八種防火牆產品評測(企業級防火牆)(轉)

八種防火牆產品評測(企業級防火牆)(轉)[@more@]

目前，防火牆新產品的加盟和功能的增強使得各產品的銷售領域逐漸分散，但是位居榜首的仍然是Check Point Software公司的FireWall－1。

　新增功能

　如今，當我們看到產品海報上標有“全新的”和“改善的”字樣時，心裡不免犯嘀咕。可是，這兩個詞用來描述防火牆產品市場卻恰如其分。目前，防火牆的新功能有：

1．提供的管理介面使防火牆的配置更安全，監控更容易；

2．可自動進行病毒掃描，堵截非法URL和Java過濾；

3．對遠端使用者進行身份驗證，防止攻擊性的訪問，提高了安全性；

4．增加了防止基於協議攻擊的“障礙物”，例如Ping of Death和TCP SYN"洪水”。

此外，防火牆廠商還把網路前沿技術，如Web頁面超快取記憶體、虛擬私人網路和頻寬管理等與其產品結合起來。

　評測概述

　

NetWork World實驗室邀請了12家廠商參加一次對防火牆產品的評測，其中8家欣然接受。

Check Point Software公司的FireWall－1憑其豐富的功能和對各種企業級網路的適應性而榮膺桂冠。至於CyberGuard公司的CyberGuard Firewall，如果不考慮其對硬體平臺支援的專有性，也是個相當不錯的產品，除了擁有FireWall－1的大部分功能外，它還具備內建於作業系統中的各種安全特性，這點非常適合那些既擔心內部安全又擔心外部安全的使用者。值得表揚的還有C isco Systems公司的PIX,它是一個大大簡化了的但功能健全的防火牆，對僅希望控制訪問的網路管理者極具吸引力。

本次評測中，還湧現出了一些新產品，如Watchguard Technologies公司的Watchguard Security System和Netguard公司的Guardian都值得注意，它們在某些方面功能獨到，略勝一籌。雖然這兩個產品目前還欠成熟，但都是潛在的、強大的競爭對手。

Ukiah Software公司的NetRoad FireWall for Windows NT，Elron Software公司的Elron FireWall Secure 32OS和Microsoft公司的Proxy Server(自稱為防火牆)也各具特色，尤其適合小型網路的使用。但是，企業級的網路管理者會發現它們功能有限，且缺乏靈活性。

　

評測方法概述

　

用3種不同的安全規則建立防火牆，檢視其靈活性和效能；

對每個安全規則，現場檢查防火牆如何截停非法資料流、登陸、建立對話和闖入嘗試；

本次測試中，除了Microsoft公司和Ukiah Software公司的產品，其他防火牆都得到了國際電腦保安協會的認證，因此未再重複這方面的測試；

測試大部分防火牆產品的硬體平臺是200MHz Pentium CPU，128MB記憶體，軟體平臺是帶有Service Pack 3的Windows NT 4.0，個別廠商自己提供了測試的軟硬體捆綁。

　

配置工具

　

開始使用防火牆，首先需要一個直觀的配置工具。少了它，很可能會延誤一些必要的配置引數的改變。早期的防火牆產品只是一個工具和實用程式的拼湊產物；今天廠商們的共同目標是為使用者提供一個統一的、明確的介面以進行安全的防火牆狀態和引數的配置。最好的防火牆產品甚至考慮到了以下事實：配置介面並不常用，而聯機文件和幫助才是最關鍵的。

最早的容易使用的配置工具之一是由Check Point公司在FireWall－1中提供的，它使得Fire Wall－1成為市場的領導者。其介面面向源和目標，採用簡單的從上至下的順序，同網路管理者檢視網路的習慣非常吻合。雖然該配置工具的屬性視窗中，有時多達八九個標籤，顯得比較麻煩，但仍然容易設定。儘管F ireWall－1中的使用者介面一直比較好用，Check Point公司又增添了許多新功能，擴充套件了最初的介面，突破了原來的侷限性。據說，在即將推出的版本里還包含了圖形使用者介面(GUI)，儘管遲了些，但仍是個好訊息。

其他產品如Ukiah Software公司的NetRoad 和 Netguard公司的Guardian也有著相似風格的介面，同樣易於配置。事實上，由於它們的功能比FireWall－1少，也更簡單，因此沒有必要再測試這些使用者介面設計的侷限性。

