企業(yè)安全產(chǎn)品測評之FireWall-1
防火墻作為企業(yè)安全防護(hù)的最基礎(chǔ)工程,這個事實已經(jīng)路人皆知不用我過多陳述了。但是現(xiàn)如今的產(chǎn)品安全廠商層出不窮,安全產(chǎn)品也是琳瑯滿目,企業(yè)往往拿著預(yù)算資金卻不知如何選擇。實際上一款好的防火墻不僅能在網(wǎng)絡(luò)安全方面為企業(yè)保駕護(hù)航,在企業(yè)管理上也可以更加便利。本次我們就選取優(yōu)秀具有優(yōu)秀性能和管理能力的產(chǎn)品進(jìn)行測評,本篇文章將測評側(cè)產(chǎn)品是Check Point 軟件科技公司的 FireWall-1。
盡管FireWall-1被認(rèn)為不是代理類型的防火墻,但它的全狀態(tài)檢查能力非常接近代理類型的防火墻。例如,除了NAT之外,它還提供用戶認(rèn)證,能防止SYN和分割包(packet-fragmentation)攻擊,還可以實現(xiàn)基于“put”、“get”命令和文件名的FTP管制。對于SMTP,你可以管制各種命令并丟棄任何超過某一尺寸的郵件,可以檢查郵件中的病毒,并可以在郵件離開內(nèi)部網(wǎng)之前去掉郵件報頭信息中有關(guān)內(nèi)部網(wǎng)細(xì)節(jié)的信息。FireWall-1還能防止運行可能造成危害的SMTP命令,例如“debug”。在FireWall-1提供這些給人以深刻印象的功能的同時,Raptor的SMTP 代理產(chǎn)品則更進(jìn)一步,它可以限制外來郵件的郵件報頭尺寸以防止緩沖區(qū)溢出攻擊(buffer overrun attack)。
FireWall-1還可以針對ActiveX和Java程序掃描HTTP流量,實現(xiàn)基于手工輸入文件的URL過濾器,或者集成第三方的URL過濾服務(wù)。Raptor的HTTP 代理再次超前提供了限制URL長度的功能以防止緩沖區(qū)溢出攻擊,因為它確實在運行HTTP服務(wù)器代碼,所以它能夠做到只承認(rèn)有效的HTTP語法。
FireWall-1的用戶界面提供了一個集中控制點,使用它可以輕松定義和實現(xiàn)復(fù)雜的安全策略。所有的相關(guān)主機(jī)、網(wǎng)絡(luò)和服務(wù)都被定義成帶有關(guān)聯(lián)圖標(biāo)的對象,可以很輕松地將其放入對象組內(nèi)并用它們自己的圖標(biāo)來描述,然后可以在定義規(guī)則時使用這些圖標(biāo)。每個分立規(guī)則可以單獨指定其他描述集中日志和警告級別的圖標(biāo)。
每個規(guī)則有一個注釋域用來添加文檔,我們在Syracuse大學(xué)廣泛地使用了這一功能。隨著時間的推移,這一功能就會變得非常有用,可以用它來了解為什么指定一個特殊規(guī)則,還有日期,甚至添加這一規(guī)則的人的名字等信息。4.0版增加了輸入規(guī)則的能力,然后用一個紅色的"X"為它做注釋。我們還可以在這一版本中臨時隱藏規(guī)則,這使得長長的規(guī)則列表變得易讀。一個友好的用戶界面并不能擔(dān)保安全性,但它可以節(jié)約你的時間并減少出錯的可能性,而且很容易培訓(xùn)其他人來管理這個防火墻。這個GUI還能讓你遠(yuǎn)程控制大量FireWall-1模塊,可以管理Bay、Cisco和3Com的路由器,甚至Cisco的PIX防火墻,并且可以在這些產(chǎn)品之上實現(xiàn)過濾功能。
我們在FireWall-1策略編輯器里啟動了日志瀏覽器。這個瀏覽器根據(jù)選定的日志級別顯示源地址和目的地址以及和每個規(guī)則有關(guān)聯(lián)的端口。所有這些都帶有時間戳和日期戳。所有信息都按照易讀的專欄形式排列——描述可接受數(shù)據(jù)包的條目用綠色文本顯示,描述丟棄和拒絕數(shù)據(jù)包的條目用紅色文本顯示。用鼠標(biāo)指向并點擊幾下,我們就定制了可以在日志瀏覽器中顯示的內(nèi)容。例如,通過顯示丟棄和拒絕數(shù)據(jù)包的日志條目,我們就可以很容易地發(fā)現(xiàn)那些試圖進(jìn)行非法訪問的數(shù)據(jù)包。查找通過防火墻的正常通訊中的意外干擾是一個非常好的方法,日志可以讓你看到有關(guān)的IP地址和相關(guān)服務(wù),而且你可以由此確認(rèn)出導(dǎo)致正常通訊中斷的嫌疑犯。一般來說,對于正常通訊的中斷,最新安裝的防火墻最有嫌疑。其他產(chǎn)品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。盡管Raptor的日志更新快速而且相當(dāng)詳細(xì),但是它沒有對條目進(jìn)行格式化,而且沒有顏色編碼,這使得它相當(dāng)難讀。
FireWall-1用戶界面中有關(guān)NAT的部分令我們感到有些失望。比如為了建立一個靜態(tài)映射,你就要在相當(dāng)多的網(wǎng)絡(luò)對象定義窗口之間出來進(jìn)去。在映射建立起來之后,規(guī)則自動產(chǎn)生并顯示在一個非常類似于策略編輯器的規(guī)則窗口之中,每個映射對應(yīng)兩個規(guī)則。我們發(fā)現(xiàn)如果僅簡單地瀏覽視圖則很難理解這個配置。我們還必須在Unix命令行下給每個映射設(shè)置路由。與之形成鮮明對比的是,盡管Cisco PIX的管理功能一般說來要差一些,但是它的單行命令對于設(shè)置NAT來說非常易于理解。然而,盡管FireWall-1運行NAT時的性能要比所有代理類型防火墻好(包括Raptor,它和FireWall-1一樣安裝在Solaris Ultra 2平臺上),但是也顯然要比不啟用NAT時慢。Check Point在我們的測試進(jìn)行之前并沒有預(yù)先告訴我們啟動NAT會影響性能。
Check Point通過它的OPSEC(Open Platform for Secure Enterprise Connectivity,安全企業(yè)連通性開放平臺)向第三方廠商提供API,第三方廠商可以使用這些API開發(fā)可以集成到這款防火墻中的產(chǎn)品。結(jié)果是100多種產(chǎn)品在內(nèi)容安全、入侵偵測、容錯和報告能力等方面充實了FireWall-1的內(nèi)建功能。FireWall-1使用一種稱作"Inspect"的宏語言創(chuàng)建全狀態(tài)檢查宏,盡管一般用戶可能不會鉆研這些東西,但這畢竟使得為復(fù)雜的新協(xié)議定義新的服務(wù)成為可能。它還允許Check Point為新的服務(wù)定義協(xié)議,用戶只要簡單地從Check Point的Web站點下載這些協(xié)議并把它們安裝到FireWall-1防火墻上就行了。
【編輯推薦】
