而且易于安裝。我們發現它通過串行連接給接口分配IP地址的安裝辦法非常簡單。完成這一步之后,我們就可以通過Netscape或者微軟的瀏覽器來進行進一步的工作。在不運行NAT時只有PIX和FireWall-1比NetScreen-100性能高,如果運行NAT,NetScreen的性能不會降低,因而比FireWall-1的性能要好。
NetScreen是唯一不路由消息包就讓它們通過的產品。使用這一功能,防火墻內的任何主機或者路由器可以繼續使用Internet路由器的網關地址,或者使用任何其它能訪問外部網絡的路由器。這樣就不必在防火墻和外部路由器之間增加另外一個子網,也不需要把外部路由器的地址移動到防火墻的內部接口上來,這樣內部主機就不必更改它們的網關地址了。我們在正常防火墻和透明操作模式這兩種情況下都成功地進行了路由。
NetScreen防火墻的網絡訪問控制是所有產品中最脆弱的。事實上,除了URL過濾和FTP,它沒有任何其他比簡單的包過濾更強大的功能。
6.CyberGuard 公司的CyberGuard 防火墻
CyberGuard防火墻和AXENT以及Secure Computing的產品都是基于代理技術的。盡管它也有一長串代理應用程序,但是它的代理功能遠沒有Raptor那樣豐富。CyberGuard包括允許對直接通過的信息包進行過濾的選項。我們發現它的用戶界面非常粗糙和簡單。
CyberGuard加固了它自己的操作系統,使它的多虛擬安全環境(Multiple Virtual Secure Environments,MVSE)系統謹慎地隔離所有進程、文件和目錄,只允許絕對必要的通訊通過CyberGuard。
它的用戶界面包括一個運行在防火墻監視器上的全屏幕控制臺,頂部的菜單條上列著所有的基本應用程序。使用這個菜單能勉強能訪問通用系統管理作業,比如IP地址和路由配置等,這使得完成這些作業不是很輕松,這一點遠不如MS ISA SERVER 和Check Point FireWall-1。
它的實際防火墻策略在信息包過濾窗口中建立,窗口的上半部分是規則列表,下半部分是編輯模板。編輯模板可以使你指定你想允許或者禁止的協議,可以快速建立日志并且可以讓自己決定現在不想看哪些東西。你可以在每個規則的上面或者下面添加注釋,但是我們發現如果相關規則對應著自己的屏幕就會顯得凌亂不堪。
CyberGuard聲稱支持加密和密鑰管理的IPSec標準,但是目前這個應用程序還沒有通過ICSA認證。
總體而言,CyberGuard功能相對簡單,性能一般,適合中小型部門使用。
7. 3Com OfficeConnect Firewall
與MS ISA SERVER類似,3Com OfficeConnect Internet防火墻也可以用來控制局域網對Internet的使用,為小企業提供確保網絡安全的廉價和高效的方法,用戶可以禁止訪問不恰當的資料,記錄哪些站點最常被訪問,以及Internet連接使用著多大的帶寬。..
產品評測:1) 3Com公司的OfficeConnect Firewall,使用全靜態數據包檢驗技術,可以防止非法的網絡接入和防止來自Internet的“拒絕服務”攻擊,但防范其他攻擊的措施不多,這會使技術經驗有限的用戶無所適從。
2) OfficeConnect Internet Firewall可以限制局域網用戶對Internet的不恰當使用。DMZ可支持多達100個局域網用戶。這使局域網上的公共服務器可以被Internet訪問,又不會使局域網遭受攻擊。但性能相對較弱,只能用于50臺機器的中小行企業網絡中。
3) OfficeConnect Internet Firewall可以使整個辦公室可以共享ISP提供的一個IP地址,從而節省費用,配置比較簡單。
4) OfficeConnect Internet Firewall最主要的問題在于防火墻的性能較差,功能模塊比較單一且可配置選項少。主要優點是維護相對簡單,因為簡單嘛。
8. 清華紫光UNISECURE UF3500
UF3500防火墻具有防火墻和流量控制等功能,結合了網絡級包過濾(Network-level Packet Filter)和應用級代理服務器(Application-level Proxy Server)的功能。UF3500使用戶可以輕松地設置安全策略、帶寬優先級和訪問記錄。
產品評測:1) UF3500防火墻同樣含有網絡地址轉換(NAT)功能,可以隱蔽內部IP地址,增強了安全性,節約了從ISP得到的外部IP地址。
2) 具備簡單多級過濾、動態過濾和代理,可以通過數據包檢測,保護內部網絡不被破壞,并且保護網絡服務和重要的私人數據。
3)用戶可以配置的帶寬使用、網絡傳輸和防火墻系統記錄,支持最大流量的控制,還以多優先級方式保護重要任務的應用,但配置相對分散。
4)支持 URL過濾,可以按URL地址進行過濾,可分別允許或禁止同一IP上的多個虛擬主機。
5)支持基于SSL的瀏覽器管理界面,允許通過流行的Web瀏覽器使用https協議管理和配置防火墻,保證了防火墻管理的安全性和易用性。支持瀏覽器超時退出的功能,保證了管理員離開管理計算機后的安全。
6)其缺點是功能與性能相對偏弱,安全規則的定義范圍完備性不夠。不支持陣列性能,不適合高端應用。
