NSS Labs最近測(cè)試了6個(gè)網(wǎng)絡(luò)防火墻以評(píng)估安全弱點(diǎn)。除了一個(gè)防火墻之外，其余的防火墻都有容易受到“TCP Split Handshake Attack”（TCP分離握手攻擊）攻擊的安全漏洞。這個(gè)安全漏洞能夠讓攻擊者遠(yuǎn)程欺騙防火墻以為防火墻后面的一個(gè)IP連接是可信賴的。

NSS Labs總裁里克·莫伊（Rick Moy）稱，如果防火墻認(rèn)為你在內(nèi)部，它對(duì)你采用的安全政策就是一個(gè)內(nèi)部的安全政策。你可以掃描查看機(jī)器在什么地方。然后，一個(gè)攻擊者能夠在網(wǎng)絡(luò)中到處跑，因?yàn)榉阑饓﹀e(cuò)誤地認(rèn)為這個(gè)IP地址是來自防火墻后面的可信賴的IP地址。

NSS Labs本星期發(fā)表了有關(guān)這些研究結(jié)果的論文《2011年網(wǎng)絡(luò)防火墻對(duì)比測(cè)試結(jié)果》。NSS Labs是一個(gè)知名的產(chǎn)品測(cè)試機(jī)構(gòu)，評(píng)估廣泛的安全設(shè)備，有時(shí)候是進(jìn)行廠商贊助的對(duì)比測(cè)試，有時(shí)候是進(jìn)行自己確定的完全獨(dú)立的測(cè)試。本星期發(fā)表的《2011年網(wǎng)絡(luò)防火墻對(duì)比測(cè)試結(jié)果》是屬于后一種類似，測(cè)試成本完全是由NSS Labs自己承擔(dān)的。

NSS Labs獨(dú)立測(cè)試的6個(gè)防火墻包括：Check Point Power-1 11065、思科ASA 5585-40、Fortinet Fortigate 3950、瞻博網(wǎng)絡(luò)SRX 5800、Palo Alto Networks PA-4020和SonicWall NSA E8500。

莫伊指出，廠商一般不愿意參加NSS Labs進(jìn)行的一系列測(cè)試。事實(shí)上，這次測(cè)試的防火墻有一半是由金融公司等最終用戶直接提供的。這些用戶支持這種測(cè)試，因?yàn)樗麄円业阶约旱姆阑饓χ锌赡艽嬖诘陌踩┒础?/p>

NSS Labs報(bào)告稱，在測(cè)試的6個(gè)產(chǎn)品中，有5個(gè)產(chǎn)品允許外部攻擊者繞過防火墻并且成為一個(gè)內(nèi)部的可信賴的機(jī)器。NSS Labs測(cè)試的唯一沒有這種安全漏洞的是Check Point的防火墻。

莫伊稱，這次測(cè)試中使用的利用安全漏洞的代碼是已知的“TCP分離握手”攻擊代碼。這種攻擊是在TCP握手過程建立一個(gè)連接的時(shí)候啟動(dòng)防火墻和任何連接的那一刻開始的。莫伊稱，這個(gè)攻擊代碼曝光已有大約一年時(shí)間。這種攻擊很容易讓攻擊者成為那個(gè)網(wǎng)絡(luò)的一部分。這種攻擊的潛在危害是由于這種攻擊發(fā)生在握手階段，這些攻擊不會(huì)被當(dāng)作攻擊記錄和報(bào)警。

這篇報(bào)告稱，沒有通過“TCP分離握手”安全測(cè)試的廠商正處在修復(fù)這些漏洞的不同階段。

思科據(jù)說目前正在與NSS Labs合作解決這個(gè)問題并且將在產(chǎn)生結(jié)果之后立即提供一些建議。

這篇報(bào)告稱，F(xiàn)ortinet目前沒有向用戶提供防御“TCP分離握手”攻擊的保護(hù)措施。但是，NSS Labs稱，F(xiàn)ortinet已經(jīng)通知它說，今年5月發(fā)布的產(chǎn)品中將包括這個(gè)保護(hù)措施。

這篇報(bào)告稱，在默認(rèn)情況下，瞻博網(wǎng)絡(luò)不能啟用針對(duì)“TCP分離握手攻擊”的保護(hù)措施。但是，NSS Labs建議瞻博網(wǎng)絡(luò)用戶檢查自己的防火墻配置，并且按照這個(gè)報(bào)告中說明的指南操作。NSS Labs警告稱，保護(hù)措施可能會(huì)對(duì)性能產(chǎn)品負(fù)面影響，或者中斷不能正確使用TCP協(xié)議的應(yīng)用程序。

據(jù)NSS Labs稱，Palo Alto已經(jīng)表示他們將在未來發(fā)布的產(chǎn)品中發(fā)布有針對(duì)性的正式補(bǔ)丁。該公司補(bǔ)充說，保護(hù)措施可能會(huì)對(duì)性能產(chǎn)品負(fù)面影響，或者中斷不能正確使用TCP協(xié)議的應(yīng)用程序。

在默認(rèn)狀態(tài)下，SonicWall不能啟用針對(duì)TCP分離握手攻擊的保護(hù)措施。NSS Labs告訴用戶在最早的時(shí)候檢查自己的防火墻配置。

NSS Labs安全評(píng)估中的其它研究結(jié)果包括所有6個(gè)不同的防火墻在具體條件下的性能吞吐量速度與這些廠商公開宣傳的線速速度的對(duì)比。

NSS Labs指出，廠商數(shù)據(jù)表中聲稱的性能基本上都是夸大的。

此外，這篇報(bào)告稱，在測(cè)試的6個(gè)產(chǎn)品中，有3個(gè)產(chǎn)品在某種類型的穩(wěn)定性測(cè)試中崩潰了。這是一種麻煩的情況，因?yàn)楣粽吣軌蚶眠@種情況，特別是這些不穩(wěn)定情況是由軟件漏洞引起的時(shí)候。Check Point Power-1、思科ASA firewall 5585-40和Palo Alto PA-4020這三個(gè)防火墻通過了這項(xiàng)測(cè)試。Fortinet 3950B和SonicWall NSA E8500沒有通過這項(xiàng)測(cè)試。這項(xiàng)測(cè)試的名稱是協(xié)議模糊與變異測(cè)試。

NSS Labs的報(bào)告還包括所有測(cè)試的防火墻的采購(gòu)價(jià)格和擁有總成本的分析。