关于各类防火墙的介绍(4) Gauntlet提供了比较丰富的代理服务清单,其中包括:FTP(诸如Microsoft公司的NetShow、RealNetworks公司的RealPlayer、ZingTechnology公司的StreamWorks以及VDOnet公司的VDOLive之类的多媒体)、SNMP、新闻以及其他几种,它还具有建立定制代理的功能。其鉴定服务包括:AccessKeyⅡ、CryptocardRB-Ⅰ、AxentTechnologies公司的DefenderSecurityServer、VascoDataSecurity公司的Digipass、SecureComputing公司的SafeWordAuthenticationServer、SecureNetKey、SecurID、S/Key以及可重用口令(内置)。 NAI Gauntlet不含有Integrated Web Cache功能,不能加速企业的网络信息访问,并且没有支持企业级应用的防火墙阵列功能,这一点对于任何软件防火墙都是及其必要的。总体而言,NAI Gauntlet更像是一个给其他防火墙提供辅助功能的一个增强模块,让它独立担纲,有点勉为其难。5.NetScreen 科技的 NetScreen-100 和Cisco的PIX类似,NetScreen-100也运行专有操作系统。与运行在Intel平台上的PIX不同,NetScreen使用专有ASIC构成高性能防火墙,价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后,我们就可以通过Netscape或者微软的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall-1比NetScreen-100性能高,如果运行NAT,NetScreen的性能不会降低,因而比FireWall-1的性能要好。 NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能,防火墙内的任何主机或者路由器可以继续使用Internet路由器的网关地址,或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网,也不需要把外部路由器的地址移动到防火墙的内部接口上来,这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。 NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上,除了URL过滤和FTP,它没有任何其他比简单的包过滤更强大的功能。 6.CyberGuard 公司的CyberGuard 防火墙 CyberGuard防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面非常粗糙和简单。 CyberGuard加固了它自己的操作系统,使它的多虚拟安全环境(Multiple Virtual Secure Environments,MVSE)系统谨慎地隔离所有进程、文件和目录,只允许绝对必要的通讯通过CyberGuard。 它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台,顶部的菜单条上列着所有的基本应用程序。使用这个菜单能勉强能访问通用系统管理作业,比如IP地址和路由配置等,这使得完成这些作业不是很轻松,这一点远不如MS ISA SERVER 和Check Point FireWall-1。 它的实际防火墙策略在信息包过滤窗口中建立,窗口的上半部分是规则列表,下半部分是编辑模板。编辑模板可以使你指定你想允许或者禁止的协议,可以快速建立日志并且可以让自己决定现在不想看哪些东西。你可以在每个规则的上面或者下面添加注释,但是我们发现如果相关规则对应着自己的屏幕就会显得凌乱不堪。
