VPN网关本身所处的位置与防火墙一样,也往往是位于企业内、外网之间,因此防火墙与VPN功能的集成也就顺理成章成为最受瞩目的一对拍档。于是乎就有了众多的网络安全厂商将VPN和防火墙放在一个盒子里卖给用户,可谁家的解决方案是防火墙与VPN二者的最佳拍档呢?《网络世界》评测实验室在2003年底完成了国内首次集成VPN模块的防火墙比较测试,以帮助用户走出困惑。
性能综述
总体来说,我们此次性能测试主要围绕着两方面进行:防火墙与IPSec VPN的性能。防火墙方面,我们此次主要测试了吞吐量、10%线速下的延迟、吞吐量压力下的延迟、最大并发连接数、防攻击能力以及1000条规则下的吞吐量和延迟。VPN的性能我们主要测试了IPSec VPN的最大隧道容量以及在一条IPSec VPN隧道下的性能。
双向性能
我们测试的吞吐量是允许丢包率为0的情况下得到的结果,即使丢包率设为万分之一所得到的结果也可能产生很大的差距。双向吞吐量项目的测试中,NetScreen-208和清华紫光比威UF3500在256及以上字节包长都达到了线速。清华紫光比威UF3500的64字节、128字节包长的吞吐量均为最高,分别达到了线速的47.41%和81.44%。
1000条规则下性能
防火墙在实际使用时一般都会工作在多条防火墙规则条件下,为了更加接近用户的使用环境,我们测试了各防火墙在配置了1000条规则(包括过滤IP地址、端口、协议等)时的性能。清华紫光比威UF3500的防火墙性能下降比较显著,64字节包长的吞吐量下降为原来的1/3左右,延迟也有不同程度的增加。而对于其他大多数参测设备来讲,设置的1000条规则对防火墙性能几乎没有产生什么影响,所得结果与一条规则的大致一样。
最大并发连接数
最大并发连接数考察设备能够同时支持的并发用户数,如果用户需要通过防火墙对外提供Web服务,那么这项指标就十分重要。
此次测试方正方通1000V-R与清华紫光比威UF3500的结果同为最高,即500000。
防攻击能力
在我们测试的14种攻击项目中,NetScreen-208以及清华紫光比威UF3500的设备防攻击能力都不错,过滤了多数项目的所有攻击包,只有ARP Attack攻击时透过了一定数量的攻击包。D-Link DFL-1500设备也防住了多数类型的攻击,对于Jolt2和Teardrop两项攻击的防范能力不是很好,有一些攻击包穿透了防火墙。方正方通1000V-R虽然有不少攻击包穿透了防火墙,但是设备在侦测到大量攻击包时发出了报警,提示管理员采取措施。
VPN性能
IPSec VPN的性能测试是我们此次的重点之一,也是一个难点所在。数据包经过VPN隧道进行传输需要经过加密、解密,对性能所造成的影响很显著。吞吐量比防火墙双向全通时下降许多,而且延迟与吞吐量压力下的延迟普遍增大。
NetScreen-208在一条3DES+MD5 IPSec VPN隧道下的吞吐量性能最突出,各种包长均为最高。清华紫光比威UF3500在64字节时也不错,达到了线速的11.57%。
最大隧道容量测试时,我们使用TeraVPN,它依据RFC设计开发,被测设备能够与TeraVPN互通说明有一定的标准符合性。有些产品(方正方通1000V-R、清华紫光比威UF3500)在IPSec VPN隧道的实现上不支持Preshared Key方式,因而无法使用TeraVPN来测得它们所支持的最大IPSec VPN隧道数。
Phase 1与Phase 2加密、认证算法组合均为DH-2/MD5/3DES,IKE协商采用Main方式(也称主要模式),IPsec协议和模式为ESP隧道模式,在每个隧道Phase 1与Phase 2的数量比为1:1。
NetScreen-208、NetScreen-5200和D-link DFL-1500都顺利地实现了与TeraVPN的连通,最后结果NetScreen-208为1000,D-link DFL-1500为212。
千兆性能
此次只有NetScreen-5200一款千兆产品参测,它的性能表现十分稳定,在三遍测试中结果几乎完全相同。
NetScreen-5200在各方面的延迟都很小,其中,双向全通情况下,64、128、256字节帧的延迟仅为几刁,而最长的1518字节帧的延迟也只有25.34刁。1000条规则对NetScreen-5200几乎没有产生任何影响。
几点参考
通过此次性能测试,我们认为有如下几点供读者参考。
首先,防火墙应该只做自己分内的事情,入侵检测、防病毒以及其他过多功能的引入势必对性能造成影响,尤其是千兆设备,更应该为高性能提供更多保障。
其次,有些设备配置1000条规则产生的影响较小,而有的却很明显。防火墙在收到数据包时首先要与其配置的规则相对比,并且根据规则转发或抛弃数据包。在规则繁多的情况下,采用设计科学的算法可以节约许多规则对比时间。
