您的位置: 网界网 > 评测 > 正文

解惑下一代防火墙

 ————《网络世界》下一代防火墙技术分析公开对比评测

2012年12月04日 17:12:40 | 作者:《网络世界》评测实验室 董培欣 | 来源: | 查看本文手机版

摘要:下一代防火墙与新一代的多功能安全网关有什么区别?随着评测的惑生、惑析、惑明、惑媚逐渐的,我们对下一代防火墙有了更深入的了解,同时在惑评中对如何评估网关应用安全产品进行了一次深入分析。总体上讲,下一代防火墙虽然方兴...

标签
网神
评测
网康
梭子鱼
下一代防火墙
PaloAlto

惑评——性能篇

下一代防火墙[注]将网络安全防御从网络层提升到了应用层面,因此仅对产品网络层处理性能进行评测已无法全面对下一代防火墙产品进行评估。然而在对产品应用层处理性能的评测中还有着很多的指标未确定的现象存在。新建连接、应用流量、并发连接这些网络应用性能的关键测试指标应该如何去正确评估?也是本次下一代防火墙公开对比评测中,需要进行调研的重点项目。让我们再开启对网络应用性能的破惑之旅吧。

本测试中,我们通过思博伦公司的Avalanche 3100测试仪表,对厂商送测的下一代防火墙产品进行了一次较深入的应用处理性能分析。(测试拓扑参见图5)

图5:下一代防火墙网络应用测试拓扑

新建连接

新建连接速率是网络设备在应用层接受网络应用连接请求时的处理速率。此项测试结果越高,在实际应用中,网络产品对用户应用连接请求的处理性能就会越强。然而,新建连接速率与网络层数据包转发速率不同,在网络层由于数据包大小有限(64Byte-1518Byte),数据包转发速率有恒定的数值可以进行评估,达到限速后成绩不会再做提升。

而新建连接速率并非如此,在应用层中传输文件的大小基本不受限制,小到单个字节大到成百上千G的文件均可以进行传输。在相同网络带宽条件下,请求访问的文件越大,受网络带宽的影响,新建连接的性能指标就越低。为了测试出产品最大新建处理性能,在评测中通常会采用64Byte或1Byte大小文件进行新建连接速率的测试。如此测试出来的新建连接处理性能虽然会很高,但这种情况在实际网络应用中是基本无法见到的。有些IPS设备还会将这种情况定义为HTTP Flood攻击。

然而就是这样一种虚高的网络应用层测试指标,在一段时期内,居然被一些网络设备厂商竞相追逐攀比。新建连接速率的技术指标是否越高越好?低指标是否就代表着低性能?在应用层上应该如何正确对网络安全产品进行评估?这也是本次下一代防火墙公开比较测试想要了解的主要问题之一。

在了解本次公开比较测试的目的和需求之后,网神信息技术(北京)股份有限公司(以下简称“网神”)和梭子鱼网络(以下简称“梭子鱼”)为我们提供了相应的两款最高性能可达千兆级的防火墙,IPS吞吐量超过400兆网关安全产品,极大的支持了本次评测的顺利进行。

网神与梭子鱼所提供的产品分别具有自身的特色:

图6:网神SecGate 3600 NSG下一代防火墙

网神提供的SecGate 3600 NSG下一代防火墙产品(以下简称“网神NSG”)具备很强的应用稳定性,即使开启多个应用层防护模块下设备仍然能够正常运行,同时性能下降也不超过15%。不仅如此,网神经过多年传统防火墙的技术积累,以及市场需求的摸索,在下一代防火墙研发中体现了自己的见解和发展方向。本次评测中将以超过其最大应用处理性能的方式对其网络应用处理情况进行测试。

图7:梭子鱼Barracuda NG Firewall F400

梭子鱼提供的Barracuda NG Firewall F400(以下简称“梭子鱼F400”)已是一款较成熟的产品,具备很强的应用处理性能,在测试中,我们在厂商技术人员的配合下,将其处理性能提升到了极致,考查在过高网络应处理性能时可能出现的问题。

在评测过程中,我们采用思博伦公司的Avalanche 3100测试仪表模拟64Byte大小网页文件对这两款产品的防火墙应用处理性能、防火墙+URL阻断处理性能、IPS处理性能、IPS+DDoS[注]防护处理性能、以及防病毒和防病毒+eicar病毒验证代码这六项应用处理能力进行了评测。

由于在防火墙应用处理性能和防火墙+URL阻断处理性能测试中,两款产品表现均十分稳定,正常HTTP连接建立正常,URL阻断连接响应及时,因此在这里就不在进行过多的分析。下面主要分析了两款产品在IPS及防病毒功能应用时所出现的网络应用问题:

网神NSG

本次网神受邀测试并提供一款低端产品,在即便是开启防火墙功能模块+APP+IPS等模块的情况下,其新建连接的应用处理能力可以稳定的保持在4000新建连接/秒左右。这为我们研究在低新建连接应用性能下的产品性能分析提供了不少的便利条件。

