高端防火墙性能比较

---

   超级防火墙的运行速度比信息包还快，智能比饲机出动的黑客还要高，而且可以破解300多种网络攻击！防火墙供应商就他们的高端产品发表了各种的声明。我们的测试结果表明防火墙比以往任何时候都要坚固，运行速度更快，更容易管理。

---

我们和NSTL(Paris)测试了9种产品，大多数产品经受住了我们进行的一系列安全检查。除此之外，这些产品在我们进行的性能评估（使用最先进的测试台并进行全新的并行连接测试）中表现突出。实际上，今年防火墙的平均转送速度比去年快30%，比1997年快3倍。这些产品的管理也较以前有了重大改进。

要确定哪种产品最好并不容易。NetScreen-100和Cyberguard Firewall for Unixware获得第一名。这两种产品的安全性最好，性能高得惊人，而管理很简单。还有3种产品值得一题：市场领袖CheckPoint Firewall-1的用户界面仍然是评估其他防火墙的参考标准。Fore Systems号称采用目前最新的防火墙技术，在它的ESX-4800 Gigabit Ethernet交换机的芯片里嵌入Firewall-1规则集。而Network Associates 大大改进了
Gauntlet for Solaris的性能，它的某些转送速率在我们的测试中最高。

表1：高端防火墙性能比较 供应商 Axent Check Point Cyberguard Fore Lucent Netscreen Network Associates Novell

Secure Computing

产品 Raptor Firewall and VPN Server/6.0 Firewall-1/4.0 Cyberguard Firewall for Unixware/4.1 ESX-4800 with Firewall Switching Agent/Forethought 6.0 Lucent Managed Firewall/4.0 Netscreen -100/1.6 Gauntlet Firewall for Solaris/5.0 Border- manager Firewall Services/3 Sidewinder Security Server/4.1 体系结构 信息包过滤，应用代理，状态检查 应用代理，状态检查 信息包过滤，应用代理，状态检查 信息包过滤，状态检查 信息包过滤，应用代理，状态检查 状态检查 信息包过滤，应用代理，自适应代理 信息包过滤，应用代理，状态检查，线路级网关 信息包过滤，应用代理，状态检查，线路级网关 测试平台 2-CPU 400-MHz Sparc, 128 MB RAM, Solaris2.6 1-CPU 360-MHz Sparc, 512 MB RAM, Solaris2.6 4-CPU 400-MHz Xeon Pentium, 1G  RAM,加固的Unixware 2-CPU 300-MHz Pentium, 128 MB RAM,Windows NT Workstation 4.0 1-CPU 333 MHz   Pentium, 64 MB RAM, Inferno 定制硬件 1-CPU 400-MHz Ultraspare II, 1G RAM, Solaris2.6 1-CPU 450-MHz Pentium, 1G RAM, Netware5 1-CPU 450-MHz Pentium, 128MB RAM, 加固的BSDI Unix 接口 10/100-Mbps Ethernet, FDDI, 帧中继, 令牌环 155/622-Mbps ATM, 10/100-Mbps Ethernet, FDDI, 帧中继, Gigabit Ethernet, HSSI, 串行(T1/E1), 串行(T3/E3), 令牌环 155-Mbps ATM, 10/100-Mbps Ethernet, FDDI, Gigabit Ethernet, 令牌环 622-Mbps ATM, 10/100-Mbps Ethernet, Gigabit Ethernet 10/100-Mbps Ethernet 10/100-Mbps Ethernet 10/100-Mbps Ethernet, 令牌环 155/622-Mbps ATM, 10/100-Mbps Ethernet, FDDI, 帧中继, Gigabit Ethernet, HSSI, 串行(T1/E1), 串行(T3/E3), 令牌环 155-Mbps ATM 4, 10/100-Mbps Ethernet, FDDI, 令牌环 操作系统 HP-UX, Solaris, SunOS, Windows NT 4.0 AIX(嵌入路由选择和交换OS), HP-UX, Solaris for Sparc和x86, Windows NT 4.0 Windows NT 4.0, SCO Unixware 实时交换机操作系统 硬件工具：专用实时操作系统; 管理服务器: Solaris和Windows NT 4.0 专用实时操作系统 BSDI Unix, HP-UX, Solaris, Windows NT 4.0 Netware 4.X, 5.0 加固的BSDI Unix 可执行内容过滤 ActiveX, Excel和Word病毒, Java过滤和阻塞, 病毒, URL过滤 ActiveX, Java, 支持Content Vectoring Protocol的任何服务器的连接 ActiveX, Excel和Word病毒, Java, 病毒 ActiveX, Java, 支持Content Vectoring Protocol的任何服务器的连接 ActiveX, Excel和Word病毒, Java, 病毒 ActiveX, Java ActiveX, Word病毒, Java, 病毒 Java 二进制电子邮件附件, Java 加密/密钥管理 DES, Triple DES, 40-bit RC2/IKE, proprietary CAST, DES, Triple DES, proprietary, RC4/IKE, SKIP DES, Triple DES, 专用/IKE CAST, DES, Triple DES, proprietary, RC4/IKE, SKIP DES, Triple DES, RC4/ IKE DES, Triple DES, MD5, SHA-1/IKE DES/IKE DES, Triple DES, RC2, RC5/SKI DES, Triple DES, RC4/ IKE 负荷平衡 是 是 否 是 是 是 是 是 否 全天候支持/最短响应时间 是/2小时 是/30分钟 是/2小时 是/4小时 是/2小时 是/4小时 是/2小时 是/立即响应 是/1小时 应用代理和信息包过滤 也许这不仅仅是巧合，但今年的防火墙测试涉及的实现方法比以往任何时候都多，例如NetScreen-100和Lucent Managed Firewall使用定制硬
件和操作系统(NetScreen-100同时执行带宽管理并充当VPN网关)。Novell Bordermanager是该供应商的Netware网络操作系统的扩展部
分。Fore ESX-4800集成了Firewall Switching Agent (FSA)，这是一种校园网骨干交换机，嵌入了Check Point防火墙规则集----运行ASIC。其
他软件产品运行Unix或者Windows NT机器，常常要进行修改，以便加固或者替换基本的操作系统和TCP/IP协议堆。

