八种防火墙产品评测.docx
《八种防火墙产品评测.docx》由会员分享,可在线阅读,更多相关《八种防火墙产品评测.docx(9页珍藏版)》请在冰豆网上搜索。
八种防火墙产品评测
八种防火墙产品评测
目前,防火墙新产品的加盟和功能的增强使得各产品的销售领域逐渐分散,但是位居榜首的仍然是CheckPointSoftware公司的FireWall-1。
新增功能
如今,当我们看到产品海报上标有“全新的”和“改善的”字样时,心里不免犯嘀咕。
可是,这两个词用来描述防火墙产品市场却恰如其分。
目前,防火墙的新功能有:
1.提供的管理界面使防火墙的配置更安全,监控更容易;
2.可自动进行病毒扫描,堵截非法URL和Java过滤;
3.对远程用户进行身份验证,防止攻击性的访问,提高了安全性;
4.增加了防止基于协议攻击的“障碍物”,例如PingofDeath和TCPSYN"洪水”。
此外,防火墙厂商还把网络前沿技术,如Web页面超高速缓存、虚拟私人网络和带宽管理等与其产品结合起来。
评测概述
NetWorkWorld实验室邀请了12家厂商参加一次对防火墙产品的评测,其中8家欣然接受。
CheckPointSoftware公司的FireWall-1凭其丰富的功能和对各种企业级网络的适应性而荣膺桂冠。
至于CyberGuard公司的CyberGuardFirewall,如果不考虑其对硬件平台支持的专有性,也是个相当不错的产品,除了拥有FireWall-1的大部分功能外,它还具备内置于操作系统中的各种安全特性,这点非常适合那些既担心内部安全又担心外部安全的用户。
值得表扬的还有CiscoSystems公司的PIX,它是一个大大简化了的但功能健全的防火墙,对仅希望控制访问的网络管理者极具吸引力。
本次评测中,还涌现出了一些新产品,如WatchguardTechnologies公司的WatchguardSecuritySystem和Netguard公司的Guardian都值得注意,它们在某些方面功能独到,略胜一筹。
虽然这两个产品目前还欠成熟,但都是潜在的、强大的竞争对手。
UkiahSoftware公司的NetRoadFireWallforWindowsNT,ElronSoftware公司的ElronFireWallSecure32OS和Microsoft公司的ProxyServer(自称为防火墙)也各具特色,尤其适合小型网络的使用。
但是,企业级的网络管理者会发现它们功能有限,且缺乏灵活性。
评测方法概述
用3种不同的安全规则建立防火墙,查看其灵活性和性能;
对每个安全规则,现场检查防火墙如何截停非法数据流、登陆、建立对话和闯入尝试;
本次测试中,除了Microsoft公司和UkiahSoftware公司的产品,其他防火墙都得到了国际计算机安全协会的认证,因此未再重复这方面的测试;
测试大部分防火墙产品的硬件平台是200MHzPentiumCPU,128MB内存,软件平台是带有ServicePack3的WindowsNT4.0,个别厂商自己提供了测试的软硬件捆绑。
配置工具
开始使用防火墙,首先需要一个直观的配置工具。
少了它,很可能会延误一些必要的配置参数的改变。
早期的防火墙产品只是一个工具和实用程序的拼凑产物;今天厂商们的共同目标是为用户提供一个统一的、明确的界面以进行安全的防火墙状态和参数的配置。
最好的防火墙产品甚至考虑到了以下事实:
配置界面并不常用,而联机文档和帮助才是最关键的。
最早的容易使用的配置工具之一是由CheckPoint公司在FireWall-1中提供的,它使得FireWall-1成为市场的领导者。
其界面面向源和目标,采用简单的从上至下的顺序,同网络管理者查看网络的习惯非常吻合。
虽然该配置工具的属性窗口中,有时多达八九个标签,显得比较麻烦,但仍然容易设置。
尽管FireWall-1中的用户界面一直比较好用,CheckPoint公司又增添了许多新功能,扩展了最初的界面,突破了原来的局限性。
据说,在即将推出的版本里还包含了图形用户界面(GUI),尽管迟了些,但仍是个好消息。
其他产品如UkiahSoftware公司的NetRoad和Netguard公司的Guardian也有着相似风格的界面,同样易于配置。
事实上,由于它们的功能比FireWall-1少,也更简单,因此没有必要再测试这些用户界面设计的局限性。
如今,远程管理已经成为不足为奇的功能,主要涉及一个通信工作站上的客户端应用,它通过加密的链路连接在防火墙上。
有些防火墙产品,如Cisco公司的PIX,ElronSoftware公司的ElronFireWall和WatchguardTechnologies公司的WatchguardSecuritySystem还需要配一个专门用于配置和管理的二级系统。
本次测试的产品中,只有UkiahSoftware公司的NetRoadFireWall不支持远程管理。
产品特点
FireWall-1可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。
尽管其他厂商,如Microsoft,CyberGuard和NetGuard也允许单一控制台控制多个防火墙,但是它们都没有使用FireWall-1的“一个策略适应全部”的方法。
用户通过FireWall-1的管理界面,可用一个网络安全策略控制所有的防火墙以及任何一个路由器(通过访问规则和过滤器实现)。
这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的,只需编辑一次。
而其他产品则要求独立维护每个防火墙,这大大增加了管理员的负担和配置出错的可能性。
ElronFireWall在其用户界面上采取了略微不同的方法,它把重点放在服务而不是系统上。
这种基于服务的配置把规则建立在应用之上:
这个或那个地址能做什么?
