下一代防火墻方興未艾

隨著下一代防火墻概今的提出，目前很多國內(nèi)外的安全廠商競相推出自己的下一代防火墻產(chǎn)品。為了解國內(nèi)下一代防火墻產(chǎn)品發(fā)展的最新動向，評測實(shí)驗(yàn)室分別向梭子魚、Check Point、思科、Dell SonicWALL、Fortinet、華為、H3C、杭州迪普、Juniper、綠盟、PaloAlto、啟明星辰、深信服、山石網(wǎng)科、天融信、網(wǎng)康、網(wǎng)神(廠商按字母排序，不分先后)等十幾家國內(nèi)外網(wǎng)絡(luò)安全廠商發(fā)出了下一代防火墻產(chǎn)品公開對比評測的邀請。然而反回的結(jié)果確由衷的令人感到失望。國外廠商中除梭子魚外，均無法在國內(nèi)提供相關(guān)的測試產(chǎn)品，國內(nèi)有的安全廠商雖然在大力進(jìn)行產(chǎn)品宣傳，但實(shí)際產(chǎn)品還未真正成熟。最終僅有梭子魚、網(wǎng)康、網(wǎng)神三家產(chǎn)品送測，并且在合作伙伴的協(xié)助下，對PaloAlto下一代防火墻功能進(jìn)行了深入了解。由此可見，下一代防火墻這種全新的網(wǎng)絡(luò)應(yīng)用防護(hù)技術(shù)在國內(nèi)的大部分廠商中廣泛應(yīng)用依然尚待時(shí)日。因此我們轉(zhuǎn)變了公開對比評測的角度，對這幾家廠商的下一代防火墻產(chǎn)品進(jìn)行了深入的技術(shù)分析。

那么下一代防火墻與新一代的多功能安全網(wǎng)關(guān)有什么區(qū)別?隨著評測的惑生、惑析、惑明、惑媚逐漸的，我們對下一代防火墻有了更深入的了解，同時(shí)在惑評中對如何評估網(wǎng)關(guān)應(yīng)用安全產(chǎn)品進(jìn)行了一次深入分析?？傮w上講，下一代防火墻雖然方興未艾，但依然不能否定其技術(shù)的先進(jìn)性。尤其是在其對網(wǎng)絡(luò)應(yīng)用及應(yīng)用威脅的深度解析處理上，有著很廣泛的發(fā)展前景。因此我們期望，經(jīng)過一段時(shí)間的發(fā)展之后，下一代防火墻技術(shù)可以真正的蓬勃發(fā)展，為網(wǎng)絡(luò)用戶提供更加全面的網(wǎng)絡(luò)安全服務(wù)。

惑生——下一代防火墻

自從Gartner推出下一個(gè)防火墻定義之后，各大安全廠商積極響應(yīng)，均在極力的宣傳自身的下一代防火墻產(chǎn)品。那么下一代防火墻具備了什么神奇的功能，可以今眾多網(wǎng)絡(luò)安全廠商競相追捧呢?在對下一代防火墻產(chǎn)品進(jìn)行深入了解之前，作者心中始終存有疑問：什么是下一代防火墻?什么樣的產(chǎn)品才可能稱得上是下一代的防火墻產(chǎn)品?

近年來，在作者對網(wǎng)關(guān)安全產(chǎn)品的間接接觸與實(shí)際了解中發(fā)現(xiàn)：無論是防火墻、IPS還是功能集成度更高的UTM產(chǎn)品，在功能設(shè)計(jì)時(shí)，或多或少都加入一些應(yīng)用層管理控制功能，并且隨著網(wǎng)絡(luò)安全設(shè)備應(yīng)用層處理能力的飛速提升，不同安全功能模塊同時(shí)開啟后對網(wǎng)絡(luò)應(yīng)用性能的影響也在急速減少，很多UTM產(chǎn)品在開啟所有安全功能后，也并未對其網(wǎng)絡(luò)處理性能產(chǎn)生過高的影響。至于應(yīng)用識別的可視性，在許多上網(wǎng)行為管理以及流量管理產(chǎn)品中這已經(jīng)是比較成熟的功能了，在網(wǎng)關(guān)安全產(chǎn)品中加入此類管理功能的安全產(chǎn)品目前也十分常見。難道說所謂下一代防火墻就是一個(gè)集成度更高的UTM嗎?!

基于上面安全產(chǎn)品的分析，不由始人產(chǎn)生一種疑惑，下一代防火墻的先進(jìn)性究竟在哪里?難道說“下一代”僅是Gartner的一種市場宣傳手段嗎?為此《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室展開了本次下一代防火墻技術(shù)公開對比評測活動。希望可以通過對不同廠商下一代防火墻產(chǎn)品的技術(shù)分析，更深入的了解下一代防火墻到底可以為用戶帶來什么樣的新安全體驗(yàn)。#p#

惑起——網(wǎng)絡(luò)安全

為了對下一代防火墻產(chǎn)品有一個(gè)正確的評估，我們首先需要將下一代防火墻產(chǎn)品在網(wǎng)絡(luò)安全中進(jìn)行一個(gè)準(zhǔn)確定位。從而進(jìn)一步分析下一代防火墻產(chǎn)品可以解決用戶哪些方面的網(wǎng)絡(luò)安全問題。然而在進(jìn)行這方面的工作時(shí)，卻讓我們產(chǎn)生出了更多的困惑，主要體現(xiàn)在以下三個(gè)方面：

惑一：網(wǎng)絡(luò)安全定義與產(chǎn)品功能的迷茫

首先，我們試著從網(wǎng)絡(luò)安全定義的角度去對下一代防火墻的功能特點(diǎn)進(jìn)行分析。但在分析過程中卻發(fā)現(xiàn)網(wǎng)絡(luò)安全定義的概念與下一代防火墻所定義的功能特點(diǎn)很難進(jìn)行匹配。

從網(wǎng)絡(luò)安全的定義中我們了解到：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全本質(zhì)上來講是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

然而在目前已知的下一代防火墻功能定義中，僅把下一代防火墻定義成具備第一代防火墻功能、具有集成式網(wǎng)絡(luò)入侵防御能力、業(yè)務(wù)識別的應(yīng)用可視性以及智能聯(lián)動功能。

我們試著將網(wǎng)絡(luò)安全的定義與下一代防火墻的功能定義進(jìn)行對比分析，可是發(fā)現(xiàn)網(wǎng)絡(luò)安全定義比較寬泛，很難與下一代防火墻的具體功能進(jìn)行匹配分析。

可是，沒有一個(gè)準(zhǔn)確的定義，我們應(yīng)當(dāng)如何將下一代防火墻的安全防護(hù)功能進(jìn)行分析?沒有理論分析的話，應(yīng)用性評估就更加無從談起了。因此，對這個(gè)問題我們決定轉(zhuǎn)換一個(gè)角度，從網(wǎng)絡(luò)安全的應(yīng)用需求來對下一代防火墻產(chǎn)品進(jìn)行分析。

惑二：網(wǎng)絡(luò)安全的應(yīng)用需求

《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室在對廠商網(wǎng)絡(luò)安全產(chǎn)品測試過程中，積累了大批網(wǎng)絡(luò)安全產(chǎn)品的測試經(jīng)驗(yàn)，同時(shí)，也對網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用需求有了較深入的了解。通過對這些網(wǎng)絡(luò)安全應(yīng)用需求的分析，我們可以了解，當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品主要應(yīng)用于兩個(gè)不同的領(lǐng)域：

一個(gè)是目前常見的網(wǎng)關(guān)安全領(lǐng)域，大多數(shù)應(yīng)用在中小企業(yè)的網(wǎng)關(guān)進(jìn)行部署，主要用于企業(yè)內(nèi)部數(shù)據(jù)的加密傳輸(VPN)、企業(yè)內(nèi)部對外的網(wǎng)絡(luò)安全訪問、還有一部分網(wǎng)絡(luò)流量管理的應(yīng)用需求目前也開始集成到網(wǎng)關(guān)安全設(shè)備之中。

