不妥协的网络安全-《网络世界》评测实验室下一代防火墙比较测试

2013-12-12 |  作者:岑义涛 |  来源:独家 |  查看原文

摘要本次《网络世界》评测实验室倾力打造的下一代防火墙横向测试,旨在为大家验证在经过数年的发展之后,下一代防火墙是否能够在安全和性能之间不妥协,有效保护企业网络安全。这是《网络世界》评测实验室第二次对该类产...

本次《网络世界》评测实验室倾力打造的下一代防火墙横向测试,旨在为大家验证在经过数年的发展之后,下一代防火墙是否能够在安全和性能之间不妥协,有效保护企业网络安全。这是《网络世界》评测实验室第二次对该类产品进行测试,在去年的测试邀请中,有梭子鱼、网康、网神三家送测了各自的千兆级NGFW产品。从本次测试前期沟通上来看,万兆NGFW产品已经相当成熟,因此本次所有的参测设备均为万兆产品。

被测设备有以下四款:华为SecoSpace USG6650(v100R001)、网康NF-S380C(NGFW3.0)、Fortinet FortiGate 3240C(FortiOS 5.0)、WatchGuard XTM 1520(Fireware 11.8)。测试仪表我们使用了IXIA Breaking Point Firestorm (v3.1)。

本着透明公开的原则,我们在测试前向声称拥有下一代防火墙产品的厂商均发出了邀请,其中包括:Barracuda Networks、Check Point、Cisco、Dell SonicWALL、Fortinet、

Juniper、WatchGuard,以及国内的东软、绿盟、锐捷、山石网科、深信服、天融信、网康、网神等厂商,但是最终参与送测的只有Fortinet、华为、网康和WatchGuard四家。

本次测试设备所搭载的系统版本均为各厂商推出的最新版,IPS和应用识别特征库也均为最近更新版本,且均支持用户通过官方渠道直接更新。本次测试分为安全能力测试、稳定性测试、易管理性测试以及性能测试四个方面。

重点发现

经过本次测试我们发现,作为替代传统防火墙的新一代安全网关产品,已经可以满足按照定义中面对企业级市场,需要保证高稳定性、可靠性、快速、灵活的需求。由于IPS的深度集成,被测设备已经能够基本满足用户有效隔离风险和管控内外网数据流的需求,4台被测设备中只有一台的IPS检出率会被添加的逃逸手段影响。

四款产品在模拟实际场景的吞吐测试,以及开启应用识别和IPS功能之后的新建并发测试中均表现优异,几乎都可以让应用层吞吐衰减不高于50%,用户已经无须在安全与性能之间妥协。4款设备上线配置和策略添加均十分方便,其中华为USG6650提供的策略自动优化是很好的亮点,网康NF-S380C通过对多引擎日志的关联分析,实现同页面多次点击寻找问题所在的简单操作也很有意思。4款NGFW产品均能够实现细粒度的应用管控,完全符合NGFW定义中以应用为核心的安全防护与访问控制。

安全能力测试

本部分测试从4各方面对设备进行评估:策略配置、应用控制、用户控制、入侵防御。本次测试并未对Anti-Virus进行测试。对于企业用户来说,终端都安装了防病毒软件,或者在网关处会单独放置防毒墙。另外,终端中了病毒或木马,凡是意图在窃取信息或是其他需要联网的恶意操作,都会产生异常流量,应被NGFW识别出来。所以本次测试不单独对AV进行测试。

为了展现出NGFW与传统防火墙的区别,以及深度安全保护能力,本次测试重点测试了对于应用识别、阻断,有条件限定的控制和阻断能力,以及IPS的检出能力。作为APT主要手段之一,以数据包分片等为手段的反入侵检测的逃逸技术也需要在NGFW中有较好的对抗能力。

完备的基础防火墙功能

对于几款NGFW产品的安全能力测试,整个过程遵循自下而上的过程,即从基础防火墙功能开始进行测试,再对NGFW需要具备的应用识别控制,以及用户和用户组的权限访问控制,再到整合的入侵防御功能。

