NSS Labs最近測試了6個網絡防火墻以評估安全弱點。除了一個防火墻之外，其余的防火墻都有容易受到“TCP Split Handshake Attack”（TCP分離握手攻擊）攻擊的安全漏洞。這個安全漏洞能夠讓攻擊者遠程欺騙防火墻以為防火墻后面的一個IP連接是可信賴的。

NSS Labs總裁里克·莫伊（Rick Moy）稱，如果防火墻認為你在內部，它對你采用的安全政策就是一個內部的安全政策。你可以掃描查看機器在什么地方。然后，一個攻擊者能夠在網絡中到處跑，因為防火墻錯誤地認為這個IP地址是來自防火墻后面的可信賴的IP地址。

NSS Labs本星期發表了有關這些研究結果的論文《2011年網絡防火墻對比測試結果》。NSS Labs是一個知名的產品測試機構，評估廣泛的安全設備，有時候是進行廠商贊助的對比測試，有時候是進行自己確定的完全獨立的測試。本星期發表的《2011年網絡防火墻對比測試結果》是屬于后一種類似，測試成本完全是由NSS Labs自己承擔的。

NSS Labs獨立測試的6個防火墻包括：Check Point Power-1 11065、思科ASA 5585-40、Fortinet Fortigate 3950、瞻博網絡SRX 5800、Palo Alto Networks PA-4020和SonicWall NSA E8500。

莫伊指出，廠商一般不愿意參加NSS Labs進行的一系列測試。事實上，這次測試的防火墻有一半是由金融公司等最終用戶直接提供的。這些用戶支持這種測試，因為他們要找到自己的防火墻中可能存在的安全漏洞。

NSS Labs報告稱，在測試的6個產品中，有5個產品允許外部攻擊者繞過防火墻并且成為一個內部的可信賴的機器。NSS Labs測試的唯一沒有這種安全漏洞的是Check Point的防火墻。

莫伊稱，這次測試中使用的利用安全漏洞的代碼是已知的“TCP分離握手”攻擊代碼。這種攻擊是在TCP握手過程建立一個連接的時候啟動防火墻和任何連接的那一刻開始的。莫伊稱，這個攻擊代碼曝光已有大約一年時間。這種攻擊很容易讓攻擊者成為那個網絡的一部分。這種攻擊的潛在危害是由于這種攻擊發生在握手階段，這些攻擊不會被當作攻擊記錄和報警。

這篇報告稱，沒有通過“TCP分離握手”安全測試的廠商正處在修復這些漏洞的不同階段。

思科據說目前正在與NSS Labs合作解決這個問題并且將在產生結果之后立即提供一些建議。

這篇報告稱，Fortinet目前沒有向用戶提供防御“TCP分離握手”攻擊的保護措施。但是，NSS Labs稱，Fortinet已經通知它說，今年5月發布的產品中將包括這個保護措施。

這篇報告稱，在默認情況下，瞻博網絡不能啟用針對“TCP分離握手攻擊”的保護措施。但是，NSS Labs建議瞻博網絡用戶檢查自己的防火墻配置，并且按照這個報告中說明的指南操作。NSS Labs警告稱，保護措施可能會對性能產品負面影響，或者中斷不能正確使用TCP協議的應用程序。

據NSS Labs稱，Palo Alto已經表示他們將在未來發布的產品中發布有針對性的正式補丁。該公司補充說，保護措施可能會對性能產品負面影響，或者中斷不能正確使用TCP協議的應用程序。

在默認狀態下，SonicWall不能啟用針對TCP分離握手攻擊的保護措施。NSS Labs告訴用戶在最早的時候檢查自己的防火墻配置。

NSS Labs安全評估中的其它研究結果包括所有6個不同的防火墻在具體條件下的性能吞吐量速度與這些廠商公開宣傳的線速速度的對比。

NSS Labs指出，廠商數據表中聲稱的性能基本上都是夸大的。

此外，這篇報告稱，在測試的6個產品中，有3個產品在某種類型的穩定性測試中崩潰了。這是一種麻煩的情況，因為攻擊者能夠利用這種情況，特別是這些不穩定情況是由軟件漏洞引起的時候。Check Point Power-1、思科ASA firewall 5585-40和Palo Alto PA-4020這三個防火墻通過了這項測試。Fortinet 3950B和SonicWall NSA E8500沒有通過這項測試。這項測試的名稱是協議模糊與變異測試。

NSS Labs的報告還包括所有測試的防火墻的采購價格和擁有總成本的分析。