下一代防火墻方興未艾

隨著下一代防火墻概今的提出，目前很多國內外的安全廠商競相推出自己的下一代防火墻產品。為了解國內下一代防火墻產品發展的最新動向，評測實驗室分別向梭子魚、Check Point、思科、Dell SonicWALL、Fortinet、華為、H3C、杭州迪普、Juniper、綠盟、PaloAlto、啟明星辰、深信服、山石網科、天融信、網康、網神(廠商按字母排序，不分先后)等十幾家國內外網絡安全廠商發出了下一代防火墻產品公開對比評測的邀請。然而反回的結果確由衷的令人感到失望。國外廠商中除梭子魚外，均無法在國內提供相關的測試產品，國內有的安全廠商雖然在大力進行產品宣傳，但實際產品還未真正成熟。最終僅有梭子魚、網康、網神三家產品送測，并且在合作伙伴的協助下，對PaloAlto下一代防火墻功能進行了深入了解。由此可見，下一代防火墻這種全新的網絡應用防護技術在國內的大部分廠商中廣泛應用依然尚待時日。因此我們轉變了公開對比評測的角度，對這幾家廠商的下一代防火墻產品進行了深入的技術分析。

那么下一代防火墻與新一代的多功能安全網關有什么區別?隨著評測的惑生、惑析、惑明、惑媚逐漸的，我們對下一代防火墻有了更深入的了解，同時在惑評中對如何評估網關應用安全產品進行了一次深入分析?？傮w上講，下一代防火墻雖然方興未艾，但依然不能否定其技術的先進性。尤其是在其對網絡應用及應用威脅的深度解析處理上，有著很廣泛的發展前景。因此我們期望，經過一段時間的發展之后，下一代防火墻技術可以真正的蓬勃發展，為網絡用戶提供更加全面的網絡安全服務。

惑生——下一代防火墻

自從Gartner推出下一個防火墻定義之后，各大安全廠商積極響應，均在極力的宣傳自身的下一代防火墻產品。那么下一代防火墻具備了什么神奇的功能，可以今眾多網絡安全廠商競相追捧呢?在對下一代防火墻產品進行深入了解之前，作者心中始終存有疑問：什么是下一代防火墻?什么樣的產品才可能稱得上是下一代的防火墻產品?

近年來，在作者對網關安全產品的間接接觸與實際了解中發現：無論是防火墻、IPS還是功能集成度更高的UTM產品，在功能設計時，或多或少都加入一些應用層管理控制功能，并且隨著網絡安全設備應用層處理能力的飛速提升，不同安全功能模塊同時開啟后對網絡應用性能的影響也在急速減少，很多UTM產品在開啟所有安全功能后，也并未對其網絡處理性能產生過高的影響。至于應用識別的可視性，在許多上網行為管理以及流量管理產品中這已經是比較成熟的功能了，在網關安全產品中加入此類管理功能的安全產品目前也十分常見。難道說所謂下一代防火墻就是一個集成度更高的UTM嗎?!

基于上面安全產品的分析，不由始人產生一種疑惑，下一代防火墻的先進性究竟在哪里?難道說“下一代”僅是Gartner的一種市場宣傳手段嗎?為此《網絡世界》評測實驗室展開了本次下一代防火墻技術公開對比評測活動。希望可以通過對不同廠商下一代防火墻產品的技術分析，更深入的了解下一代防火墻到底可以為用戶帶來什么樣的新安全體驗。#p#

惑起——網絡安全

為了對下一代防火墻產品有一個正確的評估，我們首先需要將下一代防火墻產品在網絡安全中進行一個準確定位。從而進一步分析下一代防火墻產品可以解決用戶哪些方面的網絡安全問題。然而在進行這方面的工作時，卻讓我們產生出了更多的困惑，主要體現在以下三個方面：

惑一：網絡安全定義與產品功能的迷茫

首先，我們試著從網絡安全定義的角度去對下一代防火墻的功能特點進行分析。但在分析過程中卻發現網絡安全定義的概念與下一代防火墻所定義的功能特點很難進行匹配。

從網絡安全的定義中我們了解到：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全本質上來講是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。

然而在目前已知的下一代防火墻功能定義中，僅把下一代防火墻定義成具備第一代防火墻功能、具有集成式網絡入侵防御能力、業務識別的應用可視性以及智能聯動功能。

我們試著將網絡安全的定義與下一代防火墻的功能定義進行對比分析，可是發現網絡安全定義比較寬泛，很難與下一代防火墻的具體功能進行匹配分析。

可是，沒有一個準確的定義，我們應當如何將下一代防火墻的安全防護功能進行分析?沒有理論分析的話，應用性評估就更加無從談起了。因此，對這個問題我們決定轉換一個角度，從網絡安全的應用需求來對下一代防火墻產品進行分析。

惑二：網絡安全的應用需求

《網絡世界》評測實驗室在對廠商網絡安全產品測試過程中，積累了大批網絡安全產品的測試經驗，同時，也對網絡安全產品的應用需求有了較深入的了解。通過對這些網絡安全應用需求的分析，我們可以了解，當前網絡安全產品主要應用于兩個不同的領域：

