解惑下一代防火墙

2012-12-04 |  作者:《网络世界》评测实验室 董培欣 |  来源:互联网 |  查看原文

摘要下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的,我们对下一代防火墙有了更深入的了解,同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲,下一代防火...

解惑下一代防火墙

——《网络世界》下一代防火墙产品测试分析报告

《网络世界》评测实验室 董培欣

相关阅读:

滚动着泡沫的沸水 理性看待下一代防火墙

前言:下一代防火墙方兴未艾

随着下一代防火墙概今的提出,目前很多国内外的安全厂商竞相推出自己的下一代防火墙产品。为了解国内下一代防火墙产品发展的最新动向,《网络世界》评测实验室分别向梭子鱼、Check Point、思科、Dell SonicWALL、Fortinet、华为、H3C、杭州迪普、Juniper、绿盟、PaloAlto、启明星辰、深信服、山石网科、天融信、网康、网神(厂商按字母排序,不分先后)等十几家国内外网络安全厂商发出了下一代防火墙产品公开对比评测的邀请。然而反回的结果确由衷的令人感到失望。国外厂商中除梭子鱼外,均无法在国内提供相关的测试产品,国内有的安全厂商虽然在大力进行产品宣传,但实际产品还未真正成熟。最终仅有梭子鱼、网康、网神三家产品送测,并且在合作伙伴的协助下,对PaloAlto下一代防火墙功能进行了深入了解。由此可见,下一代防火墙这种全新的网络应用防护技术在国内的大部分厂商中广泛应用依然尚待时日。因此我们转变了公开对比评测的角度,对这几家厂商的下一代防火墙产品进行了深入的技术分析。

那么下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的,我们对下一代防火墙有了更深入的了解,同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲,下一代防火墙虽然方兴未艾,但依然不能否定其技术的先进性。尤其是在其对网络应用及应用威胁的深度解析处理上,有着很广泛的发展前景。因此我们期望,经过一段时间的发展之后,下一代防火墙技术可以真正的蓬勃发展,为网络用户提供更加全面的网络安全服务。

惑生——下一代防火墙

自从Gartner推出下一个防火墙定义之后,各大安全厂商积极响应,均在极力的宣传自身的下一代防火墙产品。那么下一代防火墙具备了什么神奇的功能,可以今众多网络安全厂商竞相追捧呢?在对下一代防火墙产品进行深入了解之前,作者心中始终存有疑问:什么是下一代防火墙?什么样的产品才可能称得上是下一代的防火墙产品?

近年来,在作者对网关安全产品的间接接触与实际了解中发现:无论是防火墙、IPS还是功能集成度更高的UTM产品,在功能设计时,或多或少都加入一些应用层管理控制功能,并且随着网络安全设备应用层处理能力的飞速提升,不同安全功能模块同时开启后对网络应用性能的影响也在急速减少,很多UTM产品在开启所有安全功能后,也并未对其网络处理性能产生过高的影响。至于应用识别的可视性,在许多上网行为管理以及流量管理产品中这已经是比较成熟的功能了,在网关安全产品中加入此类管理功能的安全产品目前也十分常见。难道说所谓下一代防火墙就是一个集成度更高的UTM吗?!

基于上面安全产品的分析,不由始人产生一种疑惑,下一代防火墙的先进性究竟在哪里?难道说“下一代”仅是Gartner的一种市场宣传手段吗?为此《网络世界》评测实验室展开了本次下一代防火墙技术公开对比评测活动。希望可以通过对不同厂商下一代防火墙产品的技术分析,更深入的了解下一代防火墙到底可以为用户带来什么样的新安全体验。

惑起——网络安全

为了对下一代防火墙产品有一个正确的评估,我们首先需要将下一代防火墙产品在网络安全中进行一个准确定位。从而进一步分析下一代防火墙产品可以解决用户哪些方面的网络安全问题。然而在进行这方面的工作时,却让我们产生出了更多的困惑,主要体现在以下三个方面:

惑一:网络安全定义与产品功能的迷茫

首先,我们试着从网络安全定义的角度去对下一代防火墙的功能特点进行分析。但在分析过程中却发现网络安全定义的概念与下一代防火墙所定义的功能特点很难进行匹配。

从网络安全的定义中我们了解到:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全本质上来讲是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

然而在目前已知的下一代防火墙功能定义中,仅把下一代防火墙定义成具备第一代防火墙功能、具有集成式网络入侵防御能力、业务识别的应用可视性以及智能联动功能。

我们试着将网络安全的定义与下一代防火墙的功能定义进行对比分析,可是发现网络安全定义比较宽泛,很难与下一代防火墙的具体功能进行匹配分析。

可是,没有一个准确的定义,我们应当如何将下一代防火墙的安全防护功能进行分析?没有理论分析的话,应用性评估就更加无从谈起了。因此,对这个问题我们决定转换一个角度,从网络安全的应用需求来对下一代防火墙产品进行分析。