另一個(gè)是網(wǎng)絡(luò)的干路及核心的網(wǎng)絡(luò)安全，大多部署在大型企業(yè)數(shù)據(jù)中心、電信機(jī)房主要完成一些網(wǎng)絡(luò)內(nèi)部端口管理、攻擊消減等任務(wù)，但由于部署位置關(guān)鍵、所需處理網(wǎng)絡(luò)流量大，因此需要產(chǎn)品具有很高的可靠性及很高的網(wǎng)絡(luò)處理性能。

目前在這兩種不同的網(wǎng)絡(luò)安全部署應(yīng)用中，均對網(wǎng)絡(luò)安全應(yīng)用處理能力產(chǎn)生了基于深度網(wǎng)絡(luò)應(yīng)用連接分析的新需求，而下一代防火墻產(chǎn)品是否具備足夠的功能去應(yīng)對這兩方面的應(yīng)用?為此我們心中依然充滿疑慮。為此，我們進(jìn)一步對當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品的應(yīng)用現(xiàn)狀進(jìn)行了分析。

惑三：網(wǎng)絡(luò)安全產(chǎn)品應(yīng)用現(xiàn)狀

目前網(wǎng)絡(luò)安全產(chǎn)品應(yīng)用中，兩極分化十分嚴(yán)重。有些企業(yè)用戶開始一層一層的疊加網(wǎng)絡(luò)安全設(shè)備，然而過多的網(wǎng)絡(luò)設(shè)備疊加不但使得網(wǎng)絡(luò)管理變得復(fù)雜，還為網(wǎng)絡(luò)的可靠運(yùn)行增加了隱患。有些企業(yè)被迫開始了不采用網(wǎng)絡(luò)安全設(shè)備的“裸奔”，甘愿忍受網(wǎng)絡(luò)威脅前來肆虐!

究其原因，是因?yàn)楫?dāng)前的網(wǎng)絡(luò)安全產(chǎn)品，尤其是防火墻類網(wǎng)絡(luò)安全產(chǎn)品在網(wǎng)絡(luò)應(yīng)用安全防護(hù)方面的不足所造成的。傳統(tǒng)防火墻的針對網(wǎng)絡(luò)端口及簡單的應(yīng)用分析過濾功能已無力對日益泛濫的網(wǎng)絡(luò)應(yīng)用威脅進(jìn)行防護(hù)。在目前抵御日益泛濫的網(wǎng)絡(luò)應(yīng)用層威脅的時(shí)候，通常只能通過被動更新安全補(bǔ)丁或增加新的網(wǎng)絡(luò)應(yīng)用安全防護(hù)設(shè)備這兩種手段來進(jìn)行。因此傳統(tǒng)防火墻在目前的網(wǎng)絡(luò)安全產(chǎn)品中已經(jīng)退化到了一種可有可無的尷尬境地。

因此，注重網(wǎng)絡(luò)安全的用戶開始被迫一層層的進(jìn)行網(wǎng)絡(luò)安全設(shè)備疊加，為網(wǎng)絡(luò)安全的防護(hù)增加了不菲的資金投入。而另一些網(wǎng)絡(luò)用戶認(rèn)為在網(wǎng)絡(luò)安全方面沒必要有如此高的投入，甚至有極端的用戶居然連防火墻也不采購開始了赤裸裸的裸奔生涯。#p#

惑析——南轅北轍中的啟示

疊加或裸奔這兩種南轅北轍的網(wǎng)絡(luò)安全設(shè)備應(yīng)用方式，給我們了一個(gè)啟示：既然用戶將網(wǎng)絡(luò)威脅的安全防護(hù)能力作為采用網(wǎng)絡(luò)安全產(chǎn)品的選擇標(biāo)準(zhǔn)，那我們同樣也可以從網(wǎng)絡(luò)威脅安全防護(hù)的角度來對下一代防火墻的應(yīng)用功能進(jìn)行評測。由此《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室正式推出了基于網(wǎng)絡(luò)威脅安全防護(hù)的全新網(wǎng)絡(luò)安全產(chǎn)品考量方式。大體上可以概括為以下三點(diǎn)：

一、已知威脅高性能

安全是以犧牲效率為代價(jià)進(jìn)行保障的，而效率是可以通過先進(jìn)技術(shù)手段進(jìn)行提升的。安全而低效必然無法滿足企業(yè)網(wǎng)絡(luò)應(yīng)用的需求。因此網(wǎng)絡(luò)安全設(shè)備在應(yīng)對已知威脅時(shí)必需要具備高性能的網(wǎng)絡(luò)應(yīng)用處理能力。

要想滿足企業(yè)網(wǎng)絡(luò)安全應(yīng)用的正常需求，《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室目前暫定已知威脅高性能需要在以下兩方面得到體現(xiàn)：

1、在網(wǎng)絡(luò)安全設(shè)備各項(xiàng)安全功能模塊分別及全部開啟時(shí)的正常應(yīng)用處理性能，以測試產(chǎn)品在正常網(wǎng)絡(luò)應(yīng)用中的處理能力。

2、在網(wǎng)絡(luò)安全設(shè)備各項(xiàng)安全功能模塊分別及全部開啟時(shí)在處理加載網(wǎng)絡(luò)攻擊或應(yīng)用阻斷后的處理性能，以測試產(chǎn)品在對異常網(wǎng)絡(luò)流量進(jìn)行處理時(shí)是否會對正常應(yīng)用造成影響;同時(shí)也可以對產(chǎn)品防護(hù)能力進(jìn)行驗(yàn)證性測試。

二、未知威脅主動防御

對已知威脅的防御只是目前企業(yè)對網(wǎng)絡(luò)安全需求的一部分，除了被動的進(jìn)行網(wǎng)絡(luò)安全防御之外，企業(yè)用戶還希望可能對未知的網(wǎng)絡(luò)安全有更加主動的防御辦法。

例如Blue Coat在前一段時(shí)間推出的“負(fù)日防御”安全引擎，就是通過及時(shí)監(jiān)控黑客構(gòu)建的惡意網(wǎng)絡(luò)(僵尸網(wǎng)絡(luò))的方法及時(shí)洞查黑客動向并進(jìn)行實(shí)時(shí)追蹤。當(dāng)有新的零日攻擊發(fā)生時(shí)，即可及時(shí)進(jìn)行阻斷的方法，就是一種十分先進(jìn)的主動防御手段。

當(dāng)然，還有許多其它的安全防護(hù)手段，如防止端口掃描、阻斷木馬上傳以及網(wǎng)頁防篡改等安全防護(hù)功能也可以對未知威脅起到主動的防御能力。

三、發(fā)生威脅不泄密

安全防護(hù)的手段再多，有時(shí)也難以擋住黑客那無孔不入的黑手。因此，在網(wǎng)絡(luò)威脅已經(jīng)發(fā)生的情況下，網(wǎng)絡(luò)安全設(shè)備應(yīng)該具備防止關(guān)鍵數(shù)據(jù)泄密的防護(hù)能力。從而保障用戶核心機(jī)密的安全。

只有具備了以上三種網(wǎng)絡(luò)安全防護(hù)能力，我們才認(rèn)為這種網(wǎng)絡(luò)安全設(shè)備可以真正實(shí)現(xiàn)對用戶網(wǎng)絡(luò)應(yīng)用的全面安全防護(hù)。#p#

惑明——由PaloAlto產(chǎn)生的轉(zhuǎn)變

沒有深入調(diào)查研究就沒有發(fā)言權(quán)，這句話確實(shí)不假!在沒有深入了解幾個(gè)參測廠商的下一代防火墻之前，筆者一直認(rèn)為所謂下一代防火墻只是一個(gè)網(wǎng)絡(luò)安全概念的炒作。只是在基于新一代網(wǎng)絡(luò)安全處理硬件上對舊有安全防護(hù)功能的一種集合。這種集合可以算得上是對目前網(wǎng)絡(luò)安全產(chǎn)品的一種升級。雖然這種升級可以有效的對目前網(wǎng)絡(luò)威脅進(jìn)行可靠安全防護(hù)，但并不能算得上是跨代，下一代這個(gè)說法并不是名副其實(shí)。

在收集、整理、評測網(wǎng)絡(luò)安全廠商所提供的下一代防火墻產(chǎn)品功能及應(yīng)用性能數(shù)據(jù)時(shí)，我們這一觀點(diǎn)開始了轉(zhuǎn)變。最初的轉(zhuǎn)變是由真正了解了PaloAlto的產(chǎn)品功能后開始的。令我們產(chǎn)生這種轉(zhuǎn)變的同樣是威脅，PaloAlto下一代防火墻有一個(gè)最大的技術(shù)特點(diǎn)，就是通過統(tǒng)一的應(yīng)用及應(yīng)用威脅分析功能模塊對網(wǎng)絡(luò)正常應(yīng)用連接進(jìn)行分析并管理，同時(shí)對網(wǎng)絡(luò)威脅應(yīng)用的連接進(jìn)行分析處理，并把威脅應(yīng)用連接進(jìn)行阻斷!