一個是目前常見的網關安全領域，大多數應用在中小企業的網關進行部署，主要用于企業內部數據的加密傳輸(VPN)、企業內部對外的網絡安全訪問、還有一部分網絡流量管理的應用需求目前也開始集成到網關安全設備之中。

另一個是網絡的干路及核心的網絡安全，大多部署在大型企業數據中心、電信機房主要完成一些網絡內部端口管理、攻擊消減等任務，但由于部署位置關鍵、所需處理網絡流量大，因此需要產品具有很高的可靠性及很高的網絡處理性能。

目前在這兩種不同的網絡安全部署應用中，均對網絡安全應用處理能力產生了基于深度網絡應用連接分析的新需求，而下一代防火墻產品是否具備足夠的功能去應對這兩方面的應用?為此我們心中依然充滿疑慮。為此，我們進一步對當前網絡安全產品的應用現狀進行了分析。

惑三：網絡安全產品應用現狀

目前網絡安全產品應用中，兩極分化十分嚴重。有些企業用戶開始一層一層的疊加網絡安全設備，然而過多的網絡設備疊加不但使得網絡管理變得復雜，還為網絡的可靠運行增加了隱患。有些企業被迫開始了不采用網絡安全設備的“裸奔”，甘愿忍受網絡威脅前來肆虐!

究其原因，是因為當前的網絡安全產品，尤其是防火墻類網絡安全產品在網絡應用安全防護方面的不足所造成的。傳統防火墻的針對網絡端口及簡單的應用分析過濾功能已無力對日益泛濫的網絡應用威脅進行防護。在目前抵御日益泛濫的網絡應用層威脅的時候，通常只能通過被動更新安全補丁或增加新的網絡應用安全防護設備這兩種手段來進行。因此傳統防火墻在目前的網絡安全產品中已經退化到了一種可有可無的尷尬境地。

因此，注重網絡安全的用戶開始被迫一層層的進行網絡安全設備疊加，為網絡安全的防護增加了不菲的資金投入。而另一些網絡用戶認為在網絡安全方面沒必要有如此高的投入，甚至有極端的用戶居然連防火墻也不采購開始了赤裸裸的裸奔生涯。#p#

惑析——南轅北轍中的啟示

疊加或裸奔這兩種南轅北轍的網絡安全設備應用方式，給我們了一個啟示：既然用戶將網絡威脅的安全防護能力作為采用網絡安全產品的選擇標準，那我們同樣也可以從網絡威脅安全防護的角度來對下一代防火墻的應用功能進行評測。由此《網絡世界》評測實驗室正式推出了基于網絡威脅安全防護的全新網絡安全產品考量方式。大體上可以概括為以下三點：

一、已知威脅高性能

安全是以犧牲效率為代價進行保障的，而效率是可以通過先進技術手段進行提升的。安全而低效必然無法滿足企業網絡應用的需求。因此網絡安全設備在應對已知威脅時必需要具備高性能的網絡應用處理能力。

要想滿足企業網絡安全應用的正常需求，《網絡世界》評測實驗室目前暫定已知威脅高性能需要在以下兩方面得到體現：

1、在網絡安全設備各項安全功能模塊分別及全部開啟時的正常應用處理性能，以測試產品在正常網絡應用中的處理能力。

2、在網絡安全設備各項安全功能模塊分別及全部開啟時在處理加載網絡攻擊或應用阻斷后的處理性能，以測試產品在對異常網絡流量進行處理時是否會對正常應用造成影響;同時也可以對產品防護能力進行驗證性測試。

二、未知威脅主動防御

對已知威脅的防御只是目前企業對網絡安全需求的一部分，除了被動的進行網絡安全防御之外，企業用戶還希望可能對未知的網絡安全有更加主動的防御辦法。

例如Blue Coat在前一段時間推出的“負日防御”安全引擎，就是通過及時監控黑客構建的惡意網絡(僵尸網絡)的方法及時洞查黑客動向并進行實時追蹤。當有新的零日攻擊發生時，即可及時進行阻斷的方法，就是一種十分先進的主動防御手段。

當然，還有許多其它的安全防護手段，如防止端口掃描、阻斷木馬上傳以及網頁防篡改等安全防護功能也可以對未知威脅起到主動的防御能力。

三、發生威脅不泄密

安全防護的手段再多，有時也難以擋住黑客那無孔不入的黑手。因此，在網絡威脅已經發生的情況下，網絡安全設備應該具備防止關鍵數據泄密的防護能力。從而保障用戶核心機密的安全。

只有具備了以上三種網絡安全防護能力，我們才認為這種網絡安全設備可以真正實現對用戶網絡應用的全面安全防護。#p#

惑明——由PaloAlto產生的轉變

沒有深入調查研究就沒有發言權，這句話確實不假!在沒有深入了解幾個參測廠商的下一代防火墻之前，筆者一直認為所謂下一代防火墻只是一個網絡安全概念的炒作。只是在基于新一代網絡安全處理硬件上對舊有安全防護功能的一種集合。這種集合可以算得上是對目前網絡安全產品的一種升級。雖然這種升級可以有效的對目前網絡威脅進行可靠安全防護，但并不能算得上是跨代，下一代這個說法并不是名副其實。

在收集、整理、評測網絡安全廠商所提供的下一代防火墻產品功能及應用性能數據時，我們這一觀點開始了轉變。最初的轉變是由真正了解了PaloAlto的產品功能后開始的。令我們產生這種轉變的同樣是威脅，PaloAlto下一代防火墻有一個最大的技術特點，就是通過統一的應用及應用威脅分析功能模塊對網絡正常應用連接進行分析并管理，同時對網絡威脅應用的連接進行分析處理，并把威脅應用連接進行阻斷!

