【独家译稿】NSS实验室最近测试了6个网络防火墙以评估安全弱点。除了一个防火墙之外，其余的防火墙都有容易受到“TCP Split Handshake Attack”(TCP分离握手攻击)攻击的安全漏洞。这个安全漏洞能够让攻击者远程欺骗防火墙以为防火墙后面的一个IP连接是可信赖的。

NSS实验室总裁里克·莫伊(Rick Moy)称，如果防火墙认为你在内部，它对你采用的安全政策就是一个内部的安全政策。你可以扫描查看机器在什么地方。然后，一个攻击者能够在网络中到处跑，因为防火墙错误地认为这个IP地址是来自防火墙后面的可信赖的IP地址。

NSS实验室本星期发表了有关这些研究结果的论文《2011年网络防火墙对比测试结果》。NSS实验室是一个知名的产品测试机构，评估广泛的安全设备，有时候是进行厂商赞助的对比测试，有时候是进行自己确定的完全独立的测试。本星期发表的《2011年网络防火墙对比测试结果》是属于后一种类似，测试成本完全是由NSS实验室自己承担的。

NSS实验室独立测试的6个防火墙包括:Check Point Power-1 11065、思科ASA 5585-40、Fortinet Fortigate 3950、瞻博网络SRX 5800、Palo Alto Networks PA-4020和SonicWall NSA E8500。

莫伊指出，厂商一般不愿意参加NSS实验室进行的一系列测试。事实上，这次测试的防火墙有一半是由金融公司等最终用户直接提供的。这些用户支持这种测试，因为他们要找到自己的防火墙中可能存在的安全漏洞。

NSS实验室报告称，在测试的6个产品中，有5个产品允许外部攻击者绕过防火墙并且成为一个内部的可信赖的机器。NSS实验室测试的唯一没有这种安全漏洞的是Check Point的防火墙。

莫伊称，这次测试中使用的利用安全漏洞的代码是已知的“TCP分离握手”攻击代码。这种攻击是在TCP握手过程建立一个连接的时候启动防火墙和任何连接的那一刻开始的。莫伊称，这个攻击代码曝光已有大约一年时间。这种攻击很容易让攻击者成为那个网络的一部分。这种攻击的潜在危害是由于这种攻击发生在握手阶段，这些攻击不会被当作攻击记录和报警。

这篇报告称，没有通过“TCP分离握手”安全测试的厂商正处在修复这些漏洞的不同阶段。

思科据说目前正在与NSS实验室合作解决这个问题并且将在产生结果之后立即提供一些建议。