目前,防火牆新產品的加盟和功能的增強使得各產品的銷售領域逐漸分散,但是位居榜首的仍然是Check Point Software公司的FireWall-1。
新增功能
如今,當我們看到產品海報上標有“全新的”和“改善的”字樣時,心裡不免犯嘀咕。可是,這兩個詞用來描述防火牆產品市場卻恰如其分。目前,防火牆的新功能有:
1.提供的管理界面使防火牆的配置更安全,監控更容易;
2.可自動進行病毒掃描,堵截非法URL和Java過濾;
3.對遠程用戶進行身份驗證,防止攻擊性的訪問,提高了安全性;
4.增加了防止基於協議攻擊的“障礙物”,例如Ping of Death和TCP SYN"洪水”。
此外,防火牆廠商還把網絡前沿技術,如Web頁面超高速緩存、虛擬私人網絡和帶寬管理等與其產品結合起來。
評測概述
NetWork World實驗室邀請了12家廠商參加一次對防火牆產品的評測,其中8家欣然接受。
Check Point Software公司的FireWall-1憑其豐富的功能和對各種企業級網絡的適應性而榮膺桂冠。至於CyberGuard公司的CyberGuard Firewall,如果不考慮其對硬件平台支持的專有性,也是個相當不錯的產品,除了擁有FireWall-1的大部分功能外,它還具備內置於操作系統中的各種安全特性,這點非常適合那些既擔心內部安全又擔心外部安全的用戶。值得表揚的還有C isco Systems公司的PIX,它是一個大大簡化了的但功能健全的防火牆,對僅希望控制訪問的網絡管理者極具吸引力。
本次評測中,還湧現出了一些新產品,如Watchguard Technologies公司的Watchguard Security System和Netguard公司的Guardian都值得注意,它們在某些方面功能獨到,略勝一籌。雖然這兩個產品目前還欠成熟,但都是潛在的、強大的競爭對手。
Ukiah Software公司的NetRoad FireWall for Windows NT,Elron Software公司的Elron FireWall Secure 32OS和Microsoft公司的Proxy Server(自稱為防火牆)也各具特色,尤其適合小型網絡的使用。但是,企業級的網絡管理者會發現它們功能有限,且缺乏靈活性。
評測方法概述
用3種不同的安全規則建立防火牆,查看其靈活性和性能;
對每個安全規則,現場檢查防火牆如何截停非法數據流、登陸、建立對話和闖入嘗試;
本次測試中,除了Microsoft公司和Ukiah Software公司的產品,其他防火牆都得到了國際計算機安全協會的認證,因此未再重復這方面的測試;
測試大部分防火牆產品的硬件平台是200MHz Pentium CPU,128MB內存,軟件平台是帶有Service Pack 3的Windows NT 4.0,個別廠商自己提供了測試的軟硬件捆綁。
配置工具
開始使用防火牆,首先需要一個直觀的配置工具。少了它,很可能會延誤一些必要的配置參數的改變。早期的防火牆產品只是一個工具和實用程序的拼湊產物;今天廠商們的共同目標是為用戶提供一個統一的、明確的界面以進行安全的防火牆狀態和參數的配置。最好的防火牆產品甚至考慮到了以下事實:配置界面並不常用,而聯機文檔和幫助才是最關鍵的。
最早的容易使用的配置工具之一是由Check Point公司在FireWall-1中提供的,它使得Fire Wall-1成為市場的領導者。其界面面向源和目標,采用簡單的從上至下的順序,同網絡管理者查看網絡的習慣非常吻合。雖然該配置工具的屬性窗口中,有時多達八九個標簽,顯得比較麻煩,但仍然容易設置。盡管F ireWall-1中的用戶界面一直比較好用,Check Point公司又增添了許多新功能,擴展了最初的界面,突破了原來的局限性。據說,在即將推出的版本裡還包含了圖形用戶界面(GUI),盡管遲了些,但仍是個好消息。
其他產品如Ukiah Software公司的NetRoad 和 Netguard公司的Guardian也有著相似風格的界面,同樣易於配置。事實上,由於它們的功能比FireWall-1少,也更簡單,因此沒有必要再測試這些用戶界面設計的局限性。
如今,遠程管理已經成為不足為奇的功能,主要涉及一個通信工作站上的客戶端應用,它通過加密的鏈路連接在防火牆上。有些防火牆產品,如C isco公司的PIX, Elron Software公司的Elron FireWall和Watchguard Technologies公司的Watchguard Security System還需要配一個專門用於配置和管理的二級系統。本次測試的產品中,只有Ukiah Software公司的NetRoad FireWall不支持遠程管理。
