关于各类防火墙的介绍(2) PIX的日志和监视功能也比其他产品逊色不少,它没有实时日志功能,而且所有的日志信息都要送到另外一台运行syslog的机器上去。不管怎样,根据系统日志发出警报还是可以做到的。 还是那句话,若是你可以容忍PIX的种种缺点,只是看中了它的速度,那么你不妨试试。2. Check Point Firewall-1 Check Point Firewall-1是以色列的Check Point公司出品的硬件防火墙,是市场上老资格的软件防火墙产品。 Check Point Firewall-1可以基于Unix、WinNT、Win2K等系统平台上工作,属状态检测型,综合性能比较优秀。兼容的平台较多是它的优点,但兼容性广泛也导致该产品的某种平台上没有深入集成优势,“泛而不精”。例如:但是Check Point Firewall-1防火墙与Win2K的系统集成性就比较差。 先说该产品优点:1).尽管是状态检测型防火墙,但它可以进行基于内容的安全检查,如对URL进行控制;对某些应用,它甚至可以限制可使用的命令,如FTP。 2). 它不仅可以基于地址、应用设置过滤规则,而且还提供了多种用户认证机制,如User Authentication、Client Authentication和Session Authentication,安全控制方式比较灵活。 3) Check Point Firewall-1是一个开放的安全系统,提供了API,用户可以根据需要配置安全检查模块,如病毒检查模块。 4). Check Point Firewall-1采用的是状态检测方式,因而处理性能也较高,对于10BaseT接口,基本达到线速(号称可达80Mbps)。 5). Check Point Firewall-1是集中管理模式,即用户可以通过GUI同防火墙管理模块(Check Point Firewall Management Module)通信,维护安全规则;而防火墙管理模块则负责编译安全规则,并下载到各个防火墙模块中, 管理线条比较清晰。 主要缺点有:1).Check Point Firewall-1的处理性能过分的依赖硬件平台的配置,主要是硬件平台的内存和CPU的处理速度。当客户需求达到企业级时,无法为客户提供集群或是阵列服务,无法更进一步提高并发性能。 2) Check Point Firewall-1管理界面的功能较多,但功能模块分散,功能模块丰富而使用不便。在复杂的操作流程下,通过Check Point Firewall-1管理界面,来修改安全规则等,很容易疏漏,难以相互照应。 3) 通过 Check Point Firewall-1管理模块,可以管理AXENT Raptor、Cisco PIX等,可以对Bay、Cisco、3Com等公司的路由器进行ACL设置,但这些功能模块是独立的,需要单独购买License,价格很贵。 4).Check Point Firewall-1最致命的缺点体现在:与操作系统的深入集成性比较差,特别是与MS Winnt/Win2k的集成性,无法与操作系统相互照应,形成立体防护网。 5). Check Point Firewall-1底层操作系统对路由的支持较差,以及不具备ARP Proxy等方面,特别是后者,在做地址转换(NAT)时,不仅要配置防火墙,还要对操作系统的路由表进行修改,大大增加了NAT配置的复杂程度。 3. AXENT Raptor 与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理服务型防火墙中的较好的一种。这主要体现在,相对于其他代理型防火墙而言,可支持的应用类型多;相对于状态检测型防火墙而言,由于所采用的技术手段不同,使得Raptor在安全控制的力度上较上述产品更加细致。 Raptor防火墙甚至可以对NT服务器的读、写操作进行控制,并对SMB(Server Message Block)进行限制。对Oracle数据库,Raptor还可以作为SQL Net的代理,从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。 显然,由于Raptor防火墙所采用的技术,决定了其处理性能较前面两种防火墙低。而且,对于用户新增的应用,如果没有相应的代理程序,那么就不可能透过防火墙。在这一点上,不如MS ISASERVER灵活。
