Netscreen VS. Checkpoint 杂谈(转)

justsoso

首先各位应该清楚的是，作为目前市场上主流的商用防火墙，无论是NETSCREEN还是Checkpoint，就基本的防火墙功能而言两者没有太大的差异也不可能有太大的差异（如果你听相关的厂家鼓吹自己产品的某种基本功能与竞争对手有多么明显的差异，那他必定在糊弄你）所以我们这篇文章不打算浪费时间讨论任何与防火墙的基本功能有关的内容。

1. Checkpoint
在本文的第一部分我们提到过，目前利用操作系统和网络设备本身安全问题入侵和攻击的浪潮已经逐步呈下降趋势，人们越来越将攻击的目标转向高层的应用，关于这一点著名的市场调查研究机构Gartner也有一个调查结论可以参考，如下：
Today over 70% of attacks against a company's network come at the 'Application Layer' not the Network or System layer.
-----Gartner Group

目前越来越多的商用防火墙厂家都在应用层安全这一方面投入力量进行研发，这也是防火墙适应安全市场变化的一个体现，作为业界的翘楚，Checkpoint自然也不会落后，5月份该公司推出的所谓AI（Application Integlligence）就是强化防火墙对应用层安全功能的一个很好的验证。在Checkpoint的文档里，AI主要完成如下功能：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制。AI只是一个概念，在Checkpoint的防火墙产品上，是如何具体体现的呢？


从Yiming能拿到的资料上来看，Checkpoint的AI由两个内容组成：Inspection Module和Security Server。
Inspection Module在part1中我们已经作了说明，它构成Checkpoint firewall的内核，在完成防火墙acl等基本功能以外，它还能对一些高层的应用，主要是HTTP、SMTP、FTP的一些属性进行直接的限制和保护。


来看一个例子理解：Checkpoint的HTTP Worm Catcher，相信大家都留意到，一段日子以来，利用80端口进行网络自动传播的蠕虫非常活跃，因为一般而言，现在互联网上的企业即使安装了防火墙，80端口通常也都是开放的，如果防火墙没有检查数据高层内容的能力（SPF类型），同时被保护的WEB系统又存在有相应的安全漏洞，那么这些攻击数据包会顺利的进入防火墙后被保护的主机，此时，虽然WEB系统是被防火墙保护的，但由于防火墙不具有高层应用的核查能力，无法对80口经由的数据包高层内容进行核查，从蠕虫的角度来看，这个防火墙等同于虚设。


Checkpoint防火墙的HTTP Worm Catcher就是针对这一问题的一个解决方法。该技术的关键在于不仅对数据包使用的端口，数据包的状态进行核查，在需要的时候，还要对数据包的内容进行模式匹配核查。管理员通过SmartDefense配置HTTP Worm Catcher，根据蠕虫的特征来添加蠕虫的特征码（如添加规则匹配.IDA则防火墙将阻挡CodeRed攻击），防火墙根据匹配从而拦截阻断含有对应特征码的网络数据包。
目前最新版本（NG with AI R54）中就应用层安全提供的一些功能：控制最大的URL长度，限制P2P软件的使用，记录web访问的详细日志等等。
由于Inspection Module的特性（工作在内核，靠近底层），因此Inspection Module在实施对高层的数据包的控制时性能比较理想。

Security Server：Security Server 是工作在Inspection Module之上的，它就像一个插件，辅助Inspection Module完成的对所关心的高层数据限制和保护的工作，由于Checkpoint不可能将所有的和高层有关的限制和保护功能都放入到它的内核（Inspection Module）中，由此产生了Security Server这个模块，它和防火墙内核交互，完成一些更加复杂的访问控制和审核任务，在实际的工作中，Security Server像一个代理服务器模块，底层的Inspection Module将数据包交给Security Server处理，Security Server完成相应的工作后，再将处理完毕的数据反馈给Inspection Module。由于是在Inspection Module内核之上的一个插件，Security Server对应用层控制就能够灵活许多，可以对数据实施更多的核查，但也正是因为这个代理的特性，性能上#@$%了点。

