|
各项测试性能图表 额外的特性( t/ i u" _0 |2 a4 r- a/ k7 c8 w 虽然对下一代防火墙的需求可能侧重于应用识别,但我们相信还有其他方法有助于网络管理器对数据进行分类与控制。例如,我们发现这四款被测产品可以通过策略添加用户或群信息。 2 q9 b' v$ i9 |7 }$ r, s" m 我们对其他想法也感兴趣,所以我们也找了一些基于知名度的策略,基于错误率的策略以及基于地理信息的策略。例如,一款网络管理器要拦截一些应用,如通向国外的ftp,可能通向或来自特定的地理区域。 & y! l2 `* v" p; {2 i8 m' p fortinet的fortigate可以让你写出与地理相关的规则而不仅仅是基于ip地址的规则。但更常见的情况是,这些特性并没有纳入防火墙的规则库。以check point和sonicwall为例,二者都允许网络管理器按照ip可靠性与地理信息来控制流量,但却并没有完全将这一特性融入防火墙规则库;fortigate有一个比较圆滑的基于报错率的策略特性,该特性旨在避免dos攻击,但是却并未被整合到防火墙规则库中。# d u# n/ t8 ?5 w) t: b 在下一代防火墙世界里,除了应用和用户识别之外,不要对防火墙规则库里要添加的内容言之过早,我们的测试表明工程师正探讨其他尝试。另一个还未经正式讨论的领域就是如何把应用控件整合到下一代防火墙中。有人认为应该将其直接囊括到防火墙规则库中,创建可以参考ip地址,端口,用户和应用的整体策略。其他方法似乎是想将应用控件放入单独的规则库中。% c; i1 l# q8 p 在测试这四款产品的时候,我们发现有四种方法可回答这个问题。四款产品都在主防火墙库中放置了基于用户的控件。在那里,我们发现了很多变体。fortinet将一切都整合成为一个单独的规则库,这个规则库是最易于管理的,而且从安全角度来讲也最直观。这种方法是最有力的,因为它只在所有属性都匹配时才允许数据传输,而且你还可以选择使用/.不使用应用控件插入规则。 ! {" c4 v/ ]+ n7 x. t check point和sonicwall打破了常规的防火墙规则,这意味着数据必须先通过防火墙规则,获得应用控件的许可。在check point模式中,应用和url过滤规则被整合到单独的规则库中,虽然sonicwall有**的应用防火墙模块。 0 c/ ]1 x4 i3 j0 o 梭子鱼的ng防火墙将单独的应用规则组合放置在http和https代理软件中。我们发现这样存在问题,不仅仅因为你不得不定义复制策略,还因为策略定义创建的方式使其不能混合“pass”和“block”。严重限制了引擎的灵活性。barracuda透露,他们会在5.4版本中对此进行修复。4 { c* m. }# z( y- r check point和sonicwall工程师通过指出应用防火墙中存在的问题来捍卫自己的选择:在不允许一些流量通过防火墙的情况下,你无法决定将要运行的应用到底是什么,这些流量也包括网络管理器希望拦截的数据。 3 x8 u. r0 v1 y& _1 s$ r9 r 假设你的公司策略声称“smtp仅在端口25对外”。这意味着你得写出两条规则,一条允许端口25上有smtp,另一条则是在其他端口拦截smtp。然后,你可以设置额外的情况来授权,如允许多个端口出现http或im对外流量。这一策略的结果便是:防火墙要允许所有其他对外的流量连接和转换足够长的数据,以便确定这些数据是不是smtp流量。供应商的工程师担心这会导致一些无心之失及不安全的配置——验证方面的担忧。这也是ng防火墙供应商们现在在努力的领域。虽然我们认为fortinet的方向是对的,但是由于这是一个公开讨论的领域,所以没有列入评分项目中。 0 {, u+ w& p- x! u- {! _ 具体操作选项+ h3 [$ p s9 c _: g 我们检测的最后一个部分是具体的操作选项。在测试中,我们只是让防火墙拦截流量。但是在基于web的应用上,网络管理器或许希望拦截此请求,并告知终端用户安全策略禁止了数据传输。 1 g* d% e9 a/ b3 w5 l4 g2 \ n check point security gateway将url过滤整合到了应用识别中,且也是唯一一个具有此特性的产品。security gateway的功能不止于此,在允许用户在弹出警告后继续“下一步”的同时,它还允许下一代应用识别的规则中显示“被拦截页面”的信息。 ' z& y0 w; ~3 |2 o 我们还发现了其他选项。例如,sonicwall和fortnet可让应用规则运行qos设置,如对流量浪费进行阻止,或是保护数据。二者都都允许“记录数据包”保留数据传输用于以后的分析。+ g, g9 k4 f# d& ~ 当谈及应用识别与拦截时,我们更希望具有综合特性的产品出现:如sonicwall sonicos引擎加check point security gateway管理系统。在找不到这种二合一产品的情况下, sonicwall已经尽力做好应用识别与控制,只是还有改善的空间。 ) w" q! ~/ c; k1 j+ v a' a 当然,应用识别是为下一代防火墙锦上添花,还有必要掌握其他相关的基本技能。我们研究过的部分还包括网络可视性,ssl解密,ips,utm和基本的防火墙拦截。1 `9 p7 ^$ j6 x( i4 | (责任编辑:admin) |