威脅應(yīng)用連接阻斷，這個(gè)功能令作者聯(lián)想到了很多，網(wǎng)絡(luò)黑客之所以能夠發(fā)動大規(guī)模的拒絕服務(wù)攻擊，是因?yàn)樗麄兺ㄟ^威脅應(yīng)用連接控制了成千上萬的電腦;黑客竊取用戶信息是因?yàn)橥{應(yīng)用連接對用戶主機(jī)的接入。斷掉了這些威脅應(yīng)用連接，黑客將再無所做為!對這些威脅應(yīng)用連接進(jìn)行追蹤，黑客將無所遁形!

如果說控制網(wǎng)絡(luò)連接端口，對用戶網(wǎng)絡(luò)進(jìn)行安全防護(hù)的是第一代防火墻，控制用戶應(yīng)用連接，對用戶網(wǎng)絡(luò)應(yīng)用進(jìn)行安全防護(hù)就當(dāng)之無愧的可以稱之為“下一代”防火墻了!

然而下一代防火墻的魅力還不僅限于此。由于利用統(tǒng)一應(yīng)用及應(yīng)用威脅分析功能模塊對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行分析，然后通過調(diào)用不同的管理功能數(shù)據(jù)庫對信息進(jìn)行相應(yīng)管理，在應(yīng)用處理效率上，自然比常規(guī)多功能網(wǎng)關(guān)安全產(chǎn)品分別利用多種功能模塊進(jìn)行網(wǎng)絡(luò)及應(yīng)用層分析并對威脅進(jìn)行處理的方式。

以梭子魚下一代防火墻產(chǎn)品的“飛揚(yáng)”內(nèi)核為例：在“飛揚(yáng)”內(nèi)核中既采用了狀態(tài)防火墻技術(shù)對網(wǎng)絡(luò)層攻擊進(jìn)行防護(hù)，也采用應(yīng)用層的代理技術(shù)進(jìn)行內(nèi)容掃描，并可以利用帶寬管理和VPN隧道選擇。這就意味著通過一個(gè)網(wǎng)絡(luò)管理控制引擎實(shí)現(xiàn)以往防火墻、IPS、帶寬管理和VPN這多種網(wǎng)絡(luò)安全防護(hù)模塊的應(yīng)用需求。因此在后面的網(wǎng)絡(luò)應(yīng)用性能分析中，梭子魚表現(xiàn)出了令人驚異的性能體現(xiàn)。

同樣在網(wǎng)康與網(wǎng)神的下一代防火墻中，也已經(jīng)采用了同類的應(yīng)用及應(yīng)用威脅統(tǒng)一分析處理機(jī)制對網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)進(jìn)行統(tǒng)一分析后，通過一次數(shù)據(jù)包拆分，并行處理數(shù)據(jù)內(nèi)容，將威脅、應(yīng)用、流量已可視化、智能化體現(xiàn)給用戶，使用戶能夠快速定位問題因此，下一代防火墻不僅具備高性能、高穩(wěn)定性，同時(shí)具備較強(qiáng)的安全防御能力與內(nèi)網(wǎng)自動化管理功能。只不過各廠商產(chǎn)品在功能的細(xì)微處的處理方面還有所不同而已。#p#

惑媚——下一代防火墻功能分析

那么下一代防火墻是否可以更加有效的對網(wǎng)絡(luò)應(yīng)用威脅進(jìn)行安全防護(hù)呢?為此我們通過前面總結(jié)出的網(wǎng)絡(luò)威脅三方面安全防護(hù)能力，對PaloAlto的下一代防火墻功能進(jìn)行了分析。由于在本次橫向評測中，始終未協(xié)調(diào)到PaloAlto防火墻進(jìn)行應(yīng)用性能評測，只能在友好協(xié)作廠商的協(xié)助下，對PaloAlto的產(chǎn)品功能做了一次較細(xì)致的評估。

已知威脅

在對PaloAlto下一代防火墻功能評估中我們了解到，PaloAlto在下一代防火墻的功能設(shè)計(jì)中，通過對用戶網(wǎng)絡(luò)應(yīng)用連接的深度分析這一種功能模塊，即可實(shí)現(xiàn)用戶認(rèn)證、正常應(yīng)用網(wǎng)絡(luò)連接、應(yīng)用流量的管理控制，同時(shí)還可以實(shí)現(xiàn)對網(wǎng)絡(luò)威脅連接及異常流量分析阻斷。

由此可知，PaloAlto下一代防火墻成功的通過一個(gè)網(wǎng)絡(luò)應(yīng)用處理功能模塊，將通常傳統(tǒng)防火墻或多功能安全網(wǎng)關(guān)中有關(guān)用戶認(rèn)證、應(yīng)用流量管理、IPS乃至于DDoS攻擊防護(hù)等多種功能模塊統(tǒng)一的融合在了一起。

圖1：PaloAlto應(yīng)用威脅統(tǒng)計(jì)界面

很明顯，通過一個(gè)網(wǎng)絡(luò)應(yīng)用處理模塊對多種安全防護(hù)功能統(tǒng)一處理，在網(wǎng)絡(luò)應(yīng)用處理效率上，會優(yōu)于目前常見的多功能網(wǎng)關(guān)采用多種不同安全防護(hù)模塊協(xié)調(diào)處理的方式。這種優(yōu)勢自然可以給PaloAlto下一代防火墻帶來已知威脅高性能的處理能力。

未知威脅

網(wǎng)絡(luò)威脅無孔不入，時(shí)刻都有新的網(wǎng)絡(luò)漏洞被發(fā)現(xiàn)被利用!對于下一代防火墻來講對網(wǎng)絡(luò)中的未知威脅是否同樣也是無力抵抗呢?在對PaloAlto下一代防火墻的功能調(diào)研中未發(fā)現(xiàn)類似Blue Coat“負(fù)日防御”之類的主動防御功能存在，不過在我們接觸到的另一款下一代防火墻產(chǎn)品——網(wǎng)康下一代防火墻中，已經(jīng)加入了基于云的URL過濾功能，這種功能與“負(fù)日防御”有異曲同工之效，同樣可以積極主動的對未知威脅進(jìn)行安全防護(hù)。并且在PaloAlto下一代防火墻的網(wǎng)絡(luò)應(yīng)用連接分析這一功能也可以對存在威脅的網(wǎng)絡(luò)連接進(jìn)行終斷。因此可以在黑客進(jìn)行攻擊初期的端口掃描階段就將掃描連接請求終斷、在即便木馬已通過新的漏洞成功上傳，由于大部分木馬應(yīng)用連接特征已被加入下一代防火墻的威脅連接特征庫，因此木馬的控制連接也無法建立，從而實(shí)現(xiàn)了主動防御的目的。

圖2：PaloAlto統(tǒng)計(jì)詳細(xì)內(nèi)容界面

此外PaloAlto下一代防火墻看采用的應(yīng)用及應(yīng)用威脅“可視化”監(jiān)控統(tǒng)計(jì)界面也可以時(shí)實(shí)向用戶展示出當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用的使用狀況，使用戶可及時(shí)查覺網(wǎng)絡(luò)中的異常情況。

