选择正确的防火墙产品需要权衡很多不同的因素。很自然,人们总是希望买到的这个小盒子非常容易安装并配置;可以实现反病毒、反垃圾邮件等外围的安全功能;最后,还要有合适的价格。但是,即便是你真的遇到这么多需求,也不要希望你的防火墙能真的做得很好。除非它真能在提供最高网络性能的同时,还能抵御外部攻击。
我们最近组织了一些中等规模的防火墙产品(中等规模是指支持10万~20万并发连接,支持1千到2千个VPN隧道连接)在思博伦位于加利福尼亚的通信实验室进行一次性能测试。测试中使用了思博伦专门测试性能和安全性的测试设备,参测的设备有ServGate的EdgeForce Accel、SonicWall的Pro 3060以及Stonesoft的StoneGate SG-500。
我们使用了思博伦公司的 Avalanche 5.2 和 Reflector 5.2测试工具套件,运行在Avalanche 2500 和 Reflector 2500硬件设备上,来测试每台防火墙的性能指标,包括在一定压力流量下的性能指标。我们同样也模拟了在DDoS攻击的背景下设备的工作能力,攻击类型包括Syn、Smurf、Reset和ARP Flood攻击,以此希望评估出设备在抵御攻击时能否成功地转发合法的数据。
对于VPN性能的测试,我们使用了思博伦的SmartBits 6000流量发生器,并配有最新版本的TeraVPN 4.0测试套件来测试端到端(服务器到服务器之间的连接)VPN隧道的最大吞吐量。
在测试的最后,我们发现所有这三套设备的性能都因为模拟的攻击而受到影响。我想这并不奇怪。反过来想,这可能是企业级防火墙产品的一个基本情况。但是我们发现防火墙和VPN测试结果有着显著的不同,ServGate和SonicWall的产品都处于领先的位置。 
ServGate EdgeForce Accel:结构模块化 认证最齐备
ServGate的 EdgeForce产品线没有采用被过于推崇的ASIC架构方案,而是采用了更具灵活性的模块化体系结构。可选的模块可以使您的Accel防火墙获得从250Mbps到1Gbps的不同吞吐量,也能配置不同的功能模块,比如说Web加速、本地认证、防病毒或者反垃圾邮件等都是重要的功能模块。
EdgeForce Accel是一个1U的机架安装产品,采用了一种经过定制的Linux操作系统,运行在一台奔腾III 866MHz上,并且系统采用了Broadcom的安全芯片来进行密钥计算。这是参测设备中惟一的一款国际计算机安全协会认证过的产品,支持千兆网络接口。该设备采用了图形用户界面的标准管理系统,其防火墙规则设置或者e-mail报警设置都非常简单。Accel支持多种VPN标准和协议,您可以根据需要设置所需的QoS。对于管理多个分支机构中的防火墙也会非常简单,ServGate会很快发布一款集中管理控制台软件。
在防火墙性能测试中,Accel实现了12.8万个并发连接,当达到13.1万并发连接时会出现连接丢失。当我们测试每秒最高并发连接时我们遇到了问题,因为我们默认设备会自动中断原先的连接。而Accel会在每一个TCP连接关闭后仍然将连接端口保持120秒钟,不能为测试最大每秒新建连接数及时释放足够的系统资源。
在这样的设置下,Accel在入侵检测功能打开、NAT打开的情况下,测得了每秒1100个并发连接能力。ServGate的有关人员介绍说,如果将TCP连接的丢弃时间减少到60秒,并且关闭入侵检测和NAT的话,防火墙的性能可以提升至每秒3490个新建连接数。
虽然ServGate声明他们的Accel在相应模块的支持下,可以达到2000个VPN隧道的处理能力,但是由于时间的局限,我们并没有测试到这个数值。所有的厂商都没能提供快速设置大量VPN隧道的方法,但是在测试结束前我们设置并验证了ServGate设备支持1000个隧道的能力。
尽管Accel支持千兆位的网络接口,我们测试端到端单一隧道吞吐量时,还是使用了100Mbps的网卡。最后我们得到了双向198Mbps的吞吐量成绩。 
SonicWall Pro 3060:心动的价格 简洁的配置
