测试的NGFW关键点
评估防火墙设备(包括传统防火墙和NGFW)的主要指标是设备的吞吐量,其他指标还包括丢包率、延时等。吞吐量指的是被测设备在不丢包的情况下,所能转发的最大数据流量。吞吐量有很多种,如大包、小包、UDP包、HTTP包等吞吐量,同一台设备,在处理不同报文时,会表现出迥然不同的吞吐量。
思博伦测试仪和网康下一代防火墙NF-5000-50直接通过两对万兆接口连接,进行了以下两项测试:
1、测试仪表构造双向共40G的HTTP带21K载荷流量,并在流量中携带一定比例的威胁流量,开启被测设备的所有安全功能,验证被测设备两对万兆接口在处理应用层流量时是否可达到线速,并正常检出流量中的威胁。值得强调的是,由于应用识别是下一代防火墙应当具备的基础能力,因此HTTP带21K载荷的流量相较传统防火墙测试使用的UDP流量,更加有利于验证下一代防火墙的应用层性能。此外,之所以将HTTP流量设计为携带21K载荷,是为了使测试流量更加接近真实HTTP访问的流量特征。近年来,HTTP带21K载荷流量在下一代防火墙的性能测试中已逐步被推广,权威的NSS Labs在下一代防火墙测试中也将该流量的性能表现作为一项主要的性能评价指标。
2、测试仪表模拟企业网互联网出口场景的流量,测试流量由网页浏览、邮件收发、视频等数十种应用的混合流量构成,并在测试流量中携带病毒、漏洞攻击、间谍软件等威胁样本,由于模拟了真实场景下的流量,测试仪表两对万兆接口可构造的最大流量约为20G,网康下一代防火墙开启全部安全功能(AV、IPS、UF等),验证其在贴近真实场景大流量环境下的稳定性和安全模块的有效检出能力。
被测试设备:网康下一代防火墙NF-5000-50,具备基础防火墙功能、针对应用、用户、内容的精细控制、一体化威胁防护、全网可视化与关联分析等特性,同时可与360“天擎”终端管理软件及网康专有的下一代网络威胁感知系统“慧眼云”展开协同联动。凭借高性能单路径并行处理架构和超强的应用层深度识别能力,可深入洞察网络流量中的用户、应用和内容,并在互联网出口、广域网边界和数据中心,实施精细化控制策略和一体化安全防护,为业务的安全开展护航。
思博伦测试设备:Spirent Avalanche C100-S3-MP 应用与安全测试解决方案,能够为网络基础设施、Web应用基础设施和三重播放服务提供可选的1Gbps、10Gbps和100Gbps容量、安全性和性能测试能力,可以仿真7500多种互联网场景,一对10GE口可以达到双向19.3Gbps,并发可以达到8800万,确保了提供高水平的服务质量(QoS)和体验质量(QoE)。
测试结果:
第一项测试,测试设备的两对万兆接口可对测试仪表够早的40GHTTP带21K载荷流量实现线速转发,并且能够正常检出测试流量中携带的威胁流量。
第二项测试,测试设备在能够正常识别测试流量中包含的各种应用和威胁,能够对20G测试流量稳定转发,延迟稳定,无丢包。
▲网康科技高级产品经理熊瑛(左)与思博伦资深工程师任洪波
网康科技高级产品经理熊瑛表示,在第二项测试中采用了两对10G光钎连接,使用混合流量,吞吐流量达到了20G,此时CPU使用率32%,内存6%,并发连接数达到了1195128,若单个普通用户100个连接,即可满足1万人左右规模使用,若采用单一流量测试吞吐将会超过40G,这款产品时网康2U产品中的中高端产品,属于性价比最高的产品!
思博伦资深工程师任洪波点评道,我们在两次测试中都加入了攻击流量,主要测试高性能吞吐下的安全功能,攻击拦截率达到了100%,证明了网康下一代防火墙具备高性能、拦截恶意软件、DDoS等功能。
什么是真正的下一代防火墙
目前市场上很多防火墙产品都号称是下一代防火墙,那究竟什么才算是真正的下一代防火墙呢?一般存在几大误区,UTM+应用控制、上网行为管理+AV/IPS、防火墙+IPS、WAF+ADC这些都不是下一代防火墙,在Gartner《定义下一代防火墙》中提到了几点NGFW至少要满足的特性,包括:基础防火墙、应用识别与控制、应用可视化、深度集成IPS.
下一代防火墙的概念模型、使用逻辑发生了比较大的变化,面对海量应用,下一代防火墙不再试图用一堵“围墙”来解决所有问题,如果要封堵,恐怕永远也封不完,更何况这些应用当中很多是与业务相关,封堵意味着业务的中断,熊瑛强调,真正的下一代防火墙应该具备两个亮点功能,1、通过白名单和黑名单的方式,可能精细化的应用控制来保证业务应用的通畅;2、具有应用可视化分析能力,具备持续优化应用策略功能,分析每一个应用的风险以及使用情境,对于业务流量,尽管不做阻断,但必须把检查的对象深入到载荷部分,通过这样的方法,实际上做到了收缩威胁的入口。同样重要的是实时的监控风险状态,并持续的调优策略,使得防护水平始终维持在可以接受的范围内。
能够协同联动的NGFW
本次ISC大会一直在强调协同联动,那么面对日益变化的安全威胁,网康又是如何实现协同联动的呢?
熊瑛指出,网康的“云管端新一代网络安全架构”中,在终端层面,与奇虎360“天擎”终端安全管理软件进行联动协防,在“管”的层面,主要是网康的下一代防火墙,具有基础防火墙的全部功能,可以提供针对应用、用户、内容的精细控制,深度集成了多种安全模块实现一体化防护,同时还基于下一代防火墙的概念模型构造了有自己特点的可视化界面。产品采用单路径处理架构,具备较高的应用层性能,在“云”层面,可以与网康云及下一代威胁感知系统“慧眼云”开展智能协同,也可以与360威胁情报感知系统进行协同联动。
最后熊瑛强调道,我们本次的公开测试,希望向外界传递两点,第一点,网康科技和思博伦已经协同在一起,也希望与标准出台单位、国家测评机构能够更紧密协同在一起,希望尽快出台新一代安全设备评价测试方法;第二点,向用户传递,真真切切想提醒用户,在选型下一代防火墙时,一定考虑接近企业自身环境下性能的表现,而不是理想状态下的测试成绩,当然能够试用一段时间最好。
总结:敢在ISC大会上三万参会者面前公开测试,这是网康对自己下一代防火墙产品极大程度认可,对于企业用户而言,在选型下一代防火墙的时候,能够实现云管端协同联动成为关键要素,若是可以试用一段时间那是较好的方法,目前网康下一代防火墙针对企业用户提供了试用机会,有需要的用户可以申请啦!