七种适合企业级应用的防火墙产品评测(二)

日期: 2008-06-30 作者:only_you 来源:TechTarget中国

AXENT 科技的Raptor 防火墙


AXENT公司的Raptor防火墙包括了我们测试的代理防火墙中功能最强大的一系列代理程序。在很多情况下,它检查通过防火墙的数据的能力非常接近于Check Point的FireWall-1。尽管界面不如FireWall-1的漂亮,Raptor的GUI也是易于理解且易于操作的。Raptor的实时日志则仅次于FireWall-1。


显示Raptor强大实力的地方是它众多代理的深度和广度。它是唯一为运行在Microsoft网络上的NT服务器提供保护的产品。它可以控制读、写、更新命令,也可以把SMB(Server Message Block,服务器消息块)行为控制在有效操作的限度内。如果你使用Oracle,那你的运气不错:Raptor是唯一带有SQL*Net 代理的产品,可以控制对数据库表格的访问(读和更新)。从另一方面看,如果你运行Sybase或者Informix数据库,那么这一功能也很有用。


Raptor的SMTP代理与 FireWall-1和Cisco PIX一样限制允许通过防火墙的SMTP命令。它还能剥去邮件报头中的内部网信息,FireWall-1也将提供这一功能。但是Raptor是唯一能检测到邮件头部缓冲区溢出攻击并在它探测到危害安全的企图时允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击(escape code attack)字符的数据包。给人以深刻印象的代理还包括NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,网络时间协议)代理。


Raptor的HTTP代理非常安全,以至于我们很难在这一应用程序上运行我们的测试程序。为了避免这个问题,我们在一个定制运行在8080端口的通用代理上跑HTTP流量。尽管我们感觉它的并发性能已经足够好了,但它还是不如FireWall-1快,仅比CyberGuard和NetGuard的Guardian强一些。需要指出的是,当我们激活NAT的时候没有感到任何性能降低的迹象。FireWall-1则相反,在启动NAT的时候性能显着下降,这是因为代理类型的防火墙本来就要重写报头。还有一点,Raptor运行在Sun公司的硬件平台上(FireWall-1也是一样),因此如果需要的话你可以升级到更快的机器。


作为一个代理类型的防火墙,Raptor要求所有的通信流量直接通过它,这就要冒遭受攻击的风险。为了保护它自己,它“加固”了操作系统——AXENT在安装的时候就主动努力保护操作系统,关闭了IP转发和路由以及其他不必要的、可能成为操作系统漏洞的进程。安装之后,Raptor继续监视操作系统中可能危及安全的新进程。与之对照,Secure Computing的SecureZone和CyberGuard的Firewall则采用了带有内建安全功能的专有版本的Unix。


Raptor把主机、网络和服务定义为“元素”,这是一个和Check Point采用的“对象”类似的概念。规则编辑器(它和这款防火墙产品中的所有工具类似,都是从HawkGUT垂直任务条上启动的)使用这些元素创建安全策略。尽管这个界面也易于使用,但是我们还是更喜欢FireWall-1的界面,因为FireWall-1包含方便阅读的颜色和图形。在代理类型防火墙上定义规则要比在全状态检查类型防火墙上执行同样的任务更困难,你必须为你想运行的应用程序激活相应的代理服务,否则相应流量将不被允许通过这个防火墙。Raptor的日志信息相当详细,给出了源和目的IP地址和端口,以及带有时间戳的试图连接的状态。


Raptor的特色是ICSA认证的IPSec兼容VPN(virtual private network,虚拟专用网)能力。不幸的是,Raptor没有使用硬件支持卡,所以你在启动这个大量加密连接的功能时要小心从事,因为它非常消耗CPU资源。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

only_you
only_you

相关推荐

  • Cyphort分析技术助力Juniper Security Director

    瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]

  • 没有防火墙,如何防御网络威胁?

    对任何IT部门来说,识别并阻止网络威胁都是一场艰苦的战斗。而对于RIT这种规模的大学来说,BYOD是常态,活跃用户数量一般在16,000到21,000之间,所以,既要保护网络安全,还要尊重学术自由,这使得工作更具挑战性……

  • 迪普科技入围国家版权局版权监管平台建设项目

    近日,杭州迪普科技有限公司成功入围国家版权局版权监管平台建设项目,以其行业领先的防火墙、应用交付产品为互联网视频版权监管平台等多个业务系统提供安全防护和网络业务保障与优化。

  • 山石网科发布iNGFW更高性能单品T5860

    近日,继发布iNGFW T5060、T3860后,山石网科再次发布一款更高性能的单品T5860,继续扩充下一代智能防火墙产品线,为“智能安全”标注更深层的注解。