威脅應用連接阻斷，這個功能令作者聯想到了很多，網絡黑客之所以能夠發動大規模的拒絕服務攻擊，是因為他們通過威脅應用連接控制了成千上萬的電腦;黑客竊取用戶信息是因為威脅應用連接對用戶主機的接入。斷掉了這些威脅應用連接，黑客將再無所做為!對這些威脅應用連接進行追蹤，黑客將無所遁形!

如果說控制網絡連接端口，對用戶網絡進行安全防護的是第一代防火墻，控制用戶應用連接，對用戶網絡應用進行安全防護就當之無愧的可以稱之為“下一代”防火墻了!

然而下一代防火墻的魅力還不僅限于此。由于利用統一應用及應用威脅分析功能模塊對網絡中的數據流進行分析，然后通過調用不同的管理功能數據庫對信息進行相應管理，在應用處理效率上，自然比常規多功能網關安全產品分別利用多種功能模塊進行網絡及應用層分析并對威脅進行處理的方式。

以梭子魚下一代防火墻產品的“飛揚”內核為例：在“飛揚”內核中既采用了狀態防火墻技術對網絡層攻擊進行防護，也采用應用層的代理技術進行內容掃描，并可以利用帶寬管理和VPN隧道選擇。這就意味著通過一個網絡管理控制引擎實現以往防火墻、IPS、帶寬管理和VPN這多種網絡安全防護模塊的應用需求。因此在后面的網絡應用性能分析中，梭子魚表現出了令人驚異的性能體現。

同樣在網康與網神的下一代防火墻中，也已經采用了同類的應用及應用威脅統一分析處理機制對網絡應用數據進行統一分析后，通過一次數據包拆分，并行處理數據內容，將威脅、應用、流量已可視化、智能化體現給用戶，使用戶能夠快速定位問題因此，下一代防火墻不僅具備高性能、高穩定性，同時具備較強的安全防御能力與內網自動化管理功能。只不過各廠商產品在功能的細微處的處理方面還有所不同而已。#p#

惑媚——下一代防火墻功能分析

那么下一代防火墻是否可以更加有效的對網絡應用威脅進行安全防護呢?為此我們通過前面總結出的網絡威脅三方面安全防護能力，對PaloAlto的下一代防火墻功能進行了分析。由于在本次橫向評測中，始終未協調到PaloAlto防火墻進行應用性能評測，只能在友好協作廠商的協助下，對PaloAlto的產品功能做了一次較細致的評估。

已知威脅

在對PaloAlto下一代防火墻功能評估中我們了解到，PaloAlto在下一代防火墻的功能設計中，通過對用戶網絡應用連接的深度分析這一種功能模塊，即可實現用戶認證、正常應用網絡連接、應用流量的管理控制，同時還可以實現對網絡威脅連接及異常流量分析阻斷。

由此可知，PaloAlto下一代防火墻成功的通過一個網絡應用處理功能模塊，將通常傳統防火墻或多功能安全網關中有關用戶認證、應用流量管理、IPS乃至于DDoS攻擊防護等多種功能模塊統一的融合在了一起。

圖1：PaloAlto應用威脅統計界面

很明顯，通過一個網絡應用處理模塊對多種安全防護功能統一處理，在網絡應用處理效率上，會優于目前常見的多功能網關采用多種不同安全防護模塊協調處理的方式。這種優勢自然可以給PaloAlto下一代防火墻帶來已知威脅高性能的處理能力。

未知威脅

網絡威脅無孔不入，時刻都有新的網絡漏洞被發現被利用!對于下一代防火墻來講對網絡中的未知威脅是否同樣也是無力抵抗呢?在對PaloAlto下一代防火墻的功能調研中未發現類似Blue Coat“負日防御”之類的主動防御功能存在，不過在我們接觸到的另一款下一代防火墻產品——網康下一代防火墻中，已經加入了基于云的URL過濾功能，這種功能與“負日防御”有異曲同工之效，同樣可以積極主動的對未知威脅進行安全防護。并且在PaloAlto下一代防火墻的網絡應用連接分析這一功能也可以對存在威脅的網絡連接進行終斷。因此可以在黑客進行攻擊初期的端口掃描階段就將掃描連接請求終斷、在即便木馬已通過新的漏洞成功上傳，由于大部分木馬應用連接特征已被加入下一代防火墻的威脅連接特征庫，因此木馬的控制連接也無法建立，從而實現了主動防御的目的。

圖2：PaloAlto統計詳細內容界面

此外PaloAlto下一代防火墻看采用的應用及應用威脅“可視化”監控統計界面也可以時實向用戶展示出當前網絡中各種應用的使用狀況，使用戶可及時查覺網絡中的異常情況。