尽管实现方法多种多样，但所有的防火墙都使用下列一种或者两种基本的体系结构：应用代理或者状态化信息包检查。

一般认为，应用代理的防火墙安全性较高，而包过滤防火墙的性能较好。但实际情况并非如此，在我们测试的防火墙产品中，大多数产品采用两
种方案的混合结构。

测试方法 我们邀请13家供应商参加高端防火墙测试。我们要求每个供应商提供一个防火墙产品，至少支持3个Fast Ethernet接口、网络地址转换(NAT)和
远程管理功能。我们还要求软件防火墙供应商 提供适当的测试硬件。有4家供应商拒绝参加测试：Cisco Systems认为我们的测试不重视性能，而Internet Devices、Nokia IPRG和Watchguard Technologies尚未准备好产品。

我们主要测试防火墙的安全、管理和性能。

为了测试安全，我们配置了Internet Security Systems（ISS）提供的Firewall Scanner和Internet Scanner（均为5.6.2版本），以便对每个防火墙发动近300次攻击。供应商给自己的防火墙配置两个接口：一个连接受保护的网段，另一个连接未受保护的网段。我们在公共网段的一个机器里运行扫描器，并把它的输出作为安全报告的主要依据。我们还检查防火墙是否阻止包含Java或者ActiveX对象的Web页。