网神在送测产品时对我们说,这款低端产品虽然处理性能较低但有很强的稳定性和易用性。起初我们对这段话还没有很深的了解,低性能就会稳定吗?这似乎有背于我们平时应用性能测试的常理。当我们将网神NSG开启IPS、防毒墙、APP应用识别功能模块后的测试成绩对他们的话进行了验证。在4000新建连接/秒的应用连接请求下,网神NSG下一代防火墙保持着CPU利用率维持在20%以内,多核相互之间调度以及利用率相对平均,测试曲线十分平稳。

在对网神NSG的IPS功能进行测试的时候,我们刻意将测试仪表新建连接的请求数提升到6000新建连接/秒,以检测在超出产品应用处理能力时,会出现什么样的网络问题。

测试结果表明:网神NSG除了在超过其处理能力后造成一些成功连接下降,并出现少量连接失败之外,整条成功处理的连接应用曲线确实可以用稳定来进行评价。

图8:网神NSG IPS功能模块测试结果

对此我们并不罢休,正常应用只是网络应用环境中的一部分,如果有异常攻击发生的时候,正常应用是否还可以继续顺利处理呢?为此,我们又通过Avalanche测试仪表加载了一些网络层DDoS攻击,来进行检验。(结果参见图8)

图9:网神NSG IPS+DDoS攻击测试结果

如果不是网神NSG控制台上明确显示出了DDoS攻击被阻断,我们几乎认为测试仪表上的攻击未成功发出。因为在加载DDoS攻击后,网神NSG的测试结果基本相同,差别非常细微。充分体现出了网神NSG在接受异常攻击时网络应用处理的稳定性。然而,这个结果并不是我们想要得到的。我们想要了解的是应用处理能力不足后会对应用产生的危害!因此,我们又打开了网神NSG的防病毒模块,并进行进一步的应用性能测试。(结果参见图9)

图10:网神NSG IPS+防病毒测试结果

在加载防病毒模块后,网络应用处理能力不足的后果终于显现了出来。在测试结果图表中可以清晰的看到,当应用请求逐步上升达到设备处理极限的时候,成功连接应用曲线开始急剧下降,同时失败连接曲线开始急升。这是因为网神NSG防病毒模块需要对超过600万病毒库进行特征比对,当应用传输的内容进行解析并过滤时,应用请求过高导到分析处理能力下降所造成的。

为了对防病毒功能的有效性进行评测,我们又利用Avalanche测试仪表上加载一定比例的含有eicar病毒验证代码的网页链接,进一步查看网神NSG在开启防病毒应用时的应用情况。(结果参见图10)

图11:网神NSG IPS+防病毒+eicar测试结果

因应用性能不足所导致的高应用性求时成功连接降低结果复现未令我们惊奇,令我们惊奇的是在网神NSG控制端显示,网神NSG依然忠实的将所有含eicar代码的连接识别并阻断!在回想在整个测试过程中,从未对网神NSG进行过复位或重新启动的操作,即便在上个测试中出现了成功连接响应过低的情况,也未对本次测试中网神NSG准确对含病毒带码连接进行防御产生影响。使我们再一次认可了网神NSG产品的稳定性及可靠性。我们接着搜集了大概超过1000个第三方样本进行测试,同样在此性能下测试,但是结果仍然让我们很吃惊,居然检测率保持在85%以上

梭子鱼F400

为了配合我们的测试,梭子鱼技术人员协助我们突破了梭子鱼F400新建连接速率的限制。为了便于对比,我们依然选用开启IPS以及IPS+防病毒时的新建连接处理速率进行了测试。

图12:梭子鱼F400 IPS功能模块测试结果

在我们一番努力后,梭子鱼F400开启IPS功能后的新建连接应用处理速率达到了12万新建连接/秒以上,整个测试曲线中除了有几次连接处理性能下降到6万新建连接每秒之外,测试曲线基本平稳,看来已把梭子鱼F400的应用处理性能充分的挖掘了出来。要知道梭子鱼F400的公开应用性能指标虽然比网神NSG高,但也仅在7000新建连接/秒。(结果参见图11)

图13:梭子鱼F400 IPS+DDoS攻击测试结果

此时,梭子鱼F400在处理异常攻击时是否同样正常呢?于是我们同样开始了新建连接性能+DDoS攻击的测试。这时异常现象出现了,在DDoS攻击加载的20到80秒区间内,梭子鱼F400的应用处理性能发生了剧烈的抖动,但并没有失败连接产生。可见在应用稳定性上会造成一些影响,但总体上影响不是很大。(结果参见图12)

下面我们又将梭子鱼F400的防病毒功能开启,从结果图表上看成绩和仅开启IPS功能的处理性能相差不大,这充分体现处理梭子鱼F400强大的应用处理性能。(结果参见图13)

图14:梭子鱼F400 IPS+防病毒测试结果

当我们在测试中加载一定比例的含有eicar病毒验证代码,梭子鱼F400开启病毒引擎后,处理性能出现相应下滑,之后设备迅速自身调整(+本站微信networkworldweixin),最终平稳完成测试。(测试结果参见图14)

