關於各類防火牆的介紹(1)(轉)

關於各類防火牆的介紹(1)(轉)[@more@]

　　資訊保安，歷來都是計算機應用中的重點話題。在計算機網路日益擴充套件與普及的今天，計算機資訊保安的要求更高了，涉及面也更廣了。

　　計算機資訊保安主要研究的是計算機病毒的防治和系統的安全。不但要求防治病毒，還要提高系統抵抗外來非法駭客入侵的能力，還要提高對遠端資料傳輸的保密性，避免在傳輸途中遭受非法竊取。

　　在防治網路病毒方面，主要防範在下載可執行軟體如：*.exe ,*.zip,等檔案時,病毒的潛伏與複製傳播。

　　對於系統本身安全性，主要考慮伺服器自身穩定性、健狀性，增強自身抵抗能力，杜絕一切可能讓駭客入侵的渠道，避免造成對系統的威脅。對重要商業應用，必須加上防火牆和資料加密技術加以保護。

　　在資料加密方面，更重要的是不斷提高和改進資料加密技術，使心懷叵測的人在網路中難有可乘之機。

　　計算機資訊保安是個很大的研究範疇，本文主要討論保障網路資訊保安時，作為防火牆的使用者如何來評測自身的業務需求，如何來透過產品的對比選型，選擇合適自己的防火牆產品。

　　眾所周知，我們目前保護計算機系統資訊保安的主要手段，就是部署和應用防火牆。可是，我們在使用防火牆時會遇到許多問題，最具代表性的為以下三個：

　　其一，防火牆是用硬體防火牆呢，還是用軟體防火牆？這個對於許多人都是難以確定的。硬、軟體防火牆，各有各的優勢，可是誰的優勢大一些，作為普通使用者，很難深入瞭解。

　　其二，防火牆如何選型？防火牆產品的種類如此之多，而各防火牆廠商的技術水平參差不齊，到底選誰的？要知道，若是選錯了產品，投資回報低是小事，如果系統因此而受到攻擊，導致重要資訊洩密或受損，則使用者的損失就大了。

　　其三，若是選定了某種軟體防火牆，它和使用者目前的作業系統的相容性如何，有沒有整合的優勢？這也是防火牆使用者常問的問題。

　　下面列舉一些防火牆的主流產品，從其各自的特點、功能、處理效能及操作複雜程度等方面進行比較，並將實際使用中遇到的一些問題提出來，供大家借鑑。

　　1. Cisco PIX

　　Cisco PIX是最具代表性的硬體防火牆，屬狀態檢測型。由於它採用了自有的實時嵌入式作業系統，因此減少了駭客利用作業系統BUG攻擊的可能性。就效能而言， Cisco PIX是同類硬體防火牆產品中最好的，對100BaseT可達線速。因此，對於資料流量要求高的場合，如大型的ISP，應該是首選。

　　但是，其優勢在軟體防火牆面前便不呈現不明顯了。其致命傷主要有三：其一價格昂貴，其二升級困難，其三管理煩瑣複雜。

　　與Microsoft ISA SERVER防火牆管理模組類似，Cisco公司也提供了集中式的防火牆管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令，這給我們留下了深刻印象，但是在FTP方面它不能像大多數產品那樣控制上載和下載操作。在日誌管理、事件管理等方面遠比不上ISA SERVER防火牆管理模組那麼強勁易用，在對第三方廠商產品的支援這方面尤其顯得不足。

　　它的管理功能模組的不足，是我們測試的所有產品中最差勁的一個：PIX的絕大多數管理都是透過命令列進行，沒有漂亮的管理GUI，這使它的介面友好性較差，對於一些不熟悉指令的使用者，使用PIX防火牆是件困難的事情。除此之外，使用者還可以透過命令列方式或是基於Web的命令列方式對PIX進行配置，但這種方式不支援集中管理模式，必須對每臺裝置單獨進行配置。而且，配置複雜的過濾規則是相當麻煩的，特別是當需要前插一條安全規則時，後面的所有過濾規則都得先擦除，再重寫。

