您的位置: 网界网 > 评测 > 正文

网络安全新体验——深信服下一代防火墙评测报告

 ——深信服下一代防火墙评测报告

2012年11月01日 09:51:43 | 作者:《网络世界》评测实验室 董培欣 | 来源: | 查看本文手机版

摘要:现在用户又把希望寄托在新出现的以网络应用连接防护为基础的“下一代”网络安全设备之上。期盼着她能以高性能高安全性的防护手段解决用户实际的网络安全问题。为此深信服推出了具备自身特色的网络安全设备——深信服下一代防火...

标签
防火墙
下一代
深信服
评测报告

网络安全新体验

——深信服下一代防火墙评测报告

《网络世界》评测实验室 董培欣

评测亮点:

全面的安全防护手段

多样的安全管理功能

及时有效的攻击阻断能力

出色的网络应用防护性能

网络用户都梦想着拥有着百分之百的安全,而严酷的网络威胁现实令这个梦想一次次的破灭。为此有的企业用户开始一层一层的叠加网络安全设备,然而过多的网络设备叠加不但使得网络管理变得复杂,还为网络的可靠运行增加了隐患。有的企业被迫开始了不采用网络安全设备的“裸奔”,甘愿忍受网络威胁前来肆虐!在当今严峻的网络安全形势下,企业在期盼着一体化的网络安全产品的出现。但是现有的一体化网络安全产品存在着各类功能模块协同能力不强,处理性能低下等问题。不能很好解决用户在网络应用中的实际问题,因此未能获得用户的认可。

现在用户又把希望寄托在新出现的以网络应用连接防护为基础的“下一代”网络安全设备之上。期盼着她能以高性能高安全性的防护手段解决用户实际的网络安全问题。为此深信服推出了具备自身特色的网络安全设备——深信服下一代防火墙[注]

深信服下一代防火墙

深信服下一代防火墙(Next-Generation Appliction Firewall)NGAF(以下简称深信服NGAF)是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,并具有强劲应用层处理能力的全新网络安全设备。深信服NGAF是否具备“百分百”网络安全防御的能力呢?《网络世界》评测实验室从网络应用威胁的角度对其进行了深入的评测。

网络安全涉及到多种网络及安全技术领域,凭借单一的功能或网络性能测试无法对其综合防御能力进行全面评估。因此《网络世界》评测实验室总结出了一套从网络应用威胁防御能力度对网络安全产品进行评估的全新评测方法。概括起来有以下两点:应对威胁高性能、防御威胁全面智能。

应对威胁高性能

在这方面主要是考查网络安全设备对已知威胁的处理性能。在网络应用性能测试中,我们采用了思博伦公司的Avalanche 3100测试仪表,对深信服NGAF产品应用层新建连接处理性能、应用层网络流量以及并发连接保持用户数进行了测试。(测试拓扑参见图1)

图1:网络应用测试拓扑

新建连接

在应用层新建连接处理性能测试中,我们对深信服NGAF在开启防火墙、URL过滤、IPS、防病毒以及WAF功能模块后的网络应用处理能力进行了测试。在测试过程中,我们将这些功能模块开启后,通过开启URL过滤后加一条阻断URL策略、开启防病毒后加入eicar防病毒功能研证代码的方式对其功能的实际处理性能进行验证。测试结果如下:

图2:应用层新建连接处理性能

网络安全产品要想实现对已知威胁的高性能处理,就必需具备很强的应用层新建连接处理能力。然而新建连接处理性能也非越高越好,依据《网络世界》评测实验室长期测试总结出的经验分析:在每千兆网络中新建连接速率如果在8000至10000新建连接每秒以下,就可能会出现网络应用处理能力不足的问题,特别是在网络中存在异常流量需要网络设备进行处理的时候,问题尤其明显。因此,我们把每千兆8000至10000新建连接每秒定为了网络应用新建连接处理能力的合格线。

通过对深信服NGAF的各项功能测试我们可以了解,深信服NGAF在各项功能模块打开的情况下,应用处理性能始络保持在20万新建连接每秒以上,在URL过滤(UN-URL)及防病毒(AV-eicar)两项功能验证性应用性能测试中新建连接性能也未出现明显下降。体现出了十分出色的网络应用处理能力。

应用流量

深信服NGAF目前最高可以对10Gbps网络应用流量进行处理,在本次测试过程中,我们通过思博伦Avalanche 3100的一对10G网络接口与深信服NGAF的10G网络接口相联,对其网络应用流量处理性能同样进行了测试。测试在开启其防火墙、IPS、防病毒以及WAF功能模块后进行。在测试过程中,我们分别采用32KByte、64Kbyte以及1Mbyte三种不大小文件对其各项功能的应用层网络流量处理能力进行了测试。(具体结果参见图3)

