对于防火墙产品而言,安全与性能、易用性长期处于失衡状态,更安全几乎成为低性能的代名词,而多功能则意味着更复杂的操作。广大防火墙用户必须忍受无法放心开启安全功能、难以将安全管理落地的窘境。作为面向新兴威胁的产品,下一代防火墙是否能够在矛盾间找到平衡呢?
日前,《网络世界》评测实验室为验证下一代防火墙在经历数年发展后,能否在安全与性能间不妥协,是否能够提供切实落地的可管理性,倾力打造了一轮针对主流下一代防火墙厂商产品的横向评测,华为、Fortinet、网康、WatchGuard四家厂商送测了旗下的万兆级高端产品,并均表现出了应有的水平。网康科技本次送测的搭载最新3.0版本的NF-S380-C设备,在安全性、性能和易用性方面均表现优异,不禁令人眼前一亮。
网康NF-S380-C
下一代防火墙是什么?——更安全的防火墙
根据Gartner的权威定义,下一代防火墙应基于应用层重构安全,并主要面向渐成主流的应用层威胁。因此,入侵检测(IPS)对于恶意攻击的检出能力成为测试方考量下一代防火墙安全能力的主要指标之一。
测试采用当前流行的183种攻击样本进行模拟测试,网康设备有效检出178种,达到了97.2%的高检出率。
为了验证IPS是否能够被各种伪装、逃逸手段绕过,测试方还在攻击流量中加入了分片、URL混淆、NETBIOS等惯用逃逸手段,并重新测试检出情况,网康设备实现了零逃逸。从总体结果看,网康仅以微弱劣势排在老牌安全厂商华为和Fortinet之后。
IPS检出率测试结果
“早在推出下一代防火墙前,我们就成立了专门研究攻击特征的实验室,截至目前,网康设备支持识别的漏洞攻击、恶意软件数量均达到了4000种左右,IPS特征库共收录8000余种攻击样本”,网康科技产品经理杜斟说。
据悉,网康科技始终将安全能力的提升作为产品研发的重点方向之一,在今年发布的两个版本中,IPS模块得到了持续性改进和优化,并且将网康在应用特征识别方面积累下来的核心技术移植到了攻击特征的发现上,使得IPS模块对攻击的识别更加精准,具备极强的防逃逸能力。
“前不久,在陕西一个油田客户的项目中,用户对于恶意入侵的防御能力特别看重,专门组织了针对多个厂商攻击识别能力的测试,网康设备在众多参测厂商中的病毒、木马拦截能力是最优的,使用同样的攻击样本进行测试,网康设备的检出率排在了第一位”,杜斟说。
杜斟还谈到,网康在持续提升下一代防火墙IPS能力的同时,还率先使用病毒云查杀技术,使得设备的病毒识别能力、查杀效率和响应速度都有了大幅提升。此外,网康充分结合检测型的主动防御技术,使得下一代防火墙不再仅仅是一个被动的防御者。
下一代防火墙要如何?——更高效的防火墙
下一代防火墙将不再如同传统UTM一样仅面向中小规模的网络环境,这要求其具备针对大流量进行细粒度检测的高运算能力,并尽可能降低安全功能开启后的性能衰减。有专家甚至指出,在功能全开启的情况下,性能的衰减能否控制在50%左右,是一款设备是否达到下一代防火墙标准的一项基本要求。
为此,测试方对于参测设备性能的测试可谓煞费苦心,一方面需要了解设备在标准条件下的性能指标,另一方面还要关注产品在实际部署场景中的性能表现。本次测试不但对设备的吞吐量、每秒新建会话数等传统性能指标进行了严格的测试,同时还模拟典型真实场景的流量验证了设备的性能表现。
“这在国内公开的横评测试中尚属首次,但对于用户来讲更具实用价值,也更加符合下一代防火墙的定义,很有借鉴意义”,评测工程师如是说。
在吞吐量测试中,网康设备64字节小包单向吞吐量达到了2.5Gbps,512字节和1518字节包长则完全达到了线速。并且,网康设备无论是在仅开启应用识别,还是功能全开启的情况下,每秒新建连接数均名列前茅。
吞吐量及每秒新建测试结果
“这样的测试成绩比几个月前我们使用相同测试方法对同款设备测得的结果又好了很多,说明随着版本的升级网康设备的性能又有所提升”,评测工程师在反复验证结果后表示。
