防火墻作為企業(yè)安全防護(hù)的最基礎(chǔ)工程，這個(gè)事實(shí)已經(jīng)路人皆知不用我過(guò)多陳述了。但是現(xiàn)如今的產(chǎn)品安全廠商層出不窮，安全產(chǎn)品也是琳瑯滿目，企業(yè)往往拿著預(yù)算資金卻不知如何選擇。實(shí)際上一款好的防火墻不僅能在網(wǎng)絡(luò)安全方面為企業(yè)保駕護(hù)航，在企業(yè)管理上也可以更加便利。本次我們就選取優(yōu)秀具有優(yōu)秀性能和管理能力的產(chǎn)品進(jìn)行測(cè)評(píng)，本篇文章將測(cè)評(píng)側(cè)產(chǎn)品是Check Point 軟件科技公司的 FireWall-1。

盡管FireWall－1被認(rèn)為不是代理類型的防火墻，但它的全狀態(tài)檢查能力非常接近代理類型的防火墻。例如，除了NAT之外，它還提供用戶認(rèn)證，能防止SYN和分割包（packet－fragmentation）攻擊，還可以實(shí)現(xiàn)基于“put”、“get”命令和文件名的FTP管制。對(duì)于SMTP，你可以管制各種命令并丟棄任何超過(guò)某一尺寸的郵件，可以檢查郵件中的病毒，并可以在郵件離開內(nèi)部網(wǎng)之前去掉郵件報(bào)頭信息中有關(guān)內(nèi)部網(wǎng)細(xì)節(jié)的信息。FireWall－1還能防止運(yùn)行可能造成危害的SMTP命令，例如“debug”。在FireWall－1提供這些給人以深刻印象的功能的同時(shí)，Raptor的SMTP 代理產(chǎn)品則更進(jìn)一步，它可以限制外來(lái)郵件的郵件報(bào)頭尺寸以防止緩沖區(qū)溢出攻擊（buffer overrun attack）。

FireWall－1還可以針對(duì)ActiveX和Java程序掃描HTTP流量，實(shí)現(xiàn)基于手工輸入文件的URL過(guò)濾器，或者集成第三方的URL過(guò)濾服務(wù)。Raptor的HTTP 代理再次超前提供了限制URL長(zhǎng)度的功能以防止緩沖區(qū)溢出攻擊，因?yàn)樗_實(shí)在運(yùn)行HTTP服務(wù)器代碼，所以它能夠做到只承認(rèn)有效的HTTP語(yǔ)法。

FireWall－1的用戶界面提供了一個(gè)集中控制點(diǎn)，使用它可以輕松定義和實(shí)現(xiàn)復(fù)雜的安全策略。所有的相關(guān)主機(jī)、網(wǎng)絡(luò)和服務(wù)都被定義成帶有關(guān)聯(lián)圖標(biāo)的對(duì)象，可以很輕松地將其放入對(duì)象組內(nèi)并用它們自己的圖標(biāo)來(lái)描述，然后可以在定義規(guī)則時(shí)使用這些圖標(biāo)。每個(gè)分立規(guī)則可以單獨(dú)指定其他描述集中日志和警告級(jí)別的圖標(biāo)。

每個(gè)規(guī)則有一個(gè)注釋域用來(lái)添加文檔，我們?cè)赟yracuse大學(xué)廣泛地使用了這一功能。隨著時(shí)間的推移，這一功能就會(huì)變得非常有用，可以用它來(lái)了解為什么指定一個(gè)特殊規(guī)則，還有日期，甚至添加這一規(guī)則的人的名字等信息。4.0版增加了輸入規(guī)則的能力，然后用一個(gè)紅色的"X"為它做注釋。我們還可以在這一版本中臨時(shí)隱藏規(guī)則，這使得長(zhǎng)長(zhǎng)的規(guī)則列表變得易讀。一個(gè)友好的用戶界面并不能擔(dān)保安全性，但它可以節(jié)約你的時(shí)間并減少出錯(cuò)的可能性，而且很容易培訓(xùn)其他人來(lái)管理這個(gè)防火墻。這個(gè)GUI還能讓你遠(yuǎn)程控制大量FireWall－1模塊，可以管理Bay、Cisco和3Com的路由器，甚至Cisco的PIX防火墻，并且可以在這些產(chǎn)品之上實(shí)現(xiàn)過(guò)濾功能。