　　此外，我們發現使用命令列設定NAT並非簡單，決沒有比使用大多數GUI更方便。但是我們還發現，除了簡單的安全策略，PIX在設定基於服務的訪問、主機和網路的時候非常不好用。我們在修改安全策略時遇到了最大的麻煩，這需要對規則進行重新排序，在插入一個新的列表之前必須刪除原來的規則列表。這是一個從Cisco路由器繼承過來的並不好用的功能。

　　PIX自身帶了一個管理應用程式，但是需要一臺WINDOWS NT/WINDOWS 2K伺服器專門執行這個軟體，我們可以透過Web來訪問這個程式。如果使用Web介面管理PIX，我們只能在配置時使用它做一些非常簡單的修改。 Cisco公司稱，他們將在明年初開發出一個新的軟體以改善PIX的管理功能。

　　PIX的日誌和監視功能也比其他產品遜色不少，它沒有實時日誌功能，而且所有的日誌資訊都要送到另外一臺執行syslog的機器上去。不管怎樣，根據系統日誌發出警報還是可以做到的。

　　還是那句話，若是你可以容忍PIX的種種缺點，只是看中了它的速度，那麼你不妨試試。

　　2. Check Point Firewall-1

　　Check Point Firewall-1是以色列的Check Point公司出品的硬體防火牆，是市場上老資格的軟體防火牆產品。

　　Check Point Firewall-1可以基於Unix、WinNT、Win2K等系統平臺上工作，屬狀態檢測型，綜合效能比較優秀。相容的平臺較多是它的優點，但相容性廣泛也導致該產品的某種平臺上沒有深入整合優勢，“泛而不精”。例如：但是Check Point Firewall-1防火牆與Win2K的系統整合性就比較差。

　　先說該產品優點：1).儘管是狀態檢測型防火牆，但它可以進行基於內容的安全檢查，如對URL進行控制；對某些應用，它甚至可以限制可使用的命令，如FTP。

　　2). 它不僅可以基於地址、應用設定過濾規則，而且還提供了多種使用者認證機制，如User Authentication、Client Authentication和Session Authentication，安全控制方式比較靈活。

　　3) Check Point Firewall-1是一個開放的安全系統，提供了API，使用者可以根據需要配置安全檢查模組，如病毒檢查模組。

　　4). Check Point Firewall-1採用的是狀態檢測方式，因而處理效能也較高，對於10BaseT介面，基本達到線速（號稱可達80Mbps）。

　　5). Check Point Firewall-1是集中管理模式，即使用者可以透過GUI同防火牆管理模組（Check Point Firewall Management Module）通訊，維護安全規則；而防火牆管理模組則負責編譯安全規則，並下載到各個防火牆模組中, 管理線條比較清晰。

　　主要缺點有：1）.Check Point Firewall-1的處理效能過分的依賴硬體平臺的配置，主要是硬體平臺的記憶體和CPU的處理速度。當客戶需求達到企業級時，無法為客戶提供叢集或是陣列服務，無法更進一步提高併發效能。

　　2) Check Point Firewall-1管理介面的功能較多，但功能模組分散，功能模組豐富而使用不便。在複雜的操作流程下，透過Check Point Firewall-1管理介面，來修改安全規則等，很容易疏漏，難以相互照應。

　　3) 透過 Check Point Firewall-1管理模組，可以管理AXENT Raptor、Cisco PIX等，可以對Bay、Cisco、3Com等公司的路由器進行ACL設定，但這些功能模組是獨立的，需要單獨購買License，價格很貴。

　　4).Check Point Firewall-1最致命的缺點體現在：與作業系統的深入整合性比較差，特別是與MS Winnt/Win2k的整合性，無法與作業系統相互照應，形成立體防護網。

　　5). Check Point Firewall-1底層作業系統對路由的支援較差，以及不具備ARP Proxy等方面，特別是後者，在做地址轉換（NAT）時，不僅要配置防火牆，還要對作業系統的路由表進行修改，大大增加了NAT配置的複雜程度。