惑二:网络安全的应用需求

《网络世界》评测实验室在对厂商网络安全产品测试过程中,积累了大批网络安全产品的测试经验,同时,也对网络安全产品的应用需求有了较深入的了解。通过对这些网络安全应用需求的分析,我们可以了解,当前网络安全产品主要应用于两个不同的领域:

一个是目前常见的网关安全领域,大多数应用在中小企业的网关进行部署,主要用于企业内部数据的加密传输(VPN)、企业内部对外的网络安全访问、还有一部分网络流量管理的应用需求目前也开始集成到网关安全设备之中。

另一个是网络的干路及核心的网络安全,大多部署在大型企业数据中心、电信机房主要完成一些网络内部端口管理、攻击消减等任务,但由于部署位置关键、所需处理网络流量大,因此需要产品具有很高的可靠性及很高的网络处理性能。

目前在这两种不同的网络安全部署应用中,均对网络安全应用处理能力产生了基于深度网络应用连接分析的新需求,而下一代防火墙产品是否具备足够的功能去应对这两方面的应用?为此我们心中依然充满疑虑。为此,我们进一步对当前网络安全产品的应用现状进行了分析。

惑三:网络安全产品应用现状

目前网络安全产品应用中,两极分化十分严重。有些企业用户开始一层一层的叠加网络安全设备,然而过多的网络设备叠加不但使得网络管理变得复杂,还为网络的可靠运行增加了隐患。有些企业被迫开始了不采用网络安全设备的“裸奔”,甘愿忍受网络威胁前来肆虐!

究其原因,是因为当前的网络安全产品,尤其是防火墙类网络安全产品在网络应用安全防护方面的不足所造成的。传统防火墙的针对网络端口及简单的应用分析过滤功能已无力对日益泛滥的网络应用威胁进行防护。在目前抵御日益泛滥的网络应用层威胁的时候,通常只能通过被动更新安全补丁或增加新的网络应用安全防护设备这两种手段来进行。因此传统防火墙在目前的网络安全产品中已经退化到了一种可有可无的尴尬境地。

因此,注重网络安全的用户开始被迫一层层的进行网络安全设备叠加,为网络安全的防护增加了不菲的资金投入。而另一些网络用户认为在网络安全方面没必要有如此高的投入,甚至有极端的用户居然连防火墙也不采购开始了赤裸裸的裸奔生涯。

或析

惑析:南辕北辙中的启示

叠加或裸奔这两种南辕北辙的网络安全设备应用方式,给我们了一个启示:既然用户将网络威胁的安全防护能力作为采用网络安全产品的选择标准,那我们同样也可以从网络威胁安全防护的角度来对下一代防火墙的应用功能进行评测。由此《网络世界》评测实验室正式推出了基于网络威胁安全防护的全新网络安全产品考量方式。大体上可以概括为以下三点:

一、已知威胁高性能

安全是以牺牲效率为代价进行保障的,而效率是可以通过先进技术手段进行提升的。安全而低效必然无法满足企业网络应用的需求。因此网络安全设备在应对已知威胁时必需要具备高性能的网络应用处理能力。

要想满足企业网络安全应用的正常需求,《网络世界》评测实验室目前暂定已知威胁高性能需要在以下两方面得到体现:

1、在网络安全设备各项安全功能模块分别及全部开启时的正常应用处理性能,以测试产品在正常网络应用中的处理能力。

2、在网络安全设备各项安全功能模块分别及全部开启时在处理加载网络攻击或应用阻断后的处理性能,以测试产品在对异常网络流量进行处理时是否会对正常应用造成影响;同时也可以对产品防护能力进行验证性测试。

二、未知威胁主动防御

对已知威胁的防御只是目前企业对网络安全需求的一部分,除了被动的进行网络安全防御之外,企业用户还希望可能对未知的网络安全有更加主动的防御办法。

例如Blue Coat在前一段时间推出的“负日防御”安全引擎,就是通过及时监控黑客构建的恶意网络(僵尸网络)的方法及时洞查黑客动向并进行实时追踪。当有新的零日攻击发生时,即可及时进行阻断的方法,就是一种十分先进的主动防御手段。

当然,还有许多其它的安全防护手段,如防止端口扫描、阻断木马上传以及网页防篡改等安全防护功能也可以对未知威胁起到主动的防御能力。

三、发生威胁不泄密

安全防护的手段再多,有时也难以挡住黑客那无孔不入的黑手。因此,在网络威胁已经发生的情况下,网络安全设备应该具备防止关键数据泄密的防护能力。从而保障用户核心机密的安全。

只有具备了以上三种网络安全防护能力,我们才认为这种网络安全设备可以真正实现对用户网络应用的全面安全防护。

惑明——由PaloAlto产生的转变

没有深入调查研究就没有发言权,这句话确实不假!在没有深入了解几个参测厂商的下一代防火墙之前,笔者一直认为所谓下一代防火墙只是一个网络安全概念的炒作。只是在基于新一代网络安全处理硬件上对旧有安全防护功能的一种集合。这种集合可以算得上是对目前网络安全产品的一种升级。虽然这种升级可以有效的对目前网络威胁进行可靠安全防护,但并不能算得上是跨代,下一代这个说法并不是名副其实。

在收集、整理、评测网络安全厂商所提供的下一代防火墙产品功能及应用性能数据时,我们这一观点开始了转变。最初的转变是由真正了解了PaloAlto的产品功能后开始的。令我们产生这种转变的同样是威胁,PaloAlto下一代防火墙有一个最大的技术特点,就是通过统一的应用及应用威胁分析功能模块对网络正常应用连接进行分析并管理,同时对网络威胁应用的连接进行分析处理,并把威胁应用连接进行阻断!

