四款下一代防火墻橫向評測

2011年，《計算機世界》第24期曾刊登封面文章《競速下一代防火墻》，在國內媒體中首先提到：下一代防火墻產品還沒有一個統一的概念定義。時隔一年有余后的今天，這種概念定義的差異依然存在。而與一年前不同的是，推出下一代防火墻產品的廠商越來越多。同早兩年一窩蜂上馬UTM一樣，如今大家都在想用下一代防火墻這個概念，在沉寂了一段時間的安全市場內挖掘一些用戶的新需求。

看起來，盡管概念還有差異，但是下一代防火墻產品已經先于概念，開始大范圍鋪向市場。那么，不同廠商的下一代防火墻產品究竟如何？我們編譯了一篇來自外媒的評測文章，“遠水解近渴”，以饗各位讀者。

下一代防火墻在概念上宣傳的特色之一，是可以識別針對應用層的攻擊，并分別執行特定應用策略，同時還能提供更高的性能表現。真的是這樣嗎？

本文測評了梭子魚（Barracuda）、Check Point、飛塔（Fortinet）和SonicWall的下一代防火墻。總結下來可以給出的結論是，下一代防火墻的速度確實變得更快了；同時，速度與安全性二者不可兼得的問題也好轉了，但依然存在。

所有下一代防火墻產品在檢查應用程序時，流量傳送速度都達到了數千兆，而這正是下一代防火墻所標榜的性能特色。不過，當傳送SSL流量時，這些產品的轉發速率就隨之下降了。當開啟SSL解密功能后，性能的下降更是有些慘不忍睹。

混合內容負載

本次測試的項目包括：

●混合和靜態長度HTTP與SSL轉發速率；

●SSL解密功能開啟后的轉發速率；

●TCP擴展性。

其中，我們最重視的是混合HTTP轉發速率，因為它們與企業網絡中的防火墻負載最為接近。

這些測試的一個主要目的是，將結果與此前使用同一套方法進行測評的Palo Alto PA—5060（具體內容請參見《計算機世界》今年第16期的文章《Palo Alto PA—5060：瑕不掩瑜》）進行比較。

混合內容測試針對大小不一的文件，容量從1KB到1.536MB不等，最大限度地接近企業應用的真實流量。同時，這一測試中的測試文件還包括了JPEG圖像、PDF文檔、二進制文件和文本對象等不同格式。

每款產品的測試都采用了三種不同的模式：純防火墻；防火墻和IPS功能結合；防火墻、IPS、反間諜軟件和反病毒（Check Point則是反僵尸網絡）等功能都開啟。這三種模式都會經過明文Web流量、SSL流量以及解密SSL流量的測試。

在評測中，所有下一代防火墻產品都默認開啟了應用程序檢查功能。正如下一代防火墻的定義，對流量進行分類、在應用程序層做出轉發決定等功能，正是下一代防火墻有別于前一代防火墻、IPS及其他安全設備的關鍵。

當作為處理未加密流量的純防火墻使用時，所有下一代防火墻的運行速度都不錯（見圖1）。就雙向轉發速率（入站流量速率和出站流量速率相加）而言，SonicWall的SuperMassive速度最快，緊隨其后的是飛塔的FortiGate 3950B。這兩款產品傳送明文流量的速率都達到或接近20Gbps，這是在測試平臺上出現的最快表現。

SonicWall和飛塔的下一代防火墻產品都幾乎最大限度地使用了測試平臺的網絡容量，不僅在純防火墻測試中是這樣，在IPS和反病毒/反間諜軟件功能開啟后的測試中也是一樣。

這些數字與此前對Palo Alto PA—5060防火墻的測試相比，在結果上更勝一籌。當時Palo Alto PA—5060作為純防火墻使用時最高速率在17Gbps左右，但在IPS模式以及IPS加UTM模式下降到5.3Gbps。

一般來說，傳送SSL流量的速率要低于傳送明文流量的速率。考慮到即使沒有解密，應用程序檢測引擎也很難識別SSL流量中看似隨機的模式，這點也不足為奇。

不過也有幾個例外。Check Point的12610傳送SSL流量比傳送純HTTP流量還快。在某次測試中，梭子魚的NG Firewall F900也有這樣的效果。其中最可能的原因是，一旦防火墻將流量識別為SSL流量（由于SSL頭本身沒有加密，這很容易識別），那么其就不再試圖進一步對流量進行檢查。

在開啟了IPS和所有UTM功能后，梭子魚防火墻的轉發速率有了明顯下降。開啟反病毒和反僵尸網絡功能后，Check Point 12610傳送明文流量的速度也比較慢。需要指出的是，在所有三種配置下，Check Point 12610的SSL性能都大致一樣，這再次表明，一旦識別出SSL流量，這款防火墻就不再檢查。

靜態對象測試

針對100KB和512KB靜態對象的測試結果與混合內容測試相似。防火墻通過HTTP來傳送靜態對象一般比通過SSL傳送快得多（見圖2）。

飛塔和SonicWall的防火墻傳送明文HTTP對象的速度再次達到或接近測試網絡極限。SonicWall SuperMassive幾乎最大限度地使用了測試平臺的SSL功能。在沒有部署被測設備的情況下，我們的測試平臺傳送100KB對象文件和512KB對象文件的速度分別達到了17.1Gbps和14.4Gbps。SonicWall SuperMassive傳送SSL流量的速度接近以上這些數字。而對飛塔FortiGate 3950B而言，其性能下降就比較明顯了。