在一个具有相同结构的网中,基于服务的方法比起CheckPoint,UkiahSoftware和NetGuard所采用的面向系统的方法显得更加简单。
ElronFireWall是这次测试中最容易配置的产品,但它只能进行简单的配置,对复杂环境,尤其在各系统的属性都不一样的情况下,用它构造防火墙极为困难,维护起来更难,因为配置的细节部分都深藏于好几层之下。
Cisco是一个敢于打破旧习俗的公司,在普遍使用图形化用户界面的今天,PIX仍坚持使用大量的命令行驱动方式。
它也提供了一个Java的图形化用户界面,但是似乎比其命令行的界面更难理解和使用。
到目前为止,PIX的配置命令有20多条,设计合理,简单易行,屏幕上显示的配置信息基本不超过一屏;另外,这些命令也非常直观,学起来很快。
虽然测试组的同仁并不介意已经熟悉的命令行,但仍然希望Cisco公司开发出图形化用户界面,早日把网络管理员从被迫进行的命令学习中解放出来。
Microsoft公司的ProxyServer深得图形界面精髓,它的配置可通过微软的几种界面棗微软管理控制台(MMC)、Web浏览器或Dos命令行进行。
但是,这个防火墙第一个版本的能力还需要一些考验,原因在于Microsoft公司坚持让MMC与图形界面相适应,而不是与网络管理员的需求相适应。
ProxyServer功能较强,内置有Web页面超高速缓存、协议翻译、防火墙和SOCKS能力。
它的配置界面相对其产品来说较为复杂,而且经常需要依靠微妙的术语来区别相关的功能。
WatchguardTechnologies公司的WatchguardSecuritySystem的配置方法有所革新。
它与ElronSoftware公司的ElronFireWall类似,采用了面向服务的配置,但在打包配置任务和主题上比ElronFireWall做得更好。
例如,它允许用户创建一个独立的名单列出“总是堵塞的”TCP端口,作为规则的补充。
有了这种灵活性,可想而知,用户不需要太多的帮助就能很快达到较高水平。
WatchguardSecuritySystem和PIX的配置工具也都给人留下了深刻印象,用户只需经过很少的训练,就能控制很多东西。
这点对于那些两三个星期只调整一次防火墙配置参数的管理员格外重要。
安全策略
随着安全策略的进一步发展,防火墙市场日益成熟。
早期的防火墙只有一种策略棗网络层的、传输层的或应用层的安全棗人们发现成功的防火墙往往得益于网络的安全。
高端的产品也能增加这方面的特性,如基于协议的攻击检测和实时避免非法闯入。
同时,对SOCKS验证和代理系统的支持大大降低了,只有CyberGuard和Microsoft支持该协议。
测试组从两个角度评价安全性:
一是判断数据流是否允许通过的规则;二是能够执行更多智能化处理的代理。
代理可以在应用层中途拦截数据流,理解应用协议,这样一来,防火墙就可以基于应用进行数据流的过滤或修改,而不仅仅是IP地址或已验证的用户。
例如,代理可以阻止从Web页面下载ActiveXapplets或者允许用户用FTP获取文件,却不能把文件透过防火墙向外传送。
但是本次评测中发现大部分厂商对自己产品的代理功能言过其实。
各产品的代理功能不一,从ElronSoftware和Cisco公司的最简单的FTP代理功能到大量复杂的功能,如Microsoft公司的HTTP代理。
最“强健”的代理集合是CheckPoint公司的FireWall-1和CyberGuard公司的CyberGuardFireWall。
UkiahSoftware公司的NetRoadFireWall和WatchguardTechnologies公司的WatchguardSecuritySystem的代理基于第二层,例如,NetRoadFireWall精心设计的FTP代理可以封住特定的FTP命令,并能阻止经过防火墙传送的某些类型的文件。
本次测试中,虽然FireWall-1的可鉴别转发邮件的发送IP地址真伪的能力是一个聪明的革新,但是必须承认没有一个产品具有值得一用的简单邮件传输协议(SimpleMailTransferProtocol)代理。
大部分代理都是为1984年以前版本的邮件而设计的,没有产品能控制住最新的SMTP服务扩展内容ESMTP(ExtendedSimpleMailTransferProtocol),这就在事实上降低了E-mail的安全性。
好在所有的防火墙产品都可以关闭这个功能。
其他方面的差别相对重要一些。
UkiahSoftware公司的NetRoadFireWall根本没有否决的概念,甚至用户只进行简单的网络配置也会发现这是个令人头痛的限制。
与他类似,ElronFireWall假设了TCP/IP的堆栈,这会造成与那些端口号低于1024的系统不兼容。