威胁应用连接阻断,这个功能令作者联想到了很多,网络黑客之所以能够发动大规模的拒绝服务攻击,是因为他们通过威胁应用连接控制了成千上万的电脑;黑客窃取用户信息是因为威胁应用连接对用户主机的接入。断掉了这些威胁应用连接,黑客将再无所做为!对这些威胁应用连接进行追踪,黑客将无所遁形!

如果说控制网络连接端口,对用户网络进行安全防护的是第一代防火墙,控制用户应用连接,对用户网络应用进行安全防护就当之无愧的可以称之为“下一代”防火墙了!

然而下一代防火墙的魅力还不仅限于此。由于利用统一应用及应用威胁分析功能模块对网络中的数据流进行分析,然后通过调用不同的管理功能数据库对信息进行相应管理,在应用处理效率上,自然比常规多功能网关安全产品分别利用多种功能模块进行网络及应用层分析并对威胁进行处理的方式。

以梭子鱼下一代防火墙产品的“飞扬”内核为例:在“飞扬”内核中既采用了状态防火墙技术对网络层攻击进行防护,也采用应用层的代理技术进行内容扫描,并可以利用带宽管理和VPN隧道选择。这就意味着通过一个网络管理控制引擎实现以往防火墙、IPS、带宽管理和VPN这多种网络安全防护模块的应用需求。因此在后面的网络应用性能分析中,梭子鱼表现出了令人惊异的性能体现。

同样在网康与网神的下一代防火墙中,也已经采用了同类的应用及应用威胁统一分析处理机制对网络应用数据进行统一分析后,通过一次数据包拆分,并行处理数据内容,将威胁、应用、流量已可视化、智能化体现给用户,使用户能够快速定位问题因此,下一代防火墙不仅具备高性能、高稳定性,同时具备较强的安全防御能力与内网自动化管理功能。只不过各厂商产品在功能的细微处的处理方面还有所不同而已。

惑媚——下一代防火墙功能分析

那么下一代防火墙是否可以更加有效的对网络应用威胁进行安全防护呢?为此我们通过前面总结出的网络威胁三方面安全防护能力,对PaloAlto的下一代防火墙功能进行了分析。由于在本次横向评测中,始终未协调到PaloAlto防火墙进行应用性能评测,只能在友好协作厂商的协助下,对PaloAlto的产品功能做了一次较细致的评估。

已知威胁

在对PaloAlto下一代防火墙功能评估中我们了解到,PaloAlto在下一代防火墙的功能设计中,通过对用户网络应用连接的深度分析这一种功能模块,即可实现用户认证、正常应用网络连接、应用流量的管理控制,同时还可以实现对网络威胁连接及异常流量分析阻断。

由此可知,PaloAlto下一代防火墙成功的通过一个网络应用处理功能模块,将通常传统防火墙或多功能安全网关中有关用户认证、应用流量管理、IPS乃至于DDoS攻击防护等多种功能模块统一的融合在了一起。

图1:PaloAlto应用威胁统计界面

很明显,通过一个网络应用处理模块对多种安全防护功能统一处理,在网络应用处理效率上,会优于目前常见的多功能网关采用多种不同安全防护模块协调处理的方式。这种优势自然可以给PaloAlto下一代防火墙带来已知威胁高性能的处理能力。

未知威胁

网络威胁无孔不入,时刻都有新的网络漏洞被发现被利用!对于下一代防火墙来讲对网络中的未知威胁是否同样也是无力抵抗呢?在对PaloAlto下一代防火墙的功能调研中未发现类似Blue Coat“负日防御”之类的主动防御功能存在,不过在我们接触到的另一款下一代防火墙产品——网康下一代防火墙中,已经加入了基于云的URL过滤功能,这种功能与“负日防御”有异曲同工之效,同样可以积极主动的对未知威胁进行安全防护。并且在PaloAlto下一代防火墙的网络应用连接分析这一功能也可以对存在威胁的网络连接进行终断。因此可以在黑客进行攻击初期的端口扫描阶段就将扫描连接请求终断、在即便木马已通过新的漏洞成功上传,由于大部分木马应用连接特征已被加入下一代防火墙的威胁连接特征库,因此木马的控制连接也无法建立,从而实现了主动防御的目的。