为了进一步验证参测设备在实际环境下的性能表现,测试方使用测试仪表依次模拟出了高校、企业及企业数据中心三个应用场景的流量,网康设备在三个场景中的吞吐量分别达到了4.5Gpbs、6.3Gbps和6.2Gbps,测试结果同样令人欣喜。
模拟真实场景下的吞吐量测试结果
据悉,网康下一代防火墙的高端产品目前已在政府、金融、能源、教育等众多重点行业的大型网络中成功部署。本次测试中优异的性能表现,再一次验证了网康下一代防火墙完全可以胜任复杂环境、大流量网络的安全防护,并且在功能全开启后性能衰减可严格控制在50%左右。
“性能与安全永远成反比,我们看到早期的防火墙产品总是在强调ASIC、NP、Multi-Core等硬件术语,但硬件发展到今天的水平,能够给性能提升带来的支撑已经开始变得有限,我们不应忽视软件架构和处理机制对于性能的影响”,网康科技产品市场经理熊瑛说。
作为下一代防火墙的重要基因,一体化引擎的运用对于设备各功能间的联动、检测效率的提升均起到了重要作用。以应用控制为例,网康设备在识别到需禁止的应用流量后,可直接拒绝连接的建立,与传统防火墙首先建立会话,然后通过会话特征检测到应用类型,最终采取控制措施的“三步走”相比,具有更高的效率和更强的安全性。
一体化引擎VS多引擎串行处理
下一代防火墙为谁用?——更简单的防火墙
下一代安全以人为本,作为“人民安全”理念的倡导者,网康科技在下一代防火墙的功能设计中坚持产品大众化和价值显性化的原则,竭尽所能为用户提供极佳的操控体验。
“原来我还非常欣赏‘智能’这个词,但现在更加喜欢‘傻瓜’”,网康科技CEO袁沈钢在日前的一次访谈中直言,下一代防火墙的功能更加丰富,内部的程序设计也复杂的多,但操作起来其实更加的简单。
测试表明,网康下一代防火墙提供了“傻瓜”式的上线和基础策略模板,对于典型的网络环境,通过“Step By Step”式的配置向导,即可轻松完成设备上线和基础配置。
“Step By Step”式的配置向导
同时,下一代防火墙需通过直观、智能的异常输出,帮助用户提早的预警风险或快速溯源安全事件。在测试过程中,网康设备以色块形式呈现流量构成的设计博得了评测机构的好感。
“这样的展现形式比一排柱状图要好,可以让用户的目光更加聚焦”,评测工程师如是说。
通过色块显示高风险流量
测试报告还特别提到,“网康设备将所有IP地址赋予国家和地区的位置属性,使得用户可以根据IP地址所属的地域统计出连接的具体方位,这对管理者分析异常行为、发现异常流量同样有着积极的作用”。
基于地理位置统计连接建立情况
值得一提的是,网康设备可根据僵尸网络的行为特征判别网络中的可疑僵尸主机,同样是几家参测设备中所独有的。此外,通过对多功能模块日志的关联分析,实现同页面多次单击寻找问题所在的简单操作同样给评测工程师留下了深刻印象。
关联日志洞悉威胁全貌
据悉,网康下一代防火墙的操作体验,同样得到了来自最终用户的好评,更加智能的分析能力以及直观的呈现能力,使得防火墙已经由单纯的执行者蜕变为了具有执行能力的建议者。
“当今黑客攻击的手段越来越隐蔽和高明,是网康下一代防火墙强大的可视化功能,让我们通过直观的查看和简单的点击,就及时发现了隐蔽性很强的攻击,实现了更加主动的防御,我想这也体现了下一代防火墙带给我们的变革”,北京蓝星CIO胡振环如是评价。
结语
国际数据公司IDC在今年发布的报告预测,新应用将推动边界安全产品更新换代,作为概念的定义者,Gartner对于下一代防火墙应用前景的预测则更为乐观。随着概念与本质的纷争暂告段落,2014年必将是下一代防火墙在国内市场爆发的元年。
作为国内最早推出真正意义下一代防火墙的厂商,网康科技已经用品质卓越的产品向我们做出了最佳诠释——性能与易用不必向安全妥协!