為您實測六款多功能防火牆(下)

入侵偵測功能
由於「混合性威脅」的升高，很難把病毒與入侵偵測區隔開來。萬一病毒沒有被防毒掃描抓到，可以透過IDSes可以成功攔阻下來，進而將病毒捕獲。有一些產品以尋找CVE為基礎的行為、攻擊方法，其他產品則尋找異常的狀態，例如惡意封包、狀態改變與特徵。也有一些採用監控異常大量的連線與封包數量。受測的機型通常運用一種以上的技術，有些還具備防護的功能。
自動化的防禦可能導致正常封包遺失或是遭到阻擋。有時，我們寧可系統可以繞過主機並且關閉IPS。Barbedwire、ISS與SymantecIPS只要一個動作就可以關閉﹔Fortinet ISS與Barbedwire可忽略特定的特徵值﹔Secure Computing具備對惡意封包的反制，包含了指令(例如︰whois)與針對某主機封包的丟棄(例如：忽略一段時間內所傳送的資料)，以取樣的方式來檢視每個紀錄檔，Symantec無法針對特定的主機跳過IPS﹔ServGate則無法選擇繞過或是關閉。 Barbedwire的偵測引擎是以開放式原始碼的Snort為基礎。可深入檢驗外部與DMZ介面中有問題的封包，根據Barbedwire龐大的資料庫，比對攻擊者的特徵，除非有特別設定，否則不採取防護措施。
Fortinet使用特徵值比對與異常偵測，類似其防毒功能，IPS必須針對每個不同的防火牆規則進行設定，但是門檻值、自訂特徵值…等參數，則屬於整體皆適用的屬性。
ISS結合特徵與異常偵測。加上ISS X-Force所定義特定異常活動資訊。ISS預設方式為丟棄封包，重置或丟棄連線，並隔離可疑的連線，以阻擋特洛伊或蠕蟲。
Secure Computing同時運用代理伺服器與應用層防禦來提供異常偵測。例如︰網頁服務防護，可以設定成只允許接受特定的HTTP表頭。當網路代理伺服器偵測到拒絕接受的表頭，就會開啟檢測事件來觸發反制功能。用戶可以自行擴充其不夠充足的警示項目。
ServGate針對每個封包一一檢查，來阻擋病毒、發現諸如垃圾郵件與第四層的攻擊，像是SYN floods。例如︰遭遇大量的SYN掃描，它將會忽略某段時間的SYN請求。但是，ServGate無法檢測到像是緩衝區溢位(buffer overflow)等第七層的攻擊特徵。
Symantec透過代理式過濾與特徵值檢驗來進行異常偵測。可輕易啟動或關閉將事件關連的功能(例如︰DoS攻擊)。預設的規則，可以很輕易地編修，但通常會造成全面性的影響，例如︰如果你設定關閉偵測特定DoS攻擊的規則，它會攔下所有的流量，而非僅針對特定的規則或封包來源及目的地。

攻擊與回應
為了解各家設備如何回應各式的攻擊，我們對第四層與第七層發動攻擊。 在第四層的測試中，所有產品都出現警示、記錄大量的TCP SYN、XMAS、FIN、 NULL 與作業系統版本掃瞄行為。
我們的UDP/ICMP floods會觸發ISS、ServGate 與 Symantec預設的警報。我們嘗試降低攻擊流量，使其小於Fortinet的門檻值，它就不會發出警報。Barbedwire的防火牆提供floods 偵測功能，但是我們在圖形介面中找不到可調整的按鈕。Secure Computing只偵測到SYN與TCP proxy floods 。
Secure Computing、ISS與Symantec主要針對隨機的封包floods 攻擊，並監控各通訊埠，隨時保持警戒，如DNS等，因此無論我們如何嘗試floods 攻擊，當這三種狀態的封包一進入偵測防火牆時，便會觸動警報。
ISS已可察覺到WinTrin00攻擊程式的探測行為和Fortinet所標記的Stacheldraht，但是，整體來說，檢測一些普通的特洛伊木馬程式所使用的通訊埠時，無法在測試中得到太高的評分。
ISS對BO2K 特洛伊木馬程式所發送的請求和回應的會產生警示，但是必須注意的是，預設狀態下並不會主動阻擋它們的。
Secure Computing與Symantec可以擋下BO2K對不存在的代理伺服器發出請求，但若是一般的代理伺服器的話卻能允許對BO2K作出回應。在Barbedwire 的資料庫裡有BO2K的資料，但預設狀態下卻是關閉的。在Fortinet的資料庫有Back Orifice，恰巧在我們測試之後，於七月份新增了BO2K的樣本。ServGate則無法偵測BO2K或者任何其他非病毒的應用程式。
不僅針對我們所選定的特洛伊木馬樣本﹔如果我們挑選其他的特洛伊木馬，作為測試樣本，其結果將會變得有所不同；相反的，若能從中發現如何針對特定樣本進行偵測，將能對IDS有所幫助。
在第七層(Layer 7,Application Layer)的測試中，我們採用Syhunt、HTTPrint與其他的DMZ攻擊工具，如果偵測引擎遭受到像HTTP跨越目錄攻擊、CGI bin存取、不正確的HTTP請求、延伸功能暫存器溢位、密碼檔的存取與J Run溢位攻擊等，應用程式端的壓力測試。ServGate無法一一偵獲。而其他設備則會產生警告，範圍從數十 (Symantec, Secure Computing) 到數百(ISS, Fortinet)甚至到數千(Barbedwire)。 Secure Computing 與Symantec 的監聽代理伺服器僅會對攻擊產生警報，不理會透過其他通訊埠的一切攻擊。ISS、Fortinet和Barbedwire則可以偵測任何通訊埠的攻擊。一般代理伺服器中，應將服務的預設狀態設為較嚴謹，或者關閉不使用的服務。
Secure Computing對HTTP表頭與惡意的HTTP請求格式發出警訊，包含特殊緩衝區溢位攻擊，包括非合法語法上的攻擊，像HTTP目錄跨越攻擊等等。其他產品使用特徵值比對來判斷這些攻擊，並以案例類比方式結合正面列表/負面列表，來讓電腦以錯誤學習方式來降低錯誤。