为了测试性能，我们使用NSTL开发的Loadrun测试Internet应用，以便生成FTP和SMTP请求。测试台使用两个FTP服务器和两个SMTP服务器
-----在防火墙的两边各安装一个服务器。给所有服务器配置100Base-T接口，每个接口都有唯一的IP地址。使用两个客户机，他们分别位于防火
墙的两边，并给每个客户机配置两个网卡，最多有82个唯一的IP地址。为了评估每个防火墙的最大吞吐量，我们把服务器和客户机安装在Fast
Ethernet交换机之后，并把每个防火墙接口和交换机连接起来。对于FTP和SMTP通信量来说，有4个“虚拟客户机”通过防火墙请求服务器资
源。为了验证Loadrun的计数很准确，我们使用基于硬件的Shomiti Systems 的Surveyor协议分析仪。如果考虑到信息包报头，用Surveyor和
Loadrun测试的结果基本上是一样的。

就管理而言，我们设计了3种方案：远程管理、访问控制和记录。并记录防火墙如何处理这3项任务。NSTL工程师负责处理配置。

在第一种方案里，黑客试图通过防火墙访问网络。我们确定防火墙是否用电子邮件或者传呼通知网络管理员，使管理员可以从远程网段禁用接
口。我们还要检查远程网段和防火墙之间的通信是否加密；如果加密，要检查所使用的密钥管理方法和加密算法。

在第二种方案里，网络管理员根据IP地址和用户ID建立安全策略。我们验证是否可以根据时间设置访问限制。

在第三种方案里，我们要检查记录。我们尝试从每个防火墙的记录里收集特定数据，以便生成两个报告，其中一个显示未经授权的所有访问试图(按源IP地址排序)，而另一个显示某个IP地址在24小时之内发出的所有HTTP请求。这就是简单的通过/失败测试：防火墙要么支持这些功能，要么不支持。

我们还要检查在记录空间和硬盘满的情况下，防火墙如何操作。对这两种情况而言，有4种可能的结果：覆盖旧记录项、继续运转而不记录、关闭访问、允许网络管理员定义记录文件大小。

最后检查防火墙把数据记录在什么地方，以及如何记录数据，查看记录大小是否可以定义，记录文件是和防火墙位于统一机器里还是位于不同的机器里。对于支持外部记录的产品，要确定防火墙是否按加密方式传输记录项。

测试过程 为了测试这些产品的安全性，我们制定了迄今为止所有测试中最为复杂的规则集，它涉及460多种访问判定。供应商派出的代表负责解决配置问
题。我们用Firewall Scanner 5.6.2扫描工具验证规则集的执行情况，检测每个防火墙，并对防火墙发动300多次攻击，以便确定哪些地方存在安全问题。由于商用扫描工具有自己的特性，它可以通知防火墙拒绝所有请求，所以我们还采用NSTL设计的攻击方法对防火墙发动了几次攻击。总的来说，这次测试的设备的性能较以往测试的设备好。但也发现了问题：Novell Bordermanager接受路由选择更新消息，黑客可能会借此机会发动伪造的更新信息并转移通信量。但当我们禁用路由选择更新并使用静态路由选择时，可以消除此问题。

同时，我们希望防火墙可以阻止ActiveX和Java小程序。这些小程序会造成巨大的安全风险，因为他们会伪装成合法通信量通过防火墙，一旦防火墙让有害小程序进入网络，它可能会破坏目标机器里的数据，或者使用这些数据攻击其他主机。除了Novell Bordermanager只能阻止Java小程序之外，我们测试的所有防火墙均成功阻止了这两种小程序。

速度之王 我们大约每年测试一次防火墙，而我们每次都会告诉用户安全比性能更重要。(实际上，Cisco之所以委婉拒绝参加测试，那是因为它认为我们进行的测试没有充分强调性能的重要性。)

我们首先解释性能测试。供应商提供各种各样的设备：从定制硬件（Lucent和NetScreen产品）到GigabitEthernet交换机（Fore产品）和网络
操作系统扩展（Novell产品），再到运行高端Unix和NT服务器的软件防火墙（其他所有供应商的产品）。为了正确比较各种产品之间的差别，我们准备描述将要给防火墙提供的通信类型，并建议供应商提供最好的和最差的硬件。

