防火墙是网络中重要的第一防线,越来越多的人认识到安装防火墙的重要性,因此我们对防火墙的性能和管理特点加以评测。有7个厂家参加了我们的评测,它们是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computing。
因为这7个厂家均获得国际计算机安全协会的认证资格,所以我们没有测试网络抵御攻击的能力。通过评测,我们发现这7个厂家在日渐成熟的防火墙市场中都很不错。所有7个厂家的产品均具有NAT功能;除Netscreen-100外,所有防火墙均支持VPN。
代理型与状态检测型的比较
代理型防火墙只允许被代理的协议通过,并且将数据重新打包。而状态检测型只检查数据包是否被允许通过,不影响网络性能。
Check Point、Cisco、Netscreen和NetGuard均使用状态检测技术,其总体性能比使用代理技术的AXENT、CyberGuard和Secure Computing的要强。其中,Cisco的PIX性能接近线速。
7种防火墙性能介绍
1.Check Point Firewall-1 4?0
Firewall-1提供了最佳权限控制、最佳综合性能及简单明了的管理。除了NAT外,它具有用户认证功能。对于FTP,可以根据put、set以及文件名加以限制。对于SMTP,它可以丢弃超过一定大小的邮件、对邮件进病毒扫描,以及改写邮件头信息。Firewall-1还可以防止有害SMTP命令(如debug)的执行。Firewall-1的用户界面是网络控制中心,定义和实施复杂的安全规则非常容易。每个规划还有一个域用于文档记录,如为什么制定这条规则,何时制定及由谁制定。通过OPSEC(安全企业连接开放平台),Check Point提供与第三方厂家连接的API。
Firewall-1在NAT方面不尽如人意,可读性比较差。
2.AXENT Raptor
Raptor是代理型防火墙中最好的。它的界面易读、易操作,在实时日志方面,仅次于Firewall-1。Raptor的优势在于其代理的深度和广度。只有它提供对Microsoft NT服务器的保护。它还具有SQL*NET代理功能,可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好,而且它是唯一可防止缓存溢出的防火墙,它可以代理NNTP(网络新闻传输协议)和NTP(网络时间协议)。
Raptor还提供IPsec兼容的VPN,但由于没有硬件辅助卡,所以在建立多个使用加密的连接时,CPU可能难以承受。
3.CyberGuard Firewall
Cyber Guard Firewall的代理性能不如Raptor,但它允许直接包过滤,用户界面简洁清晰,且更注重其操作系统的硬件化。它的MUSE(多重虚拟安全环境)只允许必要的通信。其用户界面只能在控制台上使用,而所有其他防火墙软件均独立于实际防火墙引擎运行。
4.Secure Computing SecureZone
Secure Zone代理功能很强,FTP代理可定制文件的创建、删改及put/get操作。SecureZone使用“类型强化”功能来区分所有进程,只允许必要的通信进入。其基于Java的用户界面简单可靠,采用独具一格的树形结构来制定规划。当有许多需要在不同层次上进行权限控制的VPN时,它非常有用。
但SecureZone不能扫描病毒。
5.Cisco PIX Firewall 520
PIX的处理性能是最好的,其吞吐可达150Mbps,而且使用NAT时不影响其性能。它可以防止有害的SMTP命令,但对FTP,它不能对get和put进行限制。
PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件,通过Web来访问,但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱,所有日志须送到另一台运行syslog的机器上。
6.Netscreen Netscreen-100
Netscreen使用专用的ASIC提供高性能的防火墙,既便宜又易于安装。安装后可通过Netscape或IE来进行所有的管理。Netscreen不进行路由而让包通过,因此,在防火墙内的主机或路由器,仍使用Internet路由器的网关地址进入外部网络,这免去了在防火墙和外部路由器之间增加子网的需要。
它的网络权限控制功能很弱,除了URL过滤及FTP,它只能做简单的包过滤。
7.NetGuard Guardian 3.0(NT版)
Guardian是安装在NT上的产品。尽管它的界面简单,其权限控制功能优于Netscreen。它的独特之处在于监视无效的Telnet。
在权限控制方面,虽然优于Netscreen,但它却只能基于IP和端口号进行简单控制。它是这7种防火墙中唯一不支持IPsec的产品。它的性能比较低,启用NAT后,其性能严重下降。
测试环境
我们使用Ganymede的Chariot测试软件来产生HTTP流量,在8台PC上运行Chariot节点软件。2台Cisco交换机各以100Mbps连接4台PC,防火墙在交换机之间,每台交换机均有2台服务器和2台客户机,流量对称分布。