NSS Labs最近测试了6个网络防火墙以评估安全弱点。除了一个防火墙之外，其余的防火墙都有容易受到“TCP Split Handshake Attack”（TCP分离握手攻击）攻击的安全漏洞。这个安全漏洞能够让攻击者远程欺骗防火墙以为防火墙后面的一个IP连接是可信赖的。

NSS Labs总裁里克·莫伊（Rick Moy）称，如果防火墙认为你在内部，它对你采用的安全政策就是一个内部的安全政策。你可以扫描查看机器在什么地方。然后，一个攻击者能够在网络中到处跑，因为防火墙错误地认为这个IP地址是来自防火墙后面的可信赖的IP地址。

NSS Labs本星期发表了有关这些研究结果的论文《2011年网络防火墙对比测试结果》。NSS Labs是一个知名的产品测试机构，评估广泛的安全设备，有时候是进行厂商赞助的对比测试，有时候是进行自己确定的完全独立的测试。本星期发表的《2011年网络防火墙对比测试结果》是属于后一种类似，测试成本完全是由NSS Labs自己承担的。

NSS Labs独立测试的6个防火墙包括：Check Point Power-1 11065、思科ASA 5585-40、Fortinet Fortigate 3950、瞻博网络SRX 5800、Palo Alto Networks PA-4020和SonicWall NSA E8500。

莫伊指出，厂商一般不愿意参加NSS Labs进行的一系列测试。事实上，这次测试的防火墙有一半是由金融公司等最终用户直接提供的。这些用户支持这种测试，因为他们要找到自己的防火墙中可能存在的安全漏洞。

NSS Labs报告称，在测试的6个产品中，有5个产品允许外部攻击者绕过防火墙并且成为一个内部的可信赖的机器。NSS Labs测试的唯一没有这种安全漏洞的是Check Point的防火墙。

莫伊称，这次测试中使用的利用安全漏洞的代码是已知的“TCP分离握手”攻击代码。这种攻击是在TCP握手过程建立一个连接的时候启动防火墙和任何连接的那一刻开始的。莫伊称，这个攻击代码曝光已有大约一年时间。这种攻击很容易让攻击者成为那个网络的一部分。这种攻击的潜在危害是由于这种攻击发生在握手阶段，这些攻击不会被当作攻击记录和报警。

这篇报告称，没有通过“TCP分离握手”安全测试的厂商正处在修复这些漏洞的不同阶段。

思科据说目前正在与NSS Labs合作解决这个问题并且将在产生结果之后立即提供一些建议。

这篇报告称，Fortinet目前没有向用户提供防御“TCP分离握手”攻击的保护措施。但是，NSS Labs称，Fortinet已经通知它说，今年5月发布的产品中将包括这个保护措施。

这篇报告称，在默认情况下，瞻博网络不能启用针对“TCP分离握手攻击”的保护措施。但是，NSS Labs建议瞻博网络用户检查自己的防火墙配置，并且按照这个报告中说明的指南操作。NSS Labs警告称，保护措施可能会对性能产品负面影响，或者中断不能正确使用TCP协议的应用程序。

据NSS Labs称，Palo Alto已经表示他们将在未来发布的产品中发布有针对性的正式补丁。该公司补充说，保护措施可能会对性能产品负面影响，或者中断不能正确使用TCP协议的应用程序。

在默认状态下，SonicWall不能启用针对TCP分离握手攻击的保护措施。NSS Labs告诉用户在最早的时候检查自己的防火墙配置。

NSS Labs安全评估中的其它研究结果包括所有6个不同的防火墙在具体条件下的性能吞吐量速度与这些厂商公开宣传的线速速度的对比。

NSS Labs指出，厂商数据表中声称的性能基本上都是夸大的。

此外，这篇报告称，在测试的6个产品中，有3个产品在某种类型的稳定性测试中崩溃了。这是一种麻烦的情况，因为攻击者能够利用这种情况，特别是这些不稳定情况是由软件漏洞引起的时候。Check Point Power-1、思科ASA firewall 5585-40和Palo Alto PA-4020这三个防火墙通过了这项测试。Fortinet 3950B和SonicWall NSA E8500没有通过这项测试。这项测试的名称是协议模糊与变异测试。

NSS Labs的报告还包括所有测试的防火墙的采购价格和拥有总成本的分析。