图2:PaloAlto统计详细内容界面

此外PaloAlto下一代防火墙看采用的应用及应用威胁“可视化”监控统计界面也可以时实向用户展示出当前网络中各种应用的使用状况,使用户可及时查觉网络中的异常情况。

图3:PaloAlto统计界面

发生威胁

然而总会有网络威胁会通过种种手段绕过防火墙的围困。当这个时候,我们是否就只能任凭黑客为所欲为?原本我们也认为PaloAlto的下一代防火墙确实无力对这种情况进行应对。然而在对PaloAlto的策略配置分析时,我们找到了对发生威胁的防护手段。

图4:PaloAlto策略配置

PaloAlto下一代防火墙的策略设置中,可以对源、目的、用户、应用、服务、动作进行限制。因此,在策略设置严密的下一代防火墙面前,即便黑客成功的用未知漏洞或其他手段攻入了用户网络,也会因为缺乏相应的控制权限而止步于此。从而确保了在发生威胁时网络核心数据的安全。

通过以上分析我们可以了解,PaloAlto下一代防火墙从网络应用角度上讲,确实可以为我们提供比较全面的网络安全防护功能。然而网络安全防护功能好不好用、管不管用,看厂商的技术水平;恰当的应用、发挥出全部的防护功能,还要看用户如何去正确使用。当然有时需要厂商的大加技术支持,这就是考验厂商技术服务实力的时候了。

惑评-功能

惑评——功能篇

我们对网神、梭子鱼与网康的三款下一代防火墙进行了更深一步的功能性对比。在功能性对比过程中,我们从已知应用处理、已知威胁处理、未知威胁处理和日志及报表这几个方面,对下一代防火墙产品的功能性进行了一次总结。通过功能性的对比,我们可以清楚的了解产品在应用及应用威胁方面的处理能力。(具体对比结果参见表1)

表1:下一代防火墙功能对比

通过功能对比我们可以发现,在对已知应用及已知威胁处理能力上,各款下一代防火墙产品功能基本相近,均可以实现应用及应用威胁深度分析及处理。在针对未知威胁主动防御的防护处理方面,除网康以外基本上都仅有基于云的URL过滤方式进行防御这一种方式。因此对新型网络攻击的抵御能力尚有待加强。对于已发生威胁,各款产品均可以通过日志报表或流量统计的形式发现问题并及时上报进行处理。综合来讲,目前送测的各款下一代防火墙产品均可以为用户提供较为出色的网络应用管理及应用安全防护功能。但是下一代防火墙产品在基于网络应用连接分析处理方面还有很大的潜力可以进行挖掘,通过对网络应用的深度分析,还可以更好的对未知网络威胁进行更加全面的防护。希望今后可以有更加全面的安全防护新功能在产品展现。

为了便于分析比较,我们对下一代防火墙与当前的多功能安全网关也进行一个简单的差异性功能比较。(具体内容参见表2)

通过功能分析对比我们可以了解,下一代防火墙与多功能安全网关本质区别就在于对网络应用的处理机质上面。通过统一的网络应用分析引擎,对网络应用进行分析,然后调用不同数据库对信息进行对比的是下一代防火墙;而分别利用不同分析引擎对网络应用进行处理的是多功能安全网关。同时,我们对这两种网络应用处理技术的优势与不足进行了简单的分析,也产生了少许对下一代防火墙应用处理能力的忧虑。但我们相信这些忧虑会在下一代防火墙并行应用处理技术的深入发展中很快烟消云散的,下一代防火墙的明天将会更加美好。

惑评-性能

惑评——性能篇

下一代防火墙将网络安全防御从网络层提升到了应用层面,因此仅对产品网络层处理性能进行评测已无法全面对下一代防火墙产品进行评估。然而在对产品应用层处理性能的评测中还有着很多的指标未确定的现象存在。新建连接、应用流量、并发连接这些网络应用性能的关键测试指标应该如何去正确评估?也是本次下一代防火墙公开对比评测中,需要进行调研的重点项目。让我们再开启对网络应用性能的破惑之旅吧。

本测试中,我们通过思博伦公司的Avalanche 3100测试仪表,对厂商送测的下一代防火墙产品进行了一次较深入的应用处理性能分析。(测试拓扑参见图5)

图5:下一代防火墙网络应用测试拓扑

新建连接

新建连接速率是网络设备在应用层接受网络应用连接请求时的处理速率。此项测试结果越高,在实际应用中,网络产品对用户应用连接请求的处理性能就会越强。然而,新建连接速率与网络层数据包转发速率不同,在网络层由于数据包大小有限(64Byte-1518Byte),数据包转发速率有恒定的数值可以进行评估,达到限速后成绩不会再做提升。

而新建连接速率并非如此,在应用层中传输文件的大小基本不受限制,小到单个字节大到成百上千G的文件均可以进行传输。在相同网络带宽条件下,请求访问的文件越大,受网络带宽的影响,新建连接的性能指标就越低。为了测试出产品最大新建处理性能,在评测中通常会采用64Byte或1Byte大小文件进行新建连接速率的测试。如此测试出来的新建连接处理性能虽然会很高,但这种情况在实际网络应用中是基本无法见到的。有些IPS设备还会将这种情况定义为HTTP Flood攻击。