產品特點
FireWall-1可以從一個Windows或Unix工作站上同時管理整個網絡的多個防火牆。盡管其他廠商,如Microsoft,CyberGuard和NetGuard也允許單一控制台控制多個防火牆,但是它們都沒有使用F ireWall-1的“一個策略適應全部”的方法。用戶通過FireWall-1的管理界面,可用一個網絡安全策略控制所有的防火牆以及任何一個路由器(通過訪問規則和過濾器實現)。這個方法意味著安全策略對所有需要進入網絡、有待管理的防火牆都是相同的,只需編輯一次。而其他產品則要求獨立維護每個防火牆,這大大增加了管理員的負擔和配置出錯的可能性。
Elron FireWall在其用戶界面上采取了略微不同的方法,它把重點放在服務而不是系統上。這種基於服務的配置把規則建立在應用之上:域名系統允許通行嗎?T elnet呢?而基於系統或基於地址的配置與這個過程恰恰相反,它會問:這個或那個地址能做什麼?在一個具有相同結構的網中,基於服務的方法比起C heck Point ,Ukiah Software 和NetGuard所采用的面向系統的方法顯得更加簡單。Elron FireWall是這次測試中最容易配置的產品,但它只能進行簡單的配置,對復雜環境,尤其在各系統的屬性都不一樣的情況下,用它構造防火牆極為困難,維護起來更難,因為配置的細節部分都深藏於好幾層之下。
Cisco是一個敢於打破舊習俗的公司,在普遍使用圖形化用戶界面的今天,PIX仍堅持使用大量的命令行驅動方式。它也提供了一個Java的圖形化用戶界面,但是似乎比其命令行的界面更難理解和使用。到目前為止,P IX的配置命令有20多條,設計合理,簡單易行,屏幕上顯示的配置信息基本不超過一屏;另外,這些命令也非常直觀,學起來很快。雖然測試組的同仁並不介意已經熟悉的命令行,但仍然希望C isco公司開發出圖形化用戶界面,早日把網絡管理員從被迫進行的命令學習中解放出來。
Microsoft公司的Proxy Server深得圖形界面精髓, 它的配置可通過微軟的幾種界面棗微軟管理控制台(MMC)、Web浏覽器或Dos命令行進行。但是,這個防火牆第一個版本的能力還需要一些考驗,原因在於M icrosoft公司堅持讓MMC與圖形界面相適應,而不是與網絡管理員的需求相適應。
Proxy Server功能較強,內置有Web頁面超高速緩存、協議翻譯、防火牆和SOCKS能力。它的配置界面相對其產品來說較為復雜,而且經常需要依靠微妙的術語來區別相關的功能。
Watchguard Technologies公司的Watchguard Security System的配置方法有所革新。它與Elron Software公司的Elron FireWall類似,采用了面向服務的配置,但在打包配置任務和主題上比Elron FireWall做得更好。例如,它允許用戶創建一個獨立的名單列出“總是堵塞的”TCP端口,作為規則的補充。有了這種靈活性,可想而知,用戶不需要太多的幫助就能很快達到較高水平。
Watchguard Security System和PIX的配置工具也都給人留下了深刻印象,用戶只需經過很少的訓練,就能控制很多東西。這點對於那些兩三個星期只調整一次防火牆配置參數的管理員格外重要。
安全策略
隨著安全策略的進一步發展,防火牆市場日益成熟。早期的防火牆只有一種策略棗網絡層的、傳輸層的或應用層的安全棗人們發現成功的防火牆往往得益於網絡的安全。高端的產品也能增加這方面的特性,如基於協議的攻擊檢測和實時避免非法闖入。
同時,對SOCKS驗證和代理系統的支持大大降低了,只有CyberGuard和Microsoft支持該協議。
測試組從兩個角度評價安全性:一是判斷數據流是否允許通過的規則;二是能夠執行更多智能化處理的代理。代理可以在應用層中途攔截數據流,理解應用協議,這樣一來,防火牆就可以基於應用進行數據流的過濾或修改,而不僅僅是I P地址或已驗證的用戶。例如,代理可以阻止從Web頁面下載ActiveX applets或者允許用戶用FTP獲取文件,卻不能把文件透過防火牆向外傳送。但是本次評測中發現大部分廠商對自己產品的代理功能言過其實。
各產品的代理功能不一,從Elron Software 和Cisco公司的最簡單的FTP代理功能到大量復雜的功能,如Microsoft公司的HTTP代理。最“強健”的代理集合是Check Point公司的FireWall-1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基於第二層,例如,NetRoad FireWall精心設計的FTP代理可以封住特定的FTP命令,並能阻止經過防火牆傳送的某些類型的文件。
