（转）《如何鉴别硬件防火墙性能的差异》对比netfilter的一些问题！

R9_Alien

（转至中国IT实验室）

有一些问题常令用户困惑:在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。

　　一、网络层的访问控制

　　所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。

　　1.规则编辑

　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?

　　2.IP/MAC地址绑定

　　同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。

　　3、NAT(网络地址转换)

　　这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

　　二、应用层的访问控制

　　这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

　　对应用层的控制上，在选择防火墙时可以考察以下几点。

　　1.是否提供HTTP协议的内容过滤?

　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

　　2.是否提供SMTP协议的内容过滤?

　　对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

　　3. 是否提供FTP协议的内容过滤?

　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制UT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

　　三、管理和认证

　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。

　　WUI和GUI的管理方式各有优缺点。

　　WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。

　　WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。

　　GUI是目前绝大多数防火墙普遍采用的方式。这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。

四、审计和日志以及存储方式

　　目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

　　很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘(并且不提供网络数据库支持)为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。

　　目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志(几个G到几十个G)，但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。

　　好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。

　　五、如何区分包过滤和状态监测

　　一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。这里给出区分这两种技术的小技巧。

　　1. 是否提供实时连接状态查看?

　　状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

　　2. 是否具备动态规则库?

　　某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接(缺省的源端口是20，在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。

　　状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。



本人对Linux下的Netfilter理解还不深，还处于起步阶段，能否请版主和各个高手说一下Iptables能做到上面所说的对应用层的访问控制的那三点吗？

还有就是现在的软防火墙对比硬防火墙劣势还明显吗？

platinum

l7-filter 做不到，string 可以，但是不能支持通配符

R9_Alien

没想到白金版主这么快回帖，谢谢！！！

能否请白金版主简单说一下现在的软防火墙跟硬防火墙比弱在哪吗？

R9_Alien

晕。被加为精华了，谢谢版主，只是转来的，惭愧。。。

R9_Alien

OK，收益非浅，又知道了点，谢谢！！！

秋风No.1

原帖由 platinum 于 2006-2-10 08:38 发表
l7-filter 做不到，string 可以，但是不能支持通配符

请教一下

给iptables加上l7模块后，可以实现类似

iptables -A FORWARD -m layer7 --l7proto qq -j DROP

这样的规则，算是l7-filter吗？

dingjeff

受教。

JohnBull

原帖由 platinum 于 2006-2-10 08:58 发表
稳定性
　　软件防火墙是放在自己的 PC 上的，PC 的质量和各个厂家经过严格测试过的硬件产品来比，稳定性可能差一些，比如软件与硬件的兼容性、网卡性能等

性能
　　我们目前使用的软件防火墙全是放在 PC 里 ...

没有这么比的吧？所谓“比较”应该在相同或相当的档次上进行比较。你的ASIC体系要多少银子？PC体系要多少银子？？根本不可比嘛！

软防火墙根本弱点在于“延迟”。延迟比硬防火墙大很多很多。
除此之外，软的都比（相同价位的）硬的强得多得多得多。

如果对延迟没有要求（没有大吞吐量的实时应用），软的绝对够用。

platinum

原帖由 JohnBull 于 2006-2-13 10:40 发表
软防火墙根本弱点在于“延迟”。延迟比硬防火墙大很多很多。
除此之外，软的都比（相同价位的）硬的强得多得多得多。

谢谢 JohnBull，受教了
再请问一下，这个“延迟”是如何造成的呢？
为什么“硬”的比“软”的要小很多呢？
“软”的如何能降低“延迟”呢？
这个“延迟”怎么能统计出来呢？

R9_Alien

强，看到两位讨乱问题，赶紧听听！！！