然而就是这样一种虚高的网络应用层测试指标,在一段时期内,居然被一些网络设备厂商竞相追逐攀比。新建连接速率的技术指标是否越高越好?低指标是否就代表着低性能?在应用层上应该如何正确对网络安全产品进行评估?这也是本次下一代防火墙公开比较测试想要了解的主要问题之一。

在了解本次公开比较测试的目的和需求之后,网神信息技术(北京)股份有限公司(以下简称“网神”)和梭子鱼网络(以下简称“梭子鱼”)为我们提供了相应的两款最高性能可达千兆级的防火墙,IPS吞吐量超过400兆网关安全产品,极大的支持了本次评测的顺利进行。

网神与梭子鱼所提供的产品分别具有自身的特色:

图6:网神SecGate 3600 NSG下一代防火墙

网神提供的SecGate 3600 NSG下一代防火墙产品(以下简称“网神NSG”)具备很强的应用稳定性,即使开启多个应用层防护模块下设备仍然能够正常运行,同时性能下降也不超过15%。不仅如此,网神经过多年传统防火墙的技术积累,以及市场需求的摸索,在下一代防火墙研发中体现了自己的见解和发展方向。本次评测中将以超过其最大应用处理性能的方式对其网络应用处理情况进行测试。

图7:梭子鱼Barracuda NG Firewall F400

梭子鱼提供的Barracuda NG Firewall F400(以下简称“梭子鱼F400”)已是一款较成熟的产品,具备很强的应用处理性能,在测试中,我们在厂商技术人员的配合下,将其处理性能提升到了极致,考查在过高网络应处理性能时可能出现的问题。

在评测过程中,我们采用思博伦公司的Avalanche 3100测试仪表模拟64Byte大小网页文件对这两款产品的防火墙应用处理性能、防火墙+URL阻断处理性能、IPS处理性能、IPS+DDoS防护处理性能、以及防病毒和防病毒+eicar病毒验证代码这六项应用处理能力进行了评测。

由于在防火墙应用处理性能和防火墙+URL阻断处理性能测试中,两款产品表现均十分稳定,正常HTTP连接建立正常,URL阻断连接响应及时,因此在这里就不在进行过多的分析。下面主要分析了两款产品在IPS及防病毒功能应用时所出现的网络应用问题:

网神NSG

本次网神受邀测试并提供一款低端产品,在即便是开启防火墙功能模块+APP+IPS等模块的情况下,其新建连接的应用处理能力可以稳定的保持在4000新建连接/秒左右。这为我们研究在低新建连接应用性能下的产品性能分析提供了不少的便利条件。

网神在送测产品时对我们说,这款低端产品虽然处理性能较低但有很强的稳定性和易用性。起初我们对这段话还没有很深的了解,低性能就会稳定吗?这似乎有背于我们平时应用性能测试的常理。当我们将网神NSG开启IPS、防毒墙、APP应用识别功能模块后的测试成绩对他们的话进行了验证。在4000新建连接/秒的应用连接请求下,网神NSG下一代防火墙保持着CPU利用率维持在20%以内,多核相互之间调度以及利用率相对平均,测试曲线十分平稳。

在对网神NSG的IPS功能进行测试的时候,我们刻意将测试仪表新建连接的请求数提升到6000新建连接/秒,以检测在超出产品应用处理能力时,会出现什么样的网络问题。

测试结果表明:网神NSG除了在超过其处理能力后造成一些成功连接下降,并出现少量连接失败之外,整条成功处理的连接应用曲线确实可以用稳定来进行评价。

图8:网神NSG IPS功能模块测试结果

对此我们并不罢休,正常应用只是网络应用环境中的一部分,如果有异常攻击发生的时候,正常应用是否还可以继续顺利处理呢?为此,我们又通过Avalanche测试仪表加载了一些网络层DDoS攻击,来进行检验。(结果参见图8)

图9:网神NSG IPS+DDoS攻击测试结果

如果不是网神NSG控制台上明确显示出了DDoS攻击被阻断,我们几乎认为测试仪表上的攻击未成功发出。因为在加载DDoS攻击后(+微信关注networkworldweixin),网神NSG的测试结果基本相同,差别非常细微。充分体现出了网神NSG在接受异常攻击时网络应用处理的稳定性。然而,这个结果并不是我们想要得到的。我们想要了解的是应用处理能力不足后会对应用产生的危害!因此,我们又打开了网神NSG的防病毒模块,并进行进一步的应用性能测试。(结果参见图9)

图10:网神NSG IPS+防病毒测试结果

在加载防病毒模块后,网络应用处理能力不足的后果终于显现了出来。在测试结果图表中可以清晰的看到,当应用请求逐步上升达到设备处理极限的时候,成功连接应用曲线开始急剧下降,同时失败连接曲线开始急升。这是因为网神NSG防病毒模块需要对超过600万病毒库进行特征比对,当应用传输的内容进行解析并过滤时,应用请求过高导到分析处理能力下降所造成的。