如今，遠端管理已經成為不足為奇的功能，主要涉及一個通訊工作站上的客戶端應用，它透過加密的鏈路連線在防火牆上。有些防火牆產品，如C isco公司的PIX, Elron Software公司的Elron FireWall和Watchguard Technologies公司的Watchguard Security System還需要配一個專門用於配置和管理的二級系統。本次測試的產品中，只有Ukiah Software公司的NetRoad FireWall不支援遠端管理。

　

產品特點

　

FireWall－1可以從一個Windows或Unix工作站上同時管理整個網路的多個防火牆。儘管其他廠商，如Microsoft,CyberGuard和NetGuard也允許單一控制檯控制多個防火牆，但是它們都沒有使用F ireWall－1的“一個策略適應全部”的方法。使用者透過FireWall－1的管理介面，可用一個網路安全策略控制所有的防火牆以及任何一個路由器（透過訪問規則和過濾器實現）。這個方法意味著安全策略對所有需要進入網路、有待管理的防火牆都是相同的，只需編輯一次。而其他產品則要求獨立維護每個防火牆，這大大增加了管理員的負擔和配置出錯的可能性。

Elron FireWall在其使用者介面上採取了略微不同的方法，它把重點放在服務而不是系統上。這種基於服務的配置把規則建立在應用之上：域名系統允許通行嗎？T elnet呢？而基於系統或基於地址的配置與這個過程恰恰相反，它會問：這個或那個地址能做什麼？在一個具有相同結構的網中，基於服務的方法比起C heck Point ,Ukiah Software 和NetGuard所採用的面向系統的方法顯得更加簡單。Elron FireWall是這次測試中最容易配置的產品，但它只能進行簡單的配置，對複雜環境，尤其在各系統的屬性都不一樣的情況下，用它構造防火牆極為困難，維護起來更難，因為配置的細節部分都深藏於好幾層之下。

Cisco是一個敢於打破舊習俗的公司，在普遍使用圖形化使用者介面的今天，PIX仍堅持使用大量的命令列驅動方式。它也提供了一個Java的圖形化使用者介面，但是似乎比其命令列的介面更難理解和使用。到目前為止，P IX的配置命令有20多條，設計合理，簡單易行，螢幕上顯示的配置資訊基本不超過一屏；另外，這些命令也非常直觀，學起來很快。雖然測試組的同仁並不介意已經熟悉的命令列，但仍然希望C isco公司開發出圖形化使用者介面，早日把網路管理員從被迫進行的命令學習中解放出來。

Microsoft公司的Proxy Server深得圖形介面精髓, 它的配置可透過微軟的幾種介面棗微軟管理控制檯（MMC）、Web瀏覽器或Dos命令列進行。但是，這個防火牆第一個版本的能力還需要一些考驗，原因在於M icrosoft公司堅持讓MMC與圖形介面相適應，而不是與網路管理員的需求相適應。

Proxy Server功能較強，內建有Web頁面超快取記憶體、協議翻譯、防火牆和SOCKS能力。它的配置介面相對其產品來說較為複雜，而且經常需要依靠微妙的術語來區別相關的功能。

Watchguard Technologies公司的Watchguard Security System的配置方法有所革新。它與Elron Software公司的Elron FireWall類似，採用了面向服務的配置，但在打包配置任務和主題上比Elron FireWall做得更好。例如，它允許使用者建立一個獨立的名單列出“總是堵塞的”TCP埠，作為規則的補充。有了這種靈活性，可想而知，使用者不需要太多的幫助就能很快達到較高水平。

Watchguard Security System和PIX的配置工具也都給人留下了深刻印象，使用者只需經過很少的訓練，就能控制很多東西。這點對於那些兩三個星期只調整一次防火牆配置引數的管理員格外重要。

　

安全策略

　

隨著安全策略的進一步發展，防火牆市場日益成熟。早期的防火牆只有一種策略棗網路層的、傳輸層的或應用層的安全棗人們發現成功的防火牆往往得益於網路的安全。高階的產品也能增加這方面的特性，如基於協議的攻擊檢測和實時避免非法闖入。

