一、防火墙技术状况
从防火墙产品采用的技术上看,早期防火墙采用的简单的“包过滤”技术,只是对于进出网络的数据包进行检查,安全漏洞比较大,缺乏安全性,已经极少被采用。
随后的应用代理技术让通信经应用代理层转发,可彻底隔断两端的直接通信,安全性相对增强,却在运算处理效率上有所降低。现在防火墙产品比较广泛采用的是状态监测技术,它克服了前面两种技术的不足,技术的安全性、性能上都比较出色,它对每一个数据包的检查不仅根据策略表,还考虑会话状态,提供了对传输层的完全控制能力。
另一方面,防火墙在形态上也在不断的变化中,由于早期的软件防火墙在安全漏洞和性能上都存在很大问题,近代的防火墙产品广泛采用软件整合PC硬件的X86架构,其开发和设计门槛低,已经成为了现在最成熟的防火墙产品。但是,由于PC和服务器的X86硬件架构并非为网络数据传输而设计,所以,对于数据包的转发性能相对较差。近几年,复杂的网络对于防火墙性能要求不断提高,防火墙厂商纷纷对于其防火墙架构进行开发和转型,目前较先进的技术有ASIC架构和NP(Network Processor)架构。
采用ASIC 架构可以为防火墙应用设计专门的ASIC芯片处理数据包,能够满足千兆环境骨干级应用的技术方案。以 Juniper的Netscreen防火墙为代表的国外厂家掌握核心技术,具有很明显的优势。但ASIC架构存在着开发成本高、周期长且难度大的缺点。
NP架构是专门为处理数据包而设计的可编程处理器,它具有完全的可编程性,灵活性很好,处理能力强大,可以集成很多功能、开放编程接口,成为了防火墙产品技术架构的一个很好的发展方向。去年,国内的不少的安全厂商对于NP架构进行开发,国内NP架构的防火墙产品也不断涌出,联想网御、东软、南大苏富特等厂商都推出了其基于NP架构的防火墙产品。
二、防火墙的主要功能特点
目前,简便且实用性强的网络安全解决方案受到深受频繁的网络安全攻击事件严重威胁的计算机网络用户的青睐,网络安全市场正在实现产品功能的融合,软硬件、安全产品和IT设备的融合,厂商之间的产品和解决方案的融合。
从防火墙的接入模式和部署方式来看,为了满足计算机网络用户对于防火墙不同的安全策略部署,现阶段,功能完善的防火墙产品已经具备路由、透明(桥接)、NAT和混合等模式,以便用户选择。为了满足业务量很大的用户的部署需求,中高级应用防火墙支持多种高可用性,例如双机热备、流量分担、负载均衡等。
从防火墙的管理方式上看,未来的防火墙产品的管理方式应该是多种多样的,应该具备CLI、WebUI、GUI、Telnet等管理方式,具备自身的安全管理平台图形化管理软件,同时支持远程通信管理的加密,用户可以用图形化的界面对产品进行集中配置、管理和监控,通过下发统一的安全管理规则,实现全网安全策略的一致。
防火墙的功能也在不断健全,支持更加细粒度的分级管理、访问控制、日志和审计、内容过滤以及网络和自身状态的实时监控等应用功能。具备很高的系统自身的安全性,具备自身方便的升级与加载功能。
另外,在中低端防火墙市场,提供更多增值功能也是未来的重要趋势,现阶段的中低端防火墙在不断集成着其它网络设备的功能(高端防火墙产品对于功能要求比较简单,主要注重性能和稳定性),向统一威胁管理UTM(Uniform threat management)的形式靠近,现阶段的功能先进的防火墙具备一些原本非防火墙的功能,或能够在防火墙上加入多种功能模块,用户可以以防火墙为硬件基础,实现其它的网络设备的功能,例如VPN、AV、IPS、Netflow流量统计分析、冗余备份、AAA认证和计费等,网络用户可以在大幅度节省成本的前提下实现高安全性、高灵活性的安全策略部署能力。
高端防火墙虽然对功能的要求相对简单,但是为了进一步满足运营商对防火墙的特殊功能、性能和可靠性兼备的需求,高端防火墙也应该具备的一些特殊应用的功能,例如基于多个的虚拟防火墙技术和支持会话转移(Session不断)的双机热备。
三、防火墙性能状况