为了对防病毒功能的有效性进行评测,我们又利用Avalanche测试仪表上加载一定比例的含有eicar病毒验证代码的网页链接,进一步查看网神NSG在开启防病毒应用时的应用情况。(结果参见图10)

图11:网神NSG IPS+防病毒+eicar测试结果

因应用性能不足所导致的高应用性求时成功连接降低结果复现未令我们惊奇,令我们惊奇的是在网神NSG控制端显示,网神NSG依然忠实的将所有含eicar代码的连接识别并阻断!在回想在整个测试过程中,从未对网神NSG进行过复位或重新启动的操作,即便在上个测试中出现了成功连接响应过低的情况,也未对本次测试中网神NSG准确对含病毒带码连接进行防御产生影响。使我们再一次认可了网神NSG产品的稳定性及可靠性。我们接着搜集了大概超过1000个第三方样本进行测试,同样在此性能下测试,但是结果仍然让我们很吃惊,居然检测率保持在85%以上

梭子鱼F400

为了配合我们的测试,梭子鱼技术人员协助我们突破了梭子鱼F400新建连接速率的限制。为了便于对比,我们依然选用开启IPS以及IPS+防病毒时的新建连接处理速率进行了测试。

图12:梭子鱼F400 IPS功能模块测试结果

在我们一番努力后,梭子鱼F400开启IPS功能后的新建连接应用处理速率达到了12万新建连接/秒以上,整个测试曲线中除了有几次连接处理性能下降到6万新建连接每秒之外,测试曲线基本平稳,看来已把梭子鱼F400的应用处理性能充分的挖掘了出来。要知道梭子鱼F400的公开应用性能指标虽然比网神NSG高,但也仅在7000新建连接/秒。(结果参见图11)

图13:梭子鱼F400 IPS+DDoS攻击测试结果

此时,梭子鱼F400在处理异常攻击时是否同样正常呢?于是我们同样开始了新建连接性能+DDoS攻击的测试。这时异常现象出现了,在DDoS攻击加载的20到80秒区间内,梭子鱼F400的应用处理性能发生了剧烈的抖动,但并没有失败连接产生。可见在应用稳定性上会造成一些影响,但总体上影响不是很大。(结果参见图12)

下面我们又将梭子鱼F400的防病毒功能开启,从结果图表上看成绩和仅开启IPS功能的处理性能相差不大,这充分体现处理梭子鱼F400强大的应用处理性能。(结果参见图13)

图14:梭子鱼F400 IPS+防病毒测试结果

当我们在测试中加载一定比例的含有eicar病毒验证代码,梭子鱼F400开启病毒引擎后,处理性能出现相应下滑,之后设备迅速自身调整,最终平稳完成测试。(测试结果参见图14)

图15:梭子鱼F400 IPS+防病毒+eicar测试结果

由以上测试结果我们可以看出,新建连接的测试指标并非越高越好,在新建连接指标过低时,网络应用处理能力固然会受到影响,新建连接指标过高时,对网络设备应用的危害性更加严重!那么我们在选择应用层网络安全设备时,多高的新建连接指标比较合适呢?为此我们在网络应用流量处理性能测试过程中,对其进行了更深入的分析。

应用流量

在新建连接性能测试中,我们是采用的64Byte小文件进行的网络应用性能测试。由于测试的文件很小,所以可以在较小的流量带宽占用下,将目前网络产品的网络应用连接建立的最大性能全面的测试出来。那么在大文件的应用连接请求下网络流量的应用处理效果会如何呢?下面我们分别采用了32KByte、64KByte以及1024KByte大小的网页文件对梭子鱼F400防火墙模式下的应用处理性能进行了测试。

需要说明的是在美国网络世界进行的同类测试中,为了体现网络中真实流量使用的是1KByte 到1,536KByte的混合文件,而混合文件虽然可以比较真实的对网络应用流量进行模似,但不利于对流量处理性能进行分析,因此在本项测试中,我们选用了固定长度的网页文件进行测试。实际上对网络真实流量的应用处理性能进行测试仅采用单一应用进行测试,那怕文件长度不同也是不够的,最理想的是抓取一些实际应用中的网络流量借肋测试仪表(Avalanche与IXIA目前均已支持此项功能)进行抓包回放!但局限于目前条件,此类测试还未能实现,但我们会再今后加强此类测试的研究工作。

由于在测试中我们选用的是梭子鱼F400上一对千兆网络端口进行的测试。因此应用流量的带宽也被限制在了1000bps之内。从测试结果我们可以看出,在请求文件大小在32KByte下,仅用不到4000新建连接/秒的应用连接,就可以将千兆网络带宽打满;在64KByte大小的文件时,新建连接速率下降到了1850新建连接/秒左右;在1024KByte的文件时,新建连接速率仅在110~120新建连接/秒之间。(测试结果参见图15)