圖3：PaloAlto統計界面

發生威脅

然而總會有網絡威脅會通過種種手段繞過防火墻的圍困。當這個時候，我們是否就只能任憑黑客為所欲為?原本我們也認為PaloAlto的下一代防火墻確實無力對這種情況進行應對。然而在對PaloAlto的策略配置分析時，我們找到了對發生威脅的防護手段。

圖4：PaloAlto策略配置

PaloAlto下一代防火墻的策略設置中，可以對源、目的、用戶、應用、服務、動作進行限制。因此，在策略設置嚴密的下一代防火墻面前，即便黑客成功的用未知漏洞或其他手段攻入了用戶網絡，也會因為缺乏相應的控制權限而止步于此。從而確保了在發生威脅時網絡核心數據的安全。

通過以上分析我們可以了解，PaloAlto下一代防火墻從網絡應用角度上講，確實可以為我們提供比較全面的網絡安全防護功能。然而網絡安全防護功能好不好用、管不管用，看廠商的技術水平;恰當的應用、發揮出全部的防護功能，還要看用戶如何去正確使用。當然有時需要廠商的大加技術支持，這就是考驗廠商技術服務實力的時候了。#p#

惑評——功能篇

我們對網神、梭子魚與網康的三款下一代防火墻進行了更深一步的功能性對比。在功能性對比過程中，我們從已知應用處理、已知威脅處理、未知威脅處理和日志及報表這幾個方面，對下一代防火墻產品的功能性進行了一次總結。通過功能性的對比，我們可以清楚的了解產品在應用及應用威脅方面的處理能力。(具體對比結果參見表1)

表1：下一代防火墻功能對比

通過功能對比我們可以發現，在對已知應用及已知威脅處理能力上，各款下一代防火墻產品功能基本相近，均可以實現應用及應用威脅深度分析及處理。在針對未知威脅主動防御的防護處理方面，除網康以外基本上都僅有基于云的URL過濾方式進行防御這一種方式。因此對新型網絡攻擊的抵御能力尚有待加強。對于已發生威脅，各款產品均可以通過日志報表或流量統計的形式發現問題并及時上報進行處理。綜合來講，目前送測的各款下一代防火墻產品均可以為用戶提供較為出色的網絡應用管理及應用安全防護功能。但是下一代防火墻產品在基于網絡應用連接分析處理方面還有很大的潛力可以進行挖掘，通過對網絡應用的深度分析，還可以更好的對未知網絡威脅進行更加全面的防護。希望今后可以有更加全面的安全防護新功能在產品展現。

為了便于分析比較，我們對下一代防火墻與當前的多功能安全網關也進行一個簡單的差異性功能比較。(具體內容參見表2)

通過功能分析對比我們可以了解，下一代防火墻與多功能安全網關本質區別就在于對網絡應用的處理機質上面。通過統一的網絡應用分析引擎對網絡應用進行分析后調用不同數據庫對信息進行對比的是下一代防火墻，而分別利用不同分析引擎對網絡應用進行處理的是多功能安全網關。同時，我們對這兩種網絡應用處理技術的優勢與不足進行了簡單的分析，也產生了少許對下一代防火墻應用處理能力的憂慮。但我們相信這些憂慮會在下一代防火墻并行應用處理技術的深入發展中很快煙消云散的，下一代防火墻的明天將會更加美好。#p#

惑評——性能篇

下一代防火墻將網絡安全防御從網絡層提升到了應用層面，因此僅對產品網絡層處理性能進行評測已無法全面對下一代防火墻產品進行評估。然而在對產品應用層處理性能的評測中還有著很多的指標未確定的現象存在。新建連接、應用流量、并發連接這些網絡應用性能的關鍵測試指標應該如何去正確評估?也是本次下一代防火墻公開對比評測中，需要進行調研的重點項目。讓我們再開啟對網絡應用性能的破惑之旅吧。

本測試中，我們通過思博倫公司的Avalanche 3100測試儀表，對廠商送測的下一代防火墻產品進行了一次較深入的應用處理性能分析。(測試拓撲參見圖5)

 [[105398]]

圖5：下一代防火墻網絡應用測試拓撲

新建連接

新建連接速率是網絡設備在應用層接受網絡應用連接請求時的處理速率。此項測試結果越高，在實際應用中，網絡產品對用戶應用連接請求的處理性能就會越強。然而，新建連接速率與網絡層數據包轉發速率不同，在網絡層由于數據包大小有限(64Byte-1518Byte)，數據包轉發速率有恒定的數值可以進行評估，達到限速后成績不會再做提升。

而新建連接速率并非如此，在應用層中傳輸文件的大小基本不受限制，小到單個字節大到成百上千G的文件均可以進行傳輸。在相同網絡帶寬條件下，請求訪問的文件越大，受網絡帶寬的影響，新建連接的性能指標就越低。為了測試出產品最大新建處理性能，在評測中通常會采用64Byte或1Byte大小文件進行新建連接速率的測試。如此測試出來的新建連接處理性能雖然會很高，但這種情況在實際網絡應用中是基本無法見到的。有些IPS設備還會將這種情況定義為HTTP Flood攻擊。

