為您實測六款多功能防火牆(上)

當美國境內百萬名金牌健身房的會員，揮汗努力保持好身材的同時，該公司的IT基礎建設與安全防護卻有如身材走樣，處於管理不善的情況。

公司的IT經理Kurt Koenig回憶道：「各地健身房與辦公室之間，僅靠電子郵件作為唯一的溝通管道」。

更糟的是辦公室網路存在太多容易遭受攻擊的漏洞。Austin辦公室除了配置路由器與NAT之外，竟然連個防火牆都沒有。在維吉尼亞州的Church Falls和加州Venice辦公室，也僅配置不合用的家庭式防火牆。
Koenig說：「我將三台CheckPoint 防火牆的報價呈給CIO，而他卻無法相信此費用竟如此龐大。」
這是一個兩難的問題，Koenig必須在緊縮的預算和有限的人力下，尋找一個多功能、配備齊全且能取代高規格效能防火牆，並包含其他中小企業階段性解決方案的裝置。
幾經評估之後，Koenig選定由Fortinet所生產的FortiGate，其功能整合了防火牆、防毒閘道器、點對點VPN和IDS/IPS。 為了更加瞭解這些安全閘道的功能，Information Security雜誌評比六台中、小型企業等級的網路安全設備，可提供五百名左右員工的中型企業，鞏固其資訊安全。經過深入研究、評比之後，我們可以從這些功能相似的“all-in-one” 設備中，分辯出些許差異。這些設備包括：Barbedwire Technologie的 DP Inspector 500X， Fortinet的 FortiGate 800， Internet Security Systems的Proventia M30，Secure Computing的 SidewinderG2 1100， ServGate Technologies的Edgeforce Accel 與 Symantec的 Security Gateway 5420。而這些設備都至少滿足4種主要的安全服務需求，包含︰封包過濾及代理式防火牆、入侵防護、點對點VPN、網路入侵偵測以及防毒閘道。
經深入研究後發現，其實很難明確定義出防火牆、入侵檢測與防毒功能之間的界線；必須要這三項功能協同運作，才能保護網路以抵抗各種威脅。對於擁有分散式辦公環境的企業而言，應提供精確的內部網路流量，用以識別、防止遭受後門攻擊。本文中所提及的產品，均可滿足上述之需求。 這些設備中，大部分具備遠端存取VPN、入侵防護、網頁內容與垃圾郵件過濾，或是內部DNS服務。除了測試這些「加值服務」之外，我們主要還是著重於中小型企業環境所需的周邊安全閘道（perimeter security gateway）等功能。
本文評比方式是將各家設備依速度排列，再依據其功能與彈性、價格、安裝難易度、規則與政策組態及安全監控功能，針對以上五個項目進行評分。礙於網路流量和各家規則設定不同，我們無法測試其性能。取得安全與性能之間的平衡是重要的，但需針對每個組織的差異進行調整。最後，在你自己網路上測量的效率才是最有意義的。
在機器之外的考量因素
工作量過多的管理人員，沒有多餘時間浪費在冗長的安裝作業上。all-in-one設備的好處之一就是容易安裝。這些設備不會讓我們失望，只需花費5～45分鐘即可完成安裝。
設備安裝最好可以投入少量人力，並且提供輔助精靈與快速啟動說明以精簡其步驟。ISS在初次登入時提供的“Getting Started”協助值得獎勵。Fortinet的安裝精靈則排在第二順位，但是其手動安裝僅需3個簡易步驟。Secure Computing的安裝時間最長，步驟也最複雜，儘管如此，安裝時間能少於一個小時也還算不錯。
Barbedwire和Fortinet的設備，在安裝時花不到10分鐘，因為他們精簡了輸入啟動授權碼與透過console 線設定或安裝啟動軟體…等煩人的步驟。 安裝Symantec的設備需花費10分鐘左右，外加一通技術支援電話，以解決一個使防火牆無法啟動的授權問題。ServGate則需花費19分鐘，多數時間都是花在上網啟動授權許可。
