[转载]防火墙产品购买指南

  信息来源：邪恶八进制信息安全团队

五年前，所有的防火墙产品看起来都非常相似棗清一色的运行在Unix系统上具有包过滤和TCP代理功能的组合物。我们当时曾预测，防火墙市场要重新改组。我们那时认为厂商太多，产品区别太小。现在看来，我们对了一半。

事实上，许多厂商都已成长壮大起来了，虽然这些厂商的名字已经变了。我们的在线产品购买指南中列举了来自33 家厂商的52种产品的规格参数（xls文件，zipped 23KB）。

同时，厂商一直在努力工作使自己的产品与众不同，将目标瞄准每一个想象得到的缺口市场。其结果是，在提高了最需要安全的Web服务和电子邮件的安全性的同时，厂商已经使管理防火墙更容易。下列五个主要发展趋势推动了这一变化，并且将继续指导防火墙市场的发展方向：

防火墙电器在分支办事处环境中找到了自己的位置；

配置会变得越来越容易，并且更能防止错误；

电子邮件和Web浏览器功能在Internet数据流中占统治地位；

防火墙的特性集中出现了病毒和内容扫描新特性；

厂商正开发出防御手段来抵御拒绝服务式攻击。

最实际的变化之一就是从防火墙主机向防火墙电器的转变。原来唯一为人们所接受的防火墙产品是Unix 工作站或服务器， 它们有两条以上的跨接安全与非安全网络的LAN连接。作为一种通用系统，防火墙过去对网络上的数据流进行管理，并且还提供它自己的网络服务：域名系统（DNS）、文件传输协议（FTP）、电子邮件、Web浏览和网络新闻传输协议（NNTP）。

今天，只有很少防火墙支持网络服务（NDS是一个明显的例外），而厂商一般都不鼓励用户在防火墙上运行服务。这种建议是从痛苦的教训和共识中得出的。防火墙管理人员已经意识到防火墙上安装的软件越多，出现可被人利用的安全漏洞的可能性就越大。他们还意识到，每当人们接触了防火墙的配置，哪怕只是对FTP服务器进行了一下调整，都有可能造成配置错误。

由于计算机硬件的成本已大大降低，添加额外的系统来处理像FTP和NNTP这类基于Internet的服务已经成为企业网络的标准答案。因此，最新一代的防火墙产品常常被当作是电器：即极少需要调整以及严格限制可供用户选择选项的产品。

一些厂商还生产了Internet电器，它不仅在一个单一平台上具有防火墙功能而且还包括基于Internet服务（如邮件和Web浏览）。 随着利用数字订户线路和电缆调制解调器实现的高速Internet访问的普及使各个小型企业在本地提供自己的Internet服务成为现实，这一市场将迅速发展。

简化的安装与管理

防火墙观察人员喜欢用摾顺睌一词来描述网络上防火墙产品的部署情况：首先是那些使用Digital 公司（现在为Compaq 公司）的商业产品以及Trusted Information Systems公司（现为Network Associates公司）的免费防火墙工具集的早期使用者。以后随之而来的是来自IBM、Raptor（现为Axent Technologies 公司）和Check Point Software的第一次商用防火墙浪潮。在这段时期，多数购买者都是网络安全的专家。

随着具有安全意识的公司填满了它们的防火墙订单，需要防火墙但又不一定具有了解产品之间细微不同之处专业知识的大型机构掀起了下一个浪潮。Check Point 公司的Firewall 1由于以下重要原因在这一阶段开始统治市场：该公司产品具有非常易于进行配置的图形用户界面。一个几乎不了解安全性的网络管理人员可以立即完成配置，并可以自信地认为防火墙上没有任何漏洞。

需要接入到Internet但却对Internet安全性只有非常粗浅知识的公司将主宰第四次购买防火墙的浪潮。在许多这类站点上，企业的安全策略常常不过是摬灰没档敖磾。为满足这些站点的需要，防火墙厂商将想尽一切办法来简化他们的配置实用程序并使它坚不可摧。

