love

love 当前在线

超级版主

发表于 半小时前

第七届数据中心大会|数据中心百家讲坛精彩回顾|云计算|病毒安全

　当我们对四款下一代防火墙产品的性能进行测试时，发现这些产品传输数据包的速度非常快，但是开启高级安全性能后，流量就下降了。现在我们深入了解一些应用验证和控制——下一代防火墙定义的特性——以此找出哪些特性是有效的，哪些是无效的。　　我们发现尽管四款被测产品虽给出了产品承诺，但是仍需要改进。check point，sonicwall和fortinet的产品在所测产品中排名靠前，但是仍然有值得改进的地方。梭子鱼产品的评分不如其他几家，还有很大的改进空间。
: @4 r- l& ~7 y/ d1 e　　下一代防火墙所定义的特性是在应用层识别和控制流量，所以我们的测试分为九个大类，由四十个测试组成，目的是看看防火墙是否与投入的资金相符。
* q* l# [  b! w4 r+ d　　被测产品中，没有一款可称得上完美，sonicwall sonicos识别并拦截了40个测试应用中的26个，check point security gateway则以24个紧随其后，fortinet fortigate的拦截数为21，而梭子鱼 ng firewall则是18。
' t( z+ ^5 w% `4 f' i　　(编辑注：在这个测试的第一个部分，供应商向加尼福尼亚州的david newman实验室提交了最大最快的设备进行性能测试。我们允许供应商将同一个产品系列中较小较轻的设备发送到joel snyder的arizona实验室进行特性测试。除sonicwall之外的其他案例中，被测产品使用的名称都相同，只是使用了不同的型号。而在sonicwall的测试中，我们对supermassive 10800进行了性能测试，对nsa e8500进行了特性测试，目的是避免我们将此产品与两个型号共享的sonicos操作系统混淆。)5 c6 r8 t" s3 r: e& b* z
　　在我们的测试中，一些应用出现的问题相对较多。例如，在我们请求播放美剧《生活大爆炸》的时候，check point和sonicwall拦截了我们的bittorrent客户端，而梭子鱼和fortinet则没有。# q% t" s6 n+ n) f
　　另一方面，check point不能拦截skype，而且没有哪款被测产品拦截了谷歌gmail，因为当我们点击“如果浏览器不显示邮箱请点此html版本”，链接就会跳转。
: n( n6 s; p9 r) g; v　　sonicwall的每个应用都有很多分区，但没有一个被记录下来或是对我们有意义，当我们试图允许终端用户查看facebook但阻止用户发帖的时候，没能成功——而这恰好是供应商眼中可拿来推广下一代防火墙的噱头之一。事实上，用url过滤器就可以完全拦截facebook——你并不需要动用下一代防火墙。如果不是sonicwall的应用认证gui设计得不好，sonicwall的得分应该更高些。
" q+ [+ w& ^7 c/ e6 f8 ~9 b　　check point security gateway的应用认证管理界面非常棒，其控件也比其他几家产品的更易于使用。尽管如此，利用此界面的引擎并不如sonicwall的好。例如，我们可以轻而易举地创建拦截facebook或linkedin特定部分的策略，但是这些策略并不一定奏效。只有当我们拦截整个linkedin时，防火墙才有用。$ k/ b+ n8 t$ y, j# f
　　fortinet的fortigate在管理界面前端的表现处于sonicwall和check point之间。虽然不如check point产品好看，但是却比sonicwall更实用。而fortigate则易于学习与使用。但是如果涉及加密数据，fortigate的表现最不尽如人意。例如，当squirrelmail在标准80端口运行的时候，有一条规则的拦截效果非常好，不过，当我们在标准https 443端口加密数据后，fortigate就无法对其进行拦截了——即便我们看到fortigate确实按照预想的那样对数据进行了解密和加密——未加密的facebook被拦截了，而且是依据策略来显示，但是如果我们仅对facebook使用https，那么这一策略的效果并不理想。2 r8 h5 y. s4 x! k0 z
　　在没有技术支持的帮助下，很难让梭子鱼的下一代防火墙拦截应用，这主要是因为其管理gui的设计有缺陷。例如，因为应用认证要依靠http和https代理，可这两个代理是不同的工具，你必须复制策略，花时间等待，还可能碰到报错。barracuda称我们在gui碰到的问题可以在5.4版本中得到修复，所以建议用户等待新版本发布后再使用。
6 @+ u6 k: y$ n　　即使你记得改变梭子鱼ng防火墙两个代理中的策略，在定义要被拦截的应用时也要谨慎一点。虽然要对需被最先拦截的应用进行挑选，但是在你进入这一规则适用的网络列表前，你还得打开三个页面。显然，如果你不考虑这一点，就不能保证它适用于所有用户或网络，也不会对话框弹出来告诉你“你创建的新规则不起任何作用。”整体而言，barracuda在应用识别方面得分最低，它对很多应用都无法进行恰当的识别与匹配。例如，ng防火墙没有用于常用网邮的签名或工具，如lotus notes，outlook web access或sharepoint。0 m) k3 x* }( i$ d3 v
　　有些ng防火墙的应用分类意义不大。例如，为了拦截youtube，你必须拦截“社交网络”，虽然这样有效，但是却同时拦截了其他网站。当类别被成功识别后，ng防火墙通常无法成功拦截。例如，我们添加规则的时候，微软和苹果软件更新会出现在日志中，但是ng防火墙却无法对其进行拦截。
+ c0 b+ j; b- @　　8 @% l" m+ a, a) m; ~2 ^