目前，防火墙新产品的加盟和功能的增强使得各产品的销售领域逐渐分散，但是位居榜首的仍然是Check Point Software公司的FireWall－1。
　　
　　新增功能
　　如今，当我们看到产品海报上标有“全新的”和“改善的”字样时，心里不免犯嘀咕。可是，这两个词用来描述防火墙产品市场却恰如其分。目前，防火墙的新功能有：
　　1．提供的管理界面使防火墙的配置更安全，监控更容易；
　　2．可自动进行病毒扫描，堵截非法URL和Java过滤；
　　3．对远程用户进行身份验证，防止攻击性的访问，提高了安全性；
　　4．增加了防止基于协议攻击的“障碍物”，例如Ping of Death和TCP SYN“洪水”。
　　此外，防火墙厂商还把网络前沿技术，如Web页面超高速缓存、虚拟私人网络和带宽管理等与其产品结合起来。
　　评测概述　
　　NetWork World实验室邀请了12家厂商参加一次对防火墙产品的评测，其中8家欣然接受。
　　Check Point Software公司的FireWall－1凭其丰富的功能和对各种企业级网络的适应性而荣膺桂冠。至于CyberGuard公司的CyberGuard Firewall，如果不考虑其对硬件平台支持的专有性，也是个相当不错的产品，除了拥有FireWall－1的大部分功能外，它还具备内置于操作系统中的各种安全特性，这点非常适合那些既担心内部安全又担心外部安全的用户。值得表扬的还有Cisco Systems公司的PIX,它是一个大大简化了的但功能健全的防火墙，对仅希望控制访问的网络管理者极具吸引力。
　　本次评测中，还涌现出了一些新产品，如Watchguard Technologies公司的Watchguard Security System和Netguard公司的Guardian都值得注意，它们在某些方面功能独到，略胜一筹。虽然这两个产品目前还欠成熟，但都是潜在的、强大的竞争对手。
　　Ukiah Software公司的NetRoad FireWall for Windows NT，Elron Software公司的Elron FireWall Secure 32OS和Microsoft公司的Proxy Server(自称为防火墙)也各具特色，尤其适合小型网络的使用。但是，企业级的网络管理者会发现它们功能有限，且缺乏灵活性。
　　评测方法概述 　
　　用3种不同的安全规则建立防火墙，查看其灵活性和性能；
　　对每个安全规则，现场检查防火墙如何截停非法数据流、登陆、建立对话和闯入尝试；
　　本次测试中，除了Microsoft公司和Ukiah Software公司的产品，其他防火墙都得到了国际计算机安全协会的认证，因此未再重复这方面的测试；
　　测试大部分防火墙产品的硬件平台是200MHz Pentium CPU，128MB内存，软件平台是带有Service Pack 3的Windows NT 4.0，个别厂商自己提供了测试的软硬件捆绑。
　　配置工具
　　开始使用防火墙，首先需要一个直观的配置工具。少了它，很可能会延误一些必要的配置参数的改变。早期的防火墙产品只是一个工具和实用程序的拼凑产物；今天厂商们的共同目标是为用户提供一个统一的、明确的界面以进行安全的防火墙状态和参数的配置。最好的防火墙产品甚至考虑到了以下事实：配置界面并不常用，而联机文档和帮助才是最关键的。
　　最早的容易使用的配置工具之一是由Check Point公司在FireWall－1中提供的，它使得Fire Wall－1成为市场的领导者。其界面面向源和目标，采用简单的从上至下的顺序，同网络管理者查看网络的习惯非常吻合。虽然该配置工具的属性窗口中，有时多达八九个标签，显得比较麻烦，但仍然容易设置。尽管FireWall－1中的用户界面一直比较好用，Check Point公司又增添了许多新功能，扩展了最初的界面，突破了原来的局限性。据说，在即将推出的版本里还包含了图形用户界面(GUI)，尽管迟了些，但仍是个好消息。
　　其他产品如Ukiah Software公司的NetRoad 和 Netguard公司的Guardian也有着相似风格的界面，同样易于配置。事实上，由于它们的功能比FireWall－1少，也更简单，因此没有必要再测试这些用户界面设计的局限性。