NT防火墙市场的发展证明了这种趋势。Windows NT提供了一种易于安装和易于管理的基础。尽管在性能上基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。

同时，像DNS 这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。

优化Internet流量

尽管Internet基本基础设施支持多种应用和数据访问模型，但这种多样性并没有像过去那样得到应用。例如，在五年前，防火墙必须能很好地处理Telnet、Gopher以及广域信息服务器。而现在，多数公司不再拥有这类服务，既便有的话，它们也不需要这类服务来实现Internet接入。相反，许多公司把它们的Internet接入很大程度上当作传输电子邮件、Web浏览和偶尔的多媒体应用的通道。

以前难于实现防火墙功能的应用程序，如XWindow系统和Sun公司的Network文件系统已不在网络经理的考虑范围之内。目前安装的防火墙可以对包括内置Web 高速缓存以及在安全套接层上处理HTTP的功能在内的Web浏览提供支持。

像NNTP和FTP这类应用的代理功能仍保留在多数产品中， 虽然只有较老的防火墙才真正注意它们。新防火墙代理一般只有很少或根本没有控制这些协议如何使用的特性。

应用程序开发商一直对这种发展趋势予以支持。例如，众所周知，Progressive Networks公司专有并得到广泛使用的Real Audio协议的早期版本很难保证防火墙的安全；新一代版本的应用程序在开发时充分考虑到了安全性和防火墙。

目前占统治地位的交互式Internet应用棗Web 浏览器内置了对防火墙代理的支持。这使人们不必再需要NEC公司的SOCKS协议（一种早期防火墙通用部件）这类复杂的组件。

主动过滤

Internet数据流的简化和优化产生了第二种副作用：目前，网络管理员将注意力集中在Web数据流进入他们的网络之前需要在数据流上完成的更多的事务之上。

防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具有内置病毒和内容扫描功能或允许用户连接病毒与内容扫描程序的挂钩。

这些年来病毒扫描程序很流行。随着监视和控制雇员访问Internet的压力的增加，内容扫描程序也开始受到欢迎。

内容扫描程序不仅查找和删除Java、Javascript和ActiveX组件，而且还可以阻挡对不合适站点的访问。今天，许多防火墙都包括对过滤产品（如The Learning公司的Cyber Patrol）的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎Internet站点的分类清单。

防火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP／IP 协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务饱和或使与它连接的系统崩溃，使Internet无法供企业使用。

由于越来越多的企业依赖于Internet访问进行日常的运作，所以拒绝服务攻击具有非常大的危害性。防火墙市场已经对此做出了反应。

虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在努力工作，尽其可能阻止拒绝服务攻击。像序列号预测和IP欺骗这类简单攻击这些年来已经成为了防火墙工具箱的一部分。像SYN 泛滥这类更复杂的拒绝服务攻击需要厂商目前正在竞先部署的更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有传输流可以进入。这常常意味着防火墙厂商只比攻击者领先一步。

这还意味着防火墙厂商将更加经常地发布新版本的产品，并希望客户安装这些产品。经常性的升级进一步提出了对可以由只接受过很少安全训练的用户配置和升级产品的需要。

下一代产品

目前，评估哪种防火墙可靠不再意味着必须对许多看起来不同的产品进行评估。厂商一直在对其产品进行定制，使其满足各种特殊的需要。通过恰当地确定你所需的特性，可以方便地缩小潜在产品的选择范围。

在简化产品满足较小规模网络需要的同时，更先进的防火墙产品将集中在特殊的领域，如Web代理服务，忽略不能引起客户兴趣的非主流领域。这不仅产生了安全缝隙， 而且还造成了功能性缺口。一些特性只在较老的和较成熟的防火墙上才具有。但是，这类老式防火墙由庞大的代码构成，并且不能迅速地添加和支持新功能。这可能会使防火墙购买者不得不在两种产品中做出取舍：要么选择具有新特性并具有方便的配置界面的新产品，要么选择非常难配置并且没有那些最新功能，但却具有很多特性的产品。

