企業安全產品測評之FireWall-1
防火墻作為企業安全防護的最基礎工程,這個事實已經路人皆知不用我過多陳述了。但是現如今的產品安全廠商層出不窮,安全產品也是琳瑯滿目,企業往往拿著預算資金卻不知如何選擇。實際上一款好的防火墻不僅能在網絡安全方面為企業保駕護航,在企業管理上也可以更加便利。本次我們就選取優秀具有優秀性能和管理能力的產品進行測評,本篇文章將測評側產品是Check Point 軟件科技公司的 FireWall-1。
盡管FireWall-1被認為不是代理類型的防火墻,但它的全狀態檢查能力非常接近代理類型的防火墻。例如,除了NAT之外,它還提供用戶認證,能防止SYN和分割包(packet-fragmentation)攻擊,還可以實現基于“put”、“get”命令和文件名的FTP管制。對于SMTP,你可以管制各種命令并丟棄任何超過某一尺寸的郵件,可以檢查郵件中的病毒,并可以在郵件離開內部網之前去掉郵件報頭信息中有關內部網細節的信息。FireWall-1還能防止運行可能造成危害的SMTP命令,例如“debug”。在FireWall-1提供這些給人以深刻印象的功能的同時,Raptor的SMTP 代理產品則更進一步,它可以限制外來郵件的郵件報頭尺寸以防止緩沖區溢出攻擊(buffer overrun attack)。
FireWall-1還可以針對ActiveX和Java程序掃描HTTP流量,實現基于手工輸入文件的URL過濾器,或者集成第三方的URL過濾服務。Raptor的HTTP 代理再次超前提供了限制URL長度的功能以防止緩沖區溢出攻擊,因為它確實在運行HTTP服務器代碼,所以它能夠做到只承認有效的HTTP語法。
FireWall-1的用戶界面提供了一個集中控制點,使用它可以輕松定義和實現復雜的安全策略。所有的相關主機、網絡和服務都被定義成帶有關聯圖標的對象,可以很輕松地將其放入對象組內并用它們自己的圖標來描述,然后可以在定義規則時使用這些圖標。每個分立規則可以單獨指定其他描述集中日志和警告級別的圖標。
每個規則有一個注釋域用來添加文檔,我們在Syracuse大學廣泛地使用了這一功能。隨著時間的推移,這一功能就會變得非常有用,可以用它來了解為什么指定一個特殊規則,還有日期,甚至添加這一規則的人的名字等信息。4.0版增加了輸入規則的能力,然后用一個紅色的"X"為它做注釋。我們還可以在這一版本中臨時隱藏規則,這使得長長的規則列表變得易讀。一個友好的用戶界面并不能擔保安全性,但它可以節約你的時間并減少出錯的可能性,而且很容易培訓其他人來管理這個防火墻。這個GUI還能讓你遠程控制大量FireWall-1模塊,可以管理Bay、Cisco和3Com的路由器,甚至Cisco的PIX防火墻,并且可以在這些產品之上實現過濾功能。
我們在FireWall-1策略編輯器里啟動了日志瀏覽器。這個瀏覽器根據選定的日志級別顯示源地址和目的地址以及和每個規則有關聯的端口。所有這些都帶有時間戳和日期戳。所有信息都按照易讀的專欄形式排列——描述可接受數據包的條目用綠色文本顯示,描述丟棄和拒絕數據包的條目用紅色文本顯示。用鼠標指向并點擊幾下,我們就定制了可以在日志瀏覽器中顯示的內容。例如,通過顯示丟棄和拒絕數據包的日志條目,我們就可以很容易地發現那些試圖進行非法訪問的數據包。查找通過防火墻的正常通訊中的意外干擾是一個非常好的方法,日志可以讓你看到有關的IP地址和相關服務,而且你可以由此確認出導致正常通訊中斷的嫌疑犯。一般來說,對于正常通訊的中斷,最新安裝的防火墻最有嫌疑。其他產品中在日志信息方面最接近FireWall-1的是AXENT的Raptor。盡管Raptor的日志更新快速而且相當詳細,但是它沒有對條目進行格式化,而且沒有顏色編碼,這使得它相當難讀。
FireWall-1用戶界面中有關NAT的部分令我們感到有些失望。比如為了建立一個靜態映射,你就要在相當多的網絡對象定義窗口之間出來進去。在映射建立起來之后,規則自動產生并顯示在一個非常類似于策略編輯器的規則窗口之中,每個映射對應兩個規則。我們發現如果僅簡單地瀏覽視圖則很難理解這個配置。我們還必須在Unix命令行下給每個映射設置路由。與之形成鮮明對比的是,盡管Cisco PIX的管理功能一般說來要差一些,但是它的單行命令對于設置NAT來說非常易于理解。然而,盡管FireWall-1運行NAT時的性能要比所有代理類型防火墻好(包括Raptor,它和FireWall-1一樣安裝在Solaris Ultra 2平臺上),但是也顯然要比不啟用NAT時慢。Check Point在我們的測試進行之前并沒有預先告訴我們啟動NAT會影響性能。
Check Point通過它的OPSEC(Open Platform for Secure Enterprise Connectivity,安全企業連通性開放平臺)向第三方廠商提供API,第三方廠商可以使用這些API開發可以集成到這款防火墻中的產品。結果是100多種產品在內容安全、入侵偵測、容錯和報告能力等方面充實了FireWall-1的內建功能。FireWall-1使用一種稱作"Inspect"的宏語言創建全狀態檢查宏,盡管一般用戶可能不會鉆研這些東西,但這畢竟使得為復雜的新協議定義新的服務成為可能。它還允許Check Point為新的服務定義協議,用戶只要簡單地從Check Point的Web站點下載這些協議并把它們安裝到FireWall-1防火墻上就行了。
【編輯推薦】