安裝防火牆後可能會影響鄰近的設備和網路流量。即便是一套易於整合的產品，為了避免發生錯誤，仍須詳加規畫。部分產品所提供的文件中均提及其易於整合的特點，但其餘產品手冊則不夠詳盡。 整合規劃中應包含，網路拓撲架構修訂與IP位址分配。但是ISS的文件說明，會使你搞不清DMZ的位置，到底是在內還是外？而ServGate的文件中則提及這兩種方案的建置步驟與差異。
Secure Computing從產品安裝到規則設定，均提供詳盡的文字說明，而美中不足的是未提及線材等級的需求。
Fortinet 提供了在特殊狀況下的補充說明指南，並解釋VPN和IPS的參數。相反的，在 Barbedwire 毫無章法的手冊裡，花了冗長的篇幅說明「如何」進行整合的步驟；對於「為何 」要作這個步驟的說明，則是出奇的簡短。
Barbedwire、Fortinet、ISS和ServGate支援透通模式的橋接，以避免變更子網路切割與路由。我們的測試項目稱其為NAT模式，受測的六家廠商均具備此功能。而Barbedwire，Fortinet，Secure Computing提供變更路由協定，協助其子網路切割的改變，可轉送至其他設備。
每個設備並在安裝時，均需進行DNS服務的調整。
Barbedwire、Secure Computing和ServGate可支援閘道式DNS服務，而Symantec必需採用其本身的閘道DNS，使得所有內部主機和DNS伺服器都要調整。ISS提供發送動態的DNS資訊給DHCP用戶端；在未使用動態DNS的網路中，我們可以選擇停用這些設定選項。Secure Computing在這方面的功能最具彈性，包括提供分離的內外DNS，維持內部的私有位址，以及提供外部公開服務名稱查詢。
All-in-one設備不代表大家都可合用的“one size”！一個大型企業可能需要額外的界面，用以區分有線與無線用戶，及保留未來的擴充能力。ISS和ServGate提供三個接點，區分內部網路、外部網路與DMZ。其他產品則提供六到八個接點，可依安全政策，劃分不同的安全區域與外部作業區。

設定防火牆原則
針對這個項目，我們定義一個共同的存取規則，包含一般常見的網路服務，如： ping、名稱服務、網頁服務、檔案存取、電子郵件服務與視訊服務(H.323)。外部對內部存取原則，僅提供頁存取，開放DMZ區及對應的內部伺服器。然後將原則套用到各家產品上，以利於比較其管理的便利度和整體操作性。而各家的差異從一開始便顯而易見︰ Barbedwire，Fortinet和ServGate 為應用層的狀態檢測式防火牆。安全管理人員能輕易利用網路物件的方式，將存取規則套用於這些設備。
Secure Computing和Symantec 主要是具狀態檢查功能的代理式防火牆。原則定義則是透過應用程式進行設定。特殊應用程式可透過特定的代理服務設定；其它用戶則須通過一般代理服務或者IP / TCP / UDP的過濾器，才能對外連線。
ISS因為圖形化介面中未包含代理設定項目，讓人以為它是屬於狀態檢查式防火牆。深入研究後發現，它確實有提供應用程式代理服務。 因為防火牆是其他安全服務的基礎，在架構上的差異對其他的安全措施，如：VPN、IDS和防毒政策，所產生連鎖反應，六項受測產品均達到我們所制定的目標。
在第一階段中沒有產品遭到淘汰，但就總體來說—我們不僅是設定防火牆規則—我們還發現使用ServGate、Fortinet和ISS時較少犯錯，因為它們易於設定，雖然ServGate設定上簡易，卻反映出其規則的選擇性不足。
Secure Computing的設定方式是相當複雜的，換句話說，造成設定錯誤的風險可能會造成額外安全問題。另一方面，在Secure Computing和Symantec防火牆，也獲得那些經驗豐富且勤勉的安全管理人員的讚賞。Barbedwire雖有圖形化界面（GUI），但它其實是一個文字介面，使非Unix管理人員打消使用的念頭。