尽管像Check Point和Axent这类市场领先公司的存在对新参与者是一个严酷的考验，但是，似乎仍有许多厂商迫不急待地想加入到这场竞争之中。这些领先公司忽略的市场（如小企业市场）以及Internet持续的爆炸式增长将使防火墙产业成为一个充满活力的行业。

防火墙的结构设计与实施

本文以中科院信息安全技术工程研究中心研制的ERCIST(安胜)防火墙为例介绍防火墙的应用。防火墙的应用一般按照体系结构的设计、安全策略的制定、安全策略的实施三个步骤来完成。

体系结构的设计

首先将内部网划分为三个基本子网区域。不同子网区域有不同安全需求，因此不同子网区域应该有不同安全架构。使用安胜防火墙建立屏蔽子网体系结构,它将通过额外的安全层进一步把内部服务子网和工作子网与外部非安全网络隔开。如图所示。屏蔽子网的形式为采用两个包过滤路由器，每个包过滤路由器都连接到屏蔽子网，一个位于屏蔽子网与内部网络之间，另一个位于屏蔽子网与外部非安全网络之间，从而将内部网与外部非安全网通过屏蔽子网隔离。外部包过滤路由器使得外部IP数据包只能到达公共子网，而且也只有公共子网的IP数据包才能到达外部网。内部包过滤路由器使得内部IP数据包只能达到公共子网，不能达到外部网。这样的架构使得内部网和外部网不能直接通信，双方都只能到达公共子网。内部包过滤路由器还带有地址转换功能，在屏蔽内部子网结构的同时，解决内部合法IP地址不够的问题。如果本地Intranet还需要通过公网与远程Intranet通讯，应该在内部包过滤器的位置加上加密模块，保证信息的安全传输。将原来公共子网的对外提供WWW、电子邮件、域名解析和文件传输服务的服务器以及安全代理服务器放在屏蔽子网。安全代理服务器安装在屏蔽子网，代理内部用户访问非安全的公共网。这样既使外部用户能方便浏览下载企业的公开信息，与内部网用户交换邮件，又使外部用户不能通过这种方式攻击内部网的资源，篡改数据（内部包过滤器和代理服务器保护），同时也保证了WEB服务器和MAIL服务器上的数据安全（外部包过滤器保护）。为了侵入用这种类型的体系结构构筑的内部网络，侵袭者必须经过两个过滤器。既使侵袭者设法侵入堡垒主机（代理服务器），他将仍必须通过内部过滤器。在此情况下，没有损害内部网络的单一易受侵袭点。

安全策略的制定

外部包过滤器

外部包过滤的缺省规则为禁止全部服务。

主机规则为允许外部用户访问屏蔽子网区域的公开服务器（如WWW服务器，FTP服务器）。允许外部用户连接代理服务器。每次连接有日志记录。

内部包过滤器

内部包过滤的缺省规则为禁止全部服务。

主机规则为允许内部用户连接屏蔽子网区域的主机。每次连接都有日志记录。

动态转换内部网络的主机地址，使其共用一合法外部地址与外部建立连接。

代理服务器规则

代理服务器的缺省规则为禁止全部连接。

代理合法的内部主机访问外部非安全网络的WWW站点，并对代理连接的URL进行检查，禁止内部主机访问非法站点。有日志记录。

代理内部邮件服务器与外部邮件服务器进行连接。并对邮件的大小、数量、发送者、接收者，甚至内容进行检查，有日志记录。

认证用户身份，代理合法用户Telnet或FTP内部服务器，在权限范围内修改服务器内容或上下载文件。有日志记录。

安全策略的实施

使用安胜防火墙提供的图形化用户界面，按照制定的安全策略修改防火墙规则。规则修改执行后，防火墙将按照安全策略开始工作，并且有相应的日志信息提供安全管理员参考。安胜防火墙用户界面是面向对象的，并且还提供了一些预定义的规则模板，方便用户使用，如下图所示。

