信息安全,歷來都是計算機應用中的重點話題。在計算機網絡日益擴展與普及的今天,計算機信息安全的要求更高了,涉及面也更廣了。
計算機信息安全主要研究的是計算機病毒的防治和系統的安全。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。
在防治網絡病毒方面,主要防范在下載可執行軟件如:*.exe ,*.zip,等文件時,病毒的潛伏與復制傳播。
對于系統本身安全性,主要考慮服務器自身穩定性、健狀性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統的威脅。對重要商業應用,必須加上防火墻和數據加密技術加以保護。
在數據加密方面,更重要的是不斷提高和改進數據加密技術,使心懷叵測的人在網絡中難有可乘之機。
計算機信息安全是個很大的研究范疇,本文主要討論保障網絡信息安全時,作為防火墻的用戶如何來評測自身的業務需求,如何來通過產品的對比選型,選擇合適自己的防火墻產品。
眾所周知,我們目前保護計算機系統信息安全的主要手段,就是部署和應用防火墻。可是,我們在使用防火墻時會遇到許多問題,最具代表性的為以下三個:
其一,防火墻是用硬件防火墻呢,還是用軟件防火墻?這個對于許多人都是難以確定的。硬、軟件防火墻,各有各的優勢,可是誰的優勢大一些,作為普通用戶,很難深入了解。
其二,防火墻如何選型?防火墻產品的種類如此之多,而各防火墻廠商的技術水平參差不齊,到底選誰的?要知道,若是選錯了產品,投資回報低是小事,如果系統因此而受到攻擊,導致重要信息泄密或受損,則用戶的損失就大了。
其三,若是選定了某種軟件防火墻,它和用戶目前的操作系統的兼容性如何,有沒有集成的優勢?這也是防火墻用戶常問的問題。
下面列舉一些防火墻的主流產品,從其各自的特點、功能、處理性能及操作復雜程度等方面進行比較,并將實際使用中遇到的一些問題提出來,供大家借鑒。
1. Cisco PIX
Cisco PIX是最具代表性的硬件防火墻,屬狀態檢測型。由于它采用了自有的實時嵌入式操作系統,因此減少了黑客利用操作系統BUG攻擊的可能性。就性能而言, Cisco PIX是同類硬件防火墻產品中最好的,對100BaseT可達線速。因此,對于數據流量要求高的場合,如大型的ISP,應該是首選。
但是,其優勢在軟件防火墻面前便不呈現不明顯了。其致命傷主要有三:其一價格昂貴,其二升級困難,其三管理煩瑣復雜。
與Microsoft ISA SERVER防火墻管理模塊類似,Cisco公司也提供了集中式的防火墻管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令,這給我們留下了深刻印象,但是在FTP方面它不能像大多數產品那樣控制上載和下載操作。在日志管理、事件管理等方面遠比不上ISA SERVER防火墻管理模塊那么強勁易用,在對第三方廠商產品的支持這方面尤其顯得不足。
它的管理功能模塊的不足,是我們測試的所有產品中最差勁的一個:PIX的絕大多數管理都是通過命令行進行,沒有漂亮的管理GUI,這使它的界面友好性較差,對于一些不熟悉指令的用戶,使用PIX防火墻是件困難的事情。除此之外,用戶還可以通過命令行方式或是基于Web的命令行方式對PIX進行配置,但這種方式不支持集中管理模式,必須對每臺設備單獨進行配置。而且,配置復雜的過濾規則是相當麻煩的,特別是當需要前插一條安全規則時,后面的所有過濾規則都得先擦除,再重寫。
此外,我們發現使用命令行設置NAT并非簡單,決沒有比使用大多數GUI更方便。但是我們還發現,除了簡單的安全策略,PIX在設置基于服務的訪問、主機和網絡的時候非常不好用。我們在修改安全策略時遇到了最大的麻煩,這需要對規則進行重新排序,在插入一個新的列表之前必須刪除原來的規則列表。這是一個從Cisco路由器繼承過來的并不好用的功能。
PIX自身帶了一個管理應用程序,但是需要一臺WINDOWS NT/WINDOWS 2K服務器專門運行這個軟件,我們可以通過Web來訪問這個程序。如果使用Web界面管理PIX,我們只能在配置時使用它做一些非常簡單的修改。 Cisco公司稱,他們將在明年初開發出一個新的軟件以改善PIX的管理功能。
PIX的日志和監視功能也比其他產品遜色不少,它沒有實時日志功能,而且所有的日志信息都要送到另外一臺運行syslog的機器上去。不管怎樣,根據系統日志發出警報還是可以做到的。
還是那句話,若是你可以容忍PIX的種種缺點,只是看中了它的速度,那么你不妨試試。
2. Check Point Firewall-1
Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墻,是市場上老資格的軟件防火墻產品。
Check Point Firewall-1可以基于Unix、WinNT、Win2K等系統平臺上工作,屬狀態檢測型,綜合性能比較優秀。兼容的平臺較多是它的優點,但兼容性廣泛也導致該產品的某種平臺上沒有深入集成優勢,“泛而不精”。例如:但是Check Point Firewall-1防火墻與Win2K的系統集成性就比較差。
先說該產品優點:1).盡管是狀態檢測型防火墻,但它可以進行基于內容的安全檢查,如對URL進行控制;對某些應用,它甚至可以限制可使用的命令,如FTP。
2). 它不僅可以基于地址、應用設置過濾規則,而且還提供了多種用戶認證機制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比較靈活。
3) Check Point Firewall-1是一個開放的安全系統,提供了API,用戶可以根據需要配置安全檢查模塊,如病毒檢查模塊。
4). Check Point Firewall-1采用的是狀態檢測方式,因而處理性能也較高,對于10BaseT接口,基本達到線速(號稱可達80Mbps)。
