“下代墙”横评揭晓,网康表现可圈可点1
信息来源:网界网 发表日期:2013-12-12 13:06:00
近日,由《网络世界》评测实验室进行的“CNW评测实验室NGFW比较测试”结束,网康科技参测的下一代防火墙NF-S380C产品在安全性、性能测试中表现优异,并且在稳定性、可管理性等方面得到了评测机构的高度认可。
以下是《测试报告》原文:
本次《网络世界》评测实验室倾力打造的下一代防火墙横向测试,旨在为大家验证在经过数年的发展之后,下一代防火墙是否能够在安全和性能之间不妥协,有效保护企业网络安全。这是《网络世界》评测实验室第二次对该类产品进行测试,在去年的测试邀请中,有梭子鱼、网康、网神三家送测了各自的千兆级NGFW产品。从本次测试前期沟通上来看,万兆NGFW产品已经相当成熟,因此本次所有的参测设备均为万兆产品。
被测设备有以下四款:华为SecoSpace USG6650(v100R001)、网康NF-S380C(NGFW3.0)、Fortinet FortiGate 3240C(FortiOS 5.0)、WatchGuard XTM 1520(Fireware 11.8)。测试仪表我们使用了IXIA Breaking Point Firestorm (v3.1)。
本着透明公开的原则,我们在测试前向声称拥有下一代防火墙产品的厂商均发出了邀请,其中包括:Barracuda Networks、Check Point、Cisco、Dell SonicWALL、Fortinet、Juniper、WatchGuard,以及国内的东软、绿盟、锐捷、山石网科、深信服、天融信、网康、网神等厂商,但是最终参与送测的只有Fortinet、华为、网康和WatchGuard四家。
本次测试设备所搭载的系统版本均为各厂商推出的最新版,IPS和应用识别特征库也均为最近更新版本,且均支持用户通过官方渠道直接更新。本次测试分为安全能力测试、稳定性测试、易管理性测试以及性能测试四个方面。
重点发现
经过本次测试我们发现,作为替代传统防火墙的新一代安全网关产品,已经可以满足按照定义中面对企业级市场,需要保证高稳定性、可靠性、快速、灵活的需求。由于IPS的深度集成,被测设备已经能够基本满足用户有效隔离风险和管控内外网数据流的需求,4台被测设备中只有一台的IPS检出率会被添加的逃逸手段影响。
四款产品在模拟实际场景的吞吐测试,以及开启应用识别和IPS功能之后的新建并发测试中均表现优异,几乎都可以让应用层吞吐衰减不高于50%,用户已经无须在安全与性能之间妥协。4款设备上线配置和策略添加均十分方便,其中华为USG6650提供的策略自动优化是很好的亮点,网康NF-S380C通过对多引擎日志的关联分析,实现同页面多次点击寻找问题所在的简单操作也很有意思。4款NGFW产品均能够实现细粒度的应用管控,完全符合NGFW定义中以应用为核心的安全防护与访问控制。
安全能力测试
本部分测试从4各方面对设备进行评估:策略配置、应用控制、用户控制、入侵防御。本次测试并未对Anti-Virus进行测试。对于企业用户来说,终端都安装了防病毒软件,或者在网关处会单独放置防毒墙。另外,终端中了病毒或木马,凡是意图在窃取信息或是其他需要联网的恶意操作,都会产生异常流量,应被NGFW识别出来。所以本次测试不单独对AV进行测试。
为了展现出NGFW与传统防火墙的区别,以及深度安全保护能力,本次测试重点测试了对于应用识别、阻断,有条件限定的控制和阻断能力,以及IPS的检出能力。作为APT主要手段之一,以数据包分片等为手段的反入侵检测的逃逸技术也需要在NGFW中有较好的对抗能力。
完备的基础防火墙功能
对于几款NGFW产品的安全能力测试,整个过程遵循自下而上的过程,即从基础防火墙功能开始进行测试,再对NGFW需要具备的应用识别控制,以及用户和用户组的权限访问控制,再到整合的入侵防御功能。
基础防火墙功能考察从以下几方面进行:首先是基础策略,即简单路由模式,策略设为“全部允许”。其次为简单策略,即允许内网用户访问基本的互联网功能,比如网页浏览和Email处理。然后进行复杂策略配置,设定较为复杂的策略以控制内外通信数据流,比如对应用和服务进行条件限定。当然,静态、动态NAT,SYN泛洪、IP地址欺骗也是防火墙必备的基础功能。
通过对送测设备的测试,四款被测设备均能够实现基础防火墙功能。在配置上线的过程中,无论是设备初始化,还是对设备进行路由配置,包括透明桥模式和NAT模式切换,都能够快速完成。另笔者比较满意的是,每款被测设备都拥有“配置导航”功能,不但拥有图文配置介绍,还能够提供不同需求的策略模板,比如实现基础网络连通的无策略路由模式,类似于阻断常见威胁的“高级模式”等等。这样的功能可以让没有网络设备配置基础的管理员也能够快速配置上线NGFW,而对于资深用户来说,大家也可以用CLI命令行模式进行配置,只不过由于版权问题,每家的命令都多少有些区别,对于习惯了某家厂商命令行的用户可能还是有些不便。
查看原文:http://security.cnw.com.cn/security-next-firewall/htm2013/20131212_287634.shtml
分页: | [1] | [2] | [3] | [4] |