圖3：PaloAlto統(tǒng)計(jì)界面

發(fā)生威脅

然而總會有網(wǎng)絡(luò)威脅會通過種種手段繞過防火墻的圍困。當(dāng)這個(gè)時(shí)候，我們是否就只能任憑黑客為所欲為?原本我們也認(rèn)為PaloAlto的下一代防火墻確實(shí)無力對這種情況進(jìn)行應(yīng)對。然而在對PaloAlto的策略配置分析時(shí)，我們找到了對發(fā)生威脅的防護(hù)手段。

圖4：PaloAlto策略配置

PaloAlto下一代防火墻的策略設(shè)置中，可以對源、目的、用戶、應(yīng)用、服務(wù)、動作進(jìn)行限制。因此，在策略設(shè)置嚴(yán)密的下一代防火墻面前，即便黑客成功的用未知漏洞或其他手段攻入了用戶網(wǎng)絡(luò)，也會因?yàn)槿狈ο鄳?yīng)的控制權(quán)限而止步于此。從而確保了在發(fā)生威脅時(shí)網(wǎng)絡(luò)核心數(shù)據(jù)的安全。

通過以上分析我們可以了解，PaloAlto下一代防火墻從網(wǎng)絡(luò)應(yīng)用角度上講，確實(shí)可以為我們提供比較全面的網(wǎng)絡(luò)安全防護(hù)功能。然而網(wǎng)絡(luò)安全防護(hù)功能好不好用、管不管用，看廠商的技術(shù)水平;恰當(dāng)?shù)膽?yīng)用、發(fā)揮出全部的防護(hù)功能，還要看用戶如何去正確使用。當(dāng)然有時(shí)需要廠商的大加技術(shù)支持，這就是考驗(yàn)廠商技術(shù)服務(wù)實(shí)力的時(shí)候了。#p#

惑評——功能篇

我們對網(wǎng)神、梭子魚與網(wǎng)康的三款下一代防火墻進(jìn)行了更深一步的功能性對比。在功能性對比過程中，我們從已知應(yīng)用處理、已知威脅處理、未知威脅處理和日志及報(bào)表這幾個(gè)方面，對下一代防火墻產(chǎn)品的功能性進(jìn)行了一次總結(jié)。通過功能性的對比，我們可以清楚的了解產(chǎn)品在應(yīng)用及應(yīng)用威脅方面的處理能力。(具體對比結(jié)果參見表1)

表1：下一代防火墻功能對比

通過功能對比我們可以發(fā)現(xiàn)，在對已知應(yīng)用及已知威脅處理能力上，各款下一代防火墻產(chǎn)品功能基本相近，均可以實(shí)現(xiàn)應(yīng)用及應(yīng)用威脅深度分析及處理。在針對未知威脅主動防御的防護(hù)處理方面，除網(wǎng)康以外基本上都僅有基于云的URL過濾方式進(jìn)行防御這一種方式。因此對新型網(wǎng)絡(luò)攻擊的抵御能力尚有待加強(qiáng)。對于已發(fā)生威脅，各款產(chǎn)品均可以通過日志報(bào)表或流量統(tǒng)計(jì)的形式發(fā)現(xiàn)問題并及時(shí)上報(bào)進(jìn)行處理。綜合來講，目前送測的各款下一代防火墻產(chǎn)品均可以為用戶提供較為出色的網(wǎng)絡(luò)應(yīng)用管理及應(yīng)用安全防護(hù)功能。但是下一代防火墻產(chǎn)品在基于網(wǎng)絡(luò)應(yīng)用連接分析處理方面還有很大的潛力可以進(jìn)行挖掘，通過對網(wǎng)絡(luò)應(yīng)用的深度分析，還可以更好的對未知網(wǎng)絡(luò)威脅進(jìn)行更加全面的防護(hù)。希望今后可以有更加全面的安全防護(hù)新功能在產(chǎn)品展現(xiàn)。

為了便于分析比較，我們對下一代防火墻與當(dāng)前的多功能安全網(wǎng)關(guān)也進(jìn)行一個(gè)簡單的差異性功能比較。(具體內(nèi)容參見表2)

通過功能分析對比我們可以了解，下一代防火墻與多功能安全網(wǎng)關(guān)本質(zhì)區(qū)別就在于對網(wǎng)絡(luò)應(yīng)用的處理機(jī)質(zhì)上面。通過統(tǒng)一的網(wǎng)絡(luò)應(yīng)用分析引擎對網(wǎng)絡(luò)應(yīng)用進(jìn)行分析后調(diào)用不同數(shù)據(jù)庫對信息進(jìn)行對比的是下一代防火墻，而分別利用不同分析引擎對網(wǎng)絡(luò)應(yīng)用進(jìn)行處理的是多功能安全網(wǎng)關(guān)。同時(shí)，我們對這兩種網(wǎng)絡(luò)應(yīng)用處理技術(shù)的優(yōu)勢與不足進(jìn)行了簡單的分析，也產(chǎn)生了少許對下一代防火墻應(yīng)用處理能力的憂慮。但我們相信這些憂慮會在下一代防火墻并行應(yīng)用處理技術(shù)的深入發(fā)展中很快煙消云散的，下一代防火墻的明天將會更加美好。#p#

惑評——性能篇

下一代防火墻將網(wǎng)絡(luò)安全防御從網(wǎng)絡(luò)層提升到了應(yīng)用層面，因此僅對產(chǎn)品網(wǎng)絡(luò)層處理性能進(jìn)行評測已無法全面對下一代防火墻產(chǎn)品進(jìn)行評估。然而在對產(chǎn)品應(yīng)用層處理性能的評測中還有著很多的指標(biāo)未確定的現(xiàn)象存在。新建連接、應(yīng)用流量、并發(fā)連接這些網(wǎng)絡(luò)應(yīng)用性能的關(guān)鍵測試指標(biāo)應(yīng)該如何去正確評估?也是本次下一代防火墻公開對比評測中，需要進(jìn)行調(diào)研的重點(diǎn)項(xiàng)目。讓我們再開啟對網(wǎng)絡(luò)應(yīng)用性能的破惑之旅吧。

本測試中，我們通過思博倫公司的Avalanche 3100測試儀表，對廠商送測的下一代防火墻產(chǎn)品進(jìn)行了一次較深入的應(yīng)用處理性能分析。(測試拓?fù)鋮⒁妶D5)

 [[105398]]

圖5：下一代防火墻網(wǎng)絡(luò)應(yīng)用測試拓?fù)?/p>

新建連接

新建連接速率是網(wǎng)絡(luò)設(shè)備在應(yīng)用層接受網(wǎng)絡(luò)應(yīng)用連接請求時(shí)的處理速率。此項(xiàng)測試結(jié)果越高，在實(shí)際應(yīng)用中，網(wǎng)絡(luò)產(chǎn)品對用戶應(yīng)用連接請求的處理性能就會越強(qiáng)。然而，新建連接速率與網(wǎng)絡(luò)層數(shù)據(jù)包轉(zhuǎn)發(fā)速率不同，在網(wǎng)絡(luò)層由于數(shù)據(jù)包大小有限(64Byte-1518Byte)，數(shù)據(jù)包轉(zhuǎn)發(fā)速率有恒定的數(shù)值可以進(jìn)行評估，達(dá)到限速后成績不會再做提升。

而新建連接速率并非如此，在應(yīng)用層中傳輸文件的大小基本不受限制，小到單個(gè)字節(jié)大到成百上千G的文件均可以進(jìn)行傳輸。在相同網(wǎng)絡(luò)帶寬條件下，請求訪問的文件越大，受網(wǎng)絡(luò)帶寬的影響，新建連接的性能指標(biāo)就越低。為了測試出產(chǎn)品最大新建處理性能，在評測中通常會采用64Byte或1Byte大小文件進(jìn)行新建連接速率的測試。如此測試出來的新建連接處理性能雖然會很高，但這種情況在實(shí)際網(wǎng)絡(luò)應(yīng)用中是基本無法見到的。有些IPS設(shè)備還會將這種情況定義為HTTP Flood攻擊。