5). Check Point Firewall-1是集中管理模式,即用戶可以通過GUI同防火墻管理模塊(Check Point Firewall Management Module)通信,維護安全規則;而防火墻管理模塊則負責編譯安全規則,并下載到各個防火墻模塊中, 管理線條比較清晰。
主要缺點有:1).Check Point Firewall-1的處理性能過分的依賴硬件平臺的配置,主要是硬件平臺的內存和CPU的處理速度。當客戶需求達到企業級時,無法為客戶提供集群或是陣列服務,無法更進一步提高并發性能。
2) Check Point Firewall-1管理界面的功能較多,但功能模塊分散,功能模塊豐富而使用不便。在復雜的操作流程下,通過Check Point Firewall-1管理界面,來修改安全規則等,很容易疏漏,難以相互照應。
3) 通過 Check Point Firewall-1管理模塊,可以管理AXENT Raptor、Cisco PIX等,可以對Bay、Cisco、3Com等公司的路由器進行ACL設置,但這些功能模塊是獨立的,需要單獨購買License,價格很貴。
4).Check Point Firewall-1最致命的缺點體現在:與操作系統的深入集成性比較差,特別是與MS Winnt/Win2k的集成性,無法與操作系統相互照應,形成立體防護網。
5). Check Point Firewall-1底層操作系統對路由的支持較差,以及不具備ARP Proxy等方面,特別是后者,在做地址轉換(NAT)時,不僅要配置防火墻,還要對操作系統的路由表進行修改,大大增加了NAT配置的復雜程度。
3. AXENT Raptor
與Check Point Firewall-1和PIX不同,Raptor完全是基于代理技術的軟件防火墻,它是代理服務型防火墻中的較好的一種。這主要體現在,相對于其他代理型防火墻而言,可支持的應用類型多;相對于狀態檢測型防火墻而言,由于所采用的技術手段不同,使得Raptor在安全控制的力度上較上述產品更加細致。
Raptor 防火墻甚至可以對NT服務器的讀、寫操作進行控制,并對SMB(Server Message Block)進行限制。對Oracle數據庫,Raptor還可以作為SQL Net的代理,從而對數據庫操作提供更好的保護。Raptor防火墻的管理界面也相當簡單。
顯然,由于Raptor防火墻所采用的技術,決定了其處理性能較前面兩種防火墻低。而且,對于用戶新增的應用,如果沒有相應的代理程序,那么就不可能透過防火墻。在這一點上,不如MS ISASERVER靈活。
AXENT公司的Raptor 防火墻包括了我們測試的代理防火墻中功能較好的一系列代理程序。在很多情況下,它檢查通過防火墻的數據的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模塊不集中的缺點。但AXENT Raptor的實時日志處理較好,則僅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允許通過防火墻的SMTP命令;能剝去郵件報頭中的內部網信息。與MS ISA SERVER相似,AXENT Raptor可以檢測到郵件頭部緩沖區溢出攻擊,并在它探測到危害安全的企圖時,允許你執行跟蹤命令的防火墻產品。Raptor通過限制傳送到內部Web 服務器的URL長度來防止緩沖區溢出攻擊。它只認可有效的HTTP命令并丟棄包含可以用來進行轉義代碼攻擊(escape code attack)字符的數據包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,網絡新聞轉發協議)代理和NTP(Network Time Protocol,網絡時間協議)代理。
Raptor的并發性能很差,沒有支持企業級用戶的防火墻陣列功能,海量級數據包分析過濾能力不夠。在這一點上,它明顯不如MS ISASERVER,甚至沒有FireWall-1快,僅比CyberGuard和NetGuard的Guardian強一些。
需要指出的是,當我們激活NAT的時候,AXENT Raptor有少許性能降低的跡象。而FireWall-1則相反,在啟動NAT的時候性能顯著下降,這是因為代理類型的防火墻本來就要重寫報頭。
還有一點,AXENT Raptor運行在Sun公司的硬件平臺上(FireWall-1也是一樣),對機器的硬件要求很高,你必須升級到更快的機器。
作為一個代理類型的防火墻,Raptor要求所有的通信流量直接通過它,這就要冒遭受攻擊的風險。為了保護它自己,它“加固”了操作系統—AXEN。在安裝的時候就主動努力保護操作系統,關閉了IP轉發和路由以及其他不必要的、可能成為操作系統漏洞的進程。安裝之后,Raptor繼續監視操作系統中可能危及安全的新進程。這也是AXENT Raptor明顯不足之一。
AXENT Raptor和MS ISA SERVER都把主機、網絡和服務定義為“元素”,這是一個和Check Point采用的“對象”類似。規則編輯器利用這些元素創建安全策略。但AXENT Raptor的這個管理界面實在令人不敢恭維。但是我們還是更喜歡MS ISA SERVER的界面,因為MS ISA SERVER包含方便閱讀的顏色和圖形,并且實現所有管理模塊的集中。
另外,在代理類型防火墻上定義規則要比在全狀態檢查類型防火墻上執行同樣的任務更困難,在AXENT Raptor中,你必須為你想運行的應用程序激活相應的代理服務,否則相應流量將不被允許通過這個防火墻。
Raptor也支持ICSA認證的IPSec并兼容VPN(virtual private network,虛擬專用網),但不幸的是,Raptor沒有使用硬件支持卡,所以你在啟動這個大量加密連接的功能時要小心從事,因為它非常消耗CPU資源,直至你的系統死機。
