论文部分内容阅读
2011年,《计算机世界》第24期曾刊登封面文章《竞速下一代防火墙》,在国内媒体中首先提到:下一代防火墙产品还没有一个统一的概念定义。时隔一年有余后的今天,这种概念定义的差异依然存在。而与一年前不同的是,推出下一代防火墙产品的厂商越来越多。同早两年一窝蜂上马UTM一样,如今大家都在想用下一代防火墙这个概念,在沉寂了一段时间的安全市场内挖掘一些用户的新需求。
看起来,尽管概念还有差异,但是下一代防火墙产品已经先于概念,开始大范围铺向市场。那么,不同厂商的下一代防火墙产品究竟如何?我们编译了一篇来自外媒的评测文章,“远水解近渴”,以飨各位读者。
下一代防火墙在概念上宣传的特色之一,是可以识别针对应用层的攻击,并分别执行特定应用策略,同时还能提供更高的性能表现。真的是这样吗?
本文测评了梭子鱼(Barracuda)、Check Point、飞塔(Fortinet)和SonicWall的下一代防火墙。总结下来可以给出的结论是,下一代防火墙的速度确实变得更快了;同时,速度与安全性二者不可兼得的问题也好转了,但依然存在。
所有下一代防火墙产品在检查应用程序时,流量传送速度都达到了数千兆,而这正是下一代防火墙所标榜的性能特色。不过,当传送SSL流量时,这些产品的转发速率就随之下降了。当开启SSL解密功能后,性能的下降更是有些惨不忍睹。
混合内容负载
本次测试的项目包括:
●混合和静态长度HTTP与SSL转发速率;
●SSL解密功能开启后的转发速率;
●TCP扩展性。
其中,我们最重视的是混合HTTP转发速率,因为它们与企业网络中的防火墙负载最为接近。
这些测试的一个主要目的是,将结果与此前使用同一套方法进行测评的Palo Alto PA—5060(具体内容请参见《计算机世界》今年第16期的文章《Palo Alto PA—5060:瑕不掩瑜》)进行比较。
混合内容测试针对大小不一的文件,容量从1KB到1.536MB不等,最大限度地接近企业应用的真实流量。同时,这一测试中的测试文件还包括了JPEG图像、PDF文档、二进制文件和文本对象等不同格式。
每款产品的测试都采用了三种不同的模式:纯防火墙;防火墙和IPS功能结合;防火墙、IPS、反间谍软件和反病毒(Check Point则是反僵尸网络)等功能都开启。这三种模式都会经过明文Web流量、SSL流量以及解密SSL流量的测试。
在评测中,所有下一代防火墙产品都默认开启了应用程序检查功能。正如下一代防火墙的定义,对流量进行分类、在应用程序层做出转发决定等功能,正是下一代防火墙有别于前一代防火墙、IPS及其他安全设备的关键。
当作为处理未加密流量的纯防火墙使用时,所有下一代防火墙的运行速度都不错(见图1)。就双向转发速率(入站流量速率和出站流量速率相加)而言,SonicWall的SuperMassive速度最快,紧随其后的是飞塔的FortiGate 3950B。这两款产品传送明文流量的速率都达到或接近20Gbps,这是在测试平台上出现的最快表现。
SonicWall和飞塔的下一代防火墙产品都几乎最大限度地使用了测试平台的网络容量,不仅在纯防火墙测试中是这样,在IPS和反病毒/反间谍软件功能开启后的测试中也是一样。
这些数字与此前对Palo Alto PA—5060防火墙的测试相比,在结果上更胜一筹。当时Palo Alto PA—5060作为纯防火墙使用时最高速率在17Gbps左右,但在IPS模式以及IPS加UTM模式下降到5.3Gbps。
一般来说,传送SSL流量的速率要低于传送明文流量的速率。考虑到即使没有解密,应用程序检测引擎也很难识别SSL流量中看似随机的模式,这点也不足为奇。
不过也有几个例外。Check Point的12610传送SSL流量比传送纯HTTP流量还快。在某次测试中,梭子鱼的NG Firewall F900也有这样的效果。其中最可能的原因是,一旦防火墙将流量识别为SSL流量(由于SSL头本身没有加密,这很容易识别),那么其就不再试图进一步对流量进行检查。