小型网络使用基于服务的方法棗在每个方面定义许可或不许可的服务,显得绰绰有余。
WatchguardSecuritySystem和ElronFireWall即采用此法。
然而,更大一些的网络或与外部有着复杂连接的网络则应采用基于地址的方法,这也是其他大部分产品所提供的,只有这样才能把网络的安全策略翻译成防火墙的配置。
很大规模的网络会发现基于地址的代理服务器也有局限性,因为这种服务器要求的是Windows客户端的软件,而不是HTTP、FTP和Gopher。
即使采用基于地址方法的防火墙产品也有明显的不同之处。
例如,FireWall-1是唯一允许用户决定一个被拒绝的连接是被忽略,还是被立刻驳回的产品。
此外,一些产品的安全特性也给人留下了深刻印象。
如WatchguardSecuritySystem探测到有被闯入的危险时,可从一些节点上动态修改网络的安全策略,从而封住所有的数据流。
它还可以检测并躲避一些进攻者常用的“探针”工具。
Microsoft、CheckPoint、Cisco、CyberGuard、NetGuard和UkiahSoftware也提供了一些防止TCPSYN"洪水”(一种普通的拒绝服务攻击)的保护功能。
其中,CheckPoint的战略最具特色,它不仅详细记录了攻击过程,还给出了如何处理的选项。
监测与统计
大部分防火墙的管理已经包括了一个安全管理工作站,尽管它的日志和监控工具可应付常见情况,但仍然相当粗糙。
特别是ElronFirewall,它居然不记录“对话”,这点很不可取。
CyberGuard公司的CyberGuardFirewall和NetGuard公司的Guardian以其内置的实时显示功能给测试组留下了最深刻的印象。
例如,Guardian可以让管理员查看目前所有实时更新的信息,如通过防火墙的连接、带宽的使用和其他统计资料等。
这些信息在进行防火墙的配置时很有用,能够有助于理解防火墙怎样解释既定的规则,也有助于处理遇到的紧急情况。
大部分产品在日志报告方面都做得不太好,只提供原始的日志资料。
用户不得不使用一些工具,如Perl,去生成总结性的信息。
Cisco、CheckPoint、CyberGuard和UkiahSoftware的防火墙产品都是如此,只有WatchguardSecuritySystem提供的报告功能较强一些,但也得使用他自己的其他独立的产品。
另外,NetGuard公司也能提供最基本的总结工具。
Microsoft在以下方面占据了领先位置:
为日志提供分析工具(已安装,但没有许可权的独立产品),以及直接把日志记录到SQL或其他符合开放数据库标准的数据库中。
身份验证
CyberGuardFirewall和WatchguardSecuritySystem对此有更好的策略:
客户端必须与防火墙建立连接,只有连接存在,才允许访问。
其他厂商对验证有更严格的限制。
例如,NetGuard公司的Guardian和ElronSoftware公司的ElronFireWall都需要一个特殊的Windows客户端应用,而不需要连接认证外部用户的数据库。
MicrosoftProxyServer也有一个Windows客户端应用,但是,如果只是验证有关Web的交易,可以不用它,因为任何Web浏览器都能做到这点。
ProxyServer集成了NT用户的验证数据库,这点与WatchguardTechnology、UkiahSoftware、CyberGuard和CheckPoint的做法一致。
其中,UkiahSoftware还集成了Novell公司的目录服务。
另外,CheckPoint、CiscoSystem、CyberGuard和NetGuard公司的防火墙产品都提供了一次口令机制,或自己直接完成,或是用网络认证系统实现,如RemoteAuthenticationDial-InUserService或TACS+。
文档资料
文档资料也是许多参测产品的弱点。
这方面的领先者是Microsoft公司,它提供了所有资料的在线文档,其中包括详尽的指南信息,美中不足的是没有印刷品资料。
CheckPoint公司的FireWall-
1、CyberGuard公司的CyberGuardFirewall、WatchguardTechnology公司的WatchguardSecuritySystem既有优秀的在线文档,也有印刷资料,且进一步阐述了防火墙的原理和操作。
CiscoPIX的资料与其防火墙的风格一致棗短小精悍,同时还提供Cisco信息系统光盘。
尽管这些文档看起来有些“吝啬”,但根据它们能够很好地配置和管理防火墙。
ElronSoftware公司的ElronFireWall、NetGuard公司的Guardian和UkiahSoftware公司的NetRoadFireWall的文档水平一般。
