日志审计
防火墙本身的主要功能除了对网络访问进行有效控制以外,还有一个很重要的功能就是对网络上的访问进行记录和审计。防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况的重要手段。
图一 功能测试环境图
目前所有厂商的防火墙都提供日志功能,但各厂商对于防火墙日志的记录和管理策略却不尽相同。有的厂商采用防火墙内置硬盘作为防火墙的整体存储介质,另一些厂商则使用电子盘存储防火墙临时日志,但都提供了远程的防火墙日志审计服务器来实现对防火墙日志的存放和审计。使用远程的日志审计服务器来存储防火墙的监控日志,能够较大程度地保证防火墙日志的安全,同时可以根据要求保存更长时间的日志,为重要行业提供更好的取证功能。
方正方御FG 6340防火墙提供独立的日志服务器和日志管理软件,以多线程方式运行,能够获取大量的审计内容并对审计内容进行查询、备份、报表输出和报警。日志服务器支持本地数据库、Oracle、SQL Server等多种数据库方式存放日志,提供手动日志导出备份功能。日志记录分成了入侵报警、流量统计、管理日志、代理服务、访问日志、系统状态等,对每一个部分都可以进行查询和管理,方便用户对防火墙的情况有一个透彻的了解。用户还可以对日志类型、日志存储方式等进行设置。日志管理软件支持文本、Excel、图表等多种报表方式,支持E-mail、短信、声音、本地控制台、SNMP Trap、自定义报警程序等多种报警方式。
天融信防火墙4000提供配置日志、连接日志、安全日志和管理日志等多种记录方式,不仅可以在防火墙日志管理器上进行查看,而且还可以在日志服务器上通过审计管理器进行查询,还提供了专门的日志审计系统。
清华紫光UF3500防火墙对受到的攻击和通过防火墙的请求具有完备的日志功能,提供记录、发出警告,并有统计功能以统计流量、连接时间、次数等信息,还提供统计接口,可以对经过防火墙的访问节点地址进行记录,统计分析得出各节点的访问量、访问次数、访问人数、计费信息。
亿阳网警BOCO.SFW-3000防火墙实现了审计信息的分布式管理,审计信息实时地由防火墙发往日志服务器。提供的审计种类包括包过滤模块审计、入侵检测模块审计、应用层代理审计、系统管理审计等。
图二 性能测试环境示意图
阿姆瑞特AS-F300防火墙提供的日志记录方式包括在防火墙中实时显示、日志记录到防火墙的日志服务器、日志记录到syslog日志服务器等三种。它提供的日志内容包括时间、当前防火墙、应用规则、报警等级、动作(如允许或拒绝)、网络接口、源地址、端口-目的地址、端口-协议类型、总结等九种信息;在其日志信息显示窗口下方,能够根据某条日志记录来查看更为详细的数据包内容;在显示窗口的最下面,还能够显示更为详细的数据包内容(与Sniffer捕获的数据包格式完全一致)。若要生成图形格式的日志,必须导入第三方软件WebTrends日志分析软件。
性能测试
性能在防火墙的实际应用中占有非常重要的位置,例如,电子政务中视频会议的应用、各大媒体及广告业务量比较大的单位或公司、电信行业以及电力等能源行业、国有大型研究院等,都对防火墙的性能有很高的要求。
在防火墙的实际应用中,大多数中小企业使用的防火墙的出口带宽可能只有2M,因此,目前防火墙产品可能不会成为网络的瓶颈;而对于许多同时还肩负了内部互联网等各种实际应用的防火墙用户,对防火墙性能的要求会更高一些。
图三 64byte下的各产品吞吐量比较图
本次对防火墙性能的测试,我们摒弃了过去采用的在二层对防火墙转发能力的测试方法,采取了在IP层进行性能测试的方法,从实际应用角度来讲,更贴近用户的实际应用情况。在性能测试的内容设置上,我们进行了吞吐量测试、丢包率测试以及最大延迟测试、最小延迟测试和平均延迟测试。赛迪评测认为,从这些指标上,能够比较客观地评价出防火墙的产品性能。性能测试过程中使用了Spirent Communications Corp.的SmartBits 6000B测试仪和SmartFlow等测试软件。性能测试环境如图二所示。