防火墙产品是隔离外部网络和内部网络之间的一道防御系统,保护内网免受非法侵入。由于防火墙位于整个网络结构的数据链路上,其性能直接影响整个网络的吞吐能力,具有良好的网络性能和应用性能的防火墙产品,是保证用户进行正常通信,避免网络瓶颈的前提条件。赛迪评测对于防火墙性能的测试,目前分为两部分,即从网络层和应用层的不同层面上进行性能测试,帮助用户和厂商了解目前防火墙产品的性能状况。
在网络层性能测试中,赛迪评测对于防火墙产品的安全性、抗攻击、吞吐量、延迟、丢包率进行详细的测试,在对于防火墙产品的吞吐量、延迟等测试中,我们选择三种不同的接入模式(路由、透明、NAT),分别采用RFC2544规定的64、128、256、512、1024、1280、1518等帧长的数据包进行测试,在延迟测试中,更选择了线速的20%、40%、60%三种情况进行测试,充分而全面地评估防火墙产品的网络层性能。
在应用层性能测试中,赛迪评测运用先进的模拟仿真仪器Avalunche 2500模拟真实的背景流量,在不同的接入方式下对于防火墙产品的最大新建用户数量、最大并发用户数量、HTTP传输响应时间和网络带宽进行测试,综合考察防火墙产品的应用层性能。
此次测试针对不同厂家百兆和千兆防火墙产品,我们发现:
天清汉马600百兆防火墙、联想网御Super V 7308千兆防火墙均采用先进的NP架构,其网络层的数据包处理性能均非常出色,在其相对的百兆和千兆环境下,对于小帧长(64byte)数据包的处理均达到了线速,体现了其先进架构的优势。另外,两款NP架构防火墙基于其应用的不同也各具特色,天清汉马600集成了防火墙、VPN、AV、IPS、Netflow流量统计分析、冗余备份、AAA认证与计费等众多功能,具备细粒度的访问控制、状态检测和自适应的安全域控制等特点。联想网御Super V 7308采用快速的访问机制和并行的处理机制,在网络层的处理和应用层的新建等性能均非常强大,适合应用于大中企业、行业的骨干网络之中。
在X86架构的防火墙之中,也有一些产品表现比较突出,亿阳网警BOCO.SFW-3000-P防火墙基于状态检测,具有完善的功能,使用专用的安全操作系统作为基础平台,配置管理界面简洁方便,而且提高了防火墙自身的安全性,在百兆的环境下,数据包处理性能较出色,稳定性高,能够满足电信级百兆应用环境的需求。南大苏富特的Softwall 4000防火墙采用可视化的分层的安全策略配置,基于策略树的梯度过滤机制,安全功能先进完备,访问控制细粒度较高,在通用的X86架构防火墙中性能表现出色。其基于高速稳定的安全平台,采用经过安全加固的专用操作系统,具有很高的安全性和可靠性。西安安智科技的AngellPRO 4000防火墙基于高速稳定的安全平台,安全稳定,且性能表现良好,其具备包过滤防火墙系统的基本功能,同时也实现了代理网关的功能,符合包过滤和应用级防火墙的技术安全要求,该产品除了具有防火墙的访问控制功能,还具有IDS、VPN功能模块。
国外的防火墙产品也各自具备不同特点,其中,NETSCREEN ISG 2000防火墙,采用高性能ASIC芯片和多总线并行处理方式,将ASIC芯片与高性能CPU结合在一起,其板卡模块式的设计使其集成了一流的深层检测防火墙、VPN 和 DoS 防护解决方案,采用专用操作系统,配置灵活,管理功能完善,在具备良好的安全性和稳定性的同时,为应用层保护、网络层保护和管理提供并行处理能力。WatchGuard Firebox X8000防火墙在其的安全网络操作系统Fireware Pro的强力支持下,将智能层安全技术的强大安全能力与高级联网特性加以集成,能够对网络威胁进行实时的检测和响应,同时又保持了足够的灵活性,以便在新的威胁出现时,迅速增加新的安全层,为更为复杂的网络环境提供了保护。智能分层安全体系结构部署有多种安全功能,如状态检测防火墙、入侵防护、VPN、应用层过滤、垃圾邮件过滤、防病毒和内容过滤服务。