第三部分:Linux防火墙纵览 作者:panda 这部分是关于Linux防火墙硬件产品的介绍和选购。前面两个部分已经介绍了一些有关Linux防火墙的安装和调试的知识。现在我们要关心的就是如何使用和使用何种Linux防火墙工具(特别是硬件设备)给Linux系统进行更高级的防御。 世界上有许多生产Linux防火墙专用硬件设备的厂商。这些Linux防火墙硬件设备都有几个共同的特点:硬件设备容易安装;相应的应用软件容易安装和设置;用户无需知道硬件里的OS系统的工作原理和工作情况。按照Linux防火墙硬件厂商的说法,用户只要花几分钟,按照产品的安装指南手册就能轻松把设备安装好。
图1:Firebox II,看上去它的颜色就像火烈鸟一样的红艳 好,现在给大家介绍一款比较典型的Linux防火墙硬件-WatchGuard Firebox II。这款WatchGuard Firebox II是由WatchGuard科技公司推出的功能强大的硬件Linux防火墙。如图1所示,这个红色的金属盒子就是专门为Linux平台所设计的硬件防火墙。这个金属盒子看上去像一台VCD机,机身前端还有一个设计得十分前卫的LCD液晶显示屏,方便用户观察WatchGuard Firebox II工作状态。 WatchGuard Firebox II只是WatchGuard科技公司开发的完整的Linux综合解决方案的一个组成部分。这套称为“WatchGuard动态安全系统(WatchGuard LiveSecurity System)”的Linux安全解决方案为 Linux平台提供了安全警报和产品升级服务。Firebox II家族产品则能为大多数中小型机构提供安全服务(大约50-100台工作站的机构)。 Firebox II 从外表开上去就像一台普通的家电产品,很难把它和Linux防火墙设备联系起来,实际上Firebox II还分有几种型号:Firebox II(基本型);Firebox II FastVPN,它里面包括一个支持3DES VPN加密术的用户加密加速卡;还有Firebox II Plus,主要用于大规模网络并发数据请求连接服务。更令人赞叹的是WatchGuard科技公司还为未来的SOHO一族提供了Firebox SOHO,一个紧凑型的,能提供互联网共享,办公局域网和防火墙的小型办公室安全设备。但是这个Firebox SOHO设备在软件和硬件上都和Firebox II等其它设备有着本质的区别。 Firebox II是一款小型的专业硬件设备。但是它的组成仍然遵循普通PC机的构造。Firebox II 里面有一块英特尔公司的200 MHz Pentium处理器,64MB的SDRAM内存,还有8MB的闪存硬盘来保存用户配置信息。和普通PC不同的是,Firebox II 可以使用3块RJ-45接头的10/100网卡。网卡主要用来连接外部设备和网络。 Firebox II还有两个DB-9 串行端口,其中一个端口是控制台(Console)专用端口。Firebox II 没有安装硬盘驱动器。 Firebox II 机身前端有一个很醒目的LCD液晶显示屏,可以显示CPU的使用率和数据流量。每一个网络接口的情况都可以从LCD上观测到。(绿色的部分表示被允许的通讯量,红色部分表示被拒绝的通讯量)。另外,负荷表可以显示Firebox II的平均负荷量,最大可以显示100MB。显示的这些数据和图标也许看上去毫无用处,但是它能帮助用户在网卡出现故障或配置错误的时候迅速的判断所出现的原因。 Linux安装在哪里? 介绍了这么多关于Firebox II硬件方面的信息,现在让我们来看一下Firebox II 的Linux到底安装在哪里。Firebox II 有一套非常安全的,,为Firebox II 硬件本身量身定做的Linux系统,但是这套Linux系统的安装和任务管理却由一套包括Windows的应用软件来执行。也就是说,这套Firebox II管理软件是通过一个基于Windows的安装向导来完成的。软件的升级也是如此。Firebox II使用的的168位的3DES加密算法合管理软件相互连接。 Firebox II也可以运行一些代理服务器软件,如FTP, HTTP, SMTP等等。HTTP代理使用的是内容类型标题(content-type headers)来确定在通讯中是允许接受数据还是拒绝接受数据。这个特征也被WebBlocker,一个通过Web内容来阻止或过滤数据的系统所采用。WebBlocker能够从WatchGuard的服务器上自动升级和下载网站的数据库。WebBlocker已经定义了14种大型网站的种类,用户也可以加入自己的网站种类。 Firebox II 包括基于PPTP的VPN服务软件作为它的标准软件包,通过激活IPSec,它可以容纳自己的存取控制列表,它也可以在Windows NT,Radius还有CryptoCard验证服务器上工作。 如何使用硬件防火墙设备 如何使用Firebox II硬件防火墙设备也是一个很重要的问题。毫无疑问,Firebox II的硬件安装是很容易的。给Firebox II通上电源,通过它的网卡和网络连接就可以了。如果使用过Cobalt微服务器的用户就知道该如何使用WatchGuard。由于入侵计算机的方法和手段很多,用户很难预料入侵者会采取那种手段来入侵计算机系统,这时用户需要明白只有通过管理软件才能控制Firebox II并发挥它的作用。也许这个说法会刺激那些曾经开发过开放源码软件的高手,但是事实就是这样,安装Firebox II的管理软件是可以通过一个叫QuickSetup的快速安装向导来引导用户安装和初始化设置。它能快速连接Firebox II 和把用户的配置参数送入闪存中,覆盖掉Firebox II 出厂时的默认配置参数。
图2:HostWatch提供的一个关于当前TCP连接状态的观察图 Firebox II带有大量的管理软件。其中最重要的是管理中心工具(Control Center)。这个应用软件提供了良好的控制Firebox II和管理好其他特殊任务的环境。还有一个叫HostWatch的管理软件也十分好用,它提供了一个实时对网络连接(包括各个端口和相关用户)的监控和显示功能。但是,如果太少的用户在线工作,这个软件就显得不太好用了。 另一个在控制中心里比较有用的applet插件就是Firebox Monitors监控器。它能利用统计表的形式显示详细的显示出信息包和数据吞吐量。控制中心可以让用户自己定义安全警戒值。超过某种用户事先设定的警戒值,控制中心就会通过SNMP,电子邮件或页面的形式向用户报告。还有一个重要的应用软件就是策略编辑器(Policy Editor),它可以定义和编辑安全策略的标准。尽管这些管理软件很好用,但是另Linux迷失望的是这些软件只有在Windows下才能使用。而且里面没有基于WEB的入口和终端入口。 图3:Firebox Monitors 显示的实时报告图表 另一件让人觉得担忧的事情就是这样的硬件设备防火墙会让用户不得不完全依赖与销售商和生产厂商。硬件设备的升级和补丁程序也要通过生产厂商来完成。这样多多少少会让管理网络服务器的管理员心里不那么舒服。如果管理人员在使用这样的硬件放火墙设备中发现了对安全构成危害的臭虫(BUG),那么只有两种选择,而且都是下下策,要么就是关闭防火墙等待销售商或厂家的升级和补丁程序,要么只有冒着极大的奉献继续使用防火墙。 把以上的这些硬件防火墙的缺点和局限性放在一边不谈,Firebox II 仍然是一款非常好的Linux安全防火墙设备。Firebox II 的基本版的售价为4,990美元,Firebox II FastVPN的售价为12,990 美元。每一台Firebox II的LiveSecurity一年的签订服务需要995美元。拿望远镜看别人,拿放大镜看自己。
