信息安全,歷來都是計算機應(yīng)用中的重點話題。在計算機網(wǎng)絡(luò)日益擴展與普及的今天,計算機信息安全的要求更高了,涉及面也更廣了。
計算機信息安全主要研究的是計算機病毒的防治和系統(tǒng)的安全。不但要求防治病毒,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,還要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋C苄裕苊庠趥鬏斖局性馐芊欠ǜ`取。
在防治網(wǎng)絡(luò)病毒方面,主要防范在下載可執(zhí)行軟件如:*.exe ,*.zip,等文件時,病毒的潛伏與復(fù)制傳播。
對于系統(tǒng)本身安全性,主要考慮服務(wù)器自身穩(wěn)定性、健狀性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統(tǒng)的威脅。對重要商業(yè)應(yīng)用,必須加上防火墻和數(shù)據(jù)加密技術(shù)加以保護。
在數(shù)據(jù)加密方面,更重要的是不斷提高和改進(jìn)數(shù)據(jù)加密技術(shù),使心懷叵測的人在網(wǎng)絡(luò)中難有可乘之機。
計算機信息安全是個很大的研究范疇,本文主要討論保障網(wǎng)絡(luò)信息安全時,作為防火墻的用戶如何來評測自身的業(yè)務(wù)需求,如何來通過產(chǎn)品的對比選型,選擇合適自己的防火墻產(chǎn)品。
眾所周知,我們目前保護計算機系統(tǒng)信息安全的主要手段,就是部署和應(yīng)用防火墻。可是,我們在使用防火墻時會遇到許多問題,最具代表性的為以下三個:
其一,防火墻是用硬件防火墻呢,還是用軟件防火墻?這個對于許多人都是難以確定的。硬、軟件防火墻,各有各的優(yōu)勢,可是誰的優(yōu)勢大一些,作為普通用戶,很難深入了解。
其二,防火墻如何選型?防火墻產(chǎn)品的種類如此之多,而各防火墻廠商的技術(shù)水平參差不齊,到底選誰的?要知道,若是選錯了產(chǎn)品,投資回報低是小事,如果系統(tǒng)因此而受到攻擊,導(dǎo)致重要信息泄密或受損,則用戶的損失就大了。
其三,若是選定了某種軟件防火墻,它和用戶目前的操作系統(tǒng)的兼容性如何,有沒有集成的優(yōu)勢?這也是防火墻用戶常問的問題。
下面列舉一些防火墻的主流產(chǎn)品,從其各自的特點、功能、處理性能及操作復(fù)雜程度等方面進(jìn)行比較,并將實際使用中遇到的一些問題提出來,供大家借鑒。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墻,屬狀態(tài)檢測型。由于它采用了自有的實時嵌入式操作系統(tǒng),因此減少了黑客利用操作系統(tǒng)BUG攻擊的可能性。就性能而言, Cisco PIX是同類硬件防火墻產(chǎn)品中最好的,對100BaseT可達(dá)線速。因此,對于數(shù)據(jù)流量要求高的場合,如大型的ISP,應(yīng)該是首選。
但是,其優(yōu)勢在軟件防火墻面前便不呈現(xiàn)不明顯了。其致命傷主要有三:其一價格昂貴,其二升級困難,其三管理煩瑣復(fù)雜。
與Microsoft ISA SERVER防火墻管理模塊類似,Cisco公司也提供了集中式的防火墻管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,這給我們留下了深刻印象,但是在FTP方面它不能像大多數(shù)產(chǎn)品那樣控制上載和下載操作。在日志管理、事件管理等方面遠(yuǎn)比不上ISA SERVER防火墻管理模塊那么強勁易用,在對第三方廠商產(chǎn)品的支持這方面尤其顯得不足。
它的管理功能模塊的不足,是我們測試的所有產(chǎn)品中最差勁的一個:PIX的絕大多數(shù)管理都是通過命令行進(jìn)行,沒有漂亮的管理GUI,這使它的界面友好性較差,對于一些不熟悉指令的用戶,使用PIX防火墻是件困難的事情。除此之外,用戶還可以通過命令行方式或是基于Web的命令行方式對PIX進(jìn)行配置,但這種方式不支持集中管理模式,必須對每臺設(shè)備單獨進(jìn)行配置。而且,配置復(fù)雜的過濾規(guī)則是相當(dāng)麻煩的,特別是當(dāng)需要前插一條安全規(guī)則時,后面的所有過濾規(guī)則都得先擦除,再重寫。
此外,我們發(fā)現(xiàn)使用命令行設(shè)置NAT并非簡單,決沒有比使用大多數(shù)GUI更方便。但是我們還發(fā)現(xiàn),除了簡單的安全策略,PIX在設(shè)置基于服務(wù)的訪問、主機和網(wǎng)絡(luò)的時候非常不好用。我們在修改安全策略時遇到了最大的麻煩,這需要對規(guī)則進(jìn)行重新排序,在插入一個新的列表之前必須刪除原來的規(guī)則列表。這是一個從Cisco路由器繼承過來的并不好用的功能。
