您的位置: 网界网 > 周报全文 > 正文

[周报全文]解惑下一代防火墙——《网络世界》下一代防火墙产品测试分析报告

2013年01月05日 11:25:31 | 作者:《网络世界》评测实验室 董培欣 | 来源:网界网 | 查看本文手机版

摘要:为了解国内下一代防火墙产品发展的最新动向,《网络世界》评测实验室分别向梭子鱼、Check Point、思科、Dell SonicWALL、Fortinet、华为、H3C、杭州迪普、Juniper、绿盟、Palo Alto、启明星辰、深信服、山石网科、天融信、网康...

标签
下一代防火墙
产品测试分析报告

为了解国内下一代防火墙[注]产品发展的最新动向,《网络世界》评测实验室分别向梭子鱼、Check Point、思科、Dell SonicWALL、Fortinet、华为、H3C、杭州迪普、Juniper、绿盟、Palo Alto、启明星辰、深信服、山石网科、天融信、网康、网神(厂商按字母排序,不分先后)等十几家国内外网络安全厂商发出了下一代防火墙产品公开比较评测的邀请。然而最终仅有梭子鱼、网康、网神三家产品送测。并对Palo Alto下一代防火墙的功能进行了评估。因此我们调整了公开对比评测的计划,对这几家厂商的下一代防火墙产品进行了深入的技术分析。

下一代防火墙的困惑

自从Gartner推出下一代防火墙定义之后,各大安全厂商积极响应,均在极力的宣传自身的下一代防火墙产品。近年来,在作者对网关安全产品的间接接触与实际了解中发现:无论是防火墙、IPS还是功能集成度更高的UTM产品,在功能设计时,或多或少都加入一些应用层管理控制功能。至于应用识别可视性,在网关安全产品中加入此类管理功能的安全产品目前也十分常见。难道说所谓下一代防火墙就是一个集成度更高的UTM吗?这不由始人产生一种疑惑,下一代防火墙的先进性究竟在哪里?难道说“下一代”仅是Gartner的一种市场宣传手段吗?为此《网络世界》评测实验室展开了本次下一代防火墙产品测试分析活动。并相应的推出了基于网络威胁安全防护的全新网络安全产品考量方式。大体上可以概括为以下三点:

已知威胁高性能

网络安全设备在应对已知威胁时必须要具备高性能的网络应用处理能力。

要想满足企业网络安全应用的正常需求,《网络世界》评测实验室目前暂定已知威胁高性能需要在以下两方面得到体现:

1、在网络安全设备各项安全功能模块分别及全部开启时的正常应用处理性能,以测试产品在正常网络应用中的处理能力。

2、在网络安全设备各项安全功能模块分别及全部开启时在处理加载网络攻击或应用阻断后的处理性能,以测试产品在对异常网络流量进行处理时是否会对正常应用造成影响。同时也可以对产品防护能力进行验证性测试。

未知威胁主动防御

对已知威胁的防御只是目前企业对网络安全需求的一部分,除了被动地进行网络安全防御之外,企业用户还希望能对未知的网络安全有更加主动的防御办法。

如防止端口扫描、阻断木马上传,以及网页防篡改等安全防护功能也可以对未知威胁起到主动的防御能力。

发生威胁不泄密

安全防护的手段再多,有时也难以挡住黑客那无孔不入的黑手。因此,在网络威胁已经发生的情况下,网络安全设备应该具备防止关键数据泄密的防护能力,从而保障用户核心机密的安全。

只有具备了以上三种网络安全防护能力,我们才认为这种网络安全设备可以真正实现对用户网络应用的全面安全防护。

由Palo Alto产生的转变

Palo Alto下一代防火墙有一个最大的技术特点,就是通过统一的应用及应用威胁分析功能模块对网络正常应用连接进行分析并管理。同时对网络威胁应用的连接进行分析处理,并把威胁应用连接进行阻断。

威胁应用连接阻断,这个功能令作者联想到了很多。网络黑客之所以能够发动大规模的拒绝服务攻击,是因为他们通过威胁应用连接控制了成千上万的电脑,黑客窃取用户信息是因为威胁应用连接对用户主机的接入。断掉了这些威胁应用连接,黑客将再无所做为。对这些威胁应用连接进行追踪,黑客将无处遁形!