基础防火墙功能考察从以下几方面进行:首先是基础策略,即简单路由模式,策略设为“全部允许”。其次为简单策略,即允许内网用户访问基本的互联网功能,比如网页浏览和Email处理。然后进行复杂策略配置,设定较为复杂的策略以控制内外通信数据流,比如对应用和服务进行条件限定。当然,静态、动态NAT,SYN泛洪、IP地址欺骗也是防火墙必备的基础功能。

通过对送测设备的测试,四款被测设备均能够实现基础防火墙功能。在配置上线的过程中,无论是设备初始化,还是对设备进行路由配置,包括透明桥模式和NAT模式切换,都能够快速完成。另笔者比较满意的是,每款被测设备都拥有“配置导航”功能,不但拥有图文配置介绍,还能够提供不同需求的策略模板,比如实现基础网络连通的无策略路由模式,类似于阻断常见威胁的“高级模式”等等。这样的功能可以让没有网络设备配置基础的管理员也能够快速配置上线NGFW,而对于资深用户来说,大家也可以用CLI命令行模式进行配置,只不过由于版权问题,每家的命令都多少有些区别,对于习惯了某家厂商命令行的用户可能还是有些不便。

精准的应用控制

通过研究Gartner和NSS Labs对于下一代防火墙的定义发现,NGFW除了要具备完善的基础防火墙功能以外,还必须要具备应用识别和控制、用户及用户组控制的能力,不论是基于DPI、DSI还是会话关联检测技术,防火墙要能够通过策略配置进行应用、服务的识别、控制(行为限定)和阻断。

通过利用IXIA Breaking Point FireStorm测试仪表,我们模拟了P2P下载类应用、文件传输类应用、即时通讯类应用(包含VoIP)这三大常用应用集。再通过现实终端进行实际操作测试,以检查送测NGFW产品对于应用深度识别的能力。从而完成对被测NGFW设备的应用完全阻断测试和有条件阻断和控制测试。

表1:应用识别与阻断测试结果

我们对即时通信软件(包括VoIP类)、P2P下载和文件传输/共享类应用通过测试仪表进行了测试,通过观察测试仪表的测试过程以及输出报表的内容,我们发现华为和WatchGuard的被测设备仍然可以让Skype应用进行会话新建,而Fortinet和网康可以对该应用进行完全阻断。

起初我们认为是被测设备不能对Skype应用进行阻断限制。但是在后来的有条件阻断和控制测试中(比如在Gmail中阻断内嵌的VoIP和即时通信功能),验证了华为和WatchGuard的设备并不是不能阻断,而是实现阻断的机制不一样,所以才有在测试仪上的结果。在实际流量测试时,我们将一台PC通过被测设备连接到互联网,另一台设备直接连接到互联网,两台设备互相发起QQ、Skype、Gtalk的请求。

经测试,在允许登录的情况下,四款被测设备均能分别阻断QQ传文件、QQ语音、QQ视频、Skype语音、Skype视频、Skype文字。对于Gtalk的测试, 我们选择了以网页Gmail为载体,内嵌的Gtalk视频、Gtalk文字聊天进行测试。被测设备也能成功阻断即时通讯功能而保持Email功能的正常工作,展现了作为下一代防火墙产品应有的细粒度应用识别和控制能力。

对于华为和WatchGuard的NGFW产品,我们在实际测试Skype深层应用控制的时候发现,虽然双方的Skype客户端显示正在通信,但是并无法收到各自发出的语音及文本,证明是能够成功阻断的。这也解释了虽然被测设备的策略禁止了Skype的通信,但是测试仪表仍然显示Skype能够成功发起会话连接的情况。造成这种情况的原因应该是由于针对应用识别和控制机制的实现并不是一般的对报文进行解析,然后阻断,而是保持会话能够成功建立,但是一直监测会话内的数据流是否属于策略禁止的,如果是则对数据包进行丢弃处理。