PIX自身帶了一個管理應(yīng)用程序,但是需要一臺WINDOWS NT/WINDOWS 2K服務(wù)器專門運行這個軟件,我們可以通過Web來訪問這個程序。如果使用Web界面管理PIX,我們只能在配置時使用它做一些非常簡單的修改。 Cisco公司稱,他們將在明年初開發(fā)出一個新的軟件以改善PIX的管理功能。
PIX的日志和監(jiān)視功能也比其他產(chǎn)品遜色不少,它沒有實時日志功能,而且所有的日志信息都要送到另外一臺運行syslog的機器上去。不管怎樣,根據(jù)系統(tǒng)日志發(fā)出警報還是可以做到的。
還是那句話,若是你可以容忍PIX的種種缺點,只是看中了它的速度,那么你不妨試試。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墻,是市場上老資格的軟件防火墻產(chǎn)品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系統(tǒng)平臺上工作,屬狀態(tài)檢測型,綜合性能比較優(yōu)秀。兼容的平臺較多是它的優(yōu)點,但兼容性廣泛也導(dǎo)致該產(chǎn)品的某種平臺上沒有深入集成優(yōu)勢,“泛而不精”。例如:但是Check Point Firewall-1防火墻與Win2K的系統(tǒng)集成性就比較差。
先說該產(chǎn)品優(yōu)點:1).盡管是狀態(tài)檢測型防火墻,但它可以進(jìn)行基于內(nèi)容的安全檢查,如對URL進(jìn)行控制;對某些應(yīng)用,它甚至可以限制可使用的命令,如FTP。
2). 它不僅可以基于地址、應(yīng)用設(shè)置過濾規(guī)則,而且還提供了多種用戶認(rèn)證機制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比較靈活。
3) Check Point Firewall-1是一個開放的安全系統(tǒng),提供了API,用戶可以根據(jù)需要配置安全檢查模塊,如病毒檢查模塊。
4). Check Point Firewall-1采用的是狀態(tài)檢測方式,因而處理性能也較高,對于10BaseT接口,基本達(dá)到線速(號稱可達(dá)80Mbps)。
5). Check Point Firewall-1是集中管理模式,即用戶可以通過GUI同防火墻管理模塊(Check Point Firewall Management Module)通信,維護安全規(guī)則;而防火墻管理模塊則負(fù)責(zé)編譯安全規(guī)則,并下載到各個防火墻模塊中, 管理線條比較清晰。
主要缺點有:1).Check Point Firewall-1的處理性能過分的依賴硬件平臺的配置,主要是硬件平臺的內(nèi)存和CPU的處理速度。當(dāng)客戶需求達(dá)到企業(yè)級時,無法為客戶提供集群或是陣列服務(wù),無法更進(jìn)一步提高并發(fā)性能。
2) Check Point Firewall-1管理界面的功能較多,但功能模塊分散,功能模塊豐富而使用不便。在復(fù)雜的操作流程下,通過Check Point Firewall-1管理界面,來修改安全規(guī)則等,很容易疏漏,難以相互照應(yīng)。
3) 通過 Check Point Firewall-1管理模塊,可以管理AXENT Raptor、Cisco PIX等,可以對Bay、Cisco、3Com等公司的路由器進(jìn)行ACL設(shè)置,但這些功能模塊是獨立的,需要單獨購買License,價格很貴。
4).Check Point Firewall-1最致命的缺點體現(xiàn)在:與操作系統(tǒng)的深入集成性比較差,特別是與MS Winnt/Win2k的集成性,無法與操作系統(tǒng)相互照應(yīng),形成立體防護網(wǎng)。
5). Check Point Firewall-1底層操作系統(tǒng)對路由的支持較差,以及不具備ARP Proxy等方面,特別是后者,在做地址轉(zhuǎn)換(NAT)時,不僅要配置防火墻,還要對操作系統(tǒng)的路由表進(jìn)行修改,大大增加了NAT配置的復(fù)雜程度。
3. AXENT Raptor
與Check Point Firewall-1和PIX不同,Raptor完全是基于代理技術(shù)的軟件防火墻,它是代理服務(wù)型防火墻中的較好的一種。這主要體現(xiàn)在,相對于其他代理型防火墻而言,可支持的應(yīng)用類型多;相對于狀態(tài)檢測型防火墻而言,由于所采用的技術(shù)手段不同,使得Raptor在安全控制的力度上較上述產(chǎn)品更加細(xì)致。