　　如今，远程管理已经成为不足为奇的功能，主要涉及一个通信工作站上的客户端应用，它通过加密的链路连接在防火墙上。有些防火墙产品，如Cisco公司的PIX, Elron Software公司的Elron FireWall和Watchguard Technologies公司的Watchguard Security System还需要配一个专门用于配置和管理的二级系统。本次测试的产品中，只有Ukiah Software公司的NetRoad FireWall不支持远程管理。
　　产品特点
　　FireWall－1可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。尽管其他厂商，如Microsoft,CyberGuard和NetGuard也允许单一控制台控制多个防火墙，但是它们都没有使用FireWall－1的“一个策略适应全部”的方法。用户通过FireWall－1的管理界面，可用一个网络安全策略控制所有的防火墙以及任何一个路由器（通过访问规则和过滤器实现）。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的，只需编辑一次。而其他产品则要求独立维护每个防火墙，这大大增加了管理员的负担和配置出错的可能性。
　　Elron FireWall在其用户界面上采取了略微不同的方法，它把重点放在服务而不是系统上。这种基于服务的配置把规则建立在应用之上：域名系统允许通行吗？Telnet呢？而基于系统或基于地址的配置与这个过程恰恰相反，它会问：这个或那个地址能做什么？在一个具有相同结构的网中，基于服务的方法比起Check Point ,Ukiah Software 和NetGuard所采用的面向系统的方法显得更加简单。Elron FireWall是这次测试中最容易配置的产品，但它只能进行简单的配置，对复杂环境，尤其在各系统的属性都不一样的情况下，用它构造防火墙极为困难，维护起来更难，因为配置的细节部分都深藏于好几层之下。
　　Cisco是一个敢于打破旧习俗的公司，在普遍使用图形化用户界面的今天，PIX仍坚持使用大量的命令行驱动方式。它也提供了一个Java的图形化用户界面，但是似乎比其命令行的界面更难理解和使用。到目前为止，PIX的配置命令有20多条，设计合理，简单易行，屏幕上显示的配置信息基本不超过一屏；另外，这些命令也非常直观，学起来很快。虽然测试组的同仁并不介意已经熟悉的命令行，但仍然希望Cisco公司开发出图形化用户界面，早日把网络管理员从被迫进行的命令学习中解放出来。
　　Microsoft公司的Proxy Server深得图形界面精髓, 它的配置可通过微软的几种界面棗微软管理控制台（MMC）、Web浏览器或Dos命令行进行。但是，这个防火墙第一个版本的能力还需要一些考验，原因在于Microsoft公司坚持让MMC与图形界面相适应，而不是与网络管理员的需求相适应。
　　Proxy Server功能较强，内置有Web页面超高速缓存、协议翻译、防火墙和SOCKS能力。它的配置界面相对其产品来说较为复杂，而且经常需要依靠微妙的术语来区别相关的功能。
　　Watchguard Technologies公司的Watchguard Security System的配置方法有所革新。它与Elron Software公司的Elron FireWall类似，采用了面向服务的配置，但在打包配置任务和主题上比Elron FireWall做得更好。例如，它允许用户创建一个独立的名单列出“总是堵塞的”TCP端口，作为规则的补充。有了这种灵活性，可想而知，用户不需要太多的帮助就能很快达到较高水平。
　　Watchguard Security System和PIX的配置工具也都给人留下了深刻印象，用户只需经过很少的训练，就能控制很多东西。这点对于那些两三个星期只调整一次防火墙配置参数的管理员格外重要。
　　安全策略
　　随着安全策略的进一步发展，防火墙市场日益成熟。早期的防火墙只有一种策略棗网络层的、传输层的或应用层的安全棗人们发现成功的防火墙往往得益于网络的安全。高端的产品也能增加这方面的特性，如基于协议的攻击检测和实时避免非法闯入。
　　同时，对SOCKS验证和代理系统的支持大大降低了，只有CyberGuard和Microsoft支持该协议。
　　测试组从两个角度评价安全性：一是判断数据流是否允许通过的规则；二是能够执行更多智能化处理的代理。代理可以在应用层中途拦截数据流，理解应用协议，这样一来，防火墙就可以基于应用进行数据流的过滤或修改，而不仅仅是IP地址或已验证的用户。例如，代理可以阻止从Web页面下载ActiveX applets或者允许用户用FTP获取文件，却不能把文件透过防火墙向外传送。但是本次评测中发现大部分厂商对自己产品的代理功能言过其实。