?吞吐量测试
在吞吐量测试中,我们采用了RFC建议,吞吐量被定义为网络设备在不丢失任何一个帧的情况下的最大转发速率,即吞吐量=∑端口速率×2(全双工)。以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。
图四 128byte下的各产品吞吐量比较图
对防火墙吞吐量的测量,赛迪评测采用不同长度的数据帧来进行,即遵照RFC建议,采用64、128、256、512、1024、1280和1518byte等七种帧长的数据帧。
为了全面衡量防火墙的吞吐能力,按照RFC建议,采用双向,整个测试时长为120秒,并设置多流的情况进行吞吐率测试。多流设置为双向、100对流、UDP(即内、外网的地址共200个且互不相同),源和目标地址都同时变化,即在防火墙的状态表内会存在200个状态连接。
从吞吐量测试结果来看,方正方御防火墙在64byte下吞吐量达到91%以上,其余帧长下都达到了100%;同时,清华紫光超过了40%以上的吞吐量。各款产品在64byte和128byte下的吞吐量分别如图三和图四所示。
图五 不丢包情况下各款产品的最小延迟比较图
在丢包率、延迟等方面的测试,我们采用了目前国际上比较公认的不同数据包组合,根据互联网上不同应用中数据帧的统计,若将数据帧类型分为12份,那么64byte占7份,1518byte占1份,594byte的占4份。虽然各种流媒体的数据帧都集中在1280byte和1518byte的区间内,但通过长时间的HTTP、FTP以及邮件收发的混合应用看,赛迪评测从实际应用的数据帧统计分析,上述12份数据帧的分配是十分客观和科学的。因此,在测试中,封装了这种混合数据包,希望测试能够更贴近用户的实际应用,以增加测试的针对性。按7∶4∶1的分配原则,总共添加720对流(双向1440个),64byte有420对,594byte240对,1518byte 60对,采用源、目标地址都变的方式进行测试。
?延迟测试
延迟测试是在不丢包的情况下转发数据所需要的时间。因此延迟越小越好。
图六 不丢包情况下各款产品的平均延迟比较图
从延迟测试结果来看,阿姆瑞特、方正防火墙在数据延迟上都有比较好的表现。最小延迟比较图如图五所示,平均延迟比较图如图六所示。
?丢包率测试
丢包率测试主要测试的是在连续负载的情况下,防火墙设备由于资源不足而造成应转发却未转发的帧百分比。
从丢包率测试结果来看,方正方御防火墙10%~100%的数据线路压力没有丢包,表现最好,其次清华紫光、亿阳信通等防火墙表现较好。各款产品在不同数量流量下的丢包率如表二所示。
测试结论
根据本次测试内容和测试结果进行归总,得出本次测试评比的结果:
方正方御FG 6340防火墙提供了完整的功能、复杂网络的适应能力和高性能的应用带宽保障。由于其综合表现出色,获得了“中国计算机报社2003年度百兆防火墙横向评测编辑选择奖”。
天融信防火墙4000的多种网络安全功能设置和网络应用的安全性都有较好的表现。在此次评测中,该产品获得“中国计算机报社2003年度百兆防火墙横向评测编辑选择奖”。
清华紫光UF3500防火墙功能完整,配置简单,性能表现比较突出。该产品获得“中国计算机报社2003年度百兆防火墙横向评测技术特色奖”。
阿姆瑞特AS-F300防火墙功能实现较为完整,性能表现较好。该产品获得“中国计算机报社2003年度百兆防火墙横向评测应用创新奖”。
亿阳网警BOCO.SFW-3000防火墙综合表现较好。该产品获得“中国计算机报社2003年度百兆防火墙横向评测应用创新奖”。
本次对5款防火墙的测试由于时间比较紧促,因此,没有对应用较为广泛的双机热备功能和支持VLAN功能进行测试,同时对于IDS联动和VPN功能也没有进行完整的测试。