HTTP代理的能力在Microsoft Proxy Server上發揮至極,因為Microsoft Proxy Server原本就只是一個HTTP代理服務器。該服務器不僅能控制和重映射URL,還能把Web頁面存在緩存裡加快訪問Internet數據的速度。Ch eck Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了實用的HTTP代理,可以進行病毒檢查和攔截URL,但是沒有緩存技術。Check Point的FireWall-1和Watchguard Technologies公司的Watchguard Security System的代理特別靈活,可以自動連接到外部的HTTP緩存服務器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP負載的服務,其中Check Point有很細致的選項。(Cisco在另一條獨立產品線上提供了負載平衡功能)
本次測試中,雖然FireWall-1的可鑒別轉發郵件的發送IP地址真偽的能力是一個聰明的革新,但是必須承認沒有一個產品具有值得一用的簡單郵件傳輸協議( Simple Mail Transfer Protocol)代理。大部分代理都是為1984年以前版本的郵件而設計的,沒有產品能控制住最新的SMTP服務擴展內容ESMTP(Extended Simple Mail Transfer Protocol),這就在事實上降低了E-mail的安全性。好在所有的防火牆產品都可以關閉這個功能。
對於那些不需要太多智能的簡單代理服務,諸如Telnet或Ping, 網絡管理員通常更注重規則。參加測試的產品在這方面的差距不太明顯,結果則更加微妙。例如,Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支持每周的某天和每天的某具體時間的限制。然而,幾乎沒有網絡管理員會在下午五點鐘大動安全規則。
其他方面的差別相對重要一些。Ukiah Software公司的NetRoad FireWall根本沒有否決的概念,甚至用戶只進行簡單的網絡配置也會發現這是個令人頭痛的限制。與他類似,Elron FireWall假設了TCP/IP的堆棧,這會造成與那些端口號低於1024的系統不兼容。
小型網絡使用基於服務的方法棗在每個方面定義許可或不許可的服務,顯得綽綽有余。Watchguard Security System和 Elron FireWall即采用此法。然而,更大一些的網絡或與外部有著復雜連接的網絡則應采用基於地址的方法,這也是其他大部分產品所提供的,只有這樣才能把網絡的安全策略翻譯成防火牆的配置。
很大規模的網絡會發現基於地址的代理服務器也有局限性,因為這種服務器要求的是Windows客戶端的軟件,而不是HTTP、FTP和Gopher。
即使采用基於地址方法的防火牆產品也有明顯的不同之處。例如,FireWall-1是唯一允許用戶決定一個被拒絕的連接是被忽略,還是被立刻駁回的產品。
此外,一些產品的安全特性也給人留下了深刻印象。如Watchguard Security System探測到有被闖入的危險時,可從一些節點上動態修改網絡的安全策略,從而封住所有的數據流。它還可以檢測並躲避一些進攻者常用的“探針”工具。M icrosoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN"洪水”(一種普通的拒絕服務攻擊)的保護功能。其中,Check Point的戰略最具特色,它不僅詳細記錄了攻擊過程,還給出了如何處理的選項。
監測與統計
大部分防火牆的管理已經包括了一個安全管理工作站,盡管它的日志和監控工具可應付常見情況,但仍然相當粗糙。特別是Elron Firewall,它居然不記錄“對話”,這點很不可取。
CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其內置的實時顯示功能給測試組留下了最深刻的印象。例如,Guardian可以讓管理員查看目前所有實時更新的信息,如通過防火牆的連接、帶寬的使用和其他統計資料等。這些信息在進行防火牆的配置時很有用,能夠有助於理解防火牆怎樣解釋既定的規則,也有助於處理遇到的緊急情況。
大部分產品在日志報告方面都做得不太好,只提供原始的日志資料。用戶不得不使用一些工具,如Perl,去生成總結性的信息。Cisco、C heck Point、CyberGuard和Ukiah Software的防火牆產品都是如此,只有Watchguard Security System提供的報告功能較強一些,但也得使用他自己的其他獨立的產品。
