竞速下一代防火墙(3)_港湾网络科技 - HAR.BING - 创新前沿信息安全产品技术与服务供应商

除了上网行为管理产品和流控产品，部分市售的utm产品也带有应用识别与控制功能，令人感觉与ngfw十分相似。不过该功能大多以独立的功能模块形态存在，通常在策略配置、日志/报表乃至授权许可方面都不统一，应用体验与ngfw存在一定差距。此外，至少我们所测试过的集成应用识别与控制功能的utm产品中，还没有任何一款在特征库中包含web 2.0应用，显然不能满足互联网应用发展带来的新安全需求。最后也是最关键的一点，部分没有采用统一处理引擎的utm产品在性能上的衰减也许是任何人都始料未及的。我们曾经测试过这样一款产品，只开启防火墙时可以达到几百兆的吞吐量（http大页面，后同）；在此基础上开启ips，吞吐量下降到一百多兆；如果再开启应用识别与控制，吞吐量则只有几十兆。而ngfw被gartner定义为线速（wire-speed）网络安全处理平台，虽然在启用多种功能时性能也会有所降低，但从目前市场上销售的ngfw产品的规格指标来看，部分产品在开启应用识别与控制功能后，性能能够达到单独开启防火墙时的60%-80%；在此基础上再开启反恶意软件、ips等功能，性能最高者可以达到单独开启防火墙时的50%。当然我们不能以偏概全，无论是utm还是ngfw，在开启多功能部署前都应进行细致的测试工作。

在稍后的产品分析中可以看到，虽然gartner在定义文档中将ngfw的用户群体圈定在大型企业和行业用户，但5家厂商都推出了全功能的中低端产品。实际上，中小企业对应用识别与控制功能的需求，要远远高于其他任何安全特性。自防火墙普及以来，大部分中小企业用户就把它当做一个接入设备而非访问控制设备来用。如今，他们面临最严重的问题不是安全问题，而是如何限制网络滥用行为，保证接入质量。微博上最近流传的笑话就很说明问题：某小公司内上网体验十分恶劣，经常连网页都无法完整打开，领导对此也无可奈何。唯有每月财务人员在公司qq群内喊一句“都停下，我要发工资”，网络访问才会短暂地恢复正常。这个例子很生动地表明，目前许多中小企业用户面对网络滥用行为缺乏有效的技术管理手段，导致网络陷入完全失控的局面。

目前常见的解决方式是使用带应用控制功能的路由器或上网行为管理产品，前者价格低廉但功能简单，不少产品在应用识别与控制能力上仍待加强；后者虽然功能强大但价格昂贵，中小企业或许要为一些很少用到的功能买单。从市场角度看，两类产品在用户覆盖上造成一个断层，中间有大量用户的需求没有被满足。而中低端ngfw产品的出现，在功能、性能上满足了此类用户的需求（多数产品的基本配置都是带应用识别与控制功能的“应用防火墙”），又提供了安全业务的扩展能力，价格也基本维持在同规格utm产品的水平，值得所有中小企业用户关注。

如何评估ngfw产品

ngfw属于新生产品，目前业界对其还没有一个公认的测试标准，甚至独立的测试报告都寥寥无几。nsslabs曾经在几个月前发布了针对check point power-1 11065的单品测试报告，这也是该机构第一次发布ngfw类别的测试报告。我们从中可以看出，nsslabs针对ngfw产品的测试方法可以看作是在传统防火墙和ips测试的基础上，补充了针对用户/应用的识别与控制能力的测试。不过，我们注意到应用识别与控制测试中使用的样本多为欧美地区流行的应用，国内用户应当重点考察ngfw产品对迅雷、新浪微博、开心网等本土热门应用的识别与控制能力。采访中有些用户就抱怨说，目前使用的国外某utm产品在ips模块中虽然也集成了对应用的识别控制功能，但扩充及更新速度太慢，以至于上线不久就失去了对迅雷等频繁更新应用的控制能力。

此外，应用对于网络的使用模型趋于多元化，ngfw产品在应用控制方面的细粒度也应被重点关注。对于传统的网络应用，以迅雷为例，可以考察产品是否能够在允许常规http、ftp下载的前提下，屏蔽一切p2p或cache加速下载行为或进行限速处理；而对于开心网这样的互联网/移动互联网应用来说，可以考察设备是否能够对基于web 2.0平台的小应用（如开心农场、开心城市）进行单独的屏蔽。即便不能做到这一点，ngfw产品也应该能够通过url-filter特征库中的分类或手动设定策略的方式进行屏蔽。

除了应用特征库包含的协议种类与特征更新速度，管理界面的易用性也是不容忽视的评估要素。虽然用户识别/控制和统一的策略框架不是gartner的ngfw定义中的强制功能，但我们发现目前市场上的产品都有提供，并且厂商纷纷在该领域做着更加深入的尝试。用户应当考察ngfw产品是否可以通过获取域控制器信息或web认证等手段，做到ip与用户身份的绑定，再通过统一的策略框架进行更加直观、简单的权限定义，以达到“允许市场部门的所有员工从任何位置访问新浪微博“、“只允许it部门员工从特定位置使用ssh、telnet、远程桌面应用”等以用户、应用为核心元素的访问控制策略配置模式。易用性的另一个重要体现是设备是否提供中文的webui、报表系统、端点套件和集中管理系统。英文界面无疑会增加ngfw产品的配置管理难度，对it管理效率造成不可忽视的影响。

性能测试方面，许多用户都知道针对传统防火墙有rfc2544、rfc3511、gb/t 20281-2006这样公认的测试规范。这类产品的业务模型比较单一，有经验的测试人员/管理员根据依照规范测得的结果，甚至可以凭经验去预估防火墙在某个特定场景中的性能衰减幅度。而当网关设备使用的访问控制技术走进dpi时代开始，实验室环境中进行的标准化测试就失去了普世的指导意义。即便是ips，部署在数据中心出口时与部署在企业出口时的性能也会有很大差异。而ngfw产品在进行性能评估时会更复杂，用户必须根据自身的业务需求，抽象出与之吻合的流量模型，进行细致的、有针对性的测试工作，才能得到有价值的评估依据。并且在测试过程中，应时刻以“寻找最差性能”的目标，方可在未来的实际使用中规避性能瓶颈。

(责任编辑：admin)