应用环境:“龙马卫士”防火墙是一款高性能的网络安全产品,可以满足大中小型企业对网络安全的需求。“龙马卫士”防火墙友好的GUI操作界面以及采用国际标准的WELF日志审计功能,可以满足企业用户的操作习惯,同时也方便了大型企业对日志审计功能的扩展。
“龙马卫士”防火墙是东方龙马信息产业有限公司的产品,我们测试的是其百兆产品,版本为2.1。该产品与以前产品相比最直观的改变是采用了新的GUI管理平台,运行速度快并且使用稳定。
从管理架构来看,“龙马卫士”采用了AAA(认证,授权,记账)用户认证和国际标准格式WELF的日志审计。
通过AAA用户认证,防火墙可较好地跟踪用户访问,为系统审计、发现入侵活动等提供分析依据。
“龙马卫士”防火墙采用了国际标准格式WELF的日志审计标准,这与目前大多数防火墙使用ORACLE、SQL SERVER等商业数据库进行日志管理相比有两个好处:一方面,对于中小型用户,使用商业数据库的成本较高,管理不易;另一方面,对于真正的大型企业用户,一般防火墙厂商提供的日志分析管理软件又达不到企业级应用的要求。因此,使用Webtrends的WELF为用户提供了较为简单、快捷并行之有效的解决方案,可以为中小用户的日志记录、查询提供简单易用的GUI操作界面,同时对于大型企业用户,也可以使用专业的第三方防火墙日志分析软件,为防火墙的日志审计功能的进一步扩展带来了方便。目前,国外厂商如netscreen、checkpoint都支持这种格式。
功能特性
在功能上,“龙马卫士”防火墙提供了网络地址转换、路由/桥接/混合三种工作模式、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理等以及通过反向NAT对应地址池实现负载均衡、与IDS联动等功能,这些功能在目前主流的防火墙产品中已经非常普及,相应功能通过了赛迪评测的全面测试。在上述功能基础上,有两点需要进行重点评测,这两点对于特定用户的应用有非常重要的作用。
第一是拨号网络的设置,如PSTN拨出、ADSL拨出,提供这样的功能可以为许多用户应用带来好处。一方面,在安全级别比较高的网络应用中,由于本身的网络不能和外部互联网相连,因此异地通信只能通过端到端的拨号,在防火墙上实现这种拨号功能就解决了拨号所带来的安全问题,突破了PPP拨号网络的限制;另一方面,拨号功能可以实现远程管理,为产品的调试、维护等带来方便。
性能测试网络环境图
第二是网络地址转换(NAT)技术,该技术能够适合复杂的网络应用环境。“龙马卫士”防火墙利用NAT技术对内部地址做转换,隐藏了内部网络,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。“龙马卫士”防火墙不仅提供了传统的“内部网到外部网”、“外部网到内部网”NAT功能,而且提供了任意网络接口的地址转换功能,另外,为了适应复杂的网络结构,“龙马卫士”还提供外部网络到内部网络的源地址转换功能。也就是说,对于任何一个网络接口,可以进行向外的源地址转换、向内的目的地址转换以及向内的源地址转换三种NAT。
性能测试
性能是防火墙评测的重要内容之一,性能主要体现在吞吐量、丢包率等方面。随着网络应用的增加,网络上的流量不再仅限于数据业务,语音、图像等业务的广泛应用对网络带宽提出了更高的要求。作为网关型网络产品,防火墙管理所有出入本地网络的数据流量,性能不好的防火墙会引起网络的瓶颈,造成工作效率降低和投资的浪费。
对于国内大多数软硬一体架构的防火墙来说,造成性能瓶颈的主要因素有硬件配置、内核程序优化的程度以及网卡优化等。为了全面考察防火墙的性能,依据RFC建议,赛迪评测主要从吞吐量、延时、丢包率几个方面进行了评测,测试平台为Spirent公司提供的网络性能分析仪SmartBits 6000B和相关软件。
吞吐量被定义为网络设备在不丢失任何一个帧情况下的最大转发速率,以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。
SmartFlow多流吞吐量测试结果
防火墙的吞吐量作为考察性能的最重要的内容,它的结果直接影响到产品在各个方面的表现。对防火墙吞吐量的测试,赛迪评测遵照RFC建议,采用64、128、256、512、1024、1280和1518 Byte等七种帧长的数据帧进行测试。
|
包长(byte) |
smartapplications双向 |
smartflow100个udp流双向 |
smartflow100个udp流双向 |
|
64 |
77.06% |
87.34% |
83.12% |
|
128 |
99.66% |
100.00% |
96.48% |
|
256 |
100.00% |
100.00% |
100.00% |
|
512 |
100.00% |
100.00% |
100.00% |
|
1024 |
100.00% |
100.00% |
100.00% |
|
1280 |
100.00% |
100.00% |
100.00% |
|
1518 |
100.00% |
100.00% |
100.00% |
为了全面评价此款防火墙的吞吐能力,如表中所示,赛迪评测分别进行了SmartApplications双向60秒吞吐量测试、SmartFlow100个UDP流双向10秒吞吐量测试以及SmartFlow100个UDP流双向60秒吞吐量测试。从各种测试结果来看,64字节帧吞吐量超过了60%,大于64字节帧,如128、256等已接近线速,该产品在百兆网络环境中吞吐能力强。
丢包率也是衡量防火墙性能指标的一个重要参数。根据RFC1242,丢包率定义为在稳态负载下由于缺少资源应转发而没有转发的帧所占的比例。虽然以太网协议中规定的丢失重复发送保证了丢包不影响数据的正确性,但大量的丢失也降低了网络的利用率和实用性能。测试结果表明,“龙马卫士”在100%线速的压力下其丢包率几乎为零,表现突出。
小结
经过赛迪评测的全面测试,总体来说,“龙马卫士”防火墙在管理上应用了AAA认证技术,并采用了国际标准格式WELF的日志审计标准。功能上提供了包过滤、透明代理等不同应用层次的访问控制及附加功能,性能上吞吐能力优秀从各个方面的衡量指标综合来看,龙马卫士防火墙是一款应用较为广泛的网络安全产品。