另外,NetGuard公司也能提供最基本的總結工具。Microsoft在以下方面占據了領先位置:為日志提供分析工具(已安裝,但沒有許可權的獨立產品),以及直接把日志記錄到S QL或其他符合開放數據庫標准的數據庫中。
身份驗證
在防火牆世界裡,身份驗證的最初含義是保證外部用戶安全訪問內部。隨著該功能的重要性不斷增加,身份驗證已經開始用於驗證內部用戶訪問外部I nternet服務。所有的防火牆都有某種方法讓用戶創建一個通過防火牆的信息。由於這種驗證可以作為協議的一部分,當用戶想連接資源或離線時,可以看到驗證的請求信息。
驗證也可以在離線時進行,但是要求運行另一個不同的程序或特殊的應用去打開防火牆。離線驗證的過程可以如同用浏覽器指定URL一樣簡單,復雜起來又像裝載一個具有各種安全級別的特殊的客戶端。例如,C heck Point 公司的FireWall-1可以攔截外出的文件傳送、Telnet和HTTP查詢,也可選擇驗證後繼續操作。但是,正如Check Point公司所指出的,一旦驗證已經發生,基於IP的訪問就相當冒險。
CyberGuard Firewall和Watchguard Security System對此有更好的策略:客戶端必須與防火牆建立連接,只有連接存在,才允許訪問。
其他廠商對驗證有更嚴格的限制。例如,NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一個特殊的Windows客戶端應用,而不需要連接認證外部用戶的數據庫。Microsoft Proxy Server也有一個Windows客戶端應用,但是,如果只是驗證有關Web的交易,可以不用它,因為任何Web浏覽器都能做到這點。
Proxy Server集成了NT用戶的驗證數據庫,這點與Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中,Ukiah Software還集成了Novell公司的目錄服務。
另外,Check Point、Cisco System、CyberGuard和NetGuard公司的防火牆產品都提供了一次口令機制,或自己直接完成,或是用網絡認證系統實現,如Remote Authentication Dial-In User Service或TACACS+。
文檔資料
文檔資料也是許多參測產品的弱點。這方面的領先者是Microsoft公司,它提供了所有資料的在線文檔,其中包括詳盡的指南信息,美中不足的是沒有印刷品資料。
Check Point 公司的FireWall-1、CyberGuard公司的CyberGuard Firewall、Watchguard Technology公司的Watchguard Security System既有優秀的在線文檔,也有印刷資料,且進一步闡述了防火牆的原理和操作。
Cisco PIX的資料與其防火牆的風格一致棗短小精悍,同時還提供Cisco信息系統光盤。盡管這些文檔看起來有些“吝啬”,但根據它們能夠很好地配置和管理防火牆。
Elron Software公司的Elron FireWall、NetGuard公司的Guardian和Ukiah Software公司的NetRoad FireWall的文檔水平一般。最糟糕的是NetRoad FireWall,雖然包含了一百多頁的安全指南,但沒有一篇與產品功能和產品規格說明相關。而Ukiah Software公司,則是測試組為了理解產品功能和如何配置進行電話聯系最多的廠家。Elron Software稍好一些,但資料刪節得也比較多,它的作用更像一個橋,而非路由器,這種構建防火牆的做法比較正確,也很不同尋常。然而,這麼重大的不同點在E lron Software的資料裡都沒有給予解釋。市場上只有Network-1 Software&Technology公司的Firewall Plus采取了同樣的辦法。
評分標准和測試結果
評分標准
配置 25% 靈活性和高級功能 25% 日志報告/報警/檢測 25% 綜合能力 15% 支持平台 5% 文檔和在線幫助 5% 總分
Check Point 8 8 6 8 8 8 7.50
Cyberguard 7 8 6 7 5 8 6.95
WatchGuard 7 7 7 6 5 8 6.80
NetGuard 6 7 8 5 5 6 6.55
Microsoft 5 6 7 7 5 8 6.20
Cisco 7 7 5 5 5 8 6.15
Ukiah 6 5 6 8 5 5 5.95
