作为企业用户首选的网络安全产品,防火墙一直是用户和厂商关注的焦点。为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据,《网络世界》评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。
《网络世界》评测实验室依然本着科学、客观公正的原则,不向厂商收取费用,向所有希望参加评测的厂商开放。
我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外12家厂商的14款产品,其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust
CyberWall -100Pro、方正数码的方正方御FGFW,联想网御2000,NetScreen-208、清华得实NetST2104
、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiWall
防火墙以及卫士通龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟JB-FW1、 NetScreen-5200、Servgate
SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下,顺利完成了对其他12款产品的评测任务。
测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照RFC2504、RFC2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spirent公司的SmartBits
6000B测试仪作为主要测试设备,利用SmartFlow和WebSuite
Firewall测试软件进行测试。在测防攻击能力时,为准确判定被攻击方收到的包是否是攻击包,我们还使用NAI公司的Sniffer Pro软件进行了抓包分析。
在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管理性、VPN、加密认证以及日志审计等多方面功能。
最后,我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司,同时也对那些勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。
性能综述
对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火墙来说是巨大的挑战。
在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大差异性,从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲,目前主要有三种,一种使用ASIC体系,一种采用网络处理器(NP),还有一种也是最常见的,采用普通计算机体系结构,各种体系结构对数据包的处理能力有着显著的差异。防火墙软件本身的运行效率也会对性能产生较大影响,目前防火墙软件平台有的是在开放式系统(如Linux,OpenBSD)上进行了优化,有的使用自己专用的操作系统,还有的根本就没有操作系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小,测试防火墙性能时将防火墙配置为最简单的方式:路由模式下内外网全通。
我们此次测试过程中,针对百兆与千兆防火墙的性能测试项目相同,主要包括:双向性能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线速下的延迟、吞吐量下的延迟以及帧丢失率;单向性能测试项目包括吞吐量、10%线速下的延迟;起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。
百兆防火墙性能解析
作为用户选择和衡量防火墙性能最重要的指标之一,吞吐量的高低决定了防火墙在不丢帧的情况下转发数据包的最大速率。在双向吞吐量中,64字节帧,安氏领信防火墙表现最为出众,达到了51.96%的线速,NetsScreen-208也能够达到44.15%,
在单向吞吐量测试中,64字节帧长NetScreen-208防火墙成绩已经达到83.60%,位居第一,其次是方正方御防火墙,结果为71.72%。
延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明,联想网御2000与龙马卫士的数值不分伯仲,名列前茅。
帧丢失率决定防火墙在持续负载状态下应该转发,但由于缺乏资源而无法转发的帧的百分比。该指标与吞吐量有一定的关联性,吞吐量比较高的防火墙帧丢失率一般比较低。在测试的5种帧长度下,NetScreen-208在256、512和1518字节帧下结果为0,64字节帧下结果为57.45%。
一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST
2104防火墙在起NAT功能后64字节帧的吞吐量比单向吞吐量结果略高。
最大并发连接数决定了防火墙能够同时支持的并发用户数,这对于防火墙来说也是一个非常有特色也是非常重要的性能指标,尤其是在受防火墙保护的网络向外部网络提供Web服务的情况下。天融信NGFW
4000以100万的最大并发连接数名列榜首,而龙马卫士防火墙结果也达到80万。
我们的抗攻击能力测试项目主要通过SmartBits
6000B模拟7种主要DoS攻击。我们还在防攻击测试中试图建立5万个TCP/HTTP连接,考察防火墙在启动防攻击能力的同时处理正常连接的能力。
Syn
Flood目前是一种最常见的攻击方式,防火墙对它的防护实现原理也不相同,比如,安氏领信防火墙与NetScreen-208采用SYN代理的方式,在测试这两款防火墙时我们建立的是50000个TCP连接背景流,两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TCP/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping
of Death和Land-based三种攻击包全部都过滤掉。
Teardrop攻击测试将合法的数据包拆分成三段数据包,其中一段包的偏移量不正常。对于这种攻击,我们通过Sniffer获得的结果分析防火墙有三种防护方法,一种是将三段攻击包都丢弃掉,一种是将不正常的攻击包丢弃掉,而将剩余的两段数据包组合成正常的数据包允许穿过防火墙,还有一种是将第二段丢弃,另外两段分别穿过防火墙,这三种方式都能有效防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况,神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况,Netscreen-208属于第三种情况。
对于Ping Sweep和Ping
Flood攻击,所有防火墙都能够防住这两种攻击,SG-300防火墙过滤掉了所有攻击包,而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些ping包通过,但大部分攻击包都能够被过滤掉,这种结果主要取决于防火墙软件中设定的每秒钟通过的ping包数量。 
| 共3页: 1 [2] [3] 下一页 |