第二十七章 防火牆，請自身別著火

安全、管理和速度，這是人所共知、不可缺少的對防火牆的基本要求，然而隻有屈指可數的產品能將這三者兼而得之。請看來自DataCommunication的測試報告：

最近DataCommunication和美國國家軟件測試實驗室（NSTL）共同對20種防火牆產品進行了全麵徹底的測試及評估，包括設計模擬了近100種不同類型的攻擊方案、管理特性的全麵測查，以及在100Mbps快速Ethernet網絡環境中的高強度速度測試。測試結果表明，防火牆產品總體來說尚未達到成熟的商品化階段，不同廠家的同類產品性能差異相當大。

最明顯不足的方麵是安全。我們並沒有刻意去發現漏洞，僅僅是由於某些參數設置不當，結果卻暴露出有好幾個產品在安全方麵令人吃驚的缺陷。20個產品在管理功能上各不相同，差別很大。而且有幾個產品在性能測試中發現不能勝任重負載，這就使人們對它們的自身安全產生了疑問。當然這其中也確有幾個產品不論從哪個方麵衡量都是傑出的。測試優選獎被授予下列產品：CheckPoint軟件技術公司的FireWall－1（防火牆一號）、CyberGuard公司的CyberguardFirewall、Seattle公司的Watchguard安全管理係統和Sun公司的SunScreen。榮譽獎授予AltavistaInternet軟件公司的AltavistaFirewall973．0（它的突出特點是方便的管理功能）。另外在測試中也看到有幾個產品在WindowsNT平台上的表現令人鼓舞，Unix廠商說教式地指責WindowsNT不適用於企業級環境。但測試表明不管是從安全還是從管理功能來看，這些產品在NT上的表現都不比在Unix上的產品遜色，這意味著網絡管理人員有了更多的選擇餘地。

幾個重要內容

當我們上次評測防火牆產品時，幾乎所有的產品都需要進行複雜的設置，需要掌握Unix領域的專門技能和對TCP／IP的透徹了解。而這次除了Unix係統平台，許多產品可以在WindowsNT、NetWare以及OS／2等多種平台上運行，並且多數廠家都把容易使用作為市場宣傳的重點，這確實是很好的趨勢。但需要說明的是這並不能作為決策的全部依據。在多種產品中選擇時，網絡管理人員必須估計到可能遇到的各種情況並製定出網絡安全規範，從而有可能選擇在某種具體環境中最合適的防火牆產品。要知道即使是功能最強的產品也不能保證一定能抵擋得住它所沒有遇到過的攻擊，比如公司內部的台式機通過一個Modem進行非法訪問。

管理工具的適用性和質量也是重要方麵，在一些大公司需要采用多個防火牆時更是如此。特別值得一提的是對大數據流量的處理能力。這不僅僅涉及連接Internet的速度和容量，更重要的是會影響Intranet，因為在Intranet環境中10Mbps的速率是最基本也是最普通的要求。另外在考慮配置多個防火牆時，價格總是需要特別考慮的因素。

不同的防火牆有不同的結構，這是影響產品安全性能的重要因素，也是選擇產品時需要了解的基本知識。一般來說各種防火牆主要是在三種訪問控製結構中采用其中一種或一種以上，即：包過濾、各種代理和全狀態檢驗。

包過濾控製是檢查所能看到的所有數據包，然後根據預先定義的規則進行轉發或濾除。代理製的防火牆是作為客戶端訪問請求的中間環節，接受請求後防火牆建立另一條鏈路連接到客戶所要求的資源。處於應用層的稱為應用代理，處於會晤層或傳輸層的稱為電路中繼（CircuitRelay）。全狀態檢驗也是檢查所看到的所有數據包（這有些像包過濾），不同的是它要進一步確定哪一個連接使用了哪一個端口，然後在連接斷開時關閉這些端口。

不管防火牆的的設計結構是什麼，參加這次測試的所有產品都具有網絡地址轉換功能（NAT）。NAT允許網絡管理人員在內部網絡中采用任何網絡地址，這樣可以減輕互聯網IP地址的資源緊張狀況，並且將內部網"隱藏"起來免受攻擊。

這次測試沒有涉及的一個方麵是所謂"隧道"技術。這種技術是采用授權和加密方法構建虛擬專用網絡。這是一個重要課題，DataCommunication準備今年下半年對它作單獨測試。

安全第一

安全可以說是防火牆的同義語，因此理所當然地成為測試的首要目標。我們采用Internet安全係統公司的SafeSuite（一種安全檢查工具軟件），對參測的每一種防火牆進行了近100種不同類型的攻擊。其中一部分是針對防火牆或操作係統通常認為的弱點，另外一些是對所謂"Denied－of－Services"拒絕服務類型的攻擊，這一類攻擊的目的在於使防火牆"掛起"或降低其防護性能。

這次也同時檢測了防火牆對可執行對象如Java和ActiveX的檢測能力，對Internet＆Intranet來說這些可執行對象也許更危險。因為這種數據流可以通過防火牆，比如一次不經意的Web瀏覽所下載一些頁麵，其中有可能含有蓄意編製的一段Java或ActiveX對象代碼，由於防火牆被設置成允許Web訪問而使這段代碼順利通過造成後果。

測試環境重現了許多公司通常采用的網絡結構。每一個防火牆配置成三個接口：內部網（Intranet）、外部網（Internet）和一個安排有Web服務器和FTP服務器的"不設防區"（DMZ）。

SaftSuite將發現的所有問題按危險程度分為高、中、低三類，大部分問題屬於低的一類，但確實發現有幾個產品存在中等危險程度的安全問題。其中最嚴重的是所謂同步溢出（或稱同步風暴）問題，攻擊者以請求大量的同步TCP連接來轟擊防火牆。為了應付大量的同步連接請求，防火牆很快將所有緩衝區耗盡，導致無法接受新的合法的訪問請求。盡管這說起來不是最高危險程度的問題，但確實是用戶們關心的主要問題之一，對ISP來說這也許是最關心的問題。其他歸入中等的還有TCP相關預測，攻擊者用假的IP地址欺騙防火牆的授權程序（如Unix的rlogin和rsh命令），使之認為非法的數據包是來自具有合法資格的計算機。幾種產品存在這種問題：GlobalInternet軟件集團公司的Centri、MilkWayNetwork公司的BlackHole和Raptor係統公司的EagleNT。