NSS Labs最近測試了6個網(wǎng)絡(luò)防火墻以評估安全弱點。除了一個防火墻之外，其余的防火墻都有容易受到“TCP Split Handshake Attack”（TCP分離握手攻擊）攻擊的安全漏洞。這個安全漏洞能夠讓攻擊者遠(yuǎn)程欺騙防火墻以為防火墻后面的一個IP連接是可信賴的。

NSS Labs總裁里克·莫伊（Rick Moy）稱，如果防火墻認(rèn)為你在內(nèi)部，它對你采用的安全政策就是一個內(nèi)部的安全政策。你可以掃描查看機(jī)器在什么地方。然后，一個攻擊者能夠在網(wǎng)絡(luò)中到處跑，因為防火墻錯誤地認(rèn)為這個IP地址是來自防火墻后面的可信賴的IP地址。

NSS Labs本星期發(fā)表了有關(guān)這些研究結(jié)果的論文《2011年網(wǎng)絡(luò)防火墻對比測試結(jié)果》。NSS Labs是一個知名的產(chǎn)品測試機(jī)構(gòu)，評估廣泛的安全設(shè)備，有時候是進(jìn)行廠商贊助的對比測試，有時候是進(jìn)行自己確定的完全獨(dú)立的測試。本星期發(fā)表的《2011年網(wǎng)絡(luò)防火墻對比測試結(jié)果》是屬于后一種類似，測試成本完全是由NSS Labs自己承擔(dān)的。

NSS Labs獨(dú)立測試的6個防火墻包括：Check Point Power-1 11065、思科ASA 5585-40、Fortinet Fortigate 3950、瞻博網(wǎng)絡(luò)SRX 5800、Palo Alto Networks PA-4020和SonicWall NSA E8500。

莫伊指出，廠商一般不愿意參加NSS Labs進(jìn)行的一系列測試。事實上，這次測試的防火墻有一半是由金融公司等最終用戶直接提供的。這些用戶支持這種測試，因為他們要找到自己的防火墻中可能存在的安全漏洞。

NSS Labs報告稱，在測試的6個產(chǎn)品中，有5個產(chǎn)品允許外部攻擊者繞過防火墻并且成為一個內(nèi)部的可信賴的機(jī)器。NSS Labs測試的唯一沒有這種安全漏洞的是Check Point的防火墻。

莫伊稱，這次測試中使用的利用安全漏洞的代碼是已知的“TCP分離握手”攻擊代碼。這種攻擊是在TCP握手過程建立一個連接的時候啟動防火墻和任何連接的那一刻開始的。莫伊稱，這個攻擊代碼曝光已有大約一年時間。這種攻擊很容易讓攻擊者成為那個網(wǎng)絡(luò)的一部分。這種攻擊的潛在危害是由于這種攻擊發(fā)生在握手階段，這些攻擊不會被當(dāng)作攻擊記錄和報警。

這篇報告稱，沒有通過“TCP分離握手”安全測試的廠商正處在修復(fù)這些漏洞的不同階段。

思科據(jù)說目前正在與NSS Labs合作解決這個問題并且將在產(chǎn)生結(jié)果之后立即提供一些建議。

這篇報告稱，F(xiàn)ortinet目前沒有向用戶提供防御“TCP分離握手”攻擊的保護(hù)措施。但是，NSS Labs稱，F(xiàn)ortinet已經(jīng)通知它說，今年5月發(fā)布的產(chǎn)品中將包括這個保護(hù)措施。

這篇報告稱，在默認(rèn)情況下，瞻博網(wǎng)絡(luò)不能啟用針對“TCP分離握手攻擊”的保護(hù)措施。但是，NSS Labs建議瞻博網(wǎng)絡(luò)用戶檢查自己的防火墻配置，并且按照這個報告中說明的指南操作。NSS Labs警告稱，保護(hù)措施可能會對性能產(chǎn)品負(fù)面影響，或者中斷不能正確使用TCP協(xié)議的應(yīng)用程序。

據(jù)NSS Labs稱，Palo Alto已經(jīng)表示他們將在未來發(fā)布的產(chǎn)品中發(fā)布有針對性的正式補(bǔ)丁。該公司補(bǔ)充說，保護(hù)措施可能會對性能產(chǎn)品負(fù)面影響，或者中斷不能正確使用TCP協(xié)議的應(yīng)用程序。

在默認(rèn)狀態(tài)下，SonicWall不能啟用針對TCP分離握手攻擊的保護(hù)措施。NSS Labs告訴用戶在最早的時候檢查自己的防火墻配置。

NSS Labs安全評估中的其它研究結(jié)果包括所有6個不同的防火墻在具體條件下的性能吞吐量速度與這些廠商公開宣傳的線速速度的對比。

NSS Labs指出，廠商數(shù)據(jù)表中聲稱的性能基本上都是夸大的。

此外，這篇報告稱，在測試的6個產(chǎn)品中，有3個產(chǎn)品在某種類型的穩(wěn)定性測試中崩潰了。這是一種麻煩的情況，因為攻擊者能夠利用這種情況，特別是這些不穩(wěn)定情況是由軟件漏洞引起的時候。Check Point Power-1、思科ASA firewall 5585-40和Palo Alto PA-4020這三個防火墻通過了這項測試。Fortinet 3950B和SonicWall NSA E8500沒有通過這項測試。這項測試的名稱是協(xié)議模糊與變異測試。

NSS Labs的報告還包括所有測試的防火墻的采購價格和擁有總成本的分析。