图3:应用层网络流量

通过测试结果我们了解,深信服NGAF在各项功能开启时,应用层网络流量处理性能优秀,在不同大小文件下,应用流量处理能力均达到了9.8Gbps以上,基本上是应用层网络流量处理能力的线速,完全可以满足正常网络应用中10Gbps宽带的应用流量处理需求。

并发连接

并发连接数是测试网络设备在应用层最大可以允许多少应用请求同时进行连接,数值越高,设备同时允许的连接用户就会越多。当前提升网络带宽的主要目的之一就是要满足更多的网络应用需求,因此也需要网关设备具备更高的并发连接数支持能力。

由于并发连接数的性能只体现在网关设备可以记录多少网络连接的状态,与设备开启多少功能项与处理能力没有过多的关联。因此在测试时仅测试了深信服NGAF在防火墙功能下的并发连接性能。测试结果显示被测的深信服NGAF在配置24G内存的情况下可以保持800万的并发连接请求。据深信服厂商资深工程师反馈,800万并发连接并不是极限,在增加内存的情况下,其并发连接数可以达到3200万。

防御威胁全面、智能

在网络安全设备的实际应用中,不但要应对当前的网络层威胁,对应用层威胁也需要有积极主动的防御处理能力。为此我们对深信服NGAF的威胁处理能力也进行了全面考查。

深信服NGAF防御功能主要体现在对应用层攻击的全面防护,包括以下两个方面:

1、 基于web的攻击防御,主要通过WAF功能体现

2、 基于系统、各种服务器和终端、各种应用软件漏洞的防御,主要通过IPS功能体现。

WAF模块主要侧重owasp top 10常见攻击的防御,通过测试发现,深信服NGAF可以有效的防御各类web攻击,包括常见的sql注入、xss、webshell、信息泄露,文件包含、网站扫描等攻击。此外,网页防篡改功能和数据防泄密功能也很有特色(+微信关注网络世界),测试效率令人满意,提供了包括事前扫描、事中防御,事后的防篡改、防泄密等完整防护功能,对web安全实现了全面的防御。

IPS模块主要关注应用软件、系统、各种服务器和终端方面的漏洞,在测试中,选取了一些最近两年影响重大的漏洞,包括IE浏览器漏洞、windows远程桌面漏洞、ser-U ftp目录穿越漏洞等,深信服NGAF都能有效防御。此外,IPS特征库的及时更新也是保证安全的重要功能,通过分析特征库版本发布情况看,深信服可以做到及时更新特征库,包括最新的0day及微软漏洞,此外,对于紧急漏洞,可以做到发布紧急版本提前部署防御措施。

当然,对于传统的威胁防护,深信服NGAF也提供了专业的解决方案,整合了病毒过滤、防DOS/DDOS攻击、防ARP欺骗、IPSEC VPN等安全功能。

风险分析、自动生成策略、策略智能联动

通过这一系列功能验证,我们真实了解了深信服NGAF全面的网络安全防护功能。同时深信服NGAF还备很强的风险分析、自动生成策略以及策略间智能联动功能。

风险分析是深信服NGAF很有特色的一个功能,它可以对防护区域内的主机进行安全扫描,及时发现可能存在的安全漏洞,并上报用户。从而有效的降低网络应用的安全风险。

在风险分析后深信服NGAF可以在应用策略中,通过自动生成策略功能自动生成安全策略,对这些安全隐患进行防御。当深信服NGAF设备的IPS或WAF防护策略匹配到远端黑客的攻击行为之后,可以智能的与防火墙策略联动,生成临时防护策略,限时封锁远端的源IP对业务的访问。防止黑客进行持续性的攻击尝试,最终绕过安全设备防护的风险。

安全可以百分百 但没有百分百的安全

通过对网络应用性能及功能性检测,我们基本断定深信服下一代防火墙大体上具备已知威胁高性能、未知威胁主动防御、发生威胁不泄密的安全防护功能,可以为用户提供“百分百”的安全应用体验。但是,需要提醒用户的是百分百的安全在实际网络应用中是并不存在的!在相对的应用范围之内,我们可以通过各种安全防护手段达到百分百的安全防护,深信服下一代防火墙只不过是将这个安全范围扩大,将用户正常网络应用尽可能的包含了进来。然而我们在关上一扇门的时候往往又打开了另一扇窗。因此在与网络威胁的斗争中,依然不可以疏忽大意。

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]