此外，在混合對象測試中，飛塔和SonicWall防火墻傳送流量的速度都超過了此前Palo Alto PA—5060的表現。作為純防火墻，PA—5060傳送512KB對象時的最高速率是18.7Gbps。在IPS模式和UTM模式下，這一速率分別降到了6.1Gbps和6.3Gbps。

另一方面，梭子魚和Check Point的下一代防火墻產品傳送SSL流量的速度都會超過傳送明文HTTP流量的速度。很有可能，這兩款防火墻在識別流量為SSL后，都不再檢查流量。

IPS模式或UTM模式開啟后，梭子魚和Check Point的防火墻速度都慢了下來，但是飛塔和SonicWall的防火墻傳送流量的速度基本沒有變化。

SSL解密

SSL流量對于下一代防火墻來說，無異于一把雙刃劍：如果流量經過加密，就無法檢查應用程序；但是如果流量經過解密的話，就會大幅降低防火墻的性能。實際上，測試結果表明，SSL解密測試是這次比較中差異最大的方面。對SonicWall來說，這也是最有爭議的話題。

進行SSL解密時，下一代防火墻會充當代理系統，截獲客戶端請求，將服務器的證書換成自己的證書。用戶一般不太會檢查更換后的證書，在使用中，他們會認為自己是在直接與原始服務器打交道。與此同時，防火墻會對流量內容進行解密和檢查。

梭子魚防火墻的軟件是非透明代理，其需要用戶重新配置所有客戶端防火墻，那樣解密才能正常進行。梭子魚稱，即將發布的軟件版本會支持透明代理機制。另外三款防火墻在進行SSL解密時都可以作為透明代理系統來使用。

此外，梭子魚和飛塔的防火墻要想開啟SSL解密就要同時開啟反病毒檢查功能。因此，雖然我們的測試要求分別在純防火墻模式和防火墻加UTM模式下進行解密，但是梭子魚和飛塔的防火墻在純防火墻模式下進行測試的同時也開啟了反病毒檢查功能。

在所有測試中，Check Point 12610在SSL解密方面的速度最快。它還是惟一突破1Gbps大關的系統（見圖3）。

飛塔和SonicWall的下一代防火墻產品解密SSL流量的速度，同不開啟SSL解密的速度相差甚遠。飛塔FortiGate 3950B解密速率在191Mbps?472Mbps之間，遠低于其在沒有解密時3.6Gbps?6.0Gbps的表現。

對SonicWall SuperMassive來說，其在SSL解密時速率的下降表現得還要更明顯，但SonicWall對測試方法也表示了異議。在我們的測試中，SuperMassive在沒有解密情況下傳送SSL流量的速率是11.3Gbps，即便開啟了UTM功能也是這樣。在解密情況下，相同負載的傳送速率只有83Mbps，要低于此前Palo Alto PA—5060的108Mbps。如果傳送的是100KB靜態對象，速率還要低至49Mbps，而PA—5060的速率為626Mbps。

SonicWall稱，SuperMassive還能以快得多的速率來解密流量，前提是對它進行更大的考驗。他們認為，在這次測試中其防火墻的處理器使用率只有2%左右，這表明它能處理比測試結果多出50倍的工作量。

為了證實這一說法，我們使用比基準高出50倍的流量進行了測試。結果發現，SuperMassive解密SSL流量的速度高達4.8Gbps。我們還試著對其他防火墻進行了同樣的大流量測試，但沒有一款防火墻達到這樣的速度。

雖然結果表明，所有設備在SSL解密的情況下性能都大受影響，但實際應用的情況可能還要糟糕得多。這是因為我們在這些測試中使用了安全性相對較弱的RC4—MD5密碼，而在實際應用中，大多數銀行及金融機構都在使用安全性強得多的密碼，比如AES256—SHA1，這種密碼涉及計算密集型操作，可能導致防火墻的轉發速率還要比測試結果更低。

TCP擴展性

最后一組測試從兩個方面測評TCP擴展性：一個方面是容量（每款防火墻在沒有超時或其他故障的情況下，可支持的最大并發連接數量），另一個方面是速率（每款防火墻可以建立和中斷新連接的最大速度，同樣在沒有故障的情況下）。

在連接容量測試中，我們讓每條現有的連接每隔60秒就生成一個新的HTTP請求，從而建立起越來越大的連接數量。飛塔FortiGate 3950B在這方面名列前茅，可以處理1000多萬條連接。SonicWall SuperMassive緊隨其后，成功地處理了990萬條連接。Check Point和梭子魚的防火墻所處理的并發連接則少得多，分別只有90萬條和32萬條。

為了測試連接創建速率，我們使用比較老的HTTP 1.0規范，為每個新的事務建立一條TCP連接。SonicWall SuperMassive每秒可以建立29萬條連接。Check Point的防火墻排在其后，每秒可以建立57039條連接，而梭子魚和飛塔的防火墻每秒分別只能建立47043條和42911條連接。由于SuperMassive采用了高度并行的架構，因此在這樣的測試中處于有利位置。

老實說，下一代防火墻的性能還有改進的余地。此外，雖然解密SSL流量時，安全與性能之間仍存在取舍問題，但是至少用戶在應用程序高速檢查和控制方面有了更多選擇。