八种防火墙产品评测(2)

　　 
　　监测与统计
　　大部分防火墙的管理已经包括了一个安全管理工作站，尽管它的日志和监控工具可应付常见情况，但仍然相当粗糙。特别是Elron Firewall，它居然不记录“对话”，这点很不可取。

　　CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其内置的实时显示功能给测试组留下了最深刻的印象。例如，Guardian可以让管理员查看目前所有实时更新的信息，如通过防火墙的连接、带宽的使用和其他统计资料等。这些信息在进行防火墙的配置时很有用，能够有助于理解防火墙怎样解释既定的规则，也有助于处理遇到的紧急情况。
　　大部分产品在日志报告方面都做得不太好，只提供原始的日志资料。用户不得不使用一些工具，如Perl，去生成总结性的信息。Cisco、Check Point、CyberGuard和Ukiah Software的防火墙产品都是如此，只有Watchguard Security System提供的报告功能较强一些，但也得使用他自己的其他独立的产品。
　　另外，NetGuard公司也能提供最基本的总结工具。Microsoft在以下方面占据了领先位置：为日志提供分析工具（已安装，但没有许可权的独立产品），以及直接把日志记录到SQL或其他符合开放数据库标准的数据库中。
　　身份验证
　　在防火墙世界里，身份验证的最初含义是保证外部用户安全访问内部。随着该功能的重要性不断增加，身份验证已经开始用于验证内部用户访问外部Internet服务。所有的防火墙都有某种方法让用户创建一个通过防火墙的信息。由于这种验证可以作为协议的一部分，当用户想连接资源或离线时，可以看到验证的请求信息。
　　验证也可以在离线时进行，但是要求运行另一个不同的程序或特殊的应用去打开防火墙。离线验证的过程可以如同用浏览器指定URL一样简单，复杂起来又像装载一个具有各种安全级别的特殊的客户端。例如，Check Point 公司的FireWall－1可以拦截外出的文件传送、Telnet和HTTP查询，也可选择验证后继续操作。但是，正如Check Point公司所指出的，一旦验证已经发生，基于IP的访问就相当冒险。
　　CyberGuard Firewall和Watchguard Security System对此有更好的策略：客户端必须与防火墙建立连接，只有连接存在，才允许访问。
　　其他厂商对验证有更严格的限制。例如，NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一个特殊的Windows客户端应用，而不需要连接认证外部用户的数据库。Microsoft Proxy Server也有一个Windows客户端应用，但是，如果只是验证有关Web的交易，可以不用它，因为任何Web浏览器都能做到这点。
　　Proxy Server集成了NT用户的验证数据库，这点与Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中，Ukiah Software还集成了Novell公司的目录服务。
　　另外，Check Point、Cisco System、CyberGuard和NetGuard公司的防火墙产品都提供了一次口令机制，或自己直接完成，或是用网络认证系统实现，如Remote Authentication Dial－In User Service或TACACS＋。
　　文档资料
　　文档资料也是许多参测产品的弱点。这方面的领先者是Microsoft公司，它提供了所有资料的在线文档，其中包括详尽的指南信息，美中不足的是没有印刷品资料。
　　Check Point 公司的FireWall－1、CyberGuard公司的CyberGuard Firewall、Watchguard Technology公司的Watchguard Security System既有优秀的在线文档，也有印刷资料，且进一步阐述了防火墙的原理和操作。
　　Cisco PIX的资料与其防火墙的风格一致棗短小精悍，同时还提供Cisco信息系统光盘。尽管这些文档看起来有些“吝啬”，但根据它们能够很好地配置和管理防火墙。