　　3. AXENT Raptor

　　與Check Point Firewall-1和PIX不同，Raptor完全是基於代理技術的軟體防火牆，它是代理服務型防火牆中的較好的一種。這主要體現在，相對於其他代理型防火牆而言，可支援的應用型別多；相對於狀態檢測型防火牆而言，由於所採用的技術手段不同，使得Raptor在安全控制的力度上較上述產品更加細緻。

　　Raptor 防火牆甚至可以對NT伺服器的讀、寫操作進行控制，並對SMB（Server Message Block）進行限制。對Oracle資料庫，Raptor還可以作為SQL Net的代理，從而對資料庫操作提供更好的保護。Raptor防火牆的管理介面也相當簡單。

　　顯然，由於Raptor防火牆所採用的技術，決定了其處理效能較前面兩種防火牆低。而且，對於使用者新增的應用，如果沒有相應的代理程式，那麼就不可能透過防火牆。在這一點上，不如MS ISASERVER靈活。

　　AXENT公司的Raptor 防火牆包括了我們測試的代理防火牆中功能較好的一系列代理程式。在很多情況下，它檢查透過防火牆的資料的能力非常接近於MS ISASERVER和Check Point FireWall－1。AXENT Raptor管理介面很一般，也有模組不集中的缺點。但AXENT Raptor的實時日誌處理較好，則僅次於MS ISASERVER。

　　AXENT Raptor的SMTP 代理限制允許透過防火牆的SMTP命令；能剝去郵件報頭中的內部網資訊。與MS ISA SERVER相似，AXENT Raptor可以檢測到郵件頭部緩衝區溢位攻擊，並在它探測到危害安全的企圖時，允許你執行跟蹤命令的防火牆產品。Raptor透過限制傳送到內部Web 伺服器的URL長度來防止緩衝區溢位攻擊。它只認可有效的HTTP命令並丟棄包含可以用來進行轉義程式碼攻擊（escape code attack）字元的資料包。此外， AXENT Raptor也含有NNTP（Network News Transfer Protocol，網路新聞轉發協議）代理和NTP（Network Time Protocol，網路時間協議）代理。

　　Raptor的併發效能很差，沒有支援企業級使用者的防火牆陣列功能，海量級資料包分析過濾能力不夠。在這一點上，它明顯不如MS ISASERVER，甚至沒有FireWall－1快，僅比CyberGuard和NetGuard的Guardian強一些。

　　需要指出的是，當我們啟用NAT的時候，AXENT Raptor有少許效能降低的跡象。而FireWall－1則相反，在啟動NAT的時候效能顯著下降，這是因為代理型別的防火牆本來就要重寫報頭。

　　還有一點，AXENT Raptor執行在Sun公司的硬體平臺上（FireWall－1也是一樣），對機器的硬體要求很高，你必須升級到更快的機器。

　　作為一個代理型別的防火牆，Raptor要求所有的通訊流量直接透過它，這就要冒遭受攻擊的風險。為了保護它自己，它“加固”了作業系統—AXEN。在安裝的時候就主動努力保護作業系統，關閉了IP轉發和路由以及其他不必要的、可能成為作業系統漏洞的程式。安裝之後，Raptor繼續監視作業系統中可能危及安全的新程式。這也是AXENT Raptor明顯不足之一。

　　AXENT Raptor和MS ISA SERVER都把主機、網路和服務定義為“元素”，這是一個和Check Point採用的“物件”類似。規則編輯器利用這些元素建立安全策略。但AXENT Raptor的這個管理介面實在令人不敢恭維。但是我們還是更喜歡MS ISA SERVER的介面，因為MS ISA SERVER包含方便閱讀的顏色和圖形，並且實現所有管理模組的集中。

　　另外，在代理型別防火牆上定義規則要比在全狀態檢查型別防火牆上執行同樣的任務更困難，在AXENT Raptor中，你必須為你想執行的應用程式啟用相應的代理服務，否則相應流量將不被允許透過這個防火牆。

　　Raptor也支援ICSA認證的IPSec併相容VPN（virtual private network，虛擬專用網），但不幸的是，Raptor沒有使用硬體支援卡，所以你在啟動這個大量加密連線的功能時要小心從事，因為它非常消耗CPU資源，直至你的系統當機。