最糟糕的是NetRoadFireWall,虽然包含了一百多页的安全指南,但没有一篇与产品功能和产品规格说明相关。
而UkiahSoftware公司,则是测试组为了理解产品功能和如何配置进行电话联系最多的厂家。
ElronSoftware稍好一些,但资料删节得也比较多,它的作用更像一个桥,而非路由器,这种构建防火墙的做法比较正确,也很不同寻常。
然而,这么重大的不同点在ElronSoftware的资料里都没有给予解释。
市场上只有Network-1Software&Technology公司的FirewallPlus采取了同样的办法。
评分标准和测试结果
评分标准
配置25%灵活性和高级功能25%日志报告/报警/检测25%综合能力15%支持平台5%文档和在线帮助5%总分
CheckPoint8868887.50
Cyberguard7867586.95
WatchGuard7776586.80
NetGuard6785566.55
Microsoft5677586.20
Cisco7755586.15
Ukiah6568555.95
Elron6645575.35
测试结果
Microsoft公司
产品:
ProxyServer2.0;
价格:
995美元;
平台:
WindowsNT4.0;
优点:
紧密集成在所有的WindowsNT网络;具有高级的HTTP代理功能;
不足:
对非Windows客户端,有些功能不可用;要求客户端在NT的用户数据库中注册,进行身份验证。
CheckPoint公司
产品:
FireWall-13.0;
价格:
2995~18990美元;
平台:
HP-UX,IBMAIX,Solaris,SunOS,WindowsNT;
优点:
易于配置和重配置,支持平台多,多点管理最佳,功能面广;
不足:
用户界面笨拙;监控工具和实时功能弱。
CiscoSystem公司
产品:
PIXFireWall4.1;
价格:
9000美元;
平台:
专用硬件;
优点:
安全模式简单,界面易于配置,熟悉Cisco路由器命令的人能很快掌握;
不足:
代理功能有限,安全模式相当不灵活。
ElronSoftware公司
产品:
ElronFirewall/Secure32OS;
价格:
4995美元以上;
平台:
基于IntelCPU的微机,防火墙运行于自己的操作系统;Mgmt界面运行在WindowsNT/95上;优点:
支持多协议,对简单网络可以快速配置;
不足:
没有实际意义上的代理,身份验证要求额外的Windows应用程序。
CyberGuard公司
产品:
CyberGuardFirewall4forUnix;
价格:
5995~14995美元;
平台:
基于IntelCPU的微机,防火墙运行于固化在硬件里的操作系统之上;
优点:
实时监测工具很好,内置域名系统,功能强大的代理;
不足:
原始xx、配置界面不够平滑。
UkiahSoftware公司
产品:
NetRoadFirewallforWindowsNT2.0;
价格:
995美元以上;
平台:
WindowsNT;
优点:
安装快速,包括IPX-to-IP网关,成本很低;
不足:
文档资料较差,配置规则不灵活。
NetGuard公司
产品:
GuardianV3.0;
价格:
3980~8980美元;
平台:
WindowsNT(管理界面运行在Windows95上);
优点:
优异的实时连接监控,较好的简单网络配置向导;
不足:
文档资料不足,代理功能有限。
WatchguardTechnology公司
产品:
WatchguardSecuritySystem3;
价格:
3995美元以上;
平台:
专有硬件(管理界面运行于Linux或Windows平台);
优点:
采用吸引小型网络的“黑盒子”方法,配置灵活,很好的实时冲突避免功能;
不足:
有限制的配置不能随需求增长,内部的Linux内核把支持操作系统的重担加在小厂商身上。
购买指导
本次测试发现:
客户喜爱的品牌并没有因为已经取得的荣誉而裹足不前,CheckPointSoftware公司的FireWall-1,CyberGuard公司的CyberGuardFirewall,和Cisco公司的PIX都比上次测试又有了进步。
年轻的WatchguardTechnology公司和NetGuard公司的产品第一次登台亮相,就获得了好评。
Microsoft公司的第一个防火墙版本虽然榜上名次不理想,但毕竟为本公司的软件资源和市场增添了力量。
同样,ElronSoftware公司和UkiahSoftware公司虽然没有名列前茅,但也取得了可喜的进步。
如果用户需要对付非IP协议,如IPX,DECnet,和AppleTalk,Elron的产品显得格外有吸引力。
升级会员 