　　Elron Software公司的Elron FireWall、NetGuard公司的Guardian和Ukiah Software公司的NetRoad FireWall的文档水平一般。最糟糕的是NetRoad FireWall，虽然包含了一百多页的安全指南，但没有一篇与产品功能和产品规格说明相关。而Ukiah Software公司，则是测试组为了理解产品功能和如何配置进行电话联系最多的厂家。Elron Software稍好一些,但资料删节得也比较多，它的作用更像一个桥，而非路由器，这种构建防火墙的做法比较正确，也很不同寻常。然而，这么重大的不同点在Elron Software的资料里都没有给予解释。市场上只有Network－1 Software＆Technology公司的Firewall Plus采取了同样的办法。 　
　　评分标准和测试结果
　　
　　测试结果
　　
　　Microsoft公司
　　产品 Proxy Server 2.0
　　价格 995美元
　　平台 Windows NT 4.0
　　优点 紧密集成在所有的Windows NT网络；具有高级的HTTP代理功能
　　不足 对非Windows客户端，有些功能不可用；要求客户端在NT的用户数据库中注册，进行身份验证。　
　　
　　Check Point公司
　　产品 FireWall－1 3.0
　　价格 2995～18990美元
　　平台 HP－UX， IBM AIX，Solaris，SunOS, WindowsNT
　　优点 易于配置和重配置，支持平台多，多点管理最佳，功能面广
　　不足 用户界面笨拙；监控工具和实时功能弱。　
　　Cisco System公司
　　产品 PIX FireWall 4.1
　　价格 9000美元
　　平台 专用硬件
　　优点 安全模式简单，界面易于配置，熟悉Cisco路由器命令的人能很快掌握
　　不足 代理功能有限，安全模式相当不灵活。　
　　
　　Elron Software公司
　　产品 Elron Firewall/Secure 32OS
　　价格 4995美元以上
　　平台 基于Intel CPU的微机，防火墙运行于自己的操作系统；Mgmt界面运行在Windows NT/95上
　　优点 支持多协议，对简单网络可以快速配置
　　不足 没有实际意义上的代理，身份验证要求额外的Windows应用程序。　
　　
　　CyberGuard公司
　　产品 CyberGuard Firewall 4 for Unix
　　价格 5995～14995美元
　　平台 基于Intel CPU的微机，防火墙运行于固化在硬件里的操作系统之上
　　优点 实时监测工具很好，内置域名系统，功能强大的代理
　　不足 原始日志、配置界面不够平滑。　
　　
　　Ukiah Software公司
　　产品 NetRoad Firewall for Windows NT 2.0
　　价格 995美元以上
　　平台 Windows NT
　　优点 安装快速，包括IPX－to－IP网关，成本很低
　　不足 文档资料较差，配置规则不灵活。　
　　
　　NetGuard公司
　　产品 Guardian V3.0
　　价格 3980～8980美元
　　平台 Windows NT(管理界面运行在Windows 95上)
　　优点 优异的实时连接监控，较好的简单网络配置向导
　　不足 文档资料不足，代理功能有限。　
　　
　　Watchguard Technology公司
　　产品 Watchguard Security System 3
　　价格 3995美元以上
　　平台 专有硬件（管理界面运行于Linux或Windows平台）
　　优点 采用吸引小型网络的“黑盒子”方法，配置灵活，很好的实时冲突避免功能
　　不足 有限制的配置不能随需求增长，内部的Linux内核把支持操作系统的重担加在小厂商身上。　
　　购买指导
　　本次测试发现：客户喜爱的品牌并没有因为已经取得的荣誉而裹足不前，CheckPoint Software公司的FireWall－1，CyberGuard公司的CyberGuard Firewall，和Cisco 公司的PIX都比上次测试又有了进步。 年轻的Watchguard Technology公司和NetGuard公司的产品第一次登台亮相，就获得了好评。
　　Microsoft公司的第一个防火墙版本虽然榜上名次不理想，但毕竟为本公司的软件资源和市场增添了力量。同样，Elron Software公司和Ukiah Software公司虽然没有名列前茅，但也取得了可喜的进步。如果用户需要对付非IP协议，如IPX, DECnet,和AppleTalk, Elron的产品显得格外有吸引力。

原文转自：http://www.ltesting.net