您的位置: 网界网 > 安全 > 正文

不妥协的网络安全-《网络世界》评测实验室下一代防火墙比较测试

2013年12月12日 08:10:53 | 作者:岑义涛 | 来源:网界网 | 查看本文手机版

摘要:本次《网络世界》评测实验室倾力打造的下一代防火墙横向测试,旨在为大家验证在经过数年的发展之后,下一代防火墙是否能够在安全和性能之间不妥协,有效保护企业网络安全。这是《网络世界》评测实验室第二次对该类产品进行测试...

标签
网康
华为
下一代防火墙
Fortinet
WatchGuard

安全能力测试

本部分测试从4各方面对设备进行评估:策略配置、应用控制、用户控制、入侵防御。本次测试并未对Anti-Virus进行测试。对于企业用户来说,终端都安装了防病毒软件,或者在网关处会单独放置防毒墙。另外,终端中了病毒或木马,凡是意图在窃取信息或是其他需要联网的恶意操作,都会产生异常流量,应被NGFW识别出来。所以本次测试不单独对AV进行测试。

为了展现出NGFW与传统防火墙的区别,以及深度安全保护能力,本次测试重点测试了对于应用识别、阻断,有条件限定的控制和阻断能力,以及IPS的检出能力。作为APT[注]主要手段之一,以数据包分片等为手段的反入侵检测的逃逸技术也需要在NGFW中有较好的对抗能力。

完备的基础防火墙功能

对于几款NGFW产品的安全能力测试,整个过程遵循自下而上的过程,即从基础防火墙功能开始进行测试,再对NGFW需要具备的应用识别控制,以及用户和用户组的权限访问控制,再到整合的入侵防御功能。

基础防火墙功能考察从以下几方面进行:首先是基础策略,即简单路由模式,策略设为“全部允许”。其次为简单策略,即允许内网用户访问基本的互联网功能,比如网页浏览和Email处理。然后进行复杂策略配置,设定较为复杂的策略以控制内外通信数据流,比如对应用和服务进行条件限定。当然,静态、动态NAT,SYN泛洪、IP地址欺骗也是防火墙必备的基础功能。

通过对送测设备的测试,四款被测设备均能够实现基础防火墙功能。在配置上线的过程中,无论是设备初始化,还是对设备进行路由配置,包括透明桥模式和NAT模式切换,都能够快速完成。另笔者比较满意的是,每款被测设备都拥有“配置导航”功能,不但拥有图文配置介绍,还能够提供不同需求的策略模板,比如实现基础网络连通的无策略路由模式,类似于阻断常见威胁的“高级模式”等等。这样的功能可以让没有网络设备配置基础的管理员也能够快速配置上线NGFW,而对于资深用户来说,大家也可以用CLI命令行模式进行配置,只不过由于版权问题,每家的命令都多少有些区别,对于习惯了某家厂商命令行的用户可能还是有些不便。

精准的应用控制

通过研究Gartner和NSS Labs对于下一代防火墙[注]的定义发现,NGFW除了要具备完善的基础防火墙功能以外,还必须要具备应用识别和控制、用户及用户组控制的能力,不论是基于DPI、DSI还是会话关联检测技术,防火墙要能够通过策略配置进行应用、服务的识别、控制(行为限定)和阻断。

通过利用IXIA Breaking Point FireStorm测试仪表,我们模拟了P2P下载类应用、文件传输类应用、即时通讯类应用(包含VoIP)这三大常用应用集。再通过现实终端进行实际操作测试,以检查送测NGFW产品对于应用深度识别的能力。从而完成对被测NGFW设备的应用完全阻断测试和有条件阻断和控制测试。

表1:应用识别与阻断测试结果

我们对即时通信软件(包括VoIP类)、P2P下载和文件传输/共享类应用通过测试仪表进行了测试,通过观察测试仪表的测试过程以及输出报表的内容,我们发现华为WatchGuard的被测设备仍然可以让Skype应用进行会话新建,而Fortinet网康可以对该应用进行完全阻断。

起初我们认为是被测设备不能对Skype应用进行阻断限制。但是在后来的有条件阻断和控制测试中(比如在Gmail中阻断内嵌的VoIP和即时通信功能),验证了华为和WatchGuard的设备并不是不能阻断,而是实现阻断的机制不一样,所以才有在测试仪上的结果。在实际流量测试时,我们将一台PC通过被测设备连接到互联网,另一台设备直接连接到互联网,两台设备互相发起QQ、Skype、Gtalk的请求。

经测试,在允许登录的情况下,四款被测设备均能分别阻断QQ传文件、QQ语音、QQ视频、Skype语音、Skype视频、Skype文字。对于Gtalk的测试, 我们选择了以网页Gmail为载体,内嵌的Gtalk视频、Gtalk文字聊天进行测试。被测设备也能成功阻断即时通讯功能而保持Email功能的正常工作,展现了作为下一代防火墙产品应有的细粒度应用识别和控制能力。

对于华为和WatchGuard的NGFW产品,我们在实际测试Skype深层应用控制的时候发现,虽然双方的Skype客户端显示正在通信,但是并无法收到各自发出的语音及文本,证明是能够成功阻断的。这也解释了虽然被测设备的策略禁止了Skype的通信,但是测试仪表仍然显示Skype能够成功发起会话连接的情况。造成这种情况的原因应该是由于针对应用识别和控制机制的实现并不是一般的对报文进行解析,然后阻断,而是保持会话能够成功建立,但是一直监测会话内的数据流是否属于策略禁止的,如果是则对数据包进行丢弃处理。

最后,对于带宽杀手,P2P类应用,不论是下载客户端(迅雷、电驴等等),还是支持在线播放的影音播放器(迅雷看看、PPS、PPTV等等),还有视频网站播放页内嵌的流媒体(优酷、爱奇艺、土豆等等),都分别进行了测试,结果均可成功阻断,而且各家也均可对下载进行流量控制的操作,为下载配置固定带宽。华为的USG6650产品还可以支持多链路接入,并且对多链路进行负载均衡操作,但是功能仅限于对链路带宽的分配,并不能基于应用做导流。

1 234567

参考资料

1.下一代防火墙:(Next Generation Firewall),简称NGFW,是可以全面应对应用层威胁的高性能防火墙。通过借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安...详情>>

2.APT:(Advanced Persistent Threat,高级持续性威胁),是指黑客或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为...详情>>

[责任编辑:岑义涛 cen_yitao@cnw.com.cn]