同時，對SOCKS驗證和代理系統的支援大大降低了，只有CyberGuard和Microsoft支援該協議。

測試組從兩個角度評價安全性：一是判斷資料流是否允許透過的規則；二是能夠執行更多智慧化處理的代理。代理可以在應用層中途攔截資料流，理解應用協議，這樣一來，防火牆就可以基於應用進行資料流的過濾或修改，而不僅僅是I P地址或已驗證的使用者。例如，代理可以阻止從Web頁面下載ActiveX applets或者允許使用者用FTP獲取檔案，卻不能把檔案透過防火牆向外傳送。但是本次評測中發現大部分廠商對自己產品的代理功能言過其實。

各產品的代理功能不一，從Elron Software 和Cisco公司的最簡單的FTP代理功能到大量複雜的功能，如Microsoft公司的HTTP代理。最“強健”的代理集合是Check Point公司的FireWall－1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基於第二層，例如，NetRoad FireWall精心設計的FTP代理可以封住特定的FTP命令，並能阻止經過防火牆傳送的某些型別的檔案。

HTTP代理的能力在Microsoft Proxy Server上發揮至極，因為Microsoft Proxy Server原本就只是一個HTTP代理伺服器。該伺服器不僅能控制和重對映URL，還能把Web頁面存在快取里加快訪問Internet資料的速度。Ch eck Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了實用的HTTP代理，可以進行病毒檢查和攔截URL，但是沒有快取技術。Check Point的FireWall－1和Watchguard Technologies公司的Watchguard Security System的代理特別靈活，可以自動連線到外部的HTTP快取伺服器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP負載的服務，其中Check Point有很細緻的選項。（Cisco在另一條獨立產品線上提供了負載平衡功能）

本次測試中，雖然FireWall－1的可鑑別轉發郵件的傳送IP地址真偽的能力是一個聰明的革新，但是必須承認沒有一個產品具有值得一用的簡單郵件傳輸協議( Simple Mail Transfer Protocol)代理。大部分代理都是為1984年以前版本的郵件而設計的，沒有產品能控制住最新的SMTP服務擴充套件內容ESMTP(Extended Simple Mail Transfer Protocol),這就在事實上降低了E－mail的安全性。好在所有的防火牆產品都可以關閉這個功能。

對於那些不需要太多智慧的簡單代理服務，諸如Telnet或Ping, 網路管理員通常更注重規則。參加測試的產品在這方面的差距不太明顯，結果則更加微妙。例如，Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支援每週的某天和每天的某具體時間的限制。然而，幾乎沒有網路管理員會在下午五點鐘大動安全規則。

其他方面的差別相對重要一些。Ukiah Software公司的NetRoad FireWall根本沒有否決的概念，甚至使用者只進行簡單的網路配置也會發現這是個令人頭痛的限制。與他類似，Elron FireWall假設了TCP/IP的堆疊，這會造成與那些埠號低於1024的系統不相容。

小型網路使用基於服務的方法棗在每個方面定義許可或不許可的服務，顯得綽綽有餘。Watchguard Security System和 Elron FireWall即採用此法。然而，更大一些的網路或與外部有著複雜連線的網路則應採用基於地址的方法，這也是其他大部分產品所提供的，只有這樣才能把網路的安全策略翻譯成防火牆的配置。

很大規模的網路會發現基於地址的代理伺服器也有侷限性，因為這種伺服器要求的是Windows客戶端的軟體，而不是HTTP、FTP和Gopher。

即使採用基於地址方法的防火牆產品也有明顯的不同之處。例如，FireWall－1是唯一允許使用者決定一個被拒絕的連線是被忽略，還是被立刻駁回的產品。

此外，一些產品的安全特性也給人留下了深刻印象。如Watchguard Security System探測到有被闖入的危險時，可從一些節點上動態修改網路的安全策略，從而封住所有的資料流。它還可以檢測並躲避一些進攻者常用的“探針”工具。M icrosoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN"洪水”(一種普通的拒絕服務攻擊)的保護功能。其中，Check Point的戰略最具特色，它不僅詳細記錄了攻擊過程，還給出瞭如何處理的選項。

　

監測與統計

　

大部分防火牆的管理已經包括了一個安全管理工作站，儘管它的日誌和監控工具可應付常見情況，但仍然相當粗糙。特別是Elron Firewall，它居然不記錄“對話”，這點很不可取。

CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其內建的實時顯示功能給測試組留下了最深刻的印象。例如，Guardian可以讓管理員檢視目前所有實時更新的資訊，如透過防火牆的連線、頻寬的使用和其他統計資料等。這些資訊在進行防火牆的配置時很有用，能夠有助於理解防火牆怎樣解釋既定的規則，也有助於處理遇到的緊急情況。

大部分產品在日誌報告方面都做得不太好，只提供原始的日誌資料。使用者不得不使用一些工具，如Perl，去生成總結性的資訊。Cisco、C heck Point、CyberGuard和Ukiah Software的防火牆產品都是如此，只有Watchguard Security System提供的報告功能較強一些，但也得使用他自己的其他獨立的產品。

另外，NetGuard公司也能提供最基本的總結工具。Microsoft在以下方面佔據了領先位置：為日誌提供分析工具（已安裝，但沒有許可權的獨立產品），以及直接把日誌記錄到S QL或其他符合開放資料庫標準的資料庫中。

　

身份驗證

　

在防火牆世界裡，身份驗證的最初含義是保證外部使用者安全訪問內部。隨著該功能的重要性不斷增加，身份驗證已經開始用於驗證內部使用者訪問外部I nternet服務。所有的防火牆都有某種方法讓使用者建立一個透過防火牆的資訊。由於這種驗證可以作為協議的一部分，當使用者想連線資源或離線時，可以看到驗證的請求資訊。

驗證也可以在離線時進行，但是要求執行另一個不同的程式或特殊的應用去開啟防火牆。離線驗證的過程可以如同用瀏覽器指定URL一樣簡單，複雜起來又像裝載一個具有各種安全級別的特殊的客戶端。例如，C heck Point 公司的FireWall－1可以攔截外出的檔案傳送、Telnet和HTTP查詢，也可選擇驗證後繼續操作。但是，正如Check Point公司所指出的，一旦驗證已經發生，基於IP的訪問就相當冒險。

CyberGuard Firewall和Watchguard Security System對此有更好的策略：客戶端必須與防火牆建立連線，只有連線存在，才允許訪問。

其他廠商對驗證有更嚴格的限制。例如，NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一個特殊的Windows客戶端應用，而不需要連線認證外部使用者的資料庫。Microsoft Proxy Server也有一個Windows客戶端應用，但是，如果只是驗證有關Web的交易，可以不用它，因為任何Web瀏覽器都能做到這點。

Proxy Server整合了NT使用者的驗證資料庫，這點與Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中，Ukiah Software還整合了Novell公司的目錄服務。

另外，Check Point、Cisco System、CyberGuard和NetGuard公司的防火牆產品都提供了一次口令機制，或自己直接完成，或是用網路認證系統實現，如Remote Authentication Dial－In User Service或TACACS＋。

　

文件資料

　

文件資料也是許多參測產品的弱點。這方面的領先者是Microsoft公司，它提供了所有資料的線上文件，其中包括詳盡的指南資訊，美中不足的是沒有印刷品資料。

Check Point 公司的FireWall－1、CyberGuard公司的CyberGuard Firewall、Watchguard Technology公司的Watchguard Security System既有優秀的線上文件，也有印刷資料，且進一步闡述了防火牆的原理和操作。

Cisco PIX的資料與其防火牆的風格一致棗短小精悍，同時還提供Cisco資訊系統光碟。儘管這些文件看起來有些“吝嗇”，但根據它們能夠很好地配置和管理防火牆。

Elron Software公司的Elron FireWall、NetGuard公司的Guardian和Ukiah Software公司的NetRoad FireWall的文件水平一般。最糟糕的是NetRoad FireWall，雖然包含了一百多頁的安全指南，但沒有一篇與產品功能和產品規格說明相關。而Ukiah Software公司，則是測試組為了理解產品功能和如何配置進行電話聯絡最多的廠家。Elron Software稍好一些,但資料刪節得也比較多，它的作用更像一個橋，而非路由器，這種構建防火牆的做法比較正確，也很不同尋常。然而，這麼重大的不同點在E lron Software的資料裡都沒有給予解釋。市場上只有Network－1 Software＆Technology公司的Firewall Plus採取了同樣的辦法。

　

評分標準和測試結果

　