然而就是這樣一種虛高的網(wǎng)絡(luò)應(yīng)用層測試指標(biāo)，在一段時(shí)期內(nèi)，居然被一些網(wǎng)絡(luò)設(shè)備廠商競相追逐攀比。新建連接速率的技術(shù)指標(biāo)是否越高越好?低指標(biāo)是否就代表著低性能?在應(yīng)用層上應(yīng)該如何正確對網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行評估?這也是本次下一代防火墻公開比較測試想要了解的主要問題之一。

在了解本次公開比較測試的目的和需求之后，網(wǎng)神信息技術(shù)(北京)股份有限公司(以下簡稱“網(wǎng)神”)和梭子魚網(wǎng)絡(luò)(以下簡稱“梭子魚”)為我們提供了相應(yīng)的兩款最高性能可達(dá)千兆級的防火墻，IPS吞吐量超過400兆網(wǎng)關(guān)安全產(chǎn)品，極大的支持了本次評測的順利進(jìn)行。

網(wǎng)神與梭子魚所提供的產(chǎn)品分別具有自身的特色：

[[105399]]

圖6：網(wǎng)神SecGate 3600 NSG下一代防火墻

網(wǎng)神提供的SecGate 3600 NSG下一代防火墻產(chǎn)品(以下簡稱“網(wǎng)神NSG”)具備很強(qiáng)的應(yīng)用穩(wěn)定性，即使開啟多個(gè)應(yīng)用層防護(hù)模塊下設(shè)備仍然能夠正常運(yùn)行，同時(shí)性能下降也不超過15%。不僅如此，網(wǎng)神經(jīng)過多年傳統(tǒng)防火墻的技術(shù)積累，以及市場需求的摸索，在下一代防火墻研發(fā)中體現(xiàn)了自己的見解和發(fā)展方向。本次評測中將以超過其最大應(yīng)用處理性能的方式對其網(wǎng)絡(luò)應(yīng)用處理情況進(jìn)行測試。

[[105400]]

圖7：梭子魚Barracuda NG Firewall F400

梭子魚提供的Barracuda NG Firewall F400(以下簡稱“梭子魚F400”)已是一款較成熟的產(chǎn)品，具備很強(qiáng)的應(yīng)用處理性能，在測試中，我們在廠商技術(shù)人員的配合下，將其處理性能提升到了極致，考查在過高網(wǎng)絡(luò)應(yīng)處理性能時(shí)可能出現(xiàn)的問題。

在評測過程中，我們采用思博倫公司的Avalanche 3100測試儀表模擬64Byte大小網(wǎng)頁文件對這兩款產(chǎn)品的防火墻應(yīng)用處理性能、防火墻+URL阻斷處理性能、IPS處理性能、IPS+DDoS防護(hù)處理性能、以及防病毒和防病毒+eicar病毒驗(yàn)證代碼這六項(xiàng)應(yīng)用處理能力進(jìn)行了評測。

由于在防火墻應(yīng)用處理性能和防火墻+URL阻斷處理性能測試中，兩款產(chǎn)品表現(xiàn)均十分穩(wěn)定，正常HTTP連接建立正常，URL阻斷連接響應(yīng)及時(shí)，因此在這里就不在進(jìn)行過多的分析。下面主要分析了兩款產(chǎn)品在IPS及防病毒功能應(yīng)用時(shí)所出現(xiàn)的網(wǎng)絡(luò)應(yīng)用問題：

網(wǎng)神NSG

本次網(wǎng)神受邀測試并提供一款低端產(chǎn)品，在即便是開啟防火墻功能模塊+APP+IPS等模塊的情況下，其新建連接的應(yīng)用處理能力可以穩(wěn)定的保持在4000新建連接/秒左右。這為我們研究在低新建連接應(yīng)用性能下的產(chǎn)品性能分析提供了不少的便利條件。

網(wǎng)神在送測產(chǎn)品時(shí)對我們說，這款低端產(chǎn)品雖然處理性能較低但有很強(qiáng)的穩(wěn)定性和易用性。起初我們對這段話還沒有很深的了解，低性能就會穩(wěn)定嗎?這似乎有背于我們平時(shí)應(yīng)用性能測試的常理。當(dāng)我們將網(wǎng)神NSG開啟IPS、防毒墻、APP應(yīng)用識別功能模塊后的測試成績對他們的話進(jìn)行了驗(yàn)證。在4000新建連接/秒的應(yīng)用連接請求下，網(wǎng)神NSG下一代防火墻保持著CPU利用率維持在20%以內(nèi)，多核相互之間調(diào)度以及利用率相對平均，測試曲線十分平穩(wěn)。

在對網(wǎng)神NSG的IPS功能進(jìn)行測試的時(shí)候，我們刻意將測試儀表新建連接的請求數(shù)提升到6000新建連接/秒，以檢測在超出產(chǎn)品應(yīng)用處理能力時(shí)，會出現(xiàn)什么樣的網(wǎng)絡(luò)問題。

測試結(jié)果表明：網(wǎng)神NSG除了在超過其處理能力后造成一些成功連接下降，并出現(xiàn)少量連接失敗之外，整條成功處理的連接應(yīng)用曲線確實(shí)可以用穩(wěn)定來進(jìn)行評價(jià)。

[[105401]]

圖8：網(wǎng)神NSG IPS功能模塊測試結(jié)果

對此我們并不罷休，正常應(yīng)用只是網(wǎng)絡(luò)應(yīng)用環(huán)境中的一部分，如果有異常攻擊發(fā)生的時(shí)候，正常應(yīng)用是否還可以繼續(xù)順利處理呢?為此，我們又通過Avalanche測試儀表加載了一些網(wǎng)絡(luò)層DDoS攻擊，來進(jìn)行檢驗(yàn)。(結(jié)果參見圖8)

[[105402]]

圖9：網(wǎng)神NSG IPS+DDoS攻擊測試結(jié)果

如果不是網(wǎng)神NSG控制臺上明確顯示出了DDoS攻擊被阻斷，我們幾乎認(rèn)為測試儀表上的攻擊未成功發(fā)出。因?yàn)樵诩虞dDDoS攻擊后，網(wǎng)神NSG的測試結(jié)果基本相同，差別非常細(xì)微。充分體現(xiàn)出了網(wǎng)神NSG在接受異常攻擊時(shí)網(wǎng)絡(luò)應(yīng)用處理的穩(wěn)定性。然而，這個(gè)結(jié)果并不是我們想要得到的。我們想要了解的是應(yīng)用處理能力不足后會對應(yīng)用產(chǎn)生的危害!因此，我們又打開了網(wǎng)神NSG的防病毒模塊，并進(jìn)行進(jìn)一步的應(yīng)用性能測試。(結(jié)果參見圖9)

[[105403]]

圖10：網(wǎng)神NSG IPS+防病毒測試結(jié)果

在加載防病毒模塊后，網(wǎng)絡(luò)應(yīng)用處理能力不足的后果終于顯現(xiàn)了出來。在測試結(jié)果圖表中可以清晰的看到，當(dāng)應(yīng)用請求逐步上升達(dá)到設(shè)備處理極限的時(shí)候，成功連接應(yīng)用曲線開始急劇下降，同時(shí)失敗連接曲線開始急升。這是因?yàn)榫W(wǎng)神NSG防病毒模塊需要對超過600萬病毒庫進(jìn)行特征比對，當(dāng)應(yīng)用傳輸?shù)膬?nèi)容進(jìn)行解析并過濾時(shí)，應(yīng)用請求過高導(dǎo)到分析處理能力下降所造成的。

