信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。
计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。
对于系统本身安全性,主要考虑服务器自身稳定性、健状性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。
在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。
计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。
众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:
其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。
其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。
其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。
下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言, Cisco PIX是同类硬件防火墙产品中最好的,对100BaseT可达线速。因此,对于数据流量要求高的场合,如大型的ISP,应该是首选。
但是,其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三:其一价格昂贵,其二升级困难,其三管理烦琐复杂。
与Microsoft ISA SERVER防火墙管理模块类似,Cisco公司也提供了集中式的防火墙管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,这给我们留下了深刻印象,但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志管理、事件管理等方面远比不上ISA SERVER防火墙管理模块那么强劲易用,在对第三方厂商产品的支持这方面尤其显得不足。
它的管理功能模块的不足,是我们测试的所有产品中最差劲的一个:PIX的绝大多数管理都是通过命令行进行,没有漂亮的管理GUI,这使它的界面友好性较差,对于一些不熟悉指令的用户,使用PIX防火墙是件困难的事情。除此之外,用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配置,但这种方式不支持集中管理模式,必须对每台设备单独进行配置。而且,配置复杂的过滤规则是相当麻烦的,特别是当需要前插一条安全规则时,后面的所有过滤规则都得先擦除,再重写。
此外,我们发现使用命令行设置NAT并非简单,决没有比使用大多数GUI更方便。但是我们还发现,除了简单的安全策略,PIX在设置基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦,这需要对规则进行重新排序,在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。
PIX自身带了一个管理应用程序,但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件,我们可以通过Web来访问这个程序。如果使用Web界面管理PIX,我们只能在配置时使用它做一些非常简单的修改。 Cisco公司称,他们将在明年初开发出一个新的软件以改善PIX的管理功能。
PIX的日志和监视功能也比其他产品逊色不少,它没有实时日志功能,而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样,根据系统日志发出警报还是可以做到的。
还是那句话,若是你可以容忍PIX的种种缺点,只是看中了它的速度,那么你不妨试试。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙,是市场上老资格的软件防火墙产品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作,属状态检测型,综合性能比较优秀。兼容的平台较多是它的优点,但兼容性广泛也导致该产品的某种平台上没有深入集成优势,“泛而不精”。例如:但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。
先说该产品优点:1).尽管是状态检测型防火墙,但它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。
2). 它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比较灵活。
3) Check Point Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。
4). Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,基本达到线速(号称可达80Mbps)。
5). Check Point Firewall-1是集中管理模式,即用户可以通过GUI同防火墙管理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中, 管理线条比较清晰。
主要缺点有:1).Check Point Firewall-1的处理性能过分的依赖硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时,无法为客户提供集群或是阵列服务,无法更进一步提高并发性能。
2) Check Point Firewall-1管理界面的功能较多,但功能模块分散,功能模块丰富而使用不便。在复杂的操作流程下,通过Check Point Firewall-1管理界面,来修改安全规则等,很容易疏漏,难以相互照应。
3) 通过 Check Point Firewall-1管理模块,可以管理AXENT Raptor、Cisco PIX等,可以对Bay、Cisco、3Com等公司的路由器进行ACL设置,但这些功能模块是独立的,需要单独购买License,价格很贵。
4).Check Point Firewall-1最致命的缺点体现在:与操作系统的深入集成性比较差,特别是与MS Winnt/Win2k的集成性,无法与操作系统相互照应,形成立体防护网。
5). Check Point Firewall-1底层操作系统对路由的支持较差,以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。
3. AXENT Raptor
与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的较好的一种。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。
Raptor 防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。
显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如MS ISASERVER灵活。
AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能较好的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模块不集中的缺点。但AXENT Raptor的实时日志处理较好,则仅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允许通过防火墙的SMTP命令;能剥去邮件报头中的内部网信息。与MS ISA SERVER相似,AXENT Raptor可以检测到邮件头部缓冲区溢出攻击,并在它探测到危害安全的企图时,允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web 服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。
Raptor的并发性能很差,没有支持企业级用户的防火墙阵列功能,海量级数据包分析过滤能力不够。在这一点上,它明显不如MS ISASERVER,甚至没有FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。
需要指出的是,当我们激活NAT的时候,AXENT Raptor有少许性能降低的迹象。而FireWall-1则相反,在启动NAT的时候性能显著下降,这是因为代理类型的防火墙本来就要重写报头。
还有一点,AXENT Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),对机器的硬件要求很高,你必须升级到更快的机器。
作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统—AXEN。在安装的时候就主动努力保护操作系统,关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后,Raptor继续监视操作系统中可能危及安全的新进程。这也是AXENT Raptor明显不足之一。
AXENT Raptor和MS ISA SERVER都把主机、网络和服务定义为“元素”,这是一个和Check Point采用的“对象”类似。规则编辑器利用这些元素创建安全策略。但AXENT Raptor的这个管理界面实在令人不敢恭维。但是我们还是更喜欢MS ISA SERVER的界面,因为MS ISA SERVER包含方便阅读的颜色和图形,并且实现所有管理模块的集中。
另外,在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难,在AXENT Raptor中,你必须为你想运行的应用程序激活相应的代理服务,否则相应流量将不被允许通过这个防火墙。
Raptor也支持ICSA认证的IPSec并兼容VPN(virtual private network,虚拟专用网),但不幸的是,Raptor没有使用硬件支持卡,所以你在启动这个大量加密连接的功能时要小心从事,因为它非常消耗CPU资源,直至你的系统死机。