我們?cè)贔ireWall－1策略編輯器里啟動(dòng)了日志瀏覽器。這個(gè)瀏覽器根據(jù)選定的日志級(jí)別顯示源地址和目的地址以及和每個(gè)規(guī)則有關(guān)聯(lián)的端口。所有這些都帶有時(shí)間戳和日期戳。所有信息都按照易讀的專欄形式排列——描述可接受數(shù)據(jù)包的條目用綠色文本顯示，描述丟棄和拒絕數(shù)據(jù)包的條目用紅色文本顯示。用鼠標(biāo)指向并點(diǎn)擊幾下，我們就定制了可以在日志瀏覽器中顯示的內(nèi)容。例如，通過(guò)顯示丟棄和拒絕數(shù)據(jù)包的日志條目，我們就可以很容易地發(fā)現(xiàn)那些試圖進(jìn)行非法訪問(wèn)的數(shù)據(jù)包。查找通過(guò)防火墻的正常通訊中的意外干擾是一個(gè)非常好的方法，日志可以讓你看到有關(guān)的IP地址和相關(guān)服務(wù),而且你可以由此確認(rèn)出導(dǎo)致正常通訊中斷的嫌疑犯。一般來(lái)說(shuō)，對(duì)于正常通訊的中斷，最新安裝的防火墻最有嫌疑。其他產(chǎn)品中在日志信息方面最接近FireWall－1的是AXENT的Raptor。盡管Raptor的日志更新快速而且相當(dāng)詳細(xì)，但是它沒(méi)有對(duì)條目進(jìn)行格式化，而且沒(méi)有顏色編碼，這使得它相當(dāng)難讀。

FireWall－1用戶界面中有關(guān)NAT的部分令我們感到有些失望。比如為了建立一個(gè)靜態(tài)映射，你就要在相當(dāng)多的網(wǎng)絡(luò)對(duì)象定義窗口之間出來(lái)進(jìn)去。在映射建立起來(lái)之后，規(guī)則自動(dòng)產(chǎn)生并顯示在一個(gè)非常類似于策略編輯器的規(guī)則窗口之中，每個(gè)映射對(duì)應(yīng)兩個(gè)規(guī)則。我們發(fā)現(xiàn)如果僅簡(jiǎn)單地瀏覽視圖則很難理解這個(gè)配置。我們還必須在Unix命令行下給每個(gè)映射設(shè)置路由。與之形成鮮明對(duì)比的是，盡管Cisco PIX的管理功能一般說(shuō)來(lái)要差一些，但是它的單行命令對(duì)于設(shè)置NAT來(lái)說(shuō)非常易于理解。然而，盡管FireWall－1運(yùn)行NAT時(shí)的性能要比所有代理類型防火墻好（包括Raptor，它和FireWall－1一樣安裝在Solaris Ultra 2平臺(tái)上），但是也顯然要比不啟用NAT時(shí)慢。Check Point在我們的測(cè)試進(jìn)行之前并沒(méi)有預(yù)先告訴我們啟動(dòng)NAT會(huì)影響性能。

Check Point通過(guò)它的OPSEC（Open Platform for Secure Enterprise Connectivity，安全企業(yè)連通性開放平臺(tái)）向第三方廠商提供API，第三方廠商可以使用這些API開發(fā)可以集成到這款防火墻中的產(chǎn)品。結(jié)果是100多種產(chǎn)品在內(nèi)容安全、入侵偵測(cè)、容錯(cuò)和報(bào)告能力等方面充實(shí)了FireWall－1的內(nèi)建功能。FireWall－1使用一種稱作"Inspect"的宏語(yǔ)言創(chuàng)建全狀態(tài)檢查宏，盡管一般用戶可能不會(huì)鉆研這些東西，但這畢竟使得為復(fù)雜的新協(xié)議定義新的服務(wù)成為可能。它還允許Check Point為新的服務(wù)定義協(xié)議，用戶只要簡(jiǎn)單地從Check Point的Web站點(diǎn)下載這些協(xié)議并把它們安裝到FireWall－1防火墻上就行了。

【編輯推薦】

1. 防火墻安全測(cè)試之漏洞掃描
2. 防火墻安全測(cè)試之?dāng)?shù)據(jù)包偵聽
3. 防火墻安全測(cè)試之規(guī)則分析工具
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起