最后,对于带宽杀手,P2P类应用,不论是下载客户端(迅雷、电驴等等),还是支持在线播放的影音播放器(迅雷看看、PPS、PPTV等等),还有视频网站播放页内嵌的流媒体(优酷、爱奇艺、土豆等等),都分别进行了测试,结果均可成功阻断,而且各家也均可对下载进行流量控制的操作,为下载配置固定带宽。华为的USG6650产品还可以支持多链路接入,并且对多链路进行负载均衡操作,但是功能仅限于对链路带宽的分配,并不能基于应用做导流。

入侵防御

在网络安全体系结构中,防火墙充当主动控制和防御的角色,即需要阻止除明确允许的流量以外的所有流量,是所谓的白名单策略。而整合的IPS则扮演着被动防御的角色,即允许除IPS明确拒绝的流量以外的所有流量,是所谓的黑名单策略。二者相辅相成,共同构成NGFW强大安全能力的重要组成部分。IPS通过对数据包、会话内容进行基于特征库等已知知识库的判定,被测设备要能对恶意流量进行正确阻断。并且能够做到基本的防逃逸,比如协议模糊、IP 数据包分片、HTTP分片、RPC分片、URL混淆、NETBIOS和FTP逃逸等等。

在本次测试中,被测设备的IPS特征库均从设备上进行联机更新,保证特征库的公开性,与用户所采用的最新特征库是一样的。IPS策略配置为匹配命中则阻断或丢包处理,在进行入侵防御测试时,被测设备要能够持续进行日志记录以及恶意流量阻断。此外,在进行威胁防护的时候,要能够准确识别正常流量,并允许该合法流量通过。因此在测试时会在测试IPS的恶意流量中混入符合规则的合法应用流量以对设备进行测试。

IPS测试中,我们依然选择IXIA Breaking Point 仪表进行测试,攻击样本则采用默认的Strike Level 1样本集,该样本集是IXIA通过对于网络流量中的威胁进行分析之后取出的最常出现的183种攻击样本,截止到11月份这份样本集仍然是最新的。

在测试过这个样本集之后,我们又在这个样本集之上添加了一些逃避手段,以测试被测设备的IPS模块是否能够从容面对众多逃逸手段。TCP/IP协议允许对大的数据包进行分片传送,每个分片都带有偏移量值与长度,接受方按照偏移量值重新组装。由于大部分的安全设备都是基于unix/Linux的,一般是先到为准,而Windows则是后到为准。因此若是以Windows为攻击目标,只要有意识地制造分片重叠,安全设备上还原的是随机内容,而正确的恶意代码在背后的Windows上可完整还原,这样就达到躲避IPS检测的目的了。

因此我们采用常用的IP 数据包分片、HTTP分片、RPC分片、URL混淆、NETBIOS和FTP逃逸等等手法添加到攻击样本上,再次测试被测NGFW的IPS攻击检出能力。以下则是测试结果:

表2:入侵防御与带逃避手段的入侵防御能力检测结果

从测试结果可以看出,华为USG6650在IPS检测和带有逃逸手段的IPS测试中表现最为优异,Fortinet FortiGate 3240C和网康NF-S380C以微弱劣势紧随其后。在对攻击样本加入逃逸手段之后,这三款产品仍然能够达到与之前一样的检出率。

稳定性测试

对于串行在网络中的网关设备来说,稳定性至关重要,防火墙一旦出现问题将导致网络的瘫痪。本项测试重点考察被测设备在进行攻击防御过程中的安全能力。我们检查了在有压力的情况下是否会由于产品自身问题产生拒绝异常流量的同时拒绝合法流量的情况。被测设备能够100%阻止此前在IPS测试中成功阻止的恶意样本,并且可以给出告警。如果被测设备不能阻止可识别的恶意流量,那么本项测试结果为失败。被测设备在被攻击时能够对合法流量进行准确识别和转发。如果大量合法流量(超过50%)在被测设备阻止恶意流量时也被阻止,那么此项测试结果为失败。当并发会话达到50%时,被测设备要能够准确识别和阻止违反策略配置的流量。当并发会话达到50%时,被测设备要能够准确识别和转发合法流量。意外断电时,设备要能够保存此前所有的策略配置信息和日志信息。经测试,各款被测设备均能达到要求。

