关于各类防火墙的介绍

关于各类防火墙的介绍

信息安全，历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天，计算机信息安全的要求更高了，涉及面也更广了。

计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。

在防治网络病毒方面，主要防范在下载可执行软件如：*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。

对于系统本身安全性，主要考虑服务器自身稳定性、健壮性，增强自身抵抗能力，杜绝一切可能让黑客入侵的渠道，避免造成对系统的威胁。对重要商业应用，必须加上防火墙和数据加密技术加以保护。

在数据加密方面，更重要的是不断提高和改进数据加密技术，使心怀叵测的人在网络中难有可乘之机。

计算机信息安全是个很大的研究范畴，本文主要讨论保障网络信息安全时，作为防火墙的用户如何来评测自身的业务需求，如何来通过产品的对比选型，选择合适自己的防火墙产品。

众所周知，我们目前保护计算机系统信息安全的主要手段，就是部署和应用防火墙。可是，我们在使用防火墙时会遇到许多问题，最具代表性的为以下三个：其一，防火墙是用硬件防火墙呢，还是用软件防火墙？这个对于许多人都是难以确定的。硬、软件防火墙，各有各的优势，可是谁的优势大一些，作为普通用户，很难深入了解。

其二，防火墙如何选型？防火墙产品的种类如此之多，而各防火墙厂商的技术水平参差不齐，到底选谁的？要知道，若是选错了产品，投资回报低是小事，如果系统因此而受到攻击，导致重要信息泄密或受损，则用户的损失就大了。

其三，若是选定了某种软件防火墙，它和用户目前的操作系统的兼容性如何，有没有集成的优势？这也是防火墙用户常问的问题。

下面列举一些防火墙的主流产品，从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较，并将实际使用中遇到的一些问题提出来，供大家借鉴。

1. Cisco PIX

Cisco PIX是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言，Cisco PIX是同类硬件防火墙产品中最好的，对100BaseT可达线速。因此，对于数据流量要求高的场合，如大型的ISP，应该是首选。

但是，其优势在软件防火墙面前便不呈现不明显了。其致命伤主要有三：其一价格昂贵，其二升级困难，其三管理烦琐复杂。

与Microsoft ISA SERVER防火墙管理模块类似，Cisco公司也提供了集中式的防火墙管理工具Cisco Security Policy Manager。PIX可以阻止可能造成危害的SMTP命令，这给我们留下了深刻印象，但是在FTP方面它不能像大多数产品那样控制上载和下载操作。在日志管理、事件管理等方面远比不上ISA SERVER 防火墙管理模块那么强劲易用，在对第三方厂商产品的支持这方面尤其显得不足。

它的管理功能模块的不足，是我们测试的所有产品中最差劲的一个：PIX的绝大多数管理都是通过命令行进行，没有漂亮的管理GUI，这使它的界面友好性较差，对于一些不熟悉指令的用户，使用PIX防火墙是件困难的事情。除此之外，用户还可以通过命令行方式或是基于Web的命令行方式对PIX进行配臵，但这种方式不支持集中管理模式，必须对每台设备单独进行配臵。而且，配臵复杂的过滤规则是相当麻烦的，特别是当需要前插一条安全规则时，后面的所有过滤规则都得先擦除，再重写。

此外，我们发现使用命令行设臵NAT并非简单，决没有比使用大多数GUI更方便。但是我们还发现，除了简单的安全策略，PIX在设臵基于服务的访问、主机和网络的时候非常不好用。我们在修改安全策略时遇到了最大的麻烦，这需要对规则进行重新排序，在插入一个新的列表之前必须删除原来的规则列表。这是一个从Cisco路由器继承过来的并不好用的功能。

PIX自身带了一个管理应用程序，但是需要一台WINDOWS NT/WINDOWS 2K服务器专门运行这个软件，我们可以通过Web来访问这个程序。如果使用Web界面管理PIX，我们只能在配臵时使用它做一些非常简单的修改。Cisco公司称，他们将在明年初开发出一个新的软件以改善PIX的管理功能。

PIX的日志和监视功能也比其他产品逊色不少，它没有实时日志功能，而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样，根据系统日志发出警报还是可以做到的。

还是那句话，若是你可以容忍PIX的种种缺点，只是看中了它的速度，那么你不妨试试。

2. Check Point Firewall-1

Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙，是市场上老资格的软件防火墙产品。

Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作，属状态检测型，综合性能比较优秀。兼容的平台较多是它的优点，但兼容性广泛也导致该产品的某种平台上没有深入集成优势，“泛而不精”。例如：但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。

先说该产品优点：1).尽管是状态检测型防火墙，但它可以进行基于内容的安全检查，如对URL进行控制；对某些应用，它甚至可以限制可使用的命令，如FTP。

2). 它不仅可以基于地址、应用设臵过滤规则，而且还提供了多种用户认证机制，如User Authentication、Client Authentication和Session Authentication，安全控制方式比较灵活。

3) Check Point Firewall-1是一个开放的安全系统，提供了API，用户可以根据需要配臵安全检查模块，如病毒检查模块。

4). Check Point Firewall-1采用的是状态检测方式，因而处理性能也较高，对于10BaseT接口，基本达到线速（号称可达80Mbps）。

5). Check Point Firewall-1是集中管理模式，即用户可以通过GUI同防火墙管理模块（Check Point Firewall Management Module）通信，维护安全规则；而防火墙管理模块则负责编译安全规则，并下载到各个防火墙模块中, 管理线条比较清晰。

主要缺点有：1）.Check Point Firewall-1的处理性能过分的依赖硬件平台的配臵，主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时，无法为客户提供集群或是阵列服务，无法更进一步提高并发性能。

2) Check Point Firewall-1管理界面的功能较多，但功能模块分散，功能模块