在开启了IPS和所有UTM功能后,梭子鱼防火墙的转发速率有了明显下降。开启反病毒和反僵尸网络功能后,Check Point 12610传送明文流量的速度也比较慢。需要指出的是,在所有三种配置下,Check Point 12610的SSL性能都大致一样,这再次表明,一旦识别出SSL流量,这款防火墙就不再检查。
静态对象测试
针对100KB和512KB静态对象的测试结果与混合内容测试相似。防火墙通过HTTP来传送静态对象一般比通过SSL传送快得多(见图2)。
飞塔和SonicWall的防火墙传送明文HTTP对象的速度再次达到或接近测试网络极限。SonicWall SuperMassive几乎最大限度地使用了测试平台的SSL功能。在没有部署被测设备的情况下,我们的测试平台传送100KB对象文件和512KB对象文件的速度分别达到了17.1Gbps和14.4Gbps。SonicWall SuperMassive传送SSL流量的速度接近以上这些数字。而对飞塔FortiGate 3950B而言,其性能下降就比较明显了。
此外,在混合对象测试中,飞塔和SonicWall防火墙传送流量的速度都超过了此前Palo Alto PA—5060的表现。作为纯防火墙,PA—5060传送512KB对象时的最高速率是18.7Gbps。在IPS模式和UTM模式下,这一速率分别降到了6.1Gbps和6.3Gbps。
另一方面,梭子鱼和Check Point的下一代防火墙产品传送SSL流量的速度都会超过传送明文HTTP流量的速度。很有可能,这两款防火墙在识别流量为SSL后,都不再检查流量。 IPS模式或UTM模式开启后,梭子鱼和Check Point的防火墙速度都慢了下来,但是飞塔和SonicWall的防火墙传送流量的速度基本没有变化。
SSL解密
SSL流量对于下一代防火墙来说,无异于一把双刃剑:如果流量经过加密,就无法检查应用程序;但是如果流量经过解密的话,就会大幅降低防火墙的性能。实际上,测试结果表明,SSL解密测试是这次比较中差异最大的方面。对SonicWall来说,这也是最有争议的话题。
进行SSL解密时,下一代防火墙会充当代理系统,截获客户端请求,将服务器的证书换成自己的证书。用户一般不太会检查更换后的证书,在使用中,他们会认为自己是在直接与原始服务器打交道。与此同时,防火墙会对流量内容进行解密和检查。
梭子鱼防火墙的软件是非透明代理,其需要用户重新配置所有客户端防火墙,那样解密才能正常进行。梭子鱼称,即将发布的软件版本会支持透明代理机制。另外三款防火墙在进行SSL解密时都可以作为透明代理系统来使用。
此外,梭子鱼和飞塔的防火墙要想开启SSL解密就要同时开启反病毒检查功能。因此,虽然我们的测试要求分别在纯防火墙模式和防火墙加UTM模式下进行解密,但是梭子鱼和飞塔的防火墙在纯防火墙模式下进行测试的同时也开启了反病毒检查功能。
在所有测试中,Check Point 12610在SSL解密方面的速度最快。它还是惟一突破1Gbps大关的系统(见图3)。
飞塔和SonicWall的下一代防火墙产品解密SSL流量的速度,同不开启SSL解密的速度相差甚远。飞塔FortiGate 3950B解密速率在191Mbps?472Mbps之间,远低于其在没有解密时3.6Gbps?6.0Gbps的表现。
对SonicWall SuperMassive来说,其在SSL解密时速率的下降表现得还要更明显,但SonicWall对测试方法也表示了异议。在我们的测试中,SuperMassive在没有解密情况下传送SSL流量的速率是11.3Gbps,即便开启了UTM功能也是这样。在解密情况下,相同负载的传送速率只有83Mbps,要低于此前Palo Alto PA—5060的108Mbps。如果传送的是100KB静态对象,速率还要低至49Mbps,而PA—5060的速率为626Mbps。