最后,VPN为传送数据提供更高安全性,是以牺牲一部分性能为代价的。多数设备在采用IPSec VPN传送数据时的性能都不及防火墙双向全通时一半,甚至有的仅为三分之一或四分之一;而延迟方面,各产品则同时增加了许多。
功能综述
虽然很多人认为防火墙技术已经很成熟了,采用状态检测、包过滤、应用代理三种技术的组合均是大家共同采用的核心技术,但由于采用的软、硬件平台的差异,以及开发能力和开发思路的不同而使得此次比较测试所征集到的5款产品在功能上各有千秋。
从单一的防火墙到能干的多面手
当防火墙最初出现之时,地位仅是网关处的一道门。而如今,既有路由器与防火墙、VPN的结合,更有交换机中插入安全模块的例证,也有NetScreen这种典型的防火墙产品中加入路由、VLAN等网络特性,安全产品与网络融合的特性正在彰显。还有一点需要提及的是,此次送测的产品支持PPPoE的也不在少数,这将会能够更好满足一些采用宽带上网用户的需求,清华紫光比威UF3500、NetScreen-208、NetScreen-5200以及D-Link DFL-1500均对其有良好的支持。
管理有道
对防火墙管理者来说,好用与否往往取决于防火墙提供的配置界面以及命令行使用的难易程度。命令行界面和Web界面是NetScreen-208、NetScreen-5200、D-Link DFL-1500、清华紫光比威UF3500所支持的主要配置方式,大家均支持HTTPS方式以保证管理员身份的安全性,但从配置感受上彼此之间并不相同。NetScreen的命令行和Web界面简洁易用,功能丰富,受到我们评测工程师的一致称赞。而D-Link DFL-1500和清华紫光比威UF3500的配置则以Web方式为主,命令行仅支持进行一些简单配置。比较别致的方正方通1000V-R采用的是GUI软件配置方式,客户端需要安装Securway Admin软件连接到防火墙进行配置管理,它的设计思路也比较独特,用户配置防火墙需要从对象、安全策略、门几个部分入手。
带宽管理
提供一定的带宽管理功能将会有助于整个网络能够针对不同的应用和用户提供个性化QoS。方正方通1000V-R通过添加TC(流量控制)策略来实现对带宽流量的控制,非常值得提出的是它还支持WFQ和RR两种队列方式。清华紫光比威UF 3500支持通过设置优先级来实现流量控制,其QoS级别分为8个等级,通过设置级别和速率定义服务质量,然后应用到安全策略之中,从而使管理员可以方便地对IP或用户实现带宽保证及带宽限制等。
NetScreen-208和NetScreen-5200则支持配置在每个端口的速率来限制带宽,同时还支持在策略中按照8个优先级队列设置不同服务水平。D-Link DFL-1500有专门的菜单项就是带宽管理,支持根据带宽比率设定级别以及子级别,将其应用于规则中起到带宽控制的作用。
日志审计能力
日志审计的细致程度对管理员判断攻击事件、系统漏洞以及负载状况起到相当重要的作用,同时日志报表的生成以及相应的查询分析能力也是防火墙所必备的。清华紫光比威UF3500由于本身带有20G硬盘,所以有足够的空间可以将日志存储在本地,但它同时也提供了LogIt日志管理工具供用户安装在日志服务器上,用来进行日志查询和分析。NetScreen-208、NetScreen-5200支持多种日志服务器的存储方式,包括Internal、Syslog、WebTrends、Flash卡等。
支持和帮助能力
方正方通1000V-R以及紫光比威UF3500都随机附带了内容详尽、印刷精美的中文印刷文档,而且配置界面均为中文,有利于用户使用和理解。D-Link DFL-1500、 NetScreen-208、NetScreen-5200的电子文档是英文的,NetScreen配套的文档中有很多实用的例子,有利于用户更好地理解该产品的实际配置以及相关概念。D-Link DFL-1500的配置界面上提供了比较详细的文档供管理员参考。
编辑选择奖
NetScreen-208 我们此次进行“编辑选择奖”的评定时,考查了被测产品的性能、价格以及功能的综合因素。NetScreen-208 性能上的出色是2002年参加我们的防火墙比较评测时就领略到的。此次虽然我们准备了更为严酷的环境,添加1000条规则对其性能影响很小。NetScreen-208实现了更细粒度的防攻击控制,有很多选项可供用户选择,在我们的14种防攻击测试中,基本上都可以非常有效地防住。NetScreen-208对VLAN及各种动态路由协议的支持也体现了其网络特性的独到之处。NetScreen-208以其出众的性能、强大的功能再度赢得《网络世界》评测实验室“编辑选择奖”。
