关于各类防火墙的介绍(4)

　　3) 通过 Check Point Firewall-1管理模块，可以管理AXENT Raptor、Cisco PIX等，可以对Bay、Cisco、3Com等公司的路由器进行ACL设置，但这些功能模块是独立的，需要单独购买License，价格很贵。

　　4).Check Point Firewall-1最致命的缺点体现在：与操作系统的深入集成性比较差，特别是与MS Winnt/Win2k的集成性，无法与操作系统相互照应，形成立体防护网。

　　5). Check Point Firewall-1底层操作系统对路由的支持较差，以及不具备ARP Proxy等方面，特别是后者，在做地址转换（NAT）时，不仅要配置防火墙，还要对操作系统的路由表进行修改，大大增加了NAT配置的复杂程度。

　　3. AXENT Raptor

　　与Check Point Firewall-1和PIX不同，Raptor完全是基于代理技术的软件防火墙，它是代理服务型防火墙中的较好的一种。这主要体现在，相对于其他代理型防火墙而言，可支持的应用类型多；相对于状态检测型防火墙而言，由于所采用的技术手段不同，使得Raptor在安全控制的力度上较上述产品更加细致。

　　Raptor 防火墙甚至可以对NT服务器的读、写操作进行控制，并对SMB（Server Message Block）进行限制。对Oracle数据库，Raptor还可以作为SQL Net的代理，从而对数据库操作提供更好的保护。Raptor防火墙的管理界面也相当简单。

　　显然，由于Raptor防火墙所采用的技术，决定了其处理性能较前面两种防火墙低。而且，对于用户新增的应用，如果没有相应的代理程序，那么就不可能透过防火墙。在这一点上，不如MS ISASERVER灵活。

　　AXENT公司的Raptor 防火墙包括了我们测试的代理防火墙中功能较好的一系列代理程序。在很多情况下，它检查通过防火墙的数据的能力非常接近于MS ISASERVER和Check Point FireWall－1。AXENT Raptor管理界面很一般，也有模块不集中的缺点。但AXENT Raptor的实时日志处理较好，则仅次于MS ISASERVER。

　　AXENT Raptor的SMTP 代理限制允许通过防火墙的SMTP命令；能剥去邮件报头中的内部网信息。与MS ISA SERVER相似，AXENT Raptor可以检测到邮件头部缓冲区溢出攻击，并在它探测到危害安全的企图时，允许你执行跟踪命令的防火墙产品。Raptor通过限制传送到内部Web 服务器的URL长度来防止缓冲区溢出攻击。它只认可有效的HTTP命令并丢弃包含可以用来进行转义代码攻击（escape code attack）字符的数据包。此外， AXENT Raptor也含有NNTP（Network News Transfer Protocol，网络新闻转发协议）代理和NTP（Network Time Protocol，网络时间协议）代理。