集中管理

企业级安全设备不同于家用路由器,配置复杂是必然的。而且设备启用的安全功能越多,配置就会越复杂,然而,设备提供商却需要在安全性和易用性之间寻找一个平衡,不能让设备配置过于复杂,否则将不能发挥出应有的功效。本次测试对被测设备的可管理性、配置操作进行易用性评估。

所有被测设备均满足测试项所要求的功能。但是在展现方式上却各有不同,有好处有缺点。下面就让我们一起来看一下各家厂商在这方面的实现如何。

基础操作

从界面上来看,Fortinet和WatchGuard的产品主要操作菜单在界面的左边,辅助操作在界面顶部,而华为和网康的产品则主要操作菜单在界面顶部,左边为辅助功能和子功能。

在主监控界面上,被测设备均能以模块化方式呈现设备信息(型号、系统版本、序列号运行时间等等)、实时设备和流量状态(VPN、CPU、内存)、IP排名、目的端口排名、TOP应用等等信息,WatchGuard XTM1520还能在面板上直接检测到TOP策略,按命中数对策略进行排名,这个功能在华为USG6650上也有,但是不在主面板上,是另一个SmartPolicy功能。

通过对上线及策略配置的体验,由于都有基础策略模板,所有只需要对网络接口设定IP,即可完成4款设备快速部署上线的工作,并且在主监控面板上能够观察到基本所要监控的信息。在高级策略方面,对于应用控制策略也都能让笔者做到较好的体验和快速部署。由于厂商不同,导致了每款设备的应用分类都不太一样,所以对于笔者来说基于惯性思维并不能很好的地位到想要找的应用。还好各款产品都有查询功能,只要输入想要查询的应用关键词,比如“QQ”,设备就都能返回应用库中凡是与QQ有关的所有应用,用户只需在返回结果中选择需要的应用,将其添加到之前创建好的规则中即可。

报表、日志与异常输出

对于一台防火墙来说,直观的报表、整合的日志、有效的异常输出都能在很大程度上帮助用户解决网络安全问题。因此,我们又对4款产品进行了上述方面的简单测试。

四款产品在各自主面板上的不同监视器模块之间(+微信networkworldweixin),均可由用户根据自己想要监视的信息的重要程度自行安排位置顺序。也可选择那些在主面板监控,而那些不监控,毕竟要在面板上直接显示很多的实时监测数据会消耗一些CPU性能。

报表方面,网康NF-S380C在主界面上有一个“色块”显示的流量比例情况,可以是基于应用等等,网络中流量较大的协议则该色块最大,以此类推,这样的展现形式比柱状图要好一些,可以让用户的目光更聚焦。XTM1520也有类似的功能,不过是在另一个叫FireWatch的面板中,源IP、目的IP、应用、接口等等这些可以色块监视的内容是按标签布置的,而网康则是通过下拉菜单实现的,USG6650则没有这样的展示,他们一部分集成到了后面会提到的流量地图中,一部分隐藏到了Smart Policy中来直接帮助用户精简策略。

图示:网康流量色块示例

而这些色块的功能还不仅限于此,当鼠标悬浮在一个色块上的时候,会显示占用带宽、连接数、总传输数据、连接时间等信息,并且可以选择断开这个连接或者阻断这个连接一段时间。同时,也可以专门查看都有哪些连接等信息。在FortiGate 3240C中没有发现这样的功能。

可视化与关联分析

可视化和关联分析是NGFW产品很重要的特点,让我们来看看这几款产品实现程度如何。从NF-S380C和USG6650的流量报表中可以很清晰的看出一段时间内网络中的Top应用,并且可以根据每一个应用,在现有报表的基础上进一步下钻,来查看这个应用来自于哪些源IP、目的IP和用户,进而根据这些信息制定基于应用和用户的访问控制策略。可以在对安全事件进行溯源时,提供很全面的日志集成关联功能,当一个连接建立,日志模块会自动挖掘与该连接有关的所有事件,并按照先后顺序在同一页面中呈现出来。