如果说控制网络连接端口,是对用户网络进行安全防护的第一代防火墙,那么控制用户应用连接,对用户网络应用进行安全防护就当之无愧地可以称之为“下一代”防火墙了。

然而下一代防火墙的魅力还不仅限于此。由于利用统一应用及应用威胁分析功能模块对网络中的数据流进行分析,然后通过调用不同的管理功能数据库对信息进行相应管理,在应用处理效率上,自然强于常规多功能网关安全产品分别利用多种功能模块进行网络及应用层分析并对威胁进行处理的方式。

同样在梭子鱼、网康与网神的下一代防火墙中也已经采用了同类的应用及应用威胁统一分析处理机制对网络应用数据进行统一分析后,通过一次数据包拆分,并行处理数据内容,将威胁、应用、流量可视化、智能化体现给用户,使用户能够快速定位问题。因此,下一代防火墙不仅具备高性能、高稳定性,同时具备较强的安全防御能力与内网自动化管理功能。只不过各厂商产品在功能细微处的处理方面还有所不同而已。

下一代防火墙功能分析

那么下一代防火墙是否可以更加有效地对网络应用威胁进行安全防护呢?为此我们通过前面总结出的网络威胁三方面安全防护能力,对Palo Alto的下一代防火墙功能进行?分析。

已知威胁

Palo Alto下一代防火墙成功地通过一个网络应用处理功能模块,将通常传统防火墙或多功能安全网关中有关用户认证、应用流量管理、IPS,乃至于DDoS[注]攻击防护等多种功能模块统一地融合在了一起。

通过一个网络应用处理模块对多种安全防护功能统一处理,在网络应用处理效率上会有极大提升。这种优势自然可以给Palo Alto下一代防火墙带来已知威胁高性能的处理能力。

未知威胁

网络威胁无孔不入,时刻都有新的网络漏洞被发现或被利用。对于下一代防火墙来讲,对网络中的未知威胁是否同样也是无力抵抗呢?在我们接触到的另一款下一代防火墙产品——网康下一代防火墙中,已经加入了基于云的URL过滤功能,可以积极主动地对未知威胁进行安全防护。并且Palo Alto下一代防火墙的网络应用连接分析这一功能也可以对存在威胁的网络连接进行阻断。因此,可以在黑客进行攻击初期的端口扫描阶段就将扫描连接请求终断,木马的控制连接也就无法建立,从而实现了主动防御的目的。

此外Palo Alto下一代防火墙采用的应用及应用威胁“可视化”监控统计界面也可以实时向用户展示出当前网络中各种应用的使用状况,使用户可及时察觉到网络中的异常情况。

已发生威胁

然而,总会有网络威胁会通过种种手段绕过防火墙的围困。当这个时候,我们是否就只能任凭黑客为所欲为?

Palo Alto下一代防火墙的策略设置中,可以对源、目的、用户、应用、服务、动作进行限制。因此,在策略设置严密的下一代防火墙面前,即便黑客成功地用未知漏洞或其他手段攻入了用户网络,也会因为缺乏相应的控制权限而止步于此。从而确保了在发生威胁时网络核心数据的安全。

通过以上分析我们可以了解到,Palo Alto下一代防火墙从网络应用角度上讲,确实可以为我们提供比较全面的网络安全防护功能。

测评——功能篇

我们对网神、梭子鱼与网康的三款下一代防火墙进行了更深一步的功能性对比。在功能性对比过程中,我们并没有采用应用识别率的方式对各款产品的应用识别功能进行验证性评测,而是从已知应用处理、已知威胁处理、未知威胁处理和日志及报表这几个方面,对下一代防火墙产品的功能性进行了一次总结。通过功能性的对比,我们可以清楚地了解产品在应用及应用威胁方面的处理能力。(具体对比结果参见表1)

通过功能对比我们可以发现,在对已知应用及已知威胁处理能力上,各款下一代防火墙产品功能基本相近,均可以实现应用及应用威胁深度分析及处理。在针对未知威胁主动防御的防护处理方面,基本上都具有基于云的URL过滤方式进行防御的功能。对于已发生威胁,各款产品均可以通过日志报表或流量统计的形式发现问题,并及时上报进行处理。综合来讲,目前送测的各款下一代防火墙产品均可以为用户提供较为出色的网络应用管理及应用安全防护功能。但是下一代防火墙产品在基于网络应用连接分析处理方面还有很大的潜力可以挖掘。通过对网络应用的深度分析,还可以更好地对未知网络威胁进行更加全面的防护。希望今后可以有更加全面的安全防护新功能在产品中展现。

为了便于分析比较,我们对下一代防火墙与当前的多功能安全网关也进行了一个简单的差异性功能比较。(具体内容参见表2)

通过功能分析对比我们可以了解到,下一代防火墙与多功能安全网关的本质区别就在于对网络应用的处理机制上面。通过统一的网络应用分析引擎对网络应用进行分析后,调用不同数据库对信息进行对比的是下一代防火墙。而分别利用不同分析引擎对网络应用进行处理的是多功能安全网关。同时,我们对这两种网络应用处理技术的优势与不足进行了简单的分析,也产生了少许对下一代防火墙应用处理能力的担忧。但我们相信,这些担忧会在下一代防火墙并行应用处理技术的深入发展中很快烟消云散的,下一代防火墙的明天将会更加美好。

123

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

2.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]