評分標準

配置 25% 靈活性和高階功能 25% 日誌報告/報警/檢測 25% 綜合能力 15% 支援平臺 5% 文件和線上幫助 5% 總分

Check Point 8 8 6 8 8 8 7.50

Cyberguard 7 8 6 7 5 8 6.95

WatchGuard 7 7 7 6 5 8 6.80

NetGuard 6 7 8 5 5 6 6.55

Microsoft 5 6 7 7 5 8 6.20

Cisco 7 7 5 5 5 8 6.15

Ukiah 6 5 6 8 5 5 5.95

Elron 6 6 4 5 5 7 5.35

　

測試結果

　

Microsoft公司

產品： Proxy Server 2.0；

價格： 995美元；

平臺： Windows NT 4.0；

優點： 緊密整合在所有的Windows NT網路；具有高階的HTTP代理功能；

不足： 對非Windows客戶端，有些功能不可用；要求客戶端在NT的使用者資料庫中註冊，進行身份驗證。

　

Check Point公司

產品： FireWall－1 3.0；

價格： 2995～18990美元；

平臺： HP－UX， IBM AIX，Solaris，SunOS, WindowsNT；

優點： 易於配置和重配置，支援平臺多，多點管理最佳，功能面廣；

不足： 使用者介面笨拙；監控工具和實時功能弱。

　

Cisco System公司

產品： PIX FireWall 4.1；

價格： 9000美元；

平臺： 專用硬體；

優點： 安全模式簡單，介面易於配置，熟悉Cisco路由器命令的人能很快掌握；

不足： 代理功能有限，安全模式相當不靈活。

　

Elron Software公司

產品： Elron Firewall/Secure 32OS；

價格： 4995美元以上；

平臺： 基於Intel CPU的微機，防火牆執行於自己的作業系統；Mgmt介面執行在Windows NT/95上；

優點： 支援多協議，對簡單網路可以快速配置；

不足： 沒有實際意義上的代理，身份驗證要求額外的Windows應用程式。

　

CyberGuard公司

產品： CyberGuard Firewall 4 for Unix；

價格： 5995～14995美元；

平臺： 基於Intel CPU的微機，防火牆執行於固化在硬體裡的作業系統之上；

優點： 實時監測工具很好，內建域名系統，功能強大的代理；

不足： 原始日誌、配置介面不夠平滑。

　

Ukiah Software公司

產品： NetRoad Firewall for Windows NT 2.0；

價格： 995美元以上；

平臺： Windows NT；

優點： 安裝快速，包括IPX－to－IP閘道器，成本很低；

不足： 文件資料較差，配置規則不靈活。

　

NetGuard公司

產品： Guardian V3.0；

價格： 3980～8980美元；

平臺： Windows NT(管理介面執行在Windows 95上)；

優點： 優異的實時連線監控，較好的簡單網路配置嚮導；

不足： 文件資料不足，代理功能有限。

　

Watchguard Technology公司

產品： Watchguard Security System 3；

價格： 3995美元以上；

平臺： 專有硬體（管理介面執行於Linux或Windows平臺）；

優點： 採用吸引小型網路的“黑盒子”方法，配置靈活，很好的實時衝突避免功能；

不足： 有限制的配置不能隨需求增長，內部的Linux核心把支援作業系統的重擔加在小廠商身上。

　

購買指導

　

本次測試發現：客戶喜愛的品牌並沒有因為已經取得的榮譽而裹足不前，CheckPoint Software公司的FireWall－1，CyberGuard公司的CyberGuard Firewall，和Cisco 公司的PIX都比上次測試又有了進步。 年輕的Watchguard Technology公司和NetGuard公司的產品第一次登臺亮相，就獲得了好評。

Microsoft公司的第一個防火牆版本雖然榜上名次不理想，但畢竟為本公司的軟體資源和市場增添了力量。同樣，Elron Software公司和Ukiah Software公司雖然沒有名列前茅，但也取得了可喜的進步。如果使用者需要對付非IP協議，如IPX, DECnet,和AppleTalk, Elron的產品顯得格外有吸引力。

Check Point

CyberGuard Firewall

Microsoft Proxy Server

我見過，這幾個網上有的down，（我有Check Point Iso ，可惜太大了,不方便上傳），Microsoft ISA 2000 比較小，可在163軟體園的大型軟體裡找到，他就是這個代理伺服器和防火牆的集合體最新版！（好像，前兩天有人有iso的），其他不知道了