作为网络安全管理员，应该在安全策略的实施过程中不断监控防火墙提供的日志信息，根据网络应用的变化情况，及时修改安全策略。

安胜防火墙目前已经在一百多个单位投入使用，其中包括政府机关、研究院所、证券公司。目前用户反映内部网未发现黑客入侵现象，并且网络效率得到保持，网络服务正常进行。

防火墙产品购买指南

产品篇

清华紫光的Unisecure系列防火墙

清华紫光Unisecure 3000系列防火墙目前有UF3100、UF3500两款，分别针对于中小型网络用户和企业级用户。已获得公安部安全产品认证和公安部安全产品销售许可证。它综合了网络级包过滤、应用级代理服务器和动态电路级包过滤。

产品主要特性包括：基于浏览器的软件升级；在掉电后自动恢复和重启；可下载/上载设置信息，便于安装和配置；NAT网络地址转换；动态过滤器（Dynamic Filter）；支持VPN虚拟专网；超过2GB的访问记录存储；统计及审计功能；支持2000年时钟过渡；结构紧凑，可置于桌面或安装在标准机架上。

该防火墙硬件配有3个以太网RJ45端口，分别用于连接内部网络、中立区和外部网络（10/100Mbps自适应，全双工）。其他指标：无丢包数据通过率50Mbps；4000个并行会话，4000个先进的存取屏蔽策略，URL Blocking，实时警告和Log。实达朗新的NetShine网络防火墙

实达朗新最新推出了拥有自主信息技术的NetShine网络防火墙产品，该产品基于Linux操作系统，并通过国家公安部的检测。

NetShine网络防火墙以Linux为操作系统平台。Linux是一种开放源代码的操作系统，这意味着开发者无法在其中留下不为人知的后门。在产品开发过程中，实达朗新将操作系统内核中可能引起安全性问题的部分除去，使系统更安全。同时，采用Linux操作系统做系统平台，可以保证NetShine网络防火墙产品与国际最新技术同步，从最底层开始真正保证网络安全。

NetShine网络防火墙还具有其他特色：采用了VPN（虚拟专用网）技术;防火墙运行的操作系统可以定制，即操作系统可按用户需要改变，具有高度的安全性；可对防火墙内外的地址进行转换，从而伪装内部地址，保护内部主机；对数据包进行过滤，可实现基于IP地址的访问控制；通过对访问权限的检查，可实现服务端口访问控制、协议访问控制，以及基于IP包的服务类型和选项的访问控制；NetShine网络防火墙可对通过防火墙的网络连接和对通过主机网络接口的数据包进行实时监控，能有效的防止SYN－Flooding攻击。

天融信的网络卫士防火墙

撏缥朗繑防火墙系统是天融信公司开发生产的符合国家管理政策、完全自主版权的安全产品。作为首批通过公安部和中国国家信息安全测评认证中心检测和认证的安全产品，网络卫士以卓越的安全性、强大的功能、优良的性能、方便灵活的管理机制向各行业网络提供优秀的安全解决方案。

主要功能包括:支持IP和用户的过滤和访问控制；双向NAT，彻底隐蔽网络内部地址和结构；支持IP隧道和VPN隧道；支持实时入侵检测；透明应用代理；用户认证和授权访问；全审计等。

网络卫士防火墙拥有完全自主版权，采用专用的安全操作系统，提供基于操作员和审计员认证和分组的安全管理机制；多端口设计支持安全服务器网络，保护公开服务器，支持内部网段分割和VLAN的访问控制；处理速度快，可实现T3(45Mbps)以上速度，广泛适用于内部网与Internet及内部网之间的访问控制；性能稳定可靠。

Cisco PIX Firewall和Cisco IOS防火墙特性集

Cisco PIX Firewall系列是Cisco防火墙系列中性能最高的企业级防火墙产品。集成的硬件/软件PIX Firewall系列提供很高的安全性功能但不影响网络性能。为满足大量互不相同的客户要求，可对它进充分扩展。用户可选择使用两种硬件平台(PIX Firewall 510和PIX Firewall 520)及三个容量许可证级别。其主要特性包括:非UNIX、安全、实时的嵌入式系统;自适应性安全算法;用CutThrough Proxy(直通式代理)方法进行用户身份鉴别及授权;集中的配置和管理;基于标准的虚拟专用网选择;URL过滤;故障备份/热备份升级选择等。