為了對防病毒功能的有效性進(jìn)行評測，我們又利用Avalanche測試儀表上加載一定比例的含有eicar病毒驗(yàn)證代碼的網(wǎng)頁鏈接，進(jìn)一步查看網(wǎng)神NSG在開啟防病毒應(yīng)用時(shí)的應(yīng)用情況。(結(jié)果參見圖10)

[[105404]]

圖11：網(wǎng)神NSG IPS+防病毒+eicar測試結(jié)果

因應(yīng)用性能不足所導(dǎo)致的高應(yīng)用性求時(shí)成功連接降低結(jié)果復(fù)現(xiàn)未令我們驚奇，令我們驚奇的是在網(wǎng)神NSG控制端顯示，網(wǎng)神NSG依然忠實(shí)的將所有含eicar代碼的連接識別并阻斷!在回想在整個(gè)測試過程中，從未對網(wǎng)神NSG進(jìn)行過復(fù)位或重新啟動的操作，即便在上個(gè)測試中出現(xiàn)了成功連接響應(yīng)過低的情況，也未對本次測試中網(wǎng)神NSG準(zhǔn)確對含病毒帶碼連接進(jìn)行防御產(chǎn)生影響。使我們再一次認(rèn)可了網(wǎng)神NSG產(chǎn)品的穩(wěn)定性及可靠性。我們接著搜集了大概超過1000個(gè)第三方樣本進(jìn)行測試，同樣在此性能下測試，但是結(jié)果仍然讓我們很吃驚，居然檢測率保持在85%以上

梭子魚F400

為了配合我們的測試，梭子魚技術(shù)人員協(xié)助我們突破了梭子魚F400新建連接速率的限制。為了便于對比，我們依然選用開啟IPS以及IPS+防病毒時(shí)的新建連接處理速率進(jìn)行了測試。

 [[105405]]

圖12：梭子魚F400 IPS功能模塊測試結(jié)果

在我們一番努力后，梭子魚F400開啟IPS功能后的新建連接應(yīng)用處理速率達(dá)到了12萬新建連接/秒以上，整個(gè)測試曲線中除了有幾次連接處理性能下降到6萬新建連接每秒之外，測試曲線基本平穩(wěn)，看來已把梭子魚F400的應(yīng)用處理性能充分的挖掘了出來。要知道梭子魚F400的公開應(yīng)用性能指標(biāo)雖然比網(wǎng)神NSG高，但也僅在7000新建連接/秒。(結(jié)果參見圖11)

[[105406]]

圖13：梭子魚F400 IPS+DDoS攻擊測試結(jié)果

此時(shí)，梭子魚F400在處理異常攻擊時(shí)是否同樣正常呢?于是我們同樣開始了新建連接性能+DDoS攻擊的測試。這時(shí)異常現(xiàn)象出現(xiàn)了，在DDoS攻擊加載的20到80秒?yún)^(qū)間內(nèi)，梭子魚F400的應(yīng)用處理性能發(fā)生了劇烈的抖動，但并沒有失敗連接產(chǎn)生?？梢娫趹?yīng)用穩(wěn)定性上會造成一些影響，但總體上影響不是很大。(結(jié)果參見圖12)

下面我們又將梭子魚F400的防病毒功能開啟，從結(jié)果圖表上看成績和僅開啟IPS功能的處理性能相差不大，這充分體現(xiàn)處理梭子魚F400強(qiáng)大的應(yīng)用處理性能。(結(jié)果參見圖13)

[[105407]]

圖14：梭子魚F400 IPS+防病毒測試結(jié)果

當(dāng)我們在測試中加載一定比例的含有eicar病毒驗(yàn)證代碼，梭子魚F400開啟病毒引擎后，處理性能出現(xiàn)相應(yīng)下滑，之后設(shè)備迅速自身調(diào)整，最終平穩(wěn)完成測試。(測試結(jié)果參見圖14)

[[105408]]

圖15：梭子魚F400 IPS+防病毒+eicar測試結(jié)果

由以上測試結(jié)果我們可以看出，新建連接的測試指標(biāo)并非越高越好，在新建連接指標(biāo)過低時(shí)，網(wǎng)絡(luò)應(yīng)用處理能力固然會受到影響，新建連接指標(biāo)過高時(shí)，對網(wǎng)絡(luò)設(shè)備應(yīng)用的危害性更加嚴(yán)重!那么我們在選擇應(yīng)用層網(wǎng)絡(luò)安全設(shè)備時(shí)，多高的新建連接指標(biāo)比較合適呢?為此我們在網(wǎng)絡(luò)應(yīng)用流量處理性能測試過程中，對其進(jìn)行了更深入的分析。

應(yīng)用流量

在新建連接性能測試中，我們是采用的64Byte小文件進(jìn)行的網(wǎng)絡(luò)應(yīng)用性能測試。由于測試的文件很小，所以可以在較小的流量帶寬占用下，將目前網(wǎng)絡(luò)產(chǎn)品的網(wǎng)絡(luò)應(yīng)用連接建立的最大性能全面的測試出來。那么在大文件的應(yīng)用連接請求下網(wǎng)絡(luò)流量的應(yīng)用處理效果會如何呢?下面我們分別采用了32KByte、64KByte以及1024KByte大小的網(wǎng)頁文件對梭子魚F400防火墻模式下的應(yīng)用處理性能進(jìn)行了測試。

需要說明的是在美國網(wǎng)絡(luò)世界進(jìn)行的同類測試中，為了體現(xiàn)網(wǎng)絡(luò)中真實(shí)流量使用的是1KByte 到1,536KByte的混合文件，而混合文件雖然可以比較真實(shí)的對網(wǎng)絡(luò)應(yīng)用流量進(jìn)行模似，但不利于對流量處理性能進(jìn)行分析，因此在本項(xiàng)測試中，我們選用了固定長度的網(wǎng)頁文件進(jìn)行測試。實(shí)際上對網(wǎng)絡(luò)真實(shí)流量的應(yīng)用處理性能進(jìn)行測試僅采用單一應(yīng)用進(jìn)行測試，那怕文件長度不同也是不夠的，最理想的是抓取一些實(shí)際應(yīng)用中的網(wǎng)絡(luò)流量借肋測試儀表(Avalanche與IXIA目前均已支持此項(xiàng)功能)進(jìn)行抓包回放!但局限于目前條件，此類測試還未能實(shí)現(xiàn)，但我們會再今后加強(qiáng)此類測試的研究工作。

由于在測試中我們選用的是梭子魚F400上一對千兆網(wǎng)絡(luò)端口進(jìn)行的測試。因此應(yīng)用流量的帶寬也被限制在了1000bps之內(nèi)。從測試結(jié)果我們可以看出，在請求文件大小在32KByte下，僅用不到4000新建連接/秒的應(yīng)用連接，就可以將千兆網(wǎng)絡(luò)帶寬打滿;在64KByte大小的文件時(shí)，新建連接速率下降到了1850新建連接/秒左右;在1024KByte的文件時(shí)，新建連接速率僅在110~120新建連接/秒之間。(測試結(jié)果參見圖15)

[[105409]]

圖16：梭子魚F400 1000K網(wǎng)頁文件防火墻新建連接測試結(jié)果

考慮到在目前的網(wǎng)絡(luò)應(yīng)用環(huán)境之中，文件較小的純文字網(wǎng)頁文件已經(jīng)非常罕見，基本上均為幾百Kbyte以上的圖文混合文件，1~2MByte大小的網(wǎng)頁文件也十分常見。因此在現(xiàn)實(shí)的網(wǎng)絡(luò)正常應(yīng)用中，對新建連接的應(yīng)用處理需求并不會很高。然而網(wǎng)關(guān)安全設(shè)備還需要考慮到對網(wǎng)絡(luò)非法應(yīng)用的異常情況與網(wǎng)絡(luò)攻擊的處理，因此新建連接的處理性能也不可以太過低下。出于以上多方面綜合考慮，我們認(rèn)為當(dāng)網(wǎng)關(guān)安全產(chǎn)品所有功能模塊全部開啟時(shí)，在千兆帶寬流量下，新建連接性能指標(biāo)在8000到10000新建連接/秒就基本可以滿足用戶的應(yīng)用防護(hù)需求，最高不要超過20000新建連接/秒。不然的話，有可能會因?yàn)樽非筮^高的應(yīng)用處理性能而對功能度或應(yīng)用可靠性造成減低。