Security Server是个奇怪的名字，本人猜测Checkpoint这么叫可能主要是想掩饰Checkpoint防火墙使用了部分代理模块的特征—这可是性能降低的代名词 ;)
从实际情况看来，应用了Security Server也确实会带来性能上的降低，今年3月Network Computing 的一次测试中，Checkpoint的防火墙使用了Security Server后，性能由766Mbps下降到122Mbps，这是非常明显的一个降低。
但是防火墙性能降低的换来的是功能上的增强，很多依靠Inspection Module无法完成的复杂工作，借助于Security Server后就变得可行了，Security Server大大增强了防火墙对高层的控制能力。比如，ftp应用中，可以限制ftp连结中使用的命令，限制传输的的文件路径，和防病毒产品联动实现病毒扫描等等。

要更多的功能还是更快的速度，这是需要防火墙的用户去权衡的问题了。

后台的Inspection Module加Security Server构成了前台展现的Resource和SmartDefense。（用过Checkpoint的人应该知道，这两者都可以在SmartDashborad的界面上看到，其中Resource在SmartDashborad的Manager菜单里，而SmartDefense就在主界面内）。

SmartDefense
SmartDefense是集成在Checkpoint FIREWALL-1中的一个非常重要的模块，通过这个模块，Checkpoint防火墙逐步将对网络攻击的防范手段集中起来，一方面防火墙阻断普通的非授权数据包，另一方面防火墙对照管理员配置的特定的控制规则来搜索授权通过的数据包应用，即使这些数据包从端口以及连结状态上符合防火墙要求，如果数据包的内容不符合某些相应的规则特征，则数据包被认为是具有攻击特性的，被丢弃。

SmartDefense主要防范的内容包括两大类：
提供网络层的网络安全服务，主要用来防范网络层的网络安全事件。比如，对DoS服务的控制和阻断、对ip fragment的控制、SYN攻击的防范、防范IP SPOOF等（具体内容参看SmartDefense，没什么好讲的）。
提供Application Intelligence 这个我们在第一部分提到过，主要用来防范应用层的网络安全事件。比如，对MAIL、HTTP、FTP 、VOIP等控制（具体内容参看SmartDefense）。

可以看到，Checkpoint在不断强化SmartDefense的功能，这也是Checkpoint一个比较有特色的东西，个人理解Checkpoint通过这个模块开始向传统的IDP（入侵防御系统）渗透。

说到这里我们要多说几句，目前入侵防御类产品（IDS，IDP，IPS等等）技术上还存在较多的问题，其中一个比较关键点在于误报漏报太严重。单纯的看尤其是入侵防御系统，误报问题不解决，入侵防御类产品本身将成为网络问题的发生源，SmartDefense本身尽管不被Checkpoint称为IDP，但个人理解实际上这就是Checkpoint的IDP，只不过要注意的是，这是选择性的网络入侵防御（本人造的词汇，可能用英文可以表达为Selective Prevent，缩写为SIDP？^_^ ）这其实是一种技术上的折衷，无法阻挡全部可能的攻击？OK，那么阻挡有把握的那些攻击吧。

目前Checkpoint的SmartDefense提供可防御攻击数目是有限的，预测Checkpoint会不断加大这方面的投入，增加这个单子上的AI项目。

此外还要废话一句，列位看官千万不要被Checkpoint的 AI这个词唬住了，这并不是一个非常新的东西，实际上这也就是其他厂家所说的DEEP PACKET INSPECTION，不是Checkpoint的唯一，这方面的工作大家都在做。

Netscreen
说完了Checkpoint该说Netscreen了，Netscreen在应用层控制方面做的中规中矩，基本上所有能够控制的高层的控制都是以services形式预定义好的，防火墙的使用者所能做的就是组合这些应用。与Checkpoint可以为防火墙用户提供比较丰富的控制功能相比，平心而论，Netscreen缺乏太多的可以控制的高层内容，没有特别值得说明的东西。


2. 一些错误说法
在Netscreen和Checkpoint的宣传文档里面，经常可以看见彼此诋毁对手的内容（相比之下，Checkpoint好像做得更狠一些，；）），这些时候，就要看购买者的经验和知识了。