图15:梭子鱼F400 IPS+防病毒+eicar测试结果

由以上测试结果我们可以看出,新建连接的测试指标并非越高越好,在新建连接指标过低时,网络应用处理能力固然会受到影响,新建连接指标过高时,对网络设备应用的危害性更加严重!那么我们在选择应用层网络安全设备时,多高的新建连接指标比较合适呢?为此我们在网络应用流量处理性能测试过程中,对其进行了更深入的分析。

应用流量

在新建连接性能测试中,我们是采用的64Byte小文件进行的网络应用性能测试。由于测试的文件很小,所以可以在较小的流量带宽占用下,将目前网络产品的网络应用连接建立的最大性能全面的测试出来。那么在大文件的应用连接请求下网络流量的应用处理效果会如何呢?下面我们分别采用了32KByte、64KByte以及1024KByte大小的网页文件对梭子鱼F400防火墙模式下的应用处理性能进行了测试。

需要说明的是在美国网络世界进行的同类测试中,为了体现网络中真实流量使用的是1KByte 到1,536KByte的混合文件,而混合文件虽然可以比较真实的对网络应用流量进行模似,但不利于对流量处理性能进行分析,因此在本项测试中,我们选用了固定长度的网页文件进行测试。实际上对网络真实流量的应用处理性能进行测试仅采用单一应用进行测试,那怕文件长度不同也是不够的,最理想的是抓取一些实际应用中的网络流量借肋测试仪表(Avalanche与IXIA目前均已支持此项功能)进行抓包回放!但局限于目前条件,此类测试还未能实现,但我们会再今后加强此类测试的研究工作。

由于在测试中我们选用的是梭子鱼F400上一对千兆网络端口进行的测试。因此应用流量的带宽也被限制在了1000bps之内。从测试结果我们可以看出,在请求文件大小在32KByte下,仅用不到4000新建连接/秒的应用连接,就可以将千兆网络带宽打满;在64KByte大小的文件时,新建连接速率下降到了1850新建连接/秒左右;在1024KByte的文件时,新建连接速率仅在110~120新建连接/秒之间。(测试结果参见图15)

图16:梭子鱼F400 1000K网页文件防火墙新建连接测试结果

考虑到在目前的网络应用环境之中,文件较小的纯文字网页文件已经非常罕见,基本上均为几百Kbyte以上的图文混合文件,1~2MByte大小的网页文件也十分常见。因此在现实的网络正常应用中,对新建连接的应用处理需求并不会很高。然而网关安全设备还需要考虑到对网络非法应用的异常情况与网络攻击的处理,因此新建连接的处理性能也不可以太过低下。出于以上多方面综合考虑,我们认为当网关安全产品所有功能模块全部开启时,在千兆带宽流量下,新建连接性能指标在8000到10000新建连接/秒就基本可以满足用户的应用防护需求,最高不要超过20000新建连接/秒。不然的话,有可能会因为追求过高的应用处理性能而对功能度或应用可靠性造成减低。

并发连接

并发连接用户数是测试网络设备在应用层最大可以允许多少用户同时进行连接,数值越高,设备所同时允许的连接用户就越多。在这里网神NSG与梭子鱼F400又给出了两个截然不同的结果,网神NSG的并发连接用户数可以保持在200万,而梭子鱼F400的只有30万!通过深入分析我们了解,应用需求的不同决定了并发连接用户数目的不同。

网神NSG是一款网关型的安全设备,需要满足大量内部员工多种不同网络应用以及Web网页防护的应用连接处理需求。当企业内部对外进行网络应用访问时,较高的并发连接用户数可以有效保障用户网络连接的正常应用。

梭子鱼F400更专注于企业内部网络应用安全防护,属于专门为分布式网络设计的网络安全产品,可以从十几个到数以千记的分支地点的网络互联、安全防护与安全管理。无论员工在公司还是漫游,只要通过VPN方式远程接入都可以得到防护和管理。企业内部的应用访问自然没有过高的并发连接保持需求,因此并发连接数指标也不会设计的太高。

由此可以看出,当网络安全产品部署在网关处时,由于需要对网络内、外大量的网络应用连接进行安全防护处理,因此需要较高的并发连接进行支持。而在企业内部网络应用中由于应用连接数量有限,自然无需有过多的并发连接数量进行保持。有时甚至还需要人为对并发连接用户数进行限制!因为在一台服务器上,对并发连接的处理能力是有限制的,在我们对服务器的网络应用性能测试中发现,即便是最简单的静态网页Web应用服务,服务器在配置较高内存后,并发连接的应用处理能力也仅在2万用户以内,高于此数值后就会引发服务器down机等严重故障出现!当然服务器并发连接处理能力还会与服务器硬件配置、操作系统、应用服务等有直接的关联,因此需要去进行综合的考量。例如某部门的订票系统最好在发布之前就进行一下全方位的网络应用性能测试,以确保可以支持众多用户的购票需求……

123 456

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

2.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:董培欣 dong_peixin@cnw.com.cn]