12款防火墙比较评测报告

12款防火墙比较评测报告(2)

千兆防火墙性能结果分析

    由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结果都明显要高于百兆防火墙。

    双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518字节帧长的也只有24.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结果表明，NetScreen-5200防火墙达到100万。

    在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击测试结果为1000个攻击包全都过滤掉。

功能综述

    在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

    包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原理。

    在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

    百兆防火墙

    与交换机走向融合？

    当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百兆端口的模块，这显示了防火墙与交换机融合的市场趋势。

    对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为DHCP 服务器和客户端，这是非常独特的地方。

    在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscreen-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项支持VLAN，主要支持802.1Q和Cisco的ISL。

    管理特色凸现

    管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置、各种管理方式的易用性以及带宽管理特性。

    不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FGFW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制。

    目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

    从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正方御的GUI管理软件安装和使用都比较容易。

    带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的流量控制实现对防火墙各个接口的带宽控制。

    VPN和加密认证

    防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有 VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

    安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程管理、远程日志等功能通过加密也能够提升其安全性。

    在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃听。

    防御功能

    防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防护能力。

    在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙时就被捕获。

    在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤的功能。

    在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现互动，以实现更强劲的防攻击能力。

    安全特性

    代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信息被限制在代理网关的内侧。

    参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3 、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

    NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多NAT以及端口NAT。

    高可用性

    负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负载分担，而其他防火墙则支持服务器之间的负载均衡。

    目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之间的Active-Active高可用性。

    日志审计和警告功能

    防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都非常必要。

    安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NGFW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务器的存储方式，包括Internal、Syslog、WebTrends、FLASH卡等。

    当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行报警程序等方式进行报警。

    对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

    优秀的文档很关键

    大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实NetST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户手册，但缺憾在于它们全部是英文的。

    千兆防火墙

    此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采用网络处理器的例子。

    从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate　SG2000H则支持桥模式和NAT模式。

    F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与SG2000H也支持802.1Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路由协议。

    从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，NetScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略和建立VPN通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便用户使用，而该管理软件与防火墙之间则通过１２８位加密进行通信，有利于对多台防火墙的管理。

    在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制进出的网络流量。

    在VPN支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道，还支持DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN，而SG2000H未加VPN模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和LDAP。

    F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报表方面都支持著名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flash卡、NetScreen Global Pro等方式进行处理。