　　各产品的代理功能不一，从Elron Software 和Cisco公司的最简单的FTP代理功能到大量复杂的功能，如Microsoft公司的HTTP代理。最“强健”的代理集合是Check Point公司的FireWall－1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基于第二层，例如，NetRoad FireWall精心设计的FTP代理可以封住特定的FTP命令，并能阻止经过防火墙传送的某些类型的文件。
　　HTTP代理的能力在Microsoft Proxy Server上发挥至极，因为Microsoft Proxy Server原本就只是一个HTTP代理服务器。该服务器不仅能控制和重映射URL，还能把Web页面存在缓存里加快访问Internet数据的速度。Check Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了实用的HTTP代理，可以进行病毒检查和拦截URL，但是没有缓存技术。Check Point的FireWall－1和Watchguard Technologies公司的Watchguard Security System的代理特别灵活，可以自动连接到外部的HTTP缓存服务器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP负载的服务，其中Check Point有很细致的选项。（Cisco在另一条独立产品线上提供了负载平衡功能）
　　本次测试中，虽然FireWall－1的可鉴别转发邮件的发送IP地址真伪的能力是一个聪明的革新，但是必须承认没有一个产品具有值得一用的简单邮件传输协议(Simple Mail Transfer Protocol)代理。大部分代理都是为1984年以前版本的邮件而设计的，没有产品能控制住最新的SMTP服务扩展内容ESMTP(Extended Simple Mail Transfer Protocol),这就在事实上降低了E－mail的安全性。好在所有的防火墙产品都可以关闭这个功能。
　　对于那些不需要太多智能的简单代理服务，诸如Telnet或Ping, 网络管理员通常更注重规则。参加测试的产品在这方面的差距不太明显，结果则更加微妙。例如，Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支持每周的某天和每天的某具体时间的限制。然而，几乎没有网络管理员会在下午五点钟大动安全规则。
　　其他方面的差别相对重要一些。Ukiah Software公司的NetRoad FireWall根本没有否决的概念，甚至用户只进行简单的网络配置也会发现这是个令人头痛的限制。与他类似，Elron FireWall假设了TCP/IP的堆栈，这会造成与那些端口号低于1024的系统不兼容。
　　小型网络使用基于服务的方法棗在每个方面定义许可或不许可的服务，显得绰绰有余。Watchguard Security System和 Elron FireWall即采用此法。然而，更大一些的网络或与外部有着复杂连接的网络则应采用基于地址的方法，这也是其他大部分产品所提供的，只有这样才能把网络的安全策略翻译成防火墙的配置。
　　很大规模的网络会发现基于地址的代理服务器也有局限性，因为这种服务器要求的是Windows客户端的软件，而不是HTTP、FTP和Gopher。
　　即使采用基于地址方法的防火墙产品也有明显的不同之处。例如，FireWall－1是唯一允许用户决定一个被拒绝的连接是被忽略，还是被立刻驳回的产品。
　　此外，一些产品的安全特性也给人留下了深刻印象。如Watchguard Security System探测到有被闯入的危险时，可从一些节点上动态修改网络的安全策略，从而封住所有的数据流。它还可以检测并躲避一些进攻者常用的“探针”工具。Microsoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN“洪水”(一种普通的拒绝服务攻击)的保护功能。其中，Check Point的战略最具特色，它不仅详细记录了攻击过程，还给出了如何处理的选项。

转载地址：http://www.netsp.com.cn/Article/netsafe/FW/200506/20050602132751.html