本人看过一些双方的宣传文档，经常会看见一些错误的宣传内容，这主要包括两个方面:
a：炒冷饭
这就是说厂商拿过时的概念来做比较，
比如Checkpoint公司自己出的一篇名为”Why all Stateful Firewalls are not Created Equal”文中指出“Netscreen’s implementation of Stateful Inspection is also incomplete. Netscreen firewall devices are unable to reassemble fragmented TCP packets on all applications before enforcing the ecurity policy.“
这是Checkpoint公司2002年的一份文档，指出Netscreen不能处理tcp fragment，当时版本的Netscreen screenOS的情况确实是这样的，但是不要忘记，Netscreen的4.0.1的版本中，这个问题其实已经解决了。
现在的Netscreen产品操作系统基本上都在4.0.1以上了。但可惜本人在Checkpoint在国内一家很大的代理商非常新的一个宣传资料里面还看到这条内容被当作宝贝堂而皇之的被陈列出来—要么是写这个宣传资料的人根本不懂，要么是明知道Netscreen已经解决这个问题了还在装—我猜测前者的可能性更大一些~~ ；）

b：根本的欺骗
这种花样就很多了，
比如如下内容：
“性价比：在一台4000美元的机架式PC服务器上，Check Point可以提供4Gbps防火墙和2Gbps VPN性能的解决方案。“ 动动脑子吧，大哥！
又如
“是否支持windows：Checkpoint是；Netscreen 否“ 天啊，有点厚颜无耻吧！

3：评测，评测！
对绝大多数用户而言，毕竟作为使用者对防火墙产品不可能非常熟悉，这些时候，可能就会依赖一些权威的评测报告了，国内外目前搞评测的很多，但平心而论，很多评测根本就是糊弄人，而且可悲的是，可能这些评测的机构自己都不知道自己在误人子弟-因为他们采用的评测方法根本就是不科学的，这样后即使后面的工作再努力认真，结果都没有什么意义。

这包括很多方面，比如目前比较流行使用发包工具（比如说利用SMARTBIT）制造流量来测试防火墙设备这个问题，SMARTBITS等发包工具主要是测试底层设备，一般是网络层及以下设备，这些设备不需要分析高层内容，所以他们的测试很有意义，但是对越来越走DEEP PACKET INSPECTION路线的防火墙而言，我们可以考虑一下，到底有什么意义：
对于SMARTBITS单纯的狂发某种包（比如SYN包），这些数据包超时后应该被防火墙直接丢弃无需后续的分析。此外，由于防火墙可能要同时需要维护瞬间据多的SESSION表，很可能会导致防火墙拒绝服务。
对于SMARTBITS非单纯的发包，而是起SESSION的（尤其是起很少的SESSION ，比如一个测试起两个SESSION），很可能会把防火墙搞死，这是因为一个SESSION包含着成百上千兆的数据量，又一直没有FIN，防火墙的状态表很快就会溢出的。

又比如很多评测机构选择评测对象的方法，评测的结果是完全建立在不公平的起点或者是有问题的测试设计上的。这个我们可以看Checkpoint官方网站上的一个例子，在该文中赫然有一篇Tolly Group发布防火墙性能测试报告，在这个评测里面选取的对象是Check Point VPN-1 Pro、Cisco Pix 535和Netscreen 500 三家产品，方法是在防火墙设置单条访问控制规则，然后用SMARTBIT作为平台发包测试。结论当然是必然的：在这次测试中，Check Point 再一次展示了在 FireWall 和 VPN 性能方面的实力，各方面性能都超过了竞争对手。
Tolly Group的名头不小，看起来测试也都很公正，但是我们用点脑子就会发现有些问题：

首先是一个非常不公正的评测对手选型问题，在这个测试里面cisco的旗舰产品pix 535的选择还比较公正，而Netscreen的选择就不对了，Netscreen500系列的防火墙标称也就是几十万级别的并发session数，而Checkpoint的该款产品可是百万级的并发session数，两者的处理等级就不在一个水平上，结果怎么可能公正？自行车拼死了也不可能跑过赛车。如果测试，应该是Checkpoint vpn-1 pro VS Netscreen 5000(而非500）VS pix 535

其次还有评测手法失误：就是评测的时候在防火墙上仅仅设置单个访问控制规则（single-rule）然后发包，这样非常不合理，很多基于软件的防火墙，处理复杂的规则，以及处理1条和1000条访问控制规则的时候效率可差别太远太远了，同时这样做把Netscreen基于ASIC的优势完全瓦解。

network

打我上班时就看，现在还看啊，唉