并發(fā)連接

并發(fā)連接用戶數(shù)是測試網(wǎng)絡(luò)設(shè)備在應(yīng)用層最大可以允許多少用戶同時(shí)進(jìn)行連接，數(shù)值越高，設(shè)備所同時(shí)允許的連接用戶就越多。在這里網(wǎng)神NSG與梭子魚F400又給出了兩個(gè)截然不同的結(jié)果，網(wǎng)神NSG的并發(fā)連接用戶數(shù)可以保持在200萬，而梭子魚F400的只有30萬!通過深入分析我們了解，應(yīng)用需求的不同決定了并發(fā)連接用戶數(shù)目的不同。

網(wǎng)神NSG是一款網(wǎng)關(guān)型的安全設(shè)備，需要滿足大量內(nèi)部員工多種不同網(wǎng)絡(luò)應(yīng)用以及Web網(wǎng)頁防護(hù)的應(yīng)用連接處理需求。當(dāng)企業(yè)內(nèi)部對外進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問時(shí)，較高的并發(fā)連接用戶數(shù)可以有效保障用戶網(wǎng)絡(luò)連接的正常應(yīng)用。

梭子魚F400更專注于企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用安全防護(hù)，屬于專門為分布式網(wǎng)絡(luò)設(shè)計(jì)的網(wǎng)絡(luò)安全產(chǎn)品，可以從十幾個(gè)到數(shù)以千記的分支地點(diǎn)的網(wǎng)絡(luò)互聯(lián)、安全防護(hù)與安全管理。無論員工在公司還是漫游，只要通過VPN方式遠(yuǎn)程接入都可以得到防護(hù)和管理。企業(yè)內(nèi)部的應(yīng)用訪問自然沒有過高的并發(fā)連接保持需求，因此并發(fā)連接數(shù)指標(biāo)也不會設(shè)計(jì)的太高。

由此可以看出，當(dāng)網(wǎng)絡(luò)安全產(chǎn)品部署在網(wǎng)關(guān)處時(shí)，由于需要對網(wǎng)絡(luò)內(nèi)、外大量的網(wǎng)絡(luò)應(yīng)用連接進(jìn)行安全防護(hù)處理，因此需要較高的并發(fā)連接進(jìn)行支持。而在企業(yè)內(nèi)部網(wǎng)絡(luò)應(yīng)用中由于應(yīng)用連接數(shù)量有限，自然無需有過多的并發(fā)連接數(shù)量進(jìn)行保持。有時(shí)甚至還需要人為對并發(fā)連接用戶數(shù)進(jìn)行限制!因?yàn)樵谝慌_服務(wù)器上，對并發(fā)連接的處理能力是有限制的，在我們對服務(wù)器的網(wǎng)絡(luò)應(yīng)用性能測試中發(fā)現(xiàn)，即便是最簡單的靜態(tài)網(wǎng)頁Web應(yīng)用服務(wù)，服務(wù)器在配置較高內(nèi)存后，并發(fā)連接的應(yīng)用處理能力也僅在2萬用戶以內(nèi)，高于此數(shù)值后就會引發(fā)服務(wù)器down機(jī)等嚴(yán)重故障出現(xiàn)!當(dāng)然服務(wù)器并發(fā)連接處理能力還會與服務(wù)器硬件配置、操作系統(tǒng)、應(yīng)用服務(wù)等有直接的關(guān)聯(lián)，因此需要去進(jìn)行綜合的考量。例如某部門的訂票系統(tǒng)最好在發(fā)布之前就進(jìn)行一下全方位的網(wǎng)絡(luò)應(yīng)用性能測試，以確?？梢灾С直姸嘤脩舻馁徠毙枨?hellip;…#p#

惑比——廠商功能點(diǎn)評

在原先的測試計(jì)劃中，在這里準(zhǔn)備對當(dāng)前所有安全廠商的下一代防火墻產(chǎn)品進(jìn)行一次綜合性的功能對比。然而在對PaloAlto、梭子魚下一代防火墻產(chǎn)品進(jìn)行深入分析后，我們對下一代防火墻有了全新的認(rèn)識，并發(fā)現(xiàn)目前很多網(wǎng)絡(luò)安全廠商的新一代網(wǎng)絡(luò)安全產(chǎn)品均標(biāo)稱為新一代多功能安全網(wǎng)關(guān)。洽巧本次參與公開比較評測的四家廠商(網(wǎng)神、梭子魚、PaloAlto、網(wǎng)康)的產(chǎn)品在功能分別上有很強(qiáng)的代表性，基本上具備有下一代防火墻的相關(guān)突出特性。因此僅對這四家產(chǎn)品分別進(jìn)行了點(diǎn)評。

踏踏實(shí)實(shí)——網(wǎng)神NSG

網(wǎng)神NSG不僅可以解決當(dāng)前用戶對鏈路負(fù)載均衡、網(wǎng)絡(luò)攻擊及病毒防御的安全防護(hù)需求。并且可以對內(nèi)部網(wǎng)絡(luò)應(yīng)用進(jìn)行有效管控，進(jìn)行帶寬限制。通過其完善的可視化日志報(bào)表系統(tǒng)可以對整個(gè)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行詳細(xì)的記錄和趨勢分析，為網(wǎng)絡(luò)的管理，優(yōu)化，在出現(xiàn)問題后對故障的排查，提供了強(qiáng)大的支持。在實(shí)際應(yīng)用中，可以充分體現(xiàn)了網(wǎng)神NSG三分技術(shù)，七分管理的技術(shù)理念。通過網(wǎng)神NSG有效協(xié)助用戶建立一套應(yīng)用人員管理和網(wǎng)應(yīng)用管理規(guī)范，通過有效的安全產(chǎn)品再加上一套行之有效的管理系統(tǒng)，真正減少來自網(wǎng)絡(luò)的威脅和攻擊。網(wǎng)神NSG不僅是一個(gè)網(wǎng)關(guān)安全產(chǎn)品，同時(shí)也是用戶實(shí)際意義上的安全管理系統(tǒng)。

網(wǎng)神NSG在評測過程中所表現(xiàn)出的對網(wǎng)絡(luò)應(yīng)用處理出色的穩(wěn)定性，同樣我們留下了十分深刻的印象。憑借其出色的穩(wěn)定性，當(dāng)用戶網(wǎng)絡(luò)應(yīng)用出現(xiàn)問題時(shí)，網(wǎng)神NSG迅速對故障進(jìn)行定位，并通過產(chǎn)品策略設(shè)置或其它輔助手段及時(shí)解決。解決問題后無需再有對防火墻重啟或進(jìn)行其他干預(yù)性工作。有可能用戶在部署網(wǎng)神NSG一段時(shí)間后，會由于長時(shí)間不對其進(jìn)行操作而將其“遺忘”。而在網(wǎng)絡(luò)中被“遺忘”的產(chǎn)品都是好產(chǎn)品!