Barbedwire使用Linux iptables的防火牆以降低成本；可選擇的softblade 功能增加了第七層的檢查。基本的設定僅需花10分鐘，但是我們卻需花費一個小時來尋找在圖形介面中的虛擬IP選項。 Fortinet的網頁式管理介面是非常容易上手的。可以輕易地增加一些物件，如：自訂服務、群組和虛擬儲存設備的IP。防火牆規則以不同區域來分類，讓用戶在設定時可以一目了然。
ISS的管理介面很直觀，具有警示功能並且有效能降低錯誤。多種選擇權被隱藏在Advanced線下，以保持畫面簡潔。令人遺憾的是，管理介面由Java所寫成，並且塞滿在為數不多的標籤頁上。
Secure Computing SidewinderG2 的基本設定相當的流暢，其規則模式很複雜，所以必須經過幾番摸索，才能完全瞭解其規則設定的意義，所以使用經驗是否足夠，是能否正確設定SidewinderG2的主要關鍵。在設定過程中，將會有很多發生錯誤的機會供你學習，這就是它複雜的地方。
ServGate有極為簡單易懂的管理介面，因此設定起來最為迅速。即使是一位初學者也能正確無誤地執行這個應用程式。相較之下，從一些進階原則選項，就能輕易的反映出其缺乏靈活性的缺點，例如防毒和偵測入侵。
Symantec的管理界面受到Java反應過慢的影響，不但無貼上、複製的功能，且這些分散的參數說明要花一番功夫才看得懂。儘管如此，原則的設定仍進行得相當順利。關於選項規則的深度，安全管理者仍需從實作中去理解箇中道理。

保護網路間來往的通道
一旦我們的防火牆開始運作，我們將它們與site-to-site VPN一併啟用，也就是廣泛使用安全的網路通道，此一設置更甚於共用連結，可藉此降低和私人用T1或者連接中斷的成本。
金牌健身房的 Koenig說：「在我們的共同辦公室裡，網路相互間並沒有連結性。而現在，我們透過設置VPN能在同一個區域裡分享所有資料，因此在德州的人事部門可以分享任一辦公室的資訊。在這之前，我們都還得以電子郵件夾帶“郵件附加檔”的方式來傳遞辦公室與辦公室之間的資訊。」 再一次的，我們確定了一項目標政策︰IPSec ESP在隧道模式下使用TripleDES予以加密，以及SHA-1與Diffie-Hellman Group 2 以保護傳輸之完整性。我們從使用預共享密鑰(preshared key)升級為使用憑證作為端點之身份驗證。這個政策是 ICSA 和 VPN論壇的工作子項目之一，而亦被多數 IPSec 閘道所採用，因此，當它無法完全適用於任何地方時，我們感到相當的驚訝。
Barbedwire使用開放原始碼的FreeS/WAN v1.97，它具有良好的互動操作性，但是缺乏其他競爭對手所擁有的特色和經銷商的支持。它提供了最大的挑戰性︰遺漏且不完整的說明文件。
此外，我們在建立VPN連接時有一些小麻煩。Symantec的精靈使設定不再是件苦差事。配對這些設備進行測試是一回事；而在其他經銷商的閘道上給一個網路添加一個設備又是完全不同的另外一回事。在除錯時，必須深入檢查安全相關參數與封包，包括兩端點之構連協議參數（negotiated parameters），Fortinet和Symantec的GUIs提供詳盡的參數偵錯功能。Fortinet、Barbedwire提供偵錯追蹤模式，而ServGate則無此功能。 其他site-to-site VPN值得注意的差異如下所示： 當我們測試使用AES和DH5方式時，Secure Computing並不支援AES。Symantec在ESP可使用AES但IKE卻不行，且在FreeS /WAN裡並不支援AES加密方式。 當一個端點重新啟動時，有一些產品無法偵測到。
Fortinet和ServGate具備無效點的偵測，而Secure Computing和Symantec則提供了在傳輸中斷時，會啟動端點是否無效的偵測機制。Fortinet 強韌的持續運作能力，可提供全天候24/7 的可用性。 Symantec支援Entrust的憑證模式，但是卻無法用在 site-to-site VPNs上。我們在其它五種產品上測試使用憑證和RSA，作為端點間的驗證方式。