然而就是這樣一種虛高的網絡應用層測試指標，在一段時期內，居然被一些網絡設備廠商競相追逐攀比。新建連接速率的技術指標是否越高越好?低指標是否就代表著低性能?在應用層上應該如何正確對網絡安全產品進行評估?這也是本次下一代防火墻公開比較測試想要了解的主要問題之一。

在了解本次公開比較測試的目的和需求之后，網神信息技術(北京)股份有限公司(以下簡稱“網神”)和梭子魚網絡(以下簡稱“梭子魚”)為我們提供了相應的兩款最高性能可達千兆級的防火墻，IPS吞吐量超過400兆網關安全產品，極大的支持了本次評測的順利進行。

網神與梭子魚所提供的產品分別具有自身的特色：

[[105399]]

圖6：網神SecGate 3600 NSG下一代防火墻

網神提供的SecGate 3600 NSG下一代防火墻產品(以下簡稱“網神NSG”)具備很強的應用穩定性，即使開啟多個應用層防護模塊下設備仍然能夠正常運行，同時性能下降也不超過15%。不僅如此，網神經過多年傳統防火墻的技術積累，以及市場需求的摸索，在下一代防火墻研發中體現了自己的見解和發展方向。本次評測中將以超過其最大應用處理性能的方式對其網絡應用處理情況進行測試。

[[105400]]

圖7：梭子魚Barracuda NG Firewall F400

梭子魚提供的Barracuda NG Firewall F400(以下簡稱“梭子魚F400”)已是一款較成熟的產品，具備很強的應用處理性能，在測試中，我們在廠商技術人員的配合下，將其處理性能提升到了極致，考查在過高網絡應處理性能時可能出現的問題。

在評測過程中，我們采用思博倫公司的Avalanche 3100測試儀表模擬64Byte大小網頁文件對這兩款產品的防火墻應用處理性能、防火墻+URL阻斷處理性能、IPS處理性能、IPS+DDoS防護處理性能、以及防病毒和防病毒+eicar病毒驗證代碼這六項應用處理能力進行了評測。

由于在防火墻應用處理性能和防火墻+URL阻斷處理性能測試中，兩款產品表現均十分穩定，正常HTTP連接建立正常，URL阻斷連接響應及時，因此在這里就不在進行過多的分析。下面主要分析了兩款產品在IPS及防病毒功能應用時所出現的網絡應用問題：

網神NSG

本次網神受邀測試并提供一款低端產品，在即便是開啟防火墻功能模塊+APP+IPS等模塊的情況下，其新建連接的應用處理能力可以穩定的保持在4000新建連接/秒左右。這為我們研究在低新建連接應用性能下的產品性能分析提供了不少的便利條件。

網神在送測產品時對我們說，這款低端產品雖然處理性能較低但有很強的穩定性和易用性。起初我們對這段話還沒有很深的了解，低性能就會穩定嗎?這似乎有背于我們平時應用性能測試的常理。當我們將網神NSG開啟IPS、防毒墻、APP應用識別功能模塊后的測試成績對他們的話進行了驗證。在4000新建連接/秒的應用連接請求下，網神NSG下一代防火墻保持著CPU利用率維持在20%以內，多核相互之間調度以及利用率相對平均，測試曲線十分平穩。

在對網神NSG的IPS功能進行測試的時候，我們刻意將測試儀表新建連接的請求數提升到6000新建連接/秒，以檢測在超出產品應用處理能力時，會出現什么樣的網絡問題。

測試結果表明：網神NSG除了在超過其處理能力后造成一些成功連接下降，并出現少量連接失敗之外，整條成功處理的連接應用曲線確實可以用穩定來進行評價。

[[105401]]

圖8：網神NSG IPS功能模塊測試結果

對此我們并不罷休，正常應用只是網絡應用環境中的一部分，如果有異常攻擊發生的時候，正常應用是否還可以繼續順利處理呢?為此，我們又通過Avalanche測試儀表加載了一些網絡層DDoS攻擊，來進行檢驗。(結果參見圖8)

[[105402]]

圖9：網神NSG IPS+DDoS攻擊測試結果

如果不是網神NSG控制臺上明確顯示出了DDoS攻擊被阻斷，我們幾乎認為測試儀表上的攻擊未成功發出。因為在加載DDoS攻擊后，網神NSG的測試結果基本相同，差別非常細微。充分體現出了網神NSG在接受異常攻擊時網絡應用處理的穩定性。然而，這個結果并不是我們想要得到的。我們想要了解的是應用處理能力不足后會對應用產生的危害!因此，我們又打開了網神NSG的防病毒模塊，并進行進一步的應用性能測試。(結果參見圖9)

[[105403]]

圖10：網神NSG IPS+防病毒測試結果

在加載防病毒模塊后，網絡應用處理能力不足的后果終于顯現了出來。在測試結果圖表中可以清晰的看到，當應用請求逐步上升達到設備處理極限的時候，成功連接應用曲線開始急劇下降，同時失敗連接曲線開始急升。這是因為網神NSG防病毒模塊需要對超過600萬病毒庫進行特征比對，當應用傳輸的內容進行解析并過濾時，應用請求過高導到分析處理能力下降所造成的。