我们还体验了USG6650的流量地图和威胁地图。流量地图能够以地图的形式展示流量和威胁发生的地理位置,当威胁发生时,通过图形(表示流量的圆形面积,表示攻击的颜色)可以很容易的发现流量和威胁发生巨大变化。例如:访问企业的流量通常来自于国内,突然有一天发现来自美国的流量激增(圆面积明显变大),就有理由怀疑有人借用来自美国的僵尸主机发起了攻击。在流量地图中进一步下钻,观察发起这些流量的源、目的IP、使用的应用类型,就能比较准确的判断是否真的有攻击发生。如果发生了攻击,可以简单地基于位置(国家、美国到州、国内到城市)部署访问控制策略及安全防护策略。

NF-S380C也支持类似功能,将所有的IP地址均赋予国家和地区的地理属性,可以根据IP地址所属的地域统计出连接的具体方位,这对于管理者分析异常行为、发现异常流量同样有着积极的促进作用,而XTM1520和FortiGate 33240C则需要与对应的日志服务器和FortiAnalyser配合才能够实现上述功能。

今年4月份曾有调研公司披露数据表示用户抱怨策略复杂度高,条目多的问题。在测试中发现,4款被测设备均具有统计策略命中的功能,但是只有USG6650通过智能策略优化功能帮助用户在防火墙的指引下进行策略精简。

FortiGate 3240C则有一个用户信誉的功能,开启用户信誉跟踪后系统将自动开启所有策略的流量日志。然后可以根据每个用户的具体分数进行重点控制,比如应用控制、Web过滤等等。这也是一种实现帮助用户针对性进行策略配置的方式。

图示:Fortinet用户信誉示例

差异特色

WatchGuard XTM 1520和Fortinet FortiGate 3240C还有两个共有的特色,首先就是NGFW集成了无线控制器模块,能够在控制界面中清晰地看到在线AP和离线AP数量,以及每一个连接到这台NGFW的AP状态信息,包括接入在AP上的终端信息,能够直接对接入设备进行与有线接入设备一样的应用管理和安全保护。

另外一个功能就是这两款产品,或者两家厂商的NGFW不仅支持“一虚多”的防火墙虚拟化,同时还都支持虚拟化版防火墙,能够以虚拟机的形式安装到服务器中。反观网康NF-S38C和华为USG6650不具有这样的功能。

华为USG6650相比其他产品则具备更多功能,比如Web安全防护、漏洞扫描、防治恶意端口扫描、多链路负载均衡等等。此外,传统的VPN网络中,分支间的IPSec VPN通讯均要跨越中心节点,由中心节点对分支间的流量进行加解密和转发。这将耗费中心节点资源并引入延时,降低VPN服务质量。华为USG6650具备动态智能VPN(DSVPN,Dynamic Smart VPN )特性,能够在分支间建立起直接通信的IPSec隧道,减少中间环节消除了对中心节点的无谓资源消耗,从而提升了IPSec VPN 的QoS。

网康NF-S380C在日志中单独设有一项僵尸网络日志。可根据僵尸主机的常见行为特征判别网络中可疑的僵尸行为,当僵尸主机频繁访问恶意网址、动态域名、执行扫描探查或DDoS攻击,设备可以自动的将可疑用户、IP在日志界面中呈现出来,并根据对特征的符合程度提供“置信值”,帮助管理者分析并加以干预。

由于这些功能不是本次测试重点,便不再赘述。有兴趣的读者可以自行了解。

性能

防火墙本身不能成为网络瓶颈,或是说在进行深度数据包检测(或执行其他安全功能)时不能成为网络瓶颈。性能考核测试了设备在防火墙加应用感知情况下的新建、并发,和在此基础上再开启IPS检查的新建、并发,测试均在10%带宽背景流的情况下进行测试。

对于下一代防火墙来说,应用识别功能是默认开启的,而且为了尽量贴近真实场景,单一负载大小和协议的传统性能测试方法未被采用。我们采用了IXIA Breaking Point FireStorm One 测试仪表中的混合流量场景来作为模拟现实环境的应用层性能测试场景,在众多场景中我们选择了比较有代表性的三个场景,即高校教育场景、企业数据中心场景和企业内网场景,被测设备均在开启应用识别和IPS的情况下分别对三个场景进行应用层吞吐性能测试。一下则是性能测试数据表:

表3:性能测试数据总表

注:

1. 本次测试TCP新建和并发都是带有512字节HTTP payload情况下测出的数值。

2. 64、512、1518字节吞吐量测试遵循RFC2544测试标准。

下面,我们就四款产品的每项测试指标进行一下分析:

UDP吞吐量

在测试中,我们采用一对万兆光纤接口打单向流量,所以对于吞吐量来说,最大值为10Gbps。在遵循RFC2544的纯UDP网络层吞吐量测试中,各家产品表现各有千秋。

图2:UDP吞吐性能测试结果

由上图可以看出,FortiGate 3240C在三种长度数据包长的吞吐量测试中都达到了接近10Gbps线速的水平。其次则是网康NF-S380C,虽然在64字节小包的测试中只有2.5Gbps,但是在512和1518字节吞吐的测试中都达到了线速水平。华为USG6650虽然在这两种包长的测试中没有达到线速,但是也拥有9Gbps以上的吞吐能力,而且在64字节小包的吞吐量也是网康产品的近两倍。WatchGuard XTM 1520的UDP吞吐量随着数据包大小的增加呈现明显的上升趋势,而且在数据包达到1518字节的时候这款产品也成功达到了线速。

时延

从表3性能测试数据表可以看到,FortiGate 3240C表现最为优异,不论是哪种包长,时延都没有超过10us,而且在64字节包长的时延只有不到4us,这样的数据包转发性能完全胜任任何对时延要求严苛的应用场景。其次便是华为USG6650,三种包长的转发时延递增情况与FortiGate 3240C很相似,数据包大小对于转发的时延影响不明显,只以3us递增。网康NF-S380C与WatchGuard XTM 1520虽然同为X86架构的防火墙,但是在转发时延的测试中表现却大不相同。XTM 1520在64字节小包转发时延很大,达到了44.18us,512字节与1518字节数据包的转发时延分别为10.65us和14.38us,在这两种包长的转发时延表现也好于华为USG6650。而网康NF-S380C在64字节转发延迟只有6.4us,512字节转发延迟则有17us,1518字节的转发延迟更是飙升到了147us。

新建和并发连接

对于下一代防火墙来说,应用识别功能是默认开启的,因此在测试新建和并发连接的时候我们选择了两种模式,一种是防火墙+应用识别的基础模式,另一种是在此基础上开启IPS识别的高级模式。也许还有很多厂家的产品,包括被测设备在内,都还有很多其他的功能,但是我们只对Gartner对于NGFW产品定义的基础功能进行最低限度的性能测试。

图3:每秒新建测试结果与产品标称数值比较

图4:并发连接数测试结果与产品标称数值比较

由于产品定位和厂商自定义功能的区别,很难找到吞吐、新建、并发等性能参数完全相同的产品,因此直接对比各款不同厂家设备间的“差距”也略显唐突。因此我们选择了“自己比自己”的比较方法,即用实测的数据与各产品参数表标称的数值进行对比,观察衰减情况。

有上两图可以看出,4款产品中有3款产品的并发数定在了1000万,但是每秒新建数量差距很大,为什么即使同样都是万兆产品在新建和并发上有这样的区别呢?我们认为产品定位是一方面,产品的硬件架构也在其中起到了一定的作用。让我们来看一看4款被测设备各自的硬件架构:Fortinet采用X86做主控芯片,同时负责会话新建和并发,再用ASIC做内容过滤,NP做网络层转发的架构;WatchGuard与网康都是采用基于X86的英特尔CPU,负责全部功能的实现;华为则采用了MIPS多核架构实现全部功能。MIPS和英特尔CPU都是在新建和并发能力方面有卓越表现的处理器,而MIPS又强于英特尔CPU。