SonicWall称,SuperMassive还能以快得多的速率来解密流量,前提是对它进行更大的考验。他们认为,在这次测试中其防火墙的处理器使用率只有2%左右,这表明它能处理比测试结果多出50倍的工作量。
为了证实这一说法,我们使用比基准高出50倍的流量进行了测试。结果发现,SuperMassive解密SSL流量的速度高达4.8Gbps。我们还试着对其他防火墙进行了同样的大流量测试,但没有一款防火墙达到这样的速度。
虽然结果表明,所有设备在SSL解密的情况下性能都大受影响,但实际应用的情况可能还要糟糕得多。这是因为我们在这些测试中使用了安全性相对较弱的RC4—MD5密码,而在实际应用中,大多数银行及金融机构都在使用安全性强得多的密码,比如AES256—SHA1,这种密码涉及计算密集型操作,可能导致防火墙的转发速率还要比测试结果更低。
TCP扩展性
最后一组测试从两个方面测评TCP扩展性:一个方面是容量(每款防火墙在没有超时或其他故障的情况下,可支持的最大并发连接数量),另一个方面是速率(每款防火墙可以建立和中断新连接的最大速度,同样在没有故障的情况下)。
在连接容量测试中,我们让每条现有的连接每隔60秒就生成一个新的HTTP请求,从而建立起越来越大的连接数量。飞塔FortiGate 3950B在这方面名列前茅,可以处理1000多万条连接。SonicWall SuperMassive紧随其后,成功地处理了990万条连接。Check Point和梭子鱼的防火墙所处理的并发连接则少得多,分别只有90万条和32万条。
为了测试连接创建速率,我们使用比较老的HTTP 1.0规范,为每个新的事务建立一条TCP连接。SonicWall SuperMassive每秒可以建立29万条连接。Check Point的防火墙排在其后,每秒可以建立57039条连接,而梭子鱼和飞塔的防火墙每秒分别只能建立47043条和42911条连接。由于SuperMassive采用了高度并行的架构,因此在这样的测试中处于有利位置。
老实说,下一代防火墙的性能还有改进的余地。此外,虽然解密SSL流量时,安全与性能之间仍存在取舍问题,但是至少用户在应用程序高速检查和控制方面有了更多选择。
看起来,尽管概念还有差异,但是下一代防火墙产品已经先于概念,开始大范围铺向市场。那么,不同厂商的下一代防火墙产品究竟如何?我们编译了一篇来自外媒的评测文章,“远水解近渴”,以飨各位读者。
下一代防火墙在概念上宣传的特色之一,是可以识别针对应用层的攻击,并分别执行特定应用策略,同时还能提供更高的性能表现。真的是这样吗?
本文测评了梭子鱼(Barracuda)、Check Point、飞塔(Fortinet)和SonicWall的下一代防火墙。总结下来可以给出的结论是,下一代防火墙的速度确实变得更快了;同时,速度与安全性二者不可兼得的问题也好转了,但依然存在。
所有下一代防火墙产品在检查应用程序时,流量传送速度都达到了数千兆,而这正是下一代防火墙所标榜的性能特色。不过,当传送SSL流量时,这些产品的转发速率就随之下降了。当开启SSL解密功能后,性能的下降更是有些惨不忍睹。
混合内容负载
本次测试的项目包括:
●混合和静态长度HTTP与SSL转发速率;
●SSL解密功能开启后的转发速率;
●TCP扩展性。
其中,我们最重视的是混合HTTP转发速率,因为它们与企业网络中的防火墙负载最为接近。
这些测试的一个主要目的是,将结果与此前使用同一套方法进行测评的Palo Alto PA—5060(具体内容请参见《计算机世界》今年第16期的文章《Palo Alto PA—5060:瑕不掩瑜》)进行比较。
混合内容测试针对大小不一的文件,容量从1KB到1.536MB不等,最大限度地接近企业应用的真实流量。同时,这一测试中的测试文件还包括了JPEG图像、PDF文档、二进制文件和文本对象等不同格式。