為了對防病毒功能的有效性進行評測，我們又利用Avalanche測試儀表上加載一定比例的含有eicar病毒驗證代碼的網頁鏈接，進一步查看網神NSG在開啟防病毒應用時的應用情況。(結果參見圖10)

[[105404]]

圖11：網神NSG IPS+防病毒+eicar測試結果

因應用性能不足所導致的高應用性求時成功連接降低結果復現未令我們驚奇，令我們驚奇的是在網神NSG控制端顯示，網神NSG依然忠實的將所有含eicar代碼的連接識別并阻斷!在回想在整個測試過程中，從未對網神NSG進行過復位或重新啟動的操作，即便在上個測試中出現了成功連接響應過低的情況，也未對本次測試中網神NSG準確對含病毒帶碼連接進行防御產生影響。使我們再一次認可了網神NSG產品的穩定性及可靠性。我們接著搜集了大概超過1000個第三方樣本進行測試，同樣在此性能下測試，但是結果仍然讓我們很吃驚，居然檢測率保持在85%以上

梭子魚F400

為了配合我們的測試，梭子魚技術人員協助我們突破了梭子魚F400新建連接速率的限制。為了便于對比，我們依然選用開啟IPS以及IPS+防病毒時的新建連接處理速率進行了測試。

 [[105405]]

圖12：梭子魚F400 IPS功能模塊測試結果

在我們一番努力后，梭子魚F400開啟IPS功能后的新建連接應用處理速率達到了12萬新建連接/秒以上，整個測試曲線中除了有幾次連接處理性能下降到6萬新建連接每秒之外，測試曲線基本平穩，看來已把梭子魚F400的應用處理性能充分的挖掘了出來。要知道梭子魚F400的公開應用性能指標雖然比網神NSG高，但也僅在7000新建連接/秒。(結果參見圖11)

[[105406]]

圖13：梭子魚F400 IPS+DDoS攻擊測試結果

此時，梭子魚F400在處理異常攻擊時是否同樣正常呢?于是我們同樣開始了新建連接性能+DDoS攻擊的測試。這時異常現象出現了，在DDoS攻擊加載的20到80秒區間內，梭子魚F400的應用處理性能發生了劇烈的抖動，但并沒有失敗連接產生?？梢娫趹梅€定性上會造成一些影響，但總體上影響不是很大。(結果參見圖12)

下面我們又將梭子魚F400的防病毒功能開啟，從結果圖表上看成績和僅開啟IPS功能的處理性能相差不大，這充分體現處理梭子魚F400強大的應用處理性能。(結果參見圖13)

[[105407]]

圖14：梭子魚F400 IPS+防病毒測試結果

當我們在測試中加載一定比例的含有eicar病毒驗證代碼，梭子魚F400開啟病毒引擎后，處理性能出現相應下滑，之后設備迅速自身調整，最終平穩完成測試。(測試結果參見圖14)

[[105408]]

圖15：梭子魚F400 IPS+防病毒+eicar測試結果

由以上測試結果我們可以看出，新建連接的測試指標并非越高越好，在新建連接指標過低時，網絡應用處理能力固然會受到影響，新建連接指標過高時，對網絡設備應用的危害性更加嚴重!那么我們在選擇應用層網絡安全設備時，多高的新建連接指標比較合適呢?為此我們在網絡應用流量處理性能測試過程中，對其進行了更深入的分析。

應用流量

在新建連接性能測試中，我們是采用的64Byte小文件進行的網絡應用性能測試。由于測試的文件很小，所以可以在較小的流量帶寬占用下，將目前網絡產品的網絡應用連接建立的最大性能全面的測試出來。那么在大文件的應用連接請求下網絡流量的應用處理效果會如何呢?下面我們分別采用了32KByte、64KByte以及1024KByte大小的網頁文件對梭子魚F400防火墻模式下的應用處理性能進行了測試。

需要說明的是在美國網絡世界進行的同類測試中，為了體現網絡中真實流量使用的是1KByte 到1,536KByte的混合文件，而混合文件雖然可以比較真實的對網絡應用流量進行模似，但不利于對流量處理性能進行分析，因此在本項測試中，我們選用了固定長度的網頁文件進行測試。實際上對網絡真實流量的應用處理性能進行測試僅采用單一應用進行測試，那怕文件長度不同也是不夠的，最理想的是抓取一些實際應用中的網絡流量借肋測試儀表(Avalanche與IXIA目前均已支持此項功能)進行抓包回放!但局限于目前條件，此類測試還未能實現，但我們會再今后加強此類測試的研究工作。

由于在測試中我們選用的是梭子魚F400上一對千兆網絡端口進行的測試。因此應用流量的帶寬也被限制在了1000bps之內。從測試結果我們可以看出，在請求文件大小在32KByte下，僅用不到4000新建連接/秒的應用連接，就可以將千兆網絡帶寬打滿;在64KByte大小的文件時，新建連接速率下降到了1850新建連接/秒左右;在1024KByte的文件時，新建連接速率僅在110~120新建連接/秒之間。(測試結果參見圖15)

[[105409]]