Cisco IOS防火墙特性集是Cisco IOS软件的一个选项。 Cisco IOS安全服务包括一系列特性，能使管理人员将一台Cisco路由器配置为一个防火墙。Cisco IOS防火墙特性集给现有的Cisco IOS安全解决方案增加了更大的深度和灵活性。

Cisco IOS防火墙特性集主要包括：基于上下文的访问控制；Java阻断；Denial of Service(服务拒绝)检测/预防；审计踪迹；实时告警；通信过滤；基于策略的多端口支持；网络地址转换(NAT)；同级路由器验证；事件日志记录；虚拟专用网络(VPN)；Cisco加密技术；IPSec等。

Intel的LanRover VPN Gateway

Intel的LanRover VPN Gateway是一套综合的VPN方案，其中包括全功能、经ISCA认证的电路级防火墙。它的主要功能和特点是防护网络免受外来冲击；通过跟踪所有出入连接来保护内部数据从而确保应答与需求相符；运用完全可重组出入代理保护安全制度；实施网络地址翻译达到隐藏内部网络的效果；在协议与应用程序的基础上进行过滤以获更多控制和隧道精确度；对非路由地址的支持使之更易分配IP地址并提高了安全性。

NAI的Gauntlet Firewall 5.0 for NT/Unix

NAI的Gauntlet融合了代理服务器型防火墙的高安全性和包过滤型防火墙的高速度。Gauntlet防火墙通过自适应代理技术将最安全的防火墙防护方法(应用网关级防火墙)与检查信息包过滤器速度技术相结合。自适应代理防火墙可保护入栈和出栈服务，支持高吞吐量和最新基于Web的技术，而不会抛弃有重要特征的安全性保护措施，包括：用户透明性、集成管理、高位加密和内容安全性。这种新技术为你提供撗≡衲芰，你可动态地匹配防火墙的安全性能协议子集，满足公司安全策略的需求。

Gauntlet Firewall的主要特点包括：动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件的相互通风；自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度；支持多处理器技术提高了防火墙性能；NetMeeting代理提供视频会议、新闻、公众事件和广播会议的安全实时访问；SQL代理通过防火墙安全访问Oracle和Sybase数据库；内容安全性可以保护机构免受系统数据遭到来自Internet的威胁，如Internet病毒、恶意Java与ActiveX代码。

Novell的BorderManager

BorderManager本身是一个集防火墙、虚拟专用网、反向代理和验证服务四大功能于一体的网络安全产品。在网络层上，它可以过滤TCP/IP、Apple Talk、IPX及Source Route Bridge等四种协议包。BorderManager中的数据过滤器引擎不仅查看数据包的地址，而且对数据包发送过程中的整个会话进行检查，这使得它在识别可疑数据包方面具有更好的效率。

在会话层上，BorderManager提供了两个电路网关：SOCKS网关和Novell IP网关。通过对SOCKS的支持，可以将BorderManager防火墙设置成一个防火墙解决方案的部件，并可以与其它厂商的防火墙产品一道工作。IP网关同时包括IPX/IP网关和IP/IP网关，用以完成电路过滤功能。这项功能允许将域名、IP地址，甚至Novell目录服务中的用户作为限制条件来进行过滤。将目录服务的用户作为限制条件，这是其它防火墙所作不到的。

在应用层上，BorderManager同时包含了诸如HTTP、FTP、Gopher、Mail、News、Real Audio/Video和DNS在内的许多应用代理，以及一个TCP类代理和UDP类代理。它允许管理员进行诸如LDAP等附加应用代理的设置。这种应用代理提供了一种高级保护特性，强化了电路网关和数据包过滤器的保护功能。

在BorderManager内部还集成了反向代理缓存服务，企业的Web服务器也能置于防火墙的保护之下。由于缓存的加速作用，同时能提高Web服务的性能。