图16:梭子鱼F400 1000K网页文件防火墙新建连接测试结果

考虑到在目前的网络应用环境之中,文件较小的纯文字网页文件已经非常罕见,基本上均为几百Kbyte以上的图文混合文件,1~2MByte大小的网页文件也十分常见。因此在现实的网络正常应用中,对新建连接的应用处理需求并不会很高。然而网关安全设备还需要考虑到对网络非法应用的异常情况与网络攻击的处理,因此新建连接的处理性能也不可以太过低下。出于以上多方面综合考虑,我们认为当网关安全产品所有功能模块全部开启时,在千兆带宽流量下,新建连接性能指标在8000到10000新建连接/秒就基本可以满足用户的应用防护需求,最高不要超过20000新建连接/秒。不然的话,有可能会因为追求过高的应用处理性能而对功能度或应用可靠性造成减低。

并发连接

并发连接用户数是测试网络设备在应用层最大可以允许多少用户同时进行连接,数值越高,设备所同时允许的连接用户就越多。在这里网神NSG与梭子鱼F400又给出了两个截然不同的结果,网神NSG的并发连接用户数可以保持在200万,而梭子鱼F400的只有30万!通过深入分析我们了解,应用需求的不同决定了并发连接用户数目的不同。

网神NSG是一款网关型的安全设备,需要满足大量内部员工多种不同网络应用以及Web网页防护的应用连接处理需求。当企业内部对外进行网络应用访问时,较高的并发连接用户数可以有效保障用户网络连接的正常应用。

梭子鱼F400更专注于企业内部网络应用安全防护,属于专门为分布式网络设计的网络安全产品,可以从十几个到数以千记的分支地点的网络互联、安全防护与安全管理。无论员工在公司还是漫游,只要通过VPN方式远程接入都可以得到防护和管理。企业内部的应用访问自然没有过高的并发连接保持需求,因此并发连接数指标也不会设计的太高。

由此可以看出,当网络安全产品部署在网关处时,由于需要对网络内、外大量的网络应用连接进行安全防护处理,因此需要较高的并发连接进行支持。而在企业内部网络应用中由于应用连接数量有限,自然无需有过多的并发连接数量进行保持。有时甚至还需要人为对并发连接用户数进行限制!因为在一台服务器上,对并发连接的处理能力是有限制的,在我们对服务器的网络应用性能测试中发现,即便是最简单的静态网页Web应用服务,服务器在配置较高内存后,并发连接的应用处理能力也仅在2万用户以内,高于此数值后就会引发服务器down机等严重故障出现!当然服务器并发连接处理能力还会与服务器硬件配置、操作系统、应用服务等有直接的关联,因此需要去进行综合的考量。例如某部门的订票系统最好在发布之前就进行一下全方位的网络应用性能测试,以确保可以支持众多用户的购票需求……

惑比

惑比——厂商功能点评

在原先的测试计划中,在这里准备对当前所有安全厂商的下一代防火墙产品进行一次综合性的功能对比。然而在对PaloAlto、梭子鱼下一代防火墙产品进行深入分析后,我们对下一代防火墙有了全新的认识,并发现目前很多网络安全厂商的新一代网络安全产品均标称为新一代多功能安全网关。洽巧本次参与公开比较评测的四家厂商(网神、梭子鱼、PaloAlto、网康)的产品在功能分别上有很强的代表性,基本上具备有下一代防火墙的相关突出特性。因此仅对这四家产品分别进行了点评。

踏踏实实——网神NSG

网神NSG不仅可以解决当前用户对链路负载均衡、网络攻击及病毒防御的安全防护需求。并且可以对内部网络应用进行有效管控,进行带宽限制。通过其完善的可视化日志报表系统可以对整个网络运行情况进行详细的记录和趋势分析,为网络的管理,优化,在出现问题后对故障的排查,提供了强大的支持。在实际应用中,可以充分体现了网神NSG三分技术,七分管理的技术理念。通过网神NSG有效协助用户建立一套应用人员管理和网应用管理规范,通过有效的安全产品再加上一套行之有效的管理系统,真正减少来自网络的威胁和攻击。网神NSG不仅是一个网关安全产品,同时也是用户实际意义上的安全管理系统。

网神NSG在评测过程中所表现出的对网络应用处理出色的稳定性,同样我们留下了十分深刻的印象。凭借其出色的稳定性,当用户网络应用出现问题时,网神NSG迅速对故障进行定位,并通过产品策略设置或其它辅助手段及时解决。解决问题后无需再有对防火墙重启或进行其他干预性工作。有可能用户在部署网神NSG一段时间后,会由于长时间不对其进行操作而将其“遗忘”。而在网络中被“遗忘”的产品都是好产品!