圖16：梭子魚F400 1000K網頁文件防火墻新建連接測試結果

考慮到在目前的網絡應用環境之中，文件較小的純文字網頁文件已經非常罕見，基本上均為幾百Kbyte以上的圖文混合文件，1~2MByte大小的網頁文件也十分常見。因此在現實的網絡正常應用中，對新建連接的應用處理需求并不會很高。然而網關安全設備還需要考慮到對網絡非法應用的異常情況與網絡攻擊的處理，因此新建連接的處理性能也不可以太過低下。出于以上多方面綜合考慮，我們認為當網關安全產品所有功能模塊全部開啟時，在千兆帶寬流量下，新建連接性能指標在8000到10000新建連接/秒就基本可以滿足用戶的應用防護需求，最高不要超過20000新建連接/秒。不然的話，有可能會因為追求過高的應用處理性能而對功能度或應用可靠性造成減低。

并發連接

并發連接用戶數是測試網絡設備在應用層最大可以允許多少用戶同時進行連接，數值越高，設備所同時允許的連接用戶就越多。在這里網神NSG與梭子魚F400又給出了兩個截然不同的結果，網神NSG的并發連接用戶數可以保持在200萬，而梭子魚F400的只有30萬!通過深入分析我們了解，應用需求的不同決定了并發連接用戶數目的不同。

網神NSG是一款網關型的安全設備，需要滿足大量內部員工多種不同網絡應用以及Web網頁防護的應用連接處理需求。當企業內部對外進行網絡應用訪問時，較高的并發連接用戶數可以有效保障用戶網絡連接的正常應用。

梭子魚F400更專注于企業內部網絡應用安全防護，屬于專門為分布式網絡設計的網絡安全產品，可以從十幾個到數以千記的分支地點的網絡互聯、安全防護與安全管理。無論員工在公司還是漫游，只要通過VPN方式遠程接入都可以得到防護和管理。企業內部的應用訪問自然沒有過高的并發連接保持需求，因此并發連接數指標也不會設計的太高。

由此可以看出，當網絡安全產品部署在網關處時，由于需要對網絡內、外大量的網絡應用連接進行安全防護處理，因此需要較高的并發連接進行支持。而在企業內部網絡應用中由于應用連接數量有限，自然無需有過多的并發連接數量進行保持。有時甚至還需要人為對并發連接用戶數進行限制!因為在一臺服務器上，對并發連接的處理能力是有限制的，在我們對服務器的網絡應用性能測試中發現，即便是最簡單的靜態網頁Web應用服務，服務器在配置較高內存后，并發連接的應用處理能力也僅在2萬用戶以內，高于此數值后就會引發服務器down機等嚴重故障出現!當然服務器并發連接處理能力還會與服務器硬件配置、操作系統、應用服務等有直接的關聯，因此需要去進行綜合的考量。例如某部門的訂票系統最好在發布之前就進行一下全方位的網絡應用性能測試，以確保可以支持眾多用戶的購票需求……#p#

惑比——廠商功能點評

在原先的測試計劃中，在這里準備對當前所有安全廠商的下一代防火墻產品進行一次綜合性的功能對比。然而在對PaloAlto、梭子魚下一代防火墻產品進行深入分析后，我們對下一代防火墻有了全新的認識，并發現目前很多網絡安全廠商的新一代網絡安全產品均標稱為新一代多功能安全網關。洽巧本次參與公開比較評測的四家廠商(網神、梭子魚、PaloAlto、網康)的產品在功能分別上有很強的代表性，基本上具備有下一代防火墻的相關突出特性。因此僅對這四家產品分別進行了點評。

踏踏實實——網神NSG

網神NSG不僅可以解決當前用戶對鏈路負載均衡、網絡攻擊及病毒防御的安全防護需求。并且可以對內部網絡應用進行有效管控，進行帶寬限制。通過其完善的可視化日志報表系統可以對整個網絡運行情況進行詳細的記錄和趨勢分析，為網絡的管理，優化，在出現問題后對故障的排查，提供了強大的支持。在實際應用中，可以充分體現了網神NSG三分技術，七分管理的技術理念。通過網神NSG有效協助用戶建立一套應用人員管理和網應用管理規范，通過有效的安全產品再加上一套行之有效的管理系統，真正減少來自網絡的威脅和攻擊。網神NSG不僅是一個網關安全產品，同時也是用戶實際意義上的安全管理系統。

網神NSG在評測過程中所表現出的對網絡應用處理出色的穩定性，同樣我們留下了十分深刻的印象。憑借其出色的穩定性，當用戶網絡應用出現問題時，網神NSG迅速對故障進行定位，并通過產品策略設置或其它輔助手段及時解決。解決問題后無需再有對防火墻重啟或進行其他干預性工作。有可能用戶在部署網神NSG一段時間后，會由于長時間不對其進行操作而將其“遺忘”。而在網絡中被“遺忘”的產品都是好產品!