知識就是力量
IPS是扮演平衡早期預防需求和減少假警報的角色。為了達到平衡，安全管理人員必須注意他們的防火牆是否有任何的動作或異常現象，特別是IDS/IPS。全部六種設備均可記錄本機安全事件，並轉送給其他的管理者，或在一般情況下發送給前端的syslog伺服器。以及寄送電子郵件與SNMP警示通知。
在遭受攻擊期間，你必須在第一時間被告知，才不會在主管面前不知所措。Secure Computing 與 ServGate可設定每個警報的觸發點，可以幫上你一點忙。而ISS設定事件發生的數量僅產生一次警報。 Fortinet 可基於優先權，在一定時間內寄出通知，而Symantec的事件通知緩急，則依據其優先順序的設定。
事件記錄檔與警報通知的細節因產品而異： Barbedwire的防火牆是以記錄檔為基礎，但是它的IDS警報資料庫、報告、圖表則有更詳細的說明。
Fortinet 總結報告部分表現不錯，包括詳細的記錄檔、病毒與攻擊的資訊。
ISS 的防火牆，防毒與IPS，具備優秀的警報記錄檔格式。最新警訊以及可連線至X-Force觀看線上說明。
Secure Computing偵測資料庫雖已完成，但是它是隱藏起來的。記錄必須透過圖形化介面觀看，但是我們仍是偏愛文字介面輸入的方式來觀看事件、檢閱與搜尋。稽核事件可記錄至SQL資料庫中。
ServGate的記錄檔是依照不同的連線來區分，可點選該連線，進而檢視該連線的相關封包資訊。然而，其安全記錄(IDS警告)過於簡短。 Symantec 的事件記錄檔非常詳細並且容易簡單易懂。入侵警報摘錄來自經過個別的記錄檔，並且文字說明部份可以逐層點閱。

最佳男主角
All-in-one的設備在規格上相去不遠，但是安全管理人員仍需要更深入比較其中的差異點。防毒功能的差異最多，而SMTP部分則是普遍都支援該功能。
決定哪些安全功能對您的企業而言是不可或缺的；集眾多功能於一身的設備，多少都提供比其他設備還要好的功能。 例如︰Barbedwire的VPN較弱，但是其 IDS/IPS就比較強。ISS擁有較強的IPS，而Barbedwire提供安裝上的便利性； Fortinet則是介於這兩者之間。 因為持續遭受惡意軟體的威脅，我們想要透過防毒來停止這場蟲蟲危機。同樣的，我們不能單單選用IDS，因為IDS現在提供許多的特徵或多樣的應用代理伺服器。這些說明廣泛的指出，最重要的還是要依賴整體的偵測能力與傳送關鍵的安全訊息。
若是事件無法施以適當的監視與補救的話，要追溯問題來源與責任將是一件非常困難的事。中、小型企業不需採用大型企業適用的系統，來監控設備的安全事件與回應。ISS、Symantec與Barbedwire倒是有蠻不錯的表現。
一般而言所有廠牌所呈現的功效與他們的廣告宣傳差距不大。操作上的失誤遠比設計上的缺陷多很多。Fortinet、ServGate與ISS比其他產品更容易且能準確地被操作，同時易於設定是安全設備中非常重要的特色。
在眾多佳麗中挑選出最後贏家是非常困難的。中、小型企業喜歡ServGate的操作性和Barbedwire 的價格優勢，而較大的公司則可著眼於ISS，Secure Computing與Symantec與企業安全政策配合上的深度與靈活度。但是，考慮到我們測試規則和我們所強調四個應用功能，最後一致認為Fortinet獲得勝利。


LISA PHIFER (lisa@corecom.com) 是 Core Competence的副總裁，Core Competence是提供網路安全服務和管理技術的顧問公司。