每款产品的测试都采用了三种不同的模式:纯防火墙;防火墙和IPS功能结合;防火墙、IPS、反间谍软件和反病毒(Check Point则是反僵尸网络)等功能都开启。这三种模式都会经过明文Web流量、SSL流量以及解密SSL流量的测试。
在评测中,所有下一代防火墙产品都默认开启了应用程序检查功能。正如下一代防火墙的定义,对流量进行分类、在应用程序层做出转发决定等功能,正是下一代防火墙有别于前一代防火墙、IPS及其他安全设备的关键。
当作为处理未加密流量的纯防火墙使用时,所有下一代防火墙的运行速度都不错(见图1)。就双向转发速率(入站流量速率和出站流量速率相加)而言,SonicWall的SuperMassive速度最快,紧随其后的是飞塔的FortiGate 3950B。这两款产品传送明文流量的速率都达到或接近20Gbps,这是在测试平台上出现的最快表现。
SonicWall和飞塔的下一代防火墙产品都几乎最大限度地使用了测试平台的网络容量,不仅在纯防火墙测试中是这样,在IPS和反病毒/反间谍软件功能开启后的测试中也是一样。
这些数字与此前对Palo Alto PA—5060防火墙的测试相比,在结果上更胜一筹。当时Palo Alto PA—5060作为纯防火墙使用时最高速率在17Gbps左右,但在IPS模式以及IPS加UTM模式下降到5.3Gbps。
一般来说,传送SSL流量的速率要低于传送明文流量的速率。考虑到即使没有解密,应用程序检测引擎也很难识别SSL流量中看似随机的模式,这点也不足为奇。
不过也有几个例外。Check Point的12610传送SSL流量比传送纯HTTP流量还快。在某次测试中,梭子鱼的NG Firewall F900也有这样的效果。其中最可能的原因是,一旦防火墙将流量识别为SSL流量(由于SSL头本身没有加密,这很容易识别),那么其就不再试图进一步对流量进行检查。
在开启了IPS和所有UTM功能后,梭子鱼防火墙的转发速率有了明显下降。开启反病毒和反僵尸网络功能后,Check Point 12610传送明文流量的速度也比较慢。需要指出的是,在所有三种配置下,Check Point 12610的SSL性能都大致一样,这再次表明,一旦识别出SSL流量,这款防火墙就不再检查。
静态对象测试
针对100KB和512KB静态对象的测试结果与混合内容测试相似。防火墙通过HTTP来传送静态对象一般比通过SSL传送快得多(见图2)。
飞塔和SonicWall的防火墙传送明文HTTP对象的速度再次达到或接近测试网络极限。SonicWall SuperMassive几乎最大限度地使用了测试平台的SSL功能。在没有部署被测设备的情况下,我们的测试平台传送100KB对象文件和512KB对象文件的速度分别达到了17.1Gbps和14.4Gbps。SonicWall SuperMassive传送SSL流量的速度接近以上这些数字。而对飞塔FortiGate 3950B而言,其性能下降就比较明显了。
此外,在混合对象测试中,飞塔和SonicWall防火墙传送流量的速度都超过了此前Palo Alto PA—5060的表现。作为纯防火墙,PA—5060传送512KB对象时的最高速率是18.7Gbps。在IPS模式和UTM模式下,这一速率分别降到了6.1Gbps和6.3Gbps。
另一方面,梭子鱼和Check Point的下一代防火墙产品传送SSL流量的速度都会超过传送明文HTTP流量的速度。很有可能,这两款防火墙在识别流量为SSL后,都不再检查流量。 IPS模式或UTM模式开启后,梭子鱼和Check Point的防火墙速度都慢了下来,但是飞塔和SonicWall的防火墙传送流量的速度基本没有变化。
SSL解密
SSL流量对于下一代防火墙来说,无异于一把双刃剑:如果流量经过加密,就无法检查应用程序;但是如果流量经过解密的话,就会大幅降低防火墙的性能。实际上,测试结果表明,SSL解密测试是这次比较中差异最大的方面。对SonicWall来说,这也是最有争议的话题。