9. 東方龍馬防火墻
東方龍馬防火墻將信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用,它根據系統管理者設定的安全規則保護內部網絡,同時提供訪問控制、網絡地址轉換、透明的代理服務、信息過濾、流量控制等功能。提供完善的安全性設置,通過高性能的網絡核心進行訪問控制。
產品評測:1)支持動態設置過濾規則的功能,根據實際應用的需要,在建立應用服務的時候動態地增加一組規則,在服務結束的時候,自動地把規則刪除,這一點接近MS ISA SERVER的功能。
2) 支持雙向的網絡地址轉換功能,同時支持一對一的靜態地址映射和多對一的動態地址映射兩種方式的地址轉換。
3) 具有比較簡單的抗攻擊和自我保護能力。通過體系結構來防范一系列外部黑客的攻擊,如抗IP假冒攻擊、抗特洛伊木馬攻擊等。
4) 提供GUI圖形化用戶界面對防火墻進行配置,并支持負載均衡技術,將用戶的服務請求分布到多臺服務器上面,但在這一點上,我們發現其沒有達到企業級陣列應用的性能指標。
10. 微軟網絡安全和網絡加速解決方案:Microsoft ISA Server 2000
Microsoft ISA Server 2000是微軟公司設計與開發的,產品全稱為Microsoft® Internet Security and Acceleration (ISA) Server 2000。
隨著因特網和電子商務技術發展,商務應用對網絡速度提出了更高的要求。企業的商務應用不只是局限于企業內部網,還需要通過企業外部網、因特網訪問其它企業的應用。在競爭非常激烈的市場經濟大環境中,對于一個企業來說,速度就是一切,為此商務因特網應用對網絡的響應速度提出了更高的要求。所以,在現有的條件下,如何讓企業對外的訪問速度加倍,并且確保業務的運營環境通行無阻,安全可靠,已是企業刻不容緩的任務。
為了解決網絡的整體安全,幫助企業組織控制在因特網及其內部網絡間流通的信息,同時幫助企業加快網絡的速度,微軟公司推出了Microsoft® ISA Server 2000。
Microsoft® ISA Server 2000是Windows 2000 Server平臺上同時具有防火墻與網站緩存的服務器軟件。當用戶付費時會發現,用相近的價格買回的防火墻產品,居然同時具備了PROXY(代理服務器)功能。這是我們拿到ISA SERVER后第一個感受。
Microsoft® ISA Server 2000提供多層次的企業級防火墻,并結合專用的防毒軟件,在企業Internet推出的第一道關卡,保護網絡資源,避免病毒、黑客及未獲授權的存取行為,同時加速公司內部對內與對外的存取速度,節省Internet網絡帶寬,并且向使用者提供更快的Web存取速度,進而進行統一Internet資源管理。
Microsoft® ISA Server 2000具備高度擴展能力的防火墻與網站緩存服務器,它與Windows® 2000整合,提供了基于策略(policy-based)的安全性,同時也具備快速存取與易于管理的網絡功能。Microsoft® ISA Server 2000提供了兩個高度整合的模式:一個多層次的防火墻(firewall)與一個高效率的網站緩存服務器(Web cache server)。
防火墻提供了下列的功能:包(packet)、鏈路(circuit)與應用(Application)的過濾功能;檢查通過防火墻的資料的功能:存取策略(access policy)的控制(如下圖):信息流量的路由(routing)。緩存功能通過將最常存取的網站內容儲存起來的方式,來改善網絡的效率與使用者存取的速度。防火墻與緩存可以分別被布署在不同的服務器上,也可布署在同一臺服務器上
Microsoft® ISA Server 2000巧妙設計的管理工具簡化了策略的定義、流量路由、服務器發布與監控等工作,并以智能的管理界面,讓管理者可以輕松設定防火墻與企業內部網絡的復雜環境.
Microsoft® ISA Server 2000建立在Windows® 2000的安全性、目錄服務、虛擬私有網絡(VPN)與帶寬控制的基礎上,因此無論是分別布署防火墻、網站緩存,或是布署為兩者兼具的整合模式,Microsoft® ISA Server 2000都能夠強化網絡的安全性、強制實施一致的Internet使用原則、加速Internet的存取。
Microsoft® ISA Server 2000能夠在效率、管理、擴展性等各方面滿足Internet高流量的需求,同時它也具備集中管理、多層次存取原則與容錯的功能。Microsoft® ISA Server 2000 企業版為關鍵任務的Internet連接,提供了一個快速、安全與高擴展能力的環境。
這是我平時留意各廠家的一些資料集合起來的.防火墻的創始人是CHECKPOINT,所以無疑,他是最強的,世界上第一個針對應用層做過濾的防火墻是ISA,所以他的賣點也是很明顯的.隨著企業的需求不斷復雜,不斷提高,硬件防火墻都開始效仿ISA的功能對應用層做處理了(原來的硬件防火墻只在低層次做過濾),最典型的是WATCHGUARD的防火墻,還有FOTINET等等.大家可以研究一些有代表性的產品,其他的都是千編一例 | |