Elron 6 6 4 5 5 7 5.35
測試結果
Microsoft公司
產品: Proxy Server 2.0;
價格: 995美元;
平台: Windows NT 4.0;
優點: 緊密集成在所有的Windows NT網絡;具有高級的HTTP代理功能;
不足: 對非Windows客戶端,有些功能不可用;要求客戶端在NT的用戶數據庫中注冊,進行身份驗證。
Check Point公司
產品: FireWall-1 3.0;
價格: 2995~18990美元;
平台: HP-UX, IBM AIX,Solaris,SunOS, WindowsNT;
優點: 易於配置和重配置,支持平台多,多點管理最佳,功能面廣;
不足: 用戶界面笨拙;監控工具和實時功能弱。
Cisco System公司
產品: PIX FireWall 4.1;
價格: 9000美元;
平台: 專用硬件;
優點: 安全模式簡單,界面易於配置,熟悉Cisco路由器命令的人能很快掌握;
不足: 代理功能有限,安全模式相當不靈活。
Elron Software公司
產品: Elron Firewall/Secure 32OS;
價格: 4995美元以上;
平台: 基於Intel CPU的微機,防火牆運行於自己的操作系統;Mgmt界面運行在Windows NT/95上;
優點: 支持多協議,對簡單網絡可以快速配置;
不足: 沒有實際意義上的代理,身份驗證要求額外的Windows應用程序。
CyberGuard公司
產品: CyberGuard Firewall 4 for Unix;
價格: 5995~14995美元;
平台: 基於Intel CPU的微機,防火牆運行於固化在硬件裡的操作系統之上;
優點: 實時監測工具很好,內置域名系統,功能強大的代理;
不足: 原始日志、配置界面不夠平滑。
Ukiah Software公司
產品: NetRoad Firewall for Windows NT 2.0;
價格: 995美元以上;
平台: Windows NT;
優點: 安裝快速,包括IPX-to-IP網關,成本很低;
不足: 文檔資料較差,配置規則不靈活。
NetGuard公司
產品: Guardian V3.0;
價格: 3980~8980美元;
平台: Windows NT(管理界面運行在Windows 95上);
優點: 優異的實時連接監控,較好的簡單網絡配置向導;
不足: 文檔資料不足,代理功能有限。
Watchguard Technology公司
產品: Watchguard Security System 3;
價格: 3995美元以上;
平台: 專有硬件(管理界面運行於Linux或Windows平台);
優點: 采用吸引小型網絡的“黑盒子”方法,配置靈活,很好的實時沖突避免功能;
不足: 有限制的配置不能隨需求增長,內部的Linux內核把支持操作系統的重擔加在小廠商身上。
購買指導
本次測試發現:客戶喜愛的品牌並沒有因為已經取得的榮譽而裹足不前,CheckPoint Software公司的FireWall-1,CyberGuard公司的CyberGuard Firewall,和Cisco 公司的PIX都比上次測試又有了進步。 年輕的Watchguard Technology公司和NetGuard公司的產品第一次登台亮相,就獲得了好評。
Microsoft公司的第一個防火牆版本雖然榜上名次不理想,但畢竟為本公司的軟件資源和市場增添了力量。同樣,Elron Software公司和Ukiah Software公司雖然沒有名列前茅,但也取得了可喜的進步。如果用戶需要對付非IP協議,如IPX, DECnet,和AppleTalk, Elron的產品顯得格外有吸引力。
Check Point
CyberGuard Firewall
Microsoft Proxy Server
我見過,這幾個網上有的down,(我有Check Point Iso ,可惜太大了,不方便上傳),Microsoft ISA 2000 比較小,可在163軟件園的大型軟件裡找到,他就是這個代理服務器和防火牆的集合體最新版!(好像,前兩天有人有iso的),其他不知道了!
Check Point
CyberGuard Firewall
Microsoft Proxy Server
我見過,這幾個網上有的down,(我有Check Point Iso ,可惜太大了,不方便上傳),Microsoft ISA 2000 比較小,可在163軟件園的大型軟件裡找到,他就是這個代理服務器和防火牆的集合體最新版!(好像,前兩天有人有iso的),其他不知道了!