如果我們網(wǎng)站在近期需要進(jìn)行防火墻換代的話，我想我會向他們推薦這種可以被“遺忘”的東西。

可靠互聯(lián)——梭子魚F400

梭子魚F400給我們留下最深印象的并不是其可以達(dá)到的超高新建連接速率。而是其具備一個(gè)十分出色的集中管理控制中心。通過梭子魚NG控制中心，用戶能輕松將配置復(fù)制到其他的防火墻上。NG控制中心不限防火墻數(shù)量，任何一個(gè)企業(yè)只需要一個(gè)控制中心就能管理所有的防火墻。

同時(shí)通過NG控制中心可以十分方便的進(jìn)行VPN加密連接通道的配置。具有全面防護(hù)企業(yè)網(wǎng)絡(luò)架構(gòu)、提升點(diǎn)對點(diǎn)連接流量性能、簡化網(wǎng)絡(luò)操作流程功能。非常適合于大型企業(yè)內(nèi)部及各分支機(jī)構(gòu)間的可靠互通互聯(lián)工作，并且其身份認(rèn)證、入侵防御、Web過濾、反病毒、反垃圾郵件及網(wǎng)絡(luò)訪問控制等技術(shù)等功能也可以為企業(yè)網(wǎng)絡(luò)安全應(yīng)用提供非常可靠的應(yīng)用保障。

憑借著出色的“飛揚(yáng)”內(nèi)核設(shè)計(jì)，有效的統(tǒng)一了防火墻、IPS、帶寬管理和VPN等多種網(wǎng)絡(luò)安全防護(hù)模塊的應(yīng)用分析需求。使產(chǎn)品在功能及性能上已經(jīng)符合了下一代防火墻的要求。希望今后可以加強(qiáng)在產(chǎn)品易用性方面的功能設(shè)計(jì)，為用戶提供出適用性更強(qiáng)的產(chǎn)品。

神龍見首——PaloAlto下一代防火墻

通過PaloAlto下一代防火墻產(chǎn)品我們真證了解了下一代防火墻的神髓所在。高度統(tǒng)一的應(yīng)用及應(yīng)用威脅管理模塊、基于網(wǎng)絡(luò)應(yīng)用并包含網(wǎng)絡(luò)威脅應(yīng)用連接的應(yīng)用管理模式。全新的安全防理念使我們認(rèn)同了下一代防火墻這個(gè)稱謂。

然而在對PaloAlto產(chǎn)品認(rèn)同的同時(shí)，也對PaloAlto產(chǎn)生了一些遺憾。聯(lián)系了多個(gè)PaloAlto的產(chǎn)品代理也沒有征集到產(chǎn)品來進(jìn)行實(shí)際的產(chǎn)品測試，并且在國內(nèi)PaloAlto還沒有正式的辦事機(jī)構(gòu)出現(xiàn)。這使我們對PaloAlto產(chǎn)品功能認(rèn)可的同時(shí)，又產(chǎn)生了一定的疑慮：PaloAlto產(chǎn)品的功能重點(diǎn)是針對網(wǎng)絡(luò)應(yīng)用連接進(jìn)行安全防御，但不同地域中網(wǎng)絡(luò)應(yīng)用連接有很大的差異性存在。PaloAlto的產(chǎn)品在國內(nèi)是否可以全面的對網(wǎng)絡(luò)應(yīng)用連接狀態(tài)進(jìn)行準(zhǔn)確的收集?一但國內(nèi)有特定的網(wǎng)絡(luò)威脅發(fā)生PaloAlto的產(chǎn)品是否可以及時(shí)進(jìn)行處理?這些工作并非一些產(chǎn)品代理或網(wǎng)絡(luò)集成商就可以解決的。如果發(fā)生此類問題而無法及時(shí)處理的話，PaloAlto的產(chǎn)品有可能出現(xiàn)形同虛設(shè)的可怕后果。一但如此，原本嚴(yán)密的網(wǎng)絡(luò)安全設(shè)置也將會漏洞百出!

何以解憂——網(wǎng)康下一代防火墻

當(dāng)我們在對PaloAlto下一代防火墻產(chǎn)品在國內(nèi)應(yīng)用產(chǎn)生顧慮的時(shí)候，又收到了一款可以基于應(yīng)用及應(yīng)用威脅連接進(jìn)行統(tǒng)一分析管理的下一代防火墻產(chǎn)品——網(wǎng)康下一代防火墻。其所采用的單路徑異構(gòu)并行引擎在實(shí)現(xiàn)高度統(tǒng)一的應(yīng)用及應(yīng)用威脅管理的同時(shí)，可以實(shí)現(xiàn)基于網(wǎng)絡(luò)應(yīng)用連接的深度應(yīng)用分析，在對正常網(wǎng)絡(luò)應(yīng)用進(jìn)行管理的同時(shí)，也可以對網(wǎng)絡(luò)威脅應(yīng)用進(jìn)行識別并阻斷。并且網(wǎng)康下一代防火墻還提供了基于去的URL過濾功能，采用了基于云的主動掃描預(yù)防和在線內(nèi)容識別的方法，快速發(fā)現(xiàn)并識別被掛馬、釣魚類的網(wǎng)站甚至被植入木馬的傀儡主機(jī)，從而降低用戶在網(wǎng)絡(luò)應(yīng)用中的風(fēng)險(xiǎn)。

從應(yīng)用性能分析上來看，網(wǎng)康NF5000在即保證了應(yīng)用連接的可靠處理后，又具備很強(qiáng)的網(wǎng)絡(luò)攻擊抵抗能力，滿足了我們對下一代防火墻的指標(biāo)要求。在功能性上來說，通過其國內(nèi)廠商的獨(dú)特技術(shù)優(yōu)勢可以更加及時(shí)的對目前本地正在發(fā)生的應(yīng)用威脅連接特性進(jìn)行收集，并及時(shí)加以處理。因此從目前來看，網(wǎng)康下一代防火墻適合國內(nèi)用戶對網(wǎng)絡(luò)安全的應(yīng)用防護(hù)工作。#p#

惑望——明年會更好!

通過本次公開比較測試我們充分認(rèn)識到了，下一代防火墻可以為我們帶來安全、高效、經(jīng)濟(jì)、易用的全新網(wǎng)絡(luò)安全產(chǎn)品。其革命性的基于網(wǎng)絡(luò)應(yīng)用的一體化網(wǎng)絡(luò)應(yīng)用及威脅分析管理模式可以更加全面的為網(wǎng)絡(luò)應(yīng)用提供可靠防護(hù)能力。其高度整合的應(yīng)用管理防護(hù)模塊可以更加高效的對網(wǎng)絡(luò)應(yīng)用進(jìn)行分析處理。應(yīng)用分析處理性能的提升可以降低對安全產(chǎn)品硬件處理能力的要求，因此將會有更加經(jīng)濟(jì)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品出現(xiàn)?；趹?yīng)用及應(yīng)用威脅可視化管理模式的出現(xiàn)將會使網(wǎng)絡(luò)應(yīng)用產(chǎn)品更加易于用戶使用。由此可知，當(dāng)各大安全廠商均提供出具有自身安全特色的真正下一代防火墻產(chǎn)品之后，將會展現(xiàn)出一片網(wǎng)絡(luò)安全應(yīng)用的藍(lán)天凈土!

但是目前下一代防火墻產(chǎn)品在網(wǎng)絡(luò)應(yīng)用上也并非無懈可擊，高度統(tǒng)一的分析處理引擎可否滿足實(shí)際網(wǎng)絡(luò)中正常網(wǎng)絡(luò)應(yīng)用與異常網(wǎng)絡(luò)威脅及網(wǎng)絡(luò)攻擊相混雜的網(wǎng)絡(luò)應(yīng)用處理需求還需要得到更多的實(shí)際應(yīng)用來進(jìn)行驗(yàn)證。當(dāng)前被普遍采用的URL地址的過濾功能，雖然可以快速高效的對網(wǎng)頁內(nèi)容進(jìn)行判定。然而如何對不斷飛速擴(kuò)充的URL地址庫需要如何進(jìn)行高效的檢索?在這些問題上還有可能會有應(yīng)用處理的性能隱患存在。因此，下一代防火墻產(chǎn)品技術(shù)還需要經(jīng)歷一段成長發(fā)展的時(shí)期，才可以真正地走向成熟。

同樣，目前在國內(nèi)真正實(shí)現(xiàn)下一代防火墻功能的網(wǎng)絡(luò)安全廠商還是太少了，因此我們計(jì)劃在明年的下半年再重新進(jìn)行一次下一代防火墻產(chǎn)品的公開比較活動。期望到那時(shí)，會有更多的真正意義上的下一代防火墻產(chǎn)品出現(xiàn)。我們也會進(jìn)一步研究出一些適用性更好的評測方案更加全面的對下一代防火墻進(jìn)行更深入的評測。