首页 > > 网络编程 > 其它 >

防火墙，请自身别着火

2008-04-09 03:59:02来源：互联网阅读 ()

　　安全、管理和速度，这是人所共知、不可缺少的对防火墙的基本要求，然而只有屈指可数的产品能将这三者兼而得之。请看来自DataCommunication的测试报告：
　　最近DataCommunication和美国国家软件测试实验室（NSTL）共同对20种防火墙产品进行了全面彻底的测试及评估，包括设计模拟了近100种不同类型的攻击方案、管理特性的全面测查，以及在100Mbps快速Eth?ernet网络环境中的高强度速度测试。测试结果表明，防火墙产品总体来说尚未达到成熟的商品化阶段，不同厂家的同类产品性能差异相当大。

　　最明显不足的方面是安全。我们并没有刻意去发现漏洞，仅仅是由于某些参数设置不当，结果却暴露出有好几个产品在安全方面令人吃惊的缺陷。20个产品在管理功能上各不相同，差别很大。而且有几个产品在性能测试中发现不能胜任重负载，这就使人们对它们的自身安全产生了疑问。当然这其中也确有几个产品不论从哪个方面衡量都是杰出的。测试优选奖被授予下列产品：CheckPoint软件技术公司的FireWall－1（防火墙一号）、CyberGuard公司的CyberguardFire?wall、Seattle公司的Watchguard安全管理系统和Sun公司的SunScreen。荣誉奖授予AltavistaInternet软件公司的AltavistaFire?wall973．0（它的突出特点是方便的管理功能）。另外在测试中也看到有几个产品在WindowsNT平台上的表现令人鼓舞，Unix厂商说教式地指责WindowsNT不适用于企业级环境。但测试表明不管是从安全还是从管理功能来看，这些产品在NT上的表现都不比在Unix上的产品逊色，这意味着网络管理人员有了更多的选择余地。

　　几个重要内容

　　当我们上次评测防火墙产品时，几乎所有的产品都需要进行复杂的设置，需要掌握Unix领域的专门技能和对TCP／IP的透彻了解。而这次除了Unix系统平台，许多产品可以在WindowsNT、NetWare以及OS／2等多种平台上运行，并且多数厂家都把容易使用作为市场宣传的重点，这确实是很好的趋势。但需要说明的是这并不能作为决策的全部依据。在多种产品中选择时，网络管理人员必须估计到可能遇到的各种情况并制定出网络安全规范，从而有可能选择在某种具体环境中最合适的防火墙产品。要知道即使是功能最强的产品也不能保证一定能抵挡得住它所没有遇到过的攻击，比如公司内部的台式机通过一个Modem进行非法访问。

　　管理工具的适用性和质量也是重要方面，在一些大公司需要采用多个防火墙时更是如此。特别值得一提的是对大数据流量的处理能力。这不仅仅涉及连接Internet的速度和容量，更重要的是会影响Intranet，因为在Intranet环境中10Mbps的速率是最基本也是最普通的要求。另外在考虑配置多个防火墙时，价格总是需要特别考虑的因素。

　　不同的防火墙有不同的结构，这是影响产品安全性能的重要因素，也是选择产品时需要了解的基本知识。一般来说各种防火墙主要是在三种访问控制结构中采用其中一种或一种以上，即：包过滤、各种代理和全状态检验。

　　包过滤控制是检查所能看到的所有数据包，然后根据预先定义的规则进行转发或滤除。代理制的防火墙是作为客户端访问请求的中间环节，接受请求后防火墙建立另一条链路连接到客户所要求的资源。处于应用层的称为应用代理，处于会晤层或传输层的称为电路中继（CircuitRelay）。全状态检验也是检查所看到的所有数据包（这有些像包过滤），不同的是它要进一步确定哪一个连接使用了哪一个端口，然后在连接断开时关闭这些端口。

　　不管防火墙的的设计结构是什么，参加这次测试的所有产品都具有网络地址转换功能（NAT）。NAT允许网络管理人员在内部网络中采用任何网络地址，这样可以减轻互联网IP地址的资源紧张状况，并且将内部网“隐藏”起来免受攻击。

　　这次测试没有涉及的一个方面是所谓“隧道”技术。这种技术是采用授权和加密方法构建虚拟专用网络。这是一个重要课题，DataCommunication准备今年下半年对它作单独测试。

　　安全第一

　　安全可以说是防火墙的同义语，因此理所当然地成为测试的首要目标。我们采用Internet安全系统公司的SafeSuite（一种安全检查工具软件），对参测的每一种防火墙进行了近100种不同类型的攻击。其中一部分是针对防火墙或操作系统通常认为的弱点，另外一些是对所谓“Denied－of－Services”拒绝服务类型的攻击，这一类攻击的目的在于使防火墙“挂起”或降低其防护性能。
这次也同时检测了防火墙对可执行对象如Java和ActiveX的检测能力，对Inter?net＆Intranet来说这些可执行对象也许更危险。因为这种数据流可以通过防火墙，比如一次不经意的Web浏览所下载一些页面，其中有可能含有蓄意编制的一段Java或ActiveX对象代码，由于防火墙被设置成允许Web访问而使这段代码顺利通过造成后果。

　　测试环境重现了许多公司通常采用的网络结构。每一个防火墙配置成三个接口：内部网（Intranet）、外部网（Internet）和一个安排有Web服务器和FTP服务器的“不设防区”（DMZ）。

　　SaftSuite将发现的所有问题按危险程度分为高、中、低三类，大部分问题属于低的一类，但确实发现有几个产品存在中等危险程度的安全问题。其中最严重的是所谓同步溢出（或称同步风暴）问题，攻击者以请求大量的同步TCP连接来轰击防火墙。为了应付大量的同步连接请求，防火墙很快将所有缓冲区耗尽，导致无法接受新的合法的访问请求。尽管这说起来不是最高危险程度的问题，但确实是用户们关心的主要问题之一，对ISP来说这也许是最关心的问题。其他归入中等的还有TCP相关预测，攻击者用假的IP地址欺骗防火墙的授权程序（如Unix的rlogin和rsh命令），使之认为非法的数据包是来自具有合法资格的计算机。几种产品存在这种问题：GlobalInternet软件集团公司的Centri、MilkWayNetwork公司的BlackHole和Raptor系统公司的EagleNT。

　　至于ActiveX对象的过滤问题，只有三家厂商声称他们的产品具有此项功能。为了验证这一点，我们通过防火墙下载了一个内嵌有AxtiveX对象的Web页面，值得庆幸的是有两家产品与广告宣传的说法一致（另一个产品由于时间所限没有测试）。我们没有对厂家宣传的对Java对象的过滤功能进行验证。Java由于内建的安全控制，一般认为要比ActiveX安全。微软声称ActiveX的安全机制最完全的实现方案是数字签名，据称它可以保证每一个对象的安全。但无论如何在数字签名实现并证明确实有效之前，网络管理人员最好还是滤除这些可执行内容。