SonicWall的 Pro 3060 在整个测试中也表现非凡。它达到了和ServGate EdgeForce Accel一样的13.1万并发连接数,并且取得了令人难忘的每秒4750个新建连接数的成绩,在三款产品中拔得头筹。我们简短地测试了SonicWall宣称支持的1000个VPN隧道连接能力。在993个连接时它还表现良好,最后的7个连接就像压死大象的最后几根稻草一样,让测试的结果变得不太好看了。对于端到端的VPN单隧道吞吐量测试,Pro 3060的表现和厂家的标称值相同,为73Mbps。简单地说,3060的VPN性能和扩展能力不能和ServGate的产品相抗衡,但是一半的价格会让很多人心动的。
有了SonicWall的新配置向导,安装和配置的工作非常的简单,它帮助我们完成了枯燥无味的NAT和VPN配置工作。Pro 3060还为一些容易头脑发昏的管理员提供了一个有用的特性:“安全模式”允许管理员生成并储存一个配置文件到ROM中去,如果系统不幸出现问题,你还可以在重新启动的时候在菜单中选择它。
Pro 3060的功能,包括内容过滤、防病毒和入侵防护等,和ServGate的功能一样丰富,并且其监测能力比较强。该设备同时可以做防病毒检验器,以确保当前的防病毒保护是有效的。它能够在遇到攻击时部署并强制执行新的防病毒策略。
由于Pro 3060不支持透明模式(据SonicWall说其软件是beta版),我们在测试中不得不配置了NAT策略,将一个范围内的内部地址和广域网端口地址绑定。尽管该设备成功地抵挡住了我们的Reset攻击测试,但错将它识别成了Syn Flood攻击。 
StoneGate SG-500:远程办公显身手
如果您正在寻找一款适合远程办公的可管理的防火墙的话,StoneGate的基于Linux的SG-500无疑是这一组产品中比较好的一个选择。尽管SG-500没有内容过滤、防病毒等功能,但它为远程配置多种设备提供了一个中央服务器。我们测试的StoneGate SG-500-100,其防火墙吞吐率达100Mbps;而价格较低的SG-500-50吞吐率也可达50Mbps 。
SG-500和StoneGate管理中心通过一个VPN隧道通信。配置已经在服务器上做好了,直接推送到所连接的防火墙设备上。我们在测试SG-500时将其配置设置到防火墙初试状态,然后向管理服务器请求其所存储的配置参数。整个过程只花了不到10分钟。
它的管理控制台风格简洁明了,而且它包含了一个漂亮的CPU状态监视器,这是其他竞争对手所没有的。当你要实现一个远程办公解决方案时,你完全可以定制你所想要的特性。你可以定制配置模版,以防止系统管理员删掉某些规则。你可以采用CSV(逗号分隔的变量)或XML格式输出日志,并且可以用很方便的日志删除过滤管理器(Log Pruning Filter Manager)来清理掉不需要的日志。
在测试中,StoneGate的并发连接数的成绩较好,为11万。但是在每秒TCP连接数方面,它的成绩不是很理想,只有1840。
SG-500是专为分支机构设计的。在这种应用环境中,你可能只需要少数几个端到端隧道,用于IPSec客户端之间的通信。我们调整了测试,以验证StoneGate声称的2000个并发IPSec隧道。结果,我们确实能建立2000个并发IPSec隧道。我们设置了4个端到端隧道,每个隧道有250个双向IPSec隧道。SG-500实现起来似乎一点都不费力。
所有这三款设备都适用于中等规模的企业。对于最大带宽和VPN需求,ServGate EdgeForce Accel比较合适。它还提供了选择范围很大的扩展能力。如果GB级的带宽不是很有必要,而且您认为防火墙性能比VPN吞吐率更重要的话,那么,SonicWall Pro 3060是很好的选择。在测试中,它所能处理的每秒连接数比ServGate高,但成本却低很多。
最后,尽管StoneGate SG-500不如其他设备那么高速,但性能很好,而且最易于配置和管理。即使对于最繁忙的分支机构,它都是一个很好的选择。