防火墙作为企业安全防护的最基础工程,这个事实已经路人皆知不用我过多陈述了。但是现如今的产品安全厂商层出不穷,安全产品也是琳琅满目,企业往往拿着预算资金却不知如何选择。实际上一款好的防火墙不仅能在网络安全方面为企业保驾护航,在企业管理上也可以更加便利。本次我们就选取优秀具有优秀性能和管理能力的产品进行测评,本篇文章将测评侧产品是Check Point 软件科技公司的 FireWall-1。
尽管FireWall-1被认为不是代理类型的防火墙,但它的全状态检查能力非常接近代理类型的防火墙。例如,除了NAT之外,它还提供用户认证,能防止SYN和分割包(packet-fragmentation)攻击,还可以实现基于“put”、“get”命令和文件名的FTP管制。对于SMTP,你可以管制各种命令并丢弃任何超过某一尺寸的邮件,可以检查邮件中的病毒,并可以在邮件离开内部网之前去掉邮件报头信息中有关内部网细节的信息。FireWall-1还能防止运行可能造成危害的SMTP命令,例如“debug”。在FireWall-1提供这些给人以深刻印象的功能的同时,Raptor的SMTP 代理产品则更进一步,它可以限制外来邮件的邮件报头尺寸以防止缓冲区溢出攻击(buffer overrun attack)。
FireWall-1还可以针对ActiveX和Java程序扫描HTTP流量,实现基于手工输入文件的URL过滤器,或者集成第三方的URL过滤服务。Raptor的HTTP 代理再次超前提供了限制URL长度的功能以防止缓冲区溢出攻击,因为它确实在运行HTTP服务器代码,所以它能够做到只承认有效的HTTP语法。
FireWall-1的用户界面提供了一个集中控制点,使用它可以轻松定义和实现复杂的安全策略。所有的相关主机、网络和服务都被定义成带有关联图标的对象,可以很轻松地将其放入对象组内并用它们自己的图标来描述,然后可以在定义规则时使用这些图标。每个分立规则可以单独指定其他描述集中日志和警告级别的图标。
每个规则有一个注释域用来添加文档,我们在Syracuse大学广泛地使用了这一功能。随着时间的推移,这一功能就会变得非常有用,可以用它来了解为什么指定一个特殊规则,还有日期,甚至添加这一规则的人的名字等信息。4.0版增加了输入规则的能力,然后用一个红色的"X"为它做注释。我们还可以在这一版本中临时隐藏规则,这使得长长的规则列表变得易读。一个友好的用户界面并不能担保安全性,但它可以节约你的时间并减少出错的可能性,而且很容易培训其他人来管理这个防火墙。这个GUI还能让你远程控制大量FireWall-1模块,可以管理Bay、Cisco和3Com的路由器,甚至Cisco的PIX防火墙,并且可以在这些产品之上实现过滤功能。
我们在FireWall-1策略编辑器里启动了日志浏览器。这个浏览器根据选定的日志级别显示源地址和目的地址以及和每个规则有关联的端口。所有这些都带有时间戳和日期戳。所有信息都按照易读的专栏形式排列——描述可接受数据包的条目用绿色文本显示,描述丢弃和拒绝数据包的条目用红色文本显示。用鼠标指向并点击几下,我们就定制了可以在日志浏览器中显示的内容。例如,通过显示丢弃和拒绝数据包的日志条目,我们就可以很容易地发现那些试图进行非法访问的数据包。查找通过防火墙的正常通讯中的意外干扰是一个非常好的方法,日志可以让你看到有关的IP地址和相关服务,而且你可以由此确认出导致正常通讯中断的嫌疑犯。一般来说,对于正常通讯的中断,最新安装的防火墙最有嫌疑。其他产品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。尽管Raptor的日志更新快速而且相当详细,但是它没有对条目进行格式化,而且没有颜色编码,这使得它相当难读。
FireWall-1用户界面中有关NAT的部分令我们感到有些失望。比如为了建立一个静态映射,你就要在相当多的网络对象定义窗口之间出来进去。在映射建立起来之后,规则自动产生并显示在一个非常类似于策略编辑器的规则窗口之中,每个映射对应两个规则。我们发现如果仅简单地浏览视图则很难理解这个配置。我们还必须在Unix命令行下给每个映射设置路由。与之形成鲜明对比的是,尽管Cisco PIX的管理功能一般说来要差一些,但是它的单行命令对于设置NAT来说非常易于理解。然而,尽管FireWall-1运行NAT时的性能要比所有代理类型防火墙好(包括Raptor,它和FireWall-1一样安装在Solaris Ultra 2平台上),但是也显然要比不启用NAT时慢。Check Point在我们的测试进行之前并没有预先告诉我们启动NAT会影响性能。
Check Point通过它的OPSEC(Open Platform for Secure Enterprise Connectivity,安全企业连通性开放平台)向第三方厂商提供API,第三方厂商可以使用这些API开发可以集成到这款防火墙中的产品。结果是100多种产品在内容安全、入侵侦测、容错和报告能力等方面充实了FireWall-1的内建功能。FireWall-1使用一种称作"Inspect"的宏语言创建全状态检查宏,尽管一般用户可能不会钻研这些东西,但这毕竟使得为复杂的新协议定义新的服务成为可能。它还允许Check Point为新的服务定义协议,用户只要简单地从Check Point的Web站点下载这些协议并把它们安装到FireWall-1防火墙上就行了。
【编辑推荐】