如果我們網站在近期需要進行防火墻換代的話，我想我會向他們推薦這種可以被“遺忘”的東西。

可靠互聯——梭子魚F400

梭子魚F400給我們留下最深印象的并不是其可以達到的超高新建連接速率。而是其具備一個十分出色的集中管理控制中心。通過梭子魚NG控制中心，用戶能輕松將配置復制到其他的防火墻上。NG控制中心不限防火墻數量，任何一個企業只需要一個控制中心就能管理所有的防火墻。

同時通過NG控制中心可以十分方便的進行VPN加密連接通道的配置。具有全面防護企業網絡架構、提升點對點連接流量性能、簡化網絡操作流程功能。非常適合于大型企業內部及各分支機構間的可靠互通互聯工作，并且其身份認證、入侵防御、Web過濾、反病毒、反垃圾郵件及網絡訪問控制等技術等功能也可以為企業網絡安全應用提供非?？煽康膽帽Ｕ稀?/p>

憑借著出色的“飛揚”內核設計，有效的統一了防火墻、IPS、帶寬管理和VPN等多種網絡安全防護模塊的應用分析需求。使產品在功能及性能上已經符合了下一代防火墻的要求。希望今后可以加強在產品易用性方面的功能設計，為用戶提供出適用性更強的產品。

神龍見首——PaloAlto下一代防火墻

通過PaloAlto下一代防火墻產品我們真證了解了下一代防火墻的神髓所在。高度統一的應用及應用威脅管理模塊、基于網絡應用并包含網絡威脅應用連接的應用管理模式。全新的安全防理念使我們認同了下一代防火墻這個稱謂。

然而在對PaloAlto產品認同的同時，也對PaloAlto產生了一些遺憾。聯系了多個PaloAlto的產品代理也沒有征集到產品來進行實際的產品測試，并且在國內PaloAlto還沒有正式的辦事機構出現。這使我們對PaloAlto產品功能認可的同時，又產生了一定的疑慮：PaloAlto產品的功能重點是針對網絡應用連接進行安全防御，但不同地域中網絡應用連接有很大的差異性存在。PaloAlto的產品在國內是否可以全面的對網絡應用連接狀態進行準確的收集?一但國內有特定的網絡威脅發生PaloAlto的產品是否可以及時進行處理?這些工作并非一些產品代理或網絡集成商就可以解決的。如果發生此類問題而無法及時處理的話，PaloAlto的產品有可能出現形同虛設的可怕后果。一但如此，原本嚴密的網絡安全設置也將會漏洞百出!

何以解憂——網康下一代防火墻

當我們在對PaloAlto下一代防火墻產品在國內應用產生顧慮的時候，又收到了一款可以基于應用及應用威脅連接進行統一分析管理的下一代防火墻產品——網康下一代防火墻。其所采用的單路徑異構并行引擎在實現高度統一的應用及應用威脅管理的同時，可以實現基于網絡應用連接的深度應用分析，在對正常網絡應用進行管理的同時，也可以對網絡威脅應用進行識別并阻斷。并且網康下一代防火墻還提供了基于去的URL過濾功能，采用了基于云的主動掃描預防和在線內容識別的方法，快速發現并識別被掛馬、釣魚類的網站甚至被植入木馬的傀儡主機，從而降低用戶在網絡應用中的風險。

從應用性能分析上來看，網康NF5000在即保證了應用連接的可靠處理后，又具備很強的網絡攻擊抵抗能力，滿足了我們對下一代防火墻的指標要求。在功能性上來說，通過其國內廠商的獨特技術優勢可以更加及時的對目前本地正在發生的應用威脅連接特性進行收集，并及時加以處理。因此從目前來看，網康下一代防火墻適合國內用戶對網絡安全的應用防護工作。#p#

惑望——明年會更好!

通過本次公開比較測試我們充分認識到了，下一代防火墻可以為我們帶來安全、高效、經濟、易用的全新網絡安全產品。其革命性的基于網絡應用的一體化網絡應用及威脅分析管理模式可以更加全面的為網絡應用提供可靠防護能力。其高度整合的應用管理防護模塊可以更加高效的對網絡應用進行分析處理。應用分析處理性能的提升可以降低對安全產品硬件處理能力的要求，因此將會有更加經濟的網絡安全防護產品出現?；趹眉皯猛{可視化管理模式的出現將會使網絡應用產品更加易于用戶使用。由此可知，當各大安全廠商均提供出具有自身安全特色的真正下一代防火墻產品之后，將會展現出一片網絡安全應用的藍天凈土!

但是目前下一代防火墻產品在網絡應用上也并非無懈可擊，高度統一的分析處理引擎可否滿足實際網絡中正常網絡應用與異常網絡威脅及網絡攻擊相混雜的網絡應用處理需求還需要得到更多的實際應用來進行驗證。當前被普遍采用的URL地址的過濾功能，雖然可以快速高效的對網頁內容進行判定。然而如何對不斷飛速擴充的URL地址庫需要如何進行高效的檢索?在這些問題上還有可能會有應用處理的性能隱患存在。因此，下一代防火墻產品技術還需要經歷一段成長發展的時期，才可以真正地走向成熟。

同樣，目前在國內真正實現下一代防火墻功能的網絡安全廠商還是太少了，因此我們計劃在明年的下半年再重新進行一次下一代防火墻產品的公開比較活動。期望到那時，會有更多的真正意義上的下一代防火墻產品出現。我們也會進一步研究出一些適用性更好的評測方案更加全面的對下一代防火墻進行更深入的評測。