| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
超级防火墙的运行速度比信息包还快,智能比饲机出动的黑客还要高,而且可以破解300多种网络攻击!防火墙供应商就他们的高端产品发表了各种的声明。我们的测试结果表明防火墙比以往任何时候都要坚固,运行速度更快,更容易管理。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我们和NSTL(Paris)测试了9种产品,大多数产品经受住了我们进行的一系列安全检查。除此之外,这些产品在我们进行的性能评估(使用最先进的测试台并进行全新的并行连接测试)中表现突出。实际上,今年防火墙的平均转送速度比去年快30%,比1997年快3倍。这些产品的管理也较以前有了重大改进。 要确定哪种产品最好并不容易。NetScreen-100和Cyberguard Firewall for Unixware获得第一名。这两种产品的安全性最好,性能高得惊人,而管理很简单。还有3种产品值得一题:市场领袖CheckPoint Firewall-1的用户界面仍然是评估其他防火墙的参考标准。Fore Systems号称采用目前最新的防火墙技术,在它的ESX-4800 Gigabit Ethernet交换机的芯片里嵌入Firewall-1规则集。而Network Associates 大大改进了 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
应用代理和信息包过滤 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
也许这不仅仅是巧合,但今年的防火墙测试涉及的实现方法比以往任何时候都多,例如NetScreen-100和Lucent Managed Firewall使用定制硬 件和操作系统(NetScreen-100同时执行带宽管理并充当VPN网关)。Novell Bordermanager是该供应商的Netware网络操作系统的扩展部 分。Fore ESX-4800集成了Firewall Switching Agent (FSA),这是一种校园网骨干交换机,嵌入了Check Point防火墙规则集----运行ASIC。其 他软件产品运行Unix或者Windows NT机器,常常要进行修改,以便加固或者替换基本的操作系统和TCP/IP协议堆。 尽管实现方法多种多样,但所有的防火墙都使用下列一种或者两种基本的体系结构:应用代理或者状态化信息包检查。 一般认为,应用代理的防火墙安全性较高,而包过滤防火墙的性能较好。但实际情况并非如此,在我们测试的防火墙产品中,大多数产品采用两 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
测试方法 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我们邀请13家供应商参加高端防火墙测试。我们要求每个供应商提供一个防火墙产品,至少支持3个Fast Ethernet接口、网络地址转换(NAT)和 远程管理功能。我们还要求软件防火墙供应商 提供适当的测试硬件。有4家供应商拒绝参加测试:Cisco Systems认为我们的测试不重视性能,而Internet Devices、Nokia IPRG和Watchguard Technologies尚未准备好产品。 我们主要测试防火墙的安全、管理和性能。 为了测试安全,我们配置了Internet Security Systems(ISS)提供的Firewall Scanner和Internet Scanner(均为5.6.2版本),以便对每个防火墙发动近300次攻击。供应商给自己的防火墙配置两个接口:一个连接受保护的网段,另一个连接未受保护的网段。我们在公共网段的一个机器里运行扫描器,并把它的输出作为安全报告的主要依据。我们还检查防火墙是否阻止包含Java或者ActiveX对象的Web页。 为了测试性能,我们使用NSTL开发的Loadrun测试Internet应用,以便生成FTP和SMTP请求。测试台使用两个FTP服务器和两个SMTP服务器 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
就管理而言,我们设计了3种方案:远程管理、访问控制和记录。并记录防火墙如何处理这3项任务。NSTL工程师负责处理配置。 在第一种方案里,黑客试图通过防火墙访问网络。我们确定防火墙是否用电子邮件或者传呼通知网络管理员,使管理员可以从远程网段禁用接 在第二种方案里,网络管理员根据IP地址和用户ID建立安全策略。我们验证是否可以根据时间设置访问限制。 在第三种方案里,我们要检查记录。我们尝试从每个防火墙的记录里收集特定数据,以便生成两个报告,其中一个显示未经授权的所有访问试图(按源IP地址排序),而另一个显示某个IP地址在24小时之内发出的所有HTTP请求。这就是简单的通过/失败测试:防火墙要么支持这些功能,要么不支持。 我们还要检查在记录空间和硬盘满的情况下,防火墙如何操作。对这两种情况而言,有4种可能的结果:覆盖旧记录项、继续运转而不记录、关闭访问、允许网络管理员定义记录文件大小。 最后检查防火墙把数据记录在什么地方,以及如何记录数据,查看记录大小是否可以定义,记录文件是和防火墙位于统一机器里还是位于不同的机器里。对于支持外部记录的产品,要确定防火墙是否按加密方式传输记录项。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
测试过程 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