Raptor 防火墻甚至可以對NT服務(wù)器的讀、寫操作進(jìn)行控制,并對SMB(Server Message Block)進(jìn)行限制。對Oracle數(shù)據(jù)庫,Raptor還可以作為SQL Net的代理,從而對數(shù)據(jù)庫操作提供更好的保護。Raptor防火墻的管理界面也相當(dāng)簡單。
顯然,由于Raptor防火墻所采用的技術(shù),決定了其處理性能較前面兩種防火墻低。而且,對于用戶新增的應(yīng)用,如果沒有相應(yīng)的代理程序,那么就不可能透過防火墻。在這一點上,不如MS ISASERVER靈活。
AXENT公司的Raptor 防火墻包括了我們測試的代理防火墻中功能較好的一系列代理程序。在很多情況下,它檢查通過防火墻的數(shù)據(jù)的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模塊不集中的缺點。但AXENT Raptor的實時日志處理較好,則僅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允許通過防火墻的SMTP命令;能剝?nèi)ム]件報頭中的內(nèi)部網(wǎng)信息。與MS ISA SERVER相似,AXENT Raptor可以檢測到郵件頭部緩沖區(qū)溢出攻擊,并在它探測到危害安全的企圖時,允許你執(zhí)行跟蹤命令的防火墻產(chǎn)品。Raptor通過限制傳送到內(nèi)部Web 服務(wù)器的URL長度來防止緩沖區(qū)溢出攻擊。它只認(rèn)可有效的HTTP命令并丟棄包含可以用來進(jìn)行轉(zhuǎn)義代碼攻擊(escape code attack)字符的數(shù)據(jù)包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,網(wǎng)絡(luò)新聞轉(zhuǎn)發(fā)協(xié)議)代理和NTP(Network Time Protocol,網(wǎng)絡(luò)時間協(xié)議)代理。
Raptor的并發(fā)性能很差,沒有支持企業(yè)級用戶的防火墻陣列功能,海量級數(shù)據(jù)包分析過濾能力不夠。在這一點上,它明顯不如MS ISASERVER,甚至沒有FireWall-1快,僅比CyberGuard和NetGuard的Guardian強一些。
需要指出的是,當(dāng)我們激活NAT的時候,AXENT Raptor有少許性能降低的跡象。而FireWall-1則相反,在啟動NAT的時候性能顯著下降,這是因為代理類型的防火墻本來就要重寫報頭。
還有一點,AXENT Raptor運行在Sun公司的硬件平臺上(FireWall-1也是一樣),對機器的硬件要求很高,你必須升級到更快的機器。
作為一個代理類型的防火墻,Raptor要求所有的通信流量直接通過它,這就要冒遭受攻擊的風(fēng)險。為了保護它自己,它“加固”了操作系統(tǒng)—AXEN。在安裝的時候就主動努力保護操作系統(tǒng),關(guān)閉了IP轉(zhuǎn)發(fā)和路由以及其他不必要的、可能成為操作系統(tǒng)漏洞的進(jìn)程。安裝之后,Raptor繼續(xù)監(jiān)視操作系統(tǒng)中可能危及安全的新進(jìn)程。這也是AXENT Raptor明顯不足之一。
AXENT Raptor和MS ISA SERVER都把主機、網(wǎng)絡(luò)和服務(wù)定義為“元素”,這是一個和Check Point采用的“對象”類似。規(guī)則編輯器利用這些元素創(chuàng)建安全策略。但AXENT Raptor的這個管理界面實在令人不敢恭維。但是我們還是更喜歡MS ISA SERVER的界面,因為MS ISA SERVER包含方便閱讀的顏色和圖形,并且實現(xiàn)所有管理模塊的集中。
另外,在代理類型防火墻上定義規(guī)則要比在全狀態(tài)檢查類型防火墻上執(zhí)行同樣的任務(wù)更困難,在AXENT Raptor中,你必須為你想運行的應(yīng)用程序激活相應(yīng)的代理服務(wù),否則相應(yīng)流量將不被允許通過這個防火墻。
Raptor也支持ICSA認(rèn)證的IPSec并兼容VPN(virtual private network,虛擬專用網(wǎng)),但不幸的是,Raptor沒有使用硬件支持卡,所以你在啟動這個大量加密連接的功能時要小心從事,因為它非常消耗CPU資源,直至你的系統(tǒng)死機。