我們在Barbedwire、Secure Computing和ServGate上使用了內部發行的憑證。自我簽署憑證，對於一些只需提供閘道間驗證的公司而言是相當方便的。
所有受測產品都提供遠端安全存取功能。

閘道式病毒偵測功能
有一些防毒程式可以在閘道上執行病毒掃描，在惡意程式入侵你的網路之前，就已成功的被消滅，如蠕蟲和特洛伊木馬程式。除了深入檢查封包，掃描SMTP格式表頭之外，千萬別忽略病毒附件。
在開啟Atlanta West Carpets的網路服務，發送電子郵件和瀏覽網頁時， Gerad Simpson不認為這個位於Atlanta和Birmingham，少於75個用戶的公司需要閘道保護，於是令人頭痛的網路攻擊事件便開始發生了。 Atlanta West 的資訊系統管理師 Simpson 回憶道：「雖然Blaster攻擊著每一台機器，但是並未造成任何的破壞。」、「Sasser蠕蟲把我們擊垮了。我們僅有用戶端防毒卻沒有任何的防火牆。這樣的話並無法去扼止它們進行攻擊。」 Simpson，如同金牌健身房的 Koenig一樣，考慮防火牆(Cisco Systems’ PIX)的必要性，「但是這已經超出我們的IT預算」。他最後選擇了 ISS 的 Proventia。「它能記錄一切」。
受測的六家產品均提供閘道式病毒偵測功能。因為效能是主要考量，全部產品皆提供防毒功能調整的選項。整體來說，因防毒掃描導致延遲的情況尚可被接受。不過，我們不能執行逐一比較的測試。在這些設備中有四個是支援FTP，三個是用來掃描POP，而另一組則是掃描HTTP。Barbedwire掃描防火牆的SMTP位址；Secure Computing掃描顯性和隱性的SMTP；其餘的則是掃描顯而易見的SMTP任何目標位址。 我們的建議是︰「選擇提供重要通訊協定掃瞄檢測功能的產品，而這些協定符合企業的需求。阻隔未經檢測的協定封包，並且使用個人版防毒軟體達到縱深防禦。
Barbedwire和ISS使用Sophos防毒引擎，Secure Computing和ServGate則使用McAfee的產品，而Symantec當然是使用它自己的防毒引擎，Fortinet也有自己的防毒引擎。」 這六種產品均透過附件名稱與郵件標頭，來偵測附件中的病毒，因此無法逐一進行比較測試。 Fortinet可偵測部分“grayware”(間諜軟體)，而ServGate則可在其他被忽略的一些訊息中發現可疑的附件。
ISS 的防毒項目中提供最少的設定功能，Symantec是唯一無法提供在防火牆上所應具備的檢疫功能。 所有產品都會在遭受病毒入侵事件時送出警訊。一般產品在向外寄送的郵件中發現有病毒存在時，有一些會通知原送件者；並且建議收件者進行檢疫/刪除的動作。
除Symantec之外，其他產品都有圖形介面的病毒統計功能。Barbedwire 則提供更充足的統計報告功能，可依不同的條件，將病毒出現頻率做出條形圖，或者針對前10名病毒的圓餅圖，亦可產生一個大範圍的報告。 即使宣稱具備掃描相同的協定的功能，其所得到的結果卻不盡相同：Barbedwire的掃描只能針對本身電子郵件伺服器進行掃瞄，因此必須阻擋任何未經防火牆所寄出的郵件，是其能否提供完整防禦的關鍵。
IIS與ServGate對於每個協定，都有一個防毒開/關的控制器，這表示安全管理人員只能決定掃描全部的SMTP或者全部都不掃描。 Fortinet 可針對特定的通訊協定進行病毒掃瞄，以歐洲電腦病毒防治研究中心(EICAR)的病毒測試樣本進行測試，它漏掉了一個病毒，但是隔天更新病毒碼之後就可以偵獲該病毒。而針對9,600封郵件進行掃毒時，漏掉了2個帶有Netsky蠕蟲的信件，而其他的產品則全數偵獲。
Secure Computing的策略是「針對應用程式防禦」，可針對HTTP與SMTP的MIME作掃瞄，但是全面性防毒關鍵仍必須設定成全部做掃描才有效。 Symantec也提了供混合的控制。防火牆政策可用於多種服務，但是防毒功能是必須針對每個服務作設定才算啟動。 其他防毒參數則設定成代理層級的全面性掃瞄。