为了测试这些产品的安全性,我们制定了迄今为止所有测试中最为复杂的规则集,它涉及460多种访问判定。供应商派出的代表负责解决配置问 题。我们用Firewall Scanner 5.6.2扫描工具验证规则集的执行情况,检测每个防火墙,并对防火墙发动300多次攻击,以便确定哪些地方存在安全问题。由于商用扫描工具有自己的特性,它可以通知防火墙拒绝所有请求,所以我们还采用NSTL设计的攻击方法对防火墙发动了几次攻击。总的来说,这次测试的设备的性能较以往测试的设备好。但也发现了问题:Novell Bordermanager接受路由选择更新消息,黑客可能会借此机会发动伪造的更新信息并转移通信量。但当我们禁用路由选择更新并使用静态路由选择时,可以消除此问题。 同时,我们希望防火墙可以阻止ActiveX和Java小程序。这些小程序会造成巨大的安全风险,因为他们会伪装成合法通信量通过防火墙,一旦防火墙让有害小程序进入网络,它可能会破坏目标机器里的数据,或者使用这些数据攻击其他主机。除了Novell Bordermanager只能阻止Java小程序之外,我们测试的所有防火墙均成功阻止了这两种小程序。 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
速度之王 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我们大约每年测试一次防火墙,而我们每次都会告诉用户安全比性能更重要。(实际上,Cisco之所以委婉拒绝参加测试,那是因为它认为我们进行的测试没有充分强调性能的重要性。) 我们首先解释性能测试。供应商提供各种各样的设备:从定制硬件(Lucent和NetScreen产品)到GigabitEthernet交换机(Fore产品)和网络 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
并行连接数 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
今年的性能测试还包括一项新内容:每个设备可以处理的最大并行连接数。并行连接是测试防火墙伸缩性的重要参数,高端防火墙必须处理大量用户,而不是把信息包匆匆发送出去就完事了。考虑一个用于保护电子商务Web站点的防火墙。即使防火墙每个连接只需要一点点带宽,防火墙也必须首先可以支持这种连接。连接越多,电子商务站销售的产品越多。 在并行连接测试中,我们使用了NSTL专门为这次测试设计的FTPConnLoad工具。测试脚本告诉防火墙一边的FTP客户机打开尽可能多的至另一 至于性能测试,首先要测试基准。我们在不启用防火墙的情况下在测试台运行FTPConnLoad,这样我们可以在“洁净”的配置环境里建立 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
图1 并行连接数 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
最大并行FTP连接数 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
不过,这种比较方法并不准确。在某种程度上,Cyberguard之所以获得第一名,那是因为它的硬件平台功能强大,而且有1GB RAM。如果其他低端产品有更多的RAM,应该可以支持更多的连接。
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
转送速率 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
和上次测试一样,我们还比较了防火墙的转送速率。我们的转送速率测试旨在测试所有安全规则发生作用的情况下,防火墙以多快的速度转送通信量。我们测试的所有的防火墙均支持NAT,这是让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边的方法。为了确定NAT是否影响转送速率,我们分别在启用和禁用NAT的情况下测试产品。各种防火墙的转送速率差别很大。(图2) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
图2 防火墙转送速率测试 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
FTP和SMTP混合通信量 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
我们再次进行基准测试。由于测试台没有安装防火墙,在4分钟脚本测试期间,可以实现15.6MB/S TCP转送速率,从而计算出转送速率接近125 Mbps。 为什么不使用交换式全双工测试台的200 Mbps最大理论值呢?首先,我们的测试集中在应用层,信息包报头和SMTP连接的连续打开和关闭可 我们不能准确确定应用开销和测试平台的限制会使性能下降多少。在启用NAT时,TCP转送速率从Network Associates Gauntlet的11.5 MB/s到Secure Computing Sidewinder的2.79 MB/s不等。如果考虑到Gauntlet在过去的转送速率,它在今年的表现确实让人吃惊。这显示出状态化信息包过滤的优越性:该供应商的“自适应代理”(adaptive proxy)体系结构只在防火墙检测到可疑通信量(通信量模式不符合规则集的要求)时才启用代理。Cyberguard,Netscreen和Check Point防火墙紧跟在Gauntlet之后,每个防火墙的转送速率不低于9 MB/s。至于Novell 我们希望在禁用NAT时转送速率较高,但实际情况并非总是如此。在某些情况下,由于不必隐藏受保护的网络的地址,防火墙以较快的速度转送通信量。例如Lucent防火墙的转送速率在没有NAT的情况下非常高,13.9 MB/s的 |
高端防火墙性能比较
最新推荐文章于 2022-08-02 17:55:45 发布