如果我们网站在近期需要进行防火墙换代的话,我想我会向他们推荐这种可以被“遗忘”的东西。

可靠互联——梭子鱼F400

梭子鱼F400给我们留下最深印象的并不是其可以达到的超高新建连接速率。而是其具备一个十分出色的集中管理控制中心。通过梭子鱼NG控制中心,用户能轻松将配置复制到其他的防火墙上。NG控制中心不限防火墙数量,任何一个企业只需要一个控制中心就能管理所有的防火墙。

同时通过NG控制中心可以十分方便的进行VPN加密连接通道的配置。具有全面防护企业网络架构、提升点对点连接流量性能、简化网络操作流程功能。非常适合于大型企业内部及各分支机构间的可靠互通互联工作,并且其身份认证、入侵防御、Web过滤、反病毒、反垃圾邮件及网络访问控制等技术等功能也可以为企业网络安全应用提供非常可靠的应用保障。

凭借着出色的“飞扬”内核设计,有效的统一了防火墙、IPS、带宽管理和VPN等多种网络安全防护模块的应用分析需求。使产品在功能及性能上已经符合了下一代防火墙的要求。希望今后可以加强在产品易用性方面的功能设计,为用户提供出适用性更强的产品。

神龙见首——PaloAlto下一代防火墙

通过PaloAlto下一代防火墙产品我们真证了解了下一代防火墙的神髓所在。高度统一的应用及应用威胁管理模块、基于网络应用并包含网络威胁应用连接的应用管理模式。全新的安全防理念使我们认同了下一代防火墙这个称谓。

然而在对PaloAlto产品认同的同时,也对PaloAlto产生了一些遗憾。联系了多个PaloAlto的产品代理也没有征集到产品来进行实际的产品测试,并且在国内PaloAlto还没有正式的办事机构出现。这使我们对PaloAlto产品功能认可的同时,又产生了一定的疑虑:PaloAlto产品的功能重点是针对网络应用连接进行安全防御,但不同地域中网络应用连接有很大的差异性存在。PaloAlto的产品在国内是否可以全面的对网络应用连接状态进行准确的收集?一但国内有特定的网络威胁发生PaloAlto的产品是否可以及时进行处理?这些工作并非一些产品代理或网络集成商就可以解决的。如果发生此类问题而无法及时处理的话,PaloAlto的产品有可能出现形同虚设的可怕后果。一但如此,原本严密的网络安全设置也将会漏洞百出!

何以解忧——网康下一代防火墙

当我们在对PaloAlto下一代防火墙产品在国内应用产生顾虑的时候,又收到了一款可以基于应用及应用威胁连接进行统一分析管理的下一代防火墙产品——网康下一代防火墙。其所采用的单路径异构并行引擎在实现高度统一的应用及应用威胁管理的同时,可以实现基于网络应用连接的深度应用分析,在对正常网络应用进行管理的同时,也可以对网络威胁应用进行识别并阻断。并且网康下一代防火墙还提供了基于去的URL过滤功能,采用了基于云的主动扫描预防和在线内容识别的方法,快速发现并识别被挂马、钓鱼类的网站甚至被植入木马的傀儡主机,从而降低用户在网络应用中的风险。

从应用性能分析上来看,网康NF5000在即保证了应用连接的可靠处理后,又具备很强的网络攻击抵抗能力,满足了我们对下一代防火墙的指标要求。在功能性上来说,通过其国内厂商的独特技术优势可以更加及时的对目前本地正在发生的应用威胁连接特性进行收集,并及时加以处理。因此从目前来看,网康下一代防火墙适合国内用户对网络安全的应用防护工作。

惑望

惑望——明年会更好!

通过本次公开比较测试我们充分认识到了,下一代防火墙可以为我们带来安全、高效、经济、易用的全新网络安全产品。其革命性的基于网络应用的一体化网络应用及威胁分析管理模式可以更加全面的为网络应用提供可靠防护能力。其高度整合的应用管理防护模块可以更加高效的对网络应用进行分析处理。应用分析处理性能的提升可以降低对安全产品硬件处理能力的要求,因此将会有更加经济的网络安全防护产品出现。基于应用及应用威胁可视化管理模式的出现将会使网络应用产品更加易于用户使用。由此可知,当各大安全厂商均提供出具有自身安全特色的真正下一代防火墙产品之后,将会展现出一片网络安全应用的蓝天净土!

但是目前下一代防火墙产品在网络应用上也并非无懈可击,高度统一的分析处理引擎可否满足实际网络中正常网络应用与异常网络威胁及网络攻击相混杂的网络应用处理需求还需要得到更多的实际应用来进行验证。当前被普遍采用的URL地址的过滤功能,虽然可以快速高效的对网页内容进行判定。然而如何对不断飞速扩充的URL地址库需要如何进行高效的检索?在这些问题上还有可能会有应用处理的性能隐患存在。因此,下一代防火墙产品技术还需要经历一段成长发展的时期,才可以真正地走向成熟。

同样,目前在国内真正实现下一代防火墙功能的网络安全厂商还是太少了,因此我们计划在明年的下半年再重新进行一次下一代防火墙产品的公开比较活动。期望到那时,会有更多的真正意义上的下一代防火墙产品出现。我们也会进一步研究出一些适用性更好的评测方案更加全面的对下一代防火墙进行更深入的评测。

相关文章