进行SSL解密时,下一代防火墙会充当代理系统,截获客户端请求,将服务器的证书换成自己的证书。用户一般不太会检查更换后的证书,在使用中,他们会认为自己是在直接与原始服务器打交道。与此同时,防火墙会对流量内容进行解密和检查。
梭子鱼防火墙的软件是非透明代理,其需要用户重新配置所有客户端防火墙,那样解密才能正常进行。梭子鱼称,即将发布的软件版本会支持透明代理机制。另外三款防火墙在进行SSL解密时都可以作为透明代理系统来使用。
此外,梭子鱼和飞塔的防火墙要想开启SSL解密就要同时开启反病毒检查功能。因此,虽然我们的测试要求分别在纯防火墙模式和防火墙加UTM模式下进行解密,但是梭子鱼和飞塔的防火墙在纯防火墙模式下进行测试的同时也开启了反病毒检查功能。
在所有测试中,Check Point 12610在SSL解密方面的速度最快。它还是惟一突破1Gbps大关的系统(见图3)。
飞塔和SonicWall的下一代防火墙产品解密SSL流量的速度,同不开启SSL解密的速度相差甚远。飞塔FortiGate 3950B解密速率在191Mbps?472Mbps之间,远低于其在没有解密时3.6Gbps?6.0Gbps的表现。
对SonicWall SuperMassive来说,其在SSL解密时速率的下降表现得还要更明显,但SonicWall对测试方法也表示了异议。在我们的测试中,SuperMassive在没有解密情况下传送SSL流量的速率是11.3Gbps,即便开启了UTM功能也是这样。在解密情况下,相同负载的传送速率只有83Mbps,要低于此前Palo Alto PA—5060的108Mbps。如果传送的是100KB静态对象,速率还要低至49Mbps,而PA—5060的速率为626Mbps。
SonicWall称,SuperMassive还能以快得多的速率来解密流量,前提是对它进行更大的考验。他们认为,在这次测试中其防火墙的处理器使用率只有2%左右,这表明它能处理比测试结果多出50倍的工作量。
为了证实这一说法,我们使用比基准高出50倍的流量进行了测试。结果发现,SuperMassive解密SSL流量的速度高达4.8Gbps。我们还试着对其他防火墙进行了同样的大流量测试,但没有一款防火墙达到这样的速度。
虽然结果表明,所有设备在SSL解密的情况下性能都大受影响,但实际应用的情况可能还要糟糕得多。这是因为我们在这些测试中使用了安全性相对较弱的RC4—MD5密码,而在实际应用中,大多数银行及金融机构都在使用安全性强得多的密码,比如AES256—SHA1,这种密码涉及计算密集型操作,可能导致防火墙的转发速率还要比测试结果更低。
TCP扩展性
最后一组测试从两个方面测评TCP扩展性:一个方面是容量(每款防火墙在没有超时或其他故障的情况下,可支持的最大并发连接数量),另一个方面是速率(每款防火墙可以建立和中断新连接的最大速度,同样在没有故障的情况下)。
在连接容量测试中,我们让每条现有的连接每隔60秒就生成一个新的HTTP请求,从而建立起越来越大的连接数量。飞塔FortiGate 3950B在这方面名列前茅,可以处理1000多万条连接。SonicWall SuperMassive紧随其后,成功地处理了990万条连接。Check Point和梭子鱼的防火墙所处理的并发连接则少得多,分别只有90万条和32万条。
为了测试连接创建速率,我们使用比较老的HTTP 1.0规范,为每个新的事务建立一条TCP连接。SonicWall SuperMassive每秒可以建立29万条连接。Check Point的防火墙排在其后,每秒可以建立57039条连接,而梭子鱼和飞塔的防火墙每秒分别只能建立47043条和42911条连接。由于SuperMassive采用了高度并行的架构,因此在这样的测试中处于有利位置。
老实说,下一代防火墙的性能还有改进的余地。此外,虽然解密SSL流量时,安全与性能之间仍存在取舍问题,但是至少用户在应用程序高速检查和控制方面有了更多选择。