关于各类防火墙的介绍
2006-04-03 12:37:20 来源:WEB开发网Raptor 防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。
显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如MS ISASERVER灵活。
AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能较好的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于MS ISASERVER和Check Point FireWall-1。AXENT Raptor管理界面很一般,也有模块不集中的缺点。但AXENT Raptor的实时日志处理较好,则仅次于MS ISASERVER。
AXENT Raptor的SMTP 代理限制允许通过防火墙的SMTP命令;能剥去邮件报头中的内部网信息。与MS ISA SERVER相似,AXENT Raptor可以检测到邮件头部缓冲区溢出攻击,并在它探测到危害安全的企图时,允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web 服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。此外, AXENT Raptor也含有NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。
Raptor的并发性能很差,没有支持企业级用户的防火墙阵列功能,海量级数据包分析过滤能力不够。在这一点上,它明显不如MS ISASERVER,甚至没有FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。
需要指出的是,当我们激活NAT的时候,AXENT Raptor有少许性能降低的迹象。而FireWall-1则相反,在启动NAT的时候性能显著下降,这是因为代理类型的防火墙本来就要重写报头。
还有一点,AXENT Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),对机器的硬件要求很高,你必须升级到更快的机器。
作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统—AXEN。在安装的时候就主动努力保护操作系统,关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后,Raptor继续监视操作系统中可能危及安全的新进程。这也是AXENT Raptor明显不足之一。
AXENT Raptor和MS ISA SERVER都把主机、网络和服务定义为“元素”,这是一个和Check Point采用的“对象”类似。规则编辑器利用这些元素创建安全策略。但AXENT Raptor的这个管理界面实在令人不敢恭维。但是我们还是更喜欢MS ISA SERVER的界面,因为MS ISA SERVER包含方便阅读的颜色和图形,并且实现所有管理模块的集中。
另外,在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难,在AXENT Raptor中,你必须为你想运行的应用程序激活相应的代理服务,否则相应流量将不被允许通过这个防火墙。
Raptor也支持ICSA认证的IPSec并兼容VPN(virtual private network,虚拟专用网),但不幸的是,Raptor没有使用硬件支持卡,所以你在启动这个大量加密连接的功能时要小心从事,因为它非常消耗CPU资源,直至你的系统死机。
更多精彩
赞助商链接