并行连接数 今年的性能测试还包括一项新内容：每个设备可以处理的最大并行连接数。并行连接是测试防火墙伸缩性的重要参数，高端防火墙必须处理大量用户，而不是把信息包匆匆发送出去就完事了。考虑一个用于保护电子商务Web站点的防火墙。即使防火墙每个连接只需要一点点带宽，防火墙也必须首先可以支持这种连接。连接越多，电子商务站销售的产品越多。

在并行连接测试中，我们使用了NSTL专门为这次测试设计的FTPConnLoad工具。测试脚本告诉防火墙一边的FTP客户机打开尽可能多的至另一
边服务器的连接。NSTL工具不仅仅打开无数连接，在这个过程中，连接可能会超时，或者防火墙可能过负荷，致使连接不能支持数据传输。为
此，该工具每建立100个连接之后就要暂停一会，并使用FTP NOP命令轮询每个连接。一旦激活所有连接，该工具就再次使用FTP NOP周期性轮询服务器。

至于性能测试，首先要测试基准。我们在不启用防火墙的情况下在测试台运行FTPConnLoad，这样我们可以在“洁净”的配置环境里建立
80000多个TCP并行连接。在掌握性能基准之后，比较防火墙之间的并行连接数，结果发现不同的防火墙差别很大。（图1）

图1 并行连接数 最大并行FTP连接数 不过，这种比较方法并不准确。在某种程度上，Cyberguard之所以获得第一名，那是因为它的硬件平台功能强大，而且有1GB RAM。如果其他低端产品有更多的RAM，应该可以支持更多的连接。

　

转送速率 和上次测试一样，我们还比较了防火墙的转送速率。我们的转送速率测试旨在测试所有安全规则发生作用的情况下，防火墙以多快的速度转送通信量。我们测试的所有的防火墙均支持NAT，这是让防火墙受保护的一边的IP地址不至于暴露在没有保护的另一边的方法。为了确定NAT是否影响转送速率，我们分别在启用和禁用NAT的情况下测试产品。各种防火墙的转送速率差别很大。（图2） 图2 防火墙转送速率测试 FTP和SMTP混合通信量 我们再次进行基准测试。由于测试台没有安装防火墙，在4分钟脚本测试期间，可以实现15.6MB/S TCP转送速率，从而计算出转送速率接近125 Mbps。

为什么不使用交换式全双工测试台的200 Mbps最大理论值呢？首先，我们的测试集中在应用层，信息包报头和SMTP连接的连续打开和关闭可
能会使有效数据速率降低。第二，客户机提供规则集明确拒绝的大量通信量，线路至少在一部分时间之内被占用，不能传输通信量。第三，客户机和服务器提供通信量数量有一定的限制。

我们不能准确确定应用开销和测试平台的限制会使性能下降多少。在启用NAT时，TCP转送速率从Network Associates Gauntlet的11.5 MB/s到Secure Computing Sidewinder的2.79 MB/s不等。如果考虑到Gauntlet在过去的转送速率，它在今年的表现确实让人吃惊。这显示出状态化信息包过滤的优越性：该供应商的“自适应代理”(adaptive proxy)体系结构只在防火墙检测到可疑通信量(通信量模式不符合规则集的要求)时才启用代理。Cyberguard，Netscreen和Check Point防火墙紧跟在Gauntlet之后，每个防火墙的转送速率不低于9 MB/s。至于Novell
Bordermanager的转送速率，开始时很低，不到1 MB/s。但防火墙要为它处理的每个服务配置一个独立代理。当我们禁用代理时，转送速率大
大提高了。Novell声称它的状态化信息包过滤提供安全服务，而代理主要用于通过高速缓存来增强性能。

我们希望在禁用NAT时转送速率较高，但实际情况并非总是如此。在某些情况下，由于不必隐藏受保护的网络的地址，防火墙以较快的速度转送通信量。例如Lucent防火墙的转送速率在没有NAT的情况下非常高，13.9 MB/s的