对于采用英特尔CPU负责会话新建和并发的3款产品,各自的数值也大相径庭的原因,是由于CPU型号的不同导致的。XTM 1520在产品定位上低于NF-S380C,因此要实现更强大的功能和性能,NF-S380C使用的英特尔CPU比XTM 1520更好也不足为奇。另一方面,FortiGate 3240C由于是采用混合架构,应该在CPU选择上会平衡产品成本与售价,因此可能不会用前两款产品那样高性能的CPU。

如上图所示,紫色为各家送测设备标称的每秒新建连接数和并发连接,红色是基于应用识别和防火墙功能的实测数值,黄色则为再开启IPS功能之后的数值。从整体测试结果可以看出,当深度文件识别类功能开启后(如IPS等)会对应用层新建连接速率处理性能造成较大影响,而各被测设备的并发连接数均能达到或接近厂商标称的数值。因此,深度识别与架构的不同带来了各家厂商在会话新建和并发测试中衰减的不同。虽然各有衰减,但是按照我们的经验看来,还是足以满足使用需求的。

“实际场景”吞吐量

图5:模拟“实际场景”吞吐量测试结果

截至目前,国内尚未有NGFW产品的测试标准,据我们的交流经验了解到,对于NGFW吞吐量的测试普遍采用RFC2544的UDP网络层吞吐量,配合开启应用识别、IPS等功能之后,对特定大小HTTP页面(比如32KB,64KB等等)分别进行测试。但是在实际应用环境中,充斥着各种大小的数据包,以及各种不同的协议。因此使用上述方法对下一代防火墙进行应用层吞吐量测试并不能达到我们测试尽可能模拟实际场景的目标。

因此,我们选择了IXIA Breaking Point 测试仪来模拟“实际场景”的流量模型,对被测设备进行应用层吞吐量测试。这款测试仪自带很多场景模型,这些流量模型都是通过对实际场景流量研究分析抽象出的模板。我们选择了NGFW现阶段最有可能部署到的3个场景,即高校、企业、企业数据中心。其中高校场景中主要包括P2P下载、HTTP、DNS、FTP、和即时通讯类协议;企业环境则主要包括FTP、DNS、SMTP、即时通讯、SSH类协议;企业数据中心场景主要包括一些企业办公相关的数据库应用协议,比如Oracle、MySQL等,以及虚拟化类应用协议比如Citrix,以及SMTP、FTP、NetBIOS等等。

综合来看,华为USG6650表现较为优秀,三个场景中的吞吐量相差无几,而且均达到了单向6Gbps以上的吞吐量,性能衰减只有不到40%。另外WatchGuard XTM1520虽然吞吐性能衰减比USG6650稍多,但是在面对三个不同场景的时候性能并未受到影响。由于硬件架构和流量模型的原因,FortiGate 3240C在企业场景中表现优异,达到了8Gbps的处理能力,其他两个场景也达到了5Gbps左右。网康NF-S380C虽然面对高校场景略显乏力,只有4Gbps多的处理能力,但是企业和企业数据中心场景的应用层处理能力均超过了6Gbps,表现抢眼。

虽然各款产品设计架构有所区别,在开启应用识别功能后性能出现不同程度的衰减,但是都能满足日常应用环境的需要。对于一般500人以内的企业来说,出口带宽一般在50Mbps左右,上百兆的很少。而千人规模的企业和一些高校可能会有千兆出口的需求。因此,以测试出的性能衰减程度来看,是能够满足用户正常需求而又不用出现采购万兆安全网关来满足自己千兆网络的安全需求。

结束语

至此,本次《网络世界》评测实验室所做的下一代防火墙横向测试结束,感谢被测设备提供厂商与IXIA对被测NGFW产品与测试仪表的大力支持。

通过我们的测试可以看出,被测下一代防火墙产品在基础防火墙功能、应用识别、入侵防护、稳定性方面均表现优异,性能方面也基本衰减不超过50%,基本做到了让用户无需妥协网络安全保护与性能的需求。

多功能模块间的关联分析,深度威胁信息钻取,可以通过IP、用户等相关网络信息对威胁发起目地地址进行统计并列表分析,让用户不再被动防御,帮助用户主动出击,使我们的网络更安全,使我们的应用有保障。

相关文章