四款下一代防火墙横向评测

开篇：润墨网以专业的文秘视角，为您筛选了一篇四款下一代防火墙横向评测范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

2011年，《计算机世界》第24期曾刊登封面文章《竞速下一代防火墙》，在国内媒体中首先提到：下一代防火墙产品还没有一个统一的概念定义。时隔一年有余后的今天，这种概念定义的差异依然存在。而与一年前不同的是，推出下一代防火墙产品的厂商越来越多。同早两年一窝蜂上马UTM一样，如今大家都在想用下一代防火墙这个概念，在沉寂了一段时间的安全市场内挖掘一些用户的新需求。

看起来，尽管概念还有差异，但是下一代防火墙产品已经先于概念，开始大范围铺向市场。那么，不同厂商的下一代防火墙产品究竟如何？我们编译了一篇来自外媒的评测文章，“远水解近渴”，以飨各位读者。

下一代防火墙在概念上宣传的特色之一，是可以识别针对应用层的攻击，并分别执行特定应用策略，同时还能提供更高的性能表现。真的是这样吗？

本文测评了梭子鱼（Barracuda）、Check Point、飞塔（Fortinet）和SonicWall的下一代防火墙。总结下来可以给出的结论是，下一代防火墙的速度确实变得更快了；同时，速度与安全性二者不可兼得的问题也好转了，但依然存在。

所有下一代防火墙产品在检查应用程序时，流量传送速度都达到了数千兆，而这正是下一代防火墙所标榜的性能特色。不过，当传送SSL流量时，这些产品的转发速率就随之下降了。当开启SSL解密功能后，性能的下降更是有些惨不忍睹。

混合内容负载

本次测试的项目包括：

混合和静态长度HTTP与SSL转发速率；

SSL解密功能开启后的转发速率；

TCP扩展性。

其中，我们最重视的是混合HTTP转发速率，因为它们与企业网络中的防火墙负载最为接近。

这些测试的一个主要目的是，将结果与此前使用同一套方法进行测评的Palo Alto PA—5060（具体内容请参见《计算机世界》今年第16期的文章《Palo Alto PA—5060：瑕不掩瑜》）进行比较。

混合内容测试针对大小不一的文件，容量从1KB到1.536MB不等，最大限度地接近企业应用的真实流量。同时，这一测试中的测试文件还包括了JPEG图像、PDF文档、二进制文件和文本对象等不同格式。

每款产品的测试都采用了三种不同的模式：纯防火墙；防火墙和IPS功能结合；防火墙、IPS、反间谍软件和反病毒（Check Point则是反僵尸网络）等功能都开启。这三种模式都会经过明文Web流量、SSL流量以及解密SSL流量的测试。

在评测中，所有下一代防火墙产品都默认开启了应用程序检查功能。正如下一代防火墙的定义，对流量进行分类、在应用程序层做出转发决定等功能，正是下一代防火墙有别于前一代防火墙、IPS及其他安全设备的关键。

当作为处理未加密流量的纯防火墙使用时，所有下一代防火墙的运行速度都不错（见图1）。就双向转发速率（入站流量速率和出站流量速率相加）而言，SonicWall的SuperMassive速度最快，紧随其后的是飞塔的FortiGate 3950B。这两款产品传送明文流量的速率都达到或接近20Gbps，这是在测试平台上出现的最快表现。

SonicWall和飞塔的下一代防火墙产品都几乎最大限度地使用了测试平台的网络容量，不仅在纯防火墙测试中是这样，在IPS和反病毒/反间谍软件功能开启后的测试中也是一样。

这些数字与此前对Palo Alto PA—5060防火墙的测试相比，在结果上更胜一筹。当时Palo Alto PA—5060作为纯防火墙使用时最高速率在17Gbps左右，但在IPS模式以及IPS加UTM模式下降到5.3Gbps。

一般来说，传送SSL流量的速率要低于传送明文流量的速率。考虑到即使没有解密，应用程序检测引擎也很难识别SSL流量中看似随机的模式，这点也不足为奇。

不过也有几个例外。Check Point的12610传送SSL流量比传送纯HTTP流量还快。在某次测试中，梭子鱼的NG Firewall F900也有这样的效果。其中最可能的原因是，一旦防火墙将流量识别为SSL流量（由于SSL头本身没有加密，这很容易识别），那么其就不再试图进一步对流量进行检查。

在开启了IPS和所有UTM功能后，梭子鱼防火墙的转发速率有了明显下降。开启反病毒和反僵尸网络功能后，Check Point 12610传送明文流量的速度也比较慢。需要指出的是，在所有三种配置下，Check Point 12610的SSL性能都大致一样，这再次表明，一旦识别出SSL流量，这款防火墙就不再检查。

静态对象测试

针对100KB和512KB静态对象的测试结果与混合内容测试相似。防火墙通过HTTP来传送静态对象一般比通过SSL传送快得多（见图2）。

飞塔和SonicWall的防火墙传送明文HTTP对象的速度再次达到或接近测试网络极限。SonicWall SuperMassive几乎最大限度地使用了测试平台的SSL功能。在没有部署被测设备的情况下，我们的测试平台传送100KB对象文件和512KB对象文件的速度分别达到了17.1Gbps和14.4Gbps。SonicWall SuperMassive传送SSL流量的速度接近以上这些数字。而对飞塔FortiGate 3950B而言，其性能下降就比较明显了。

此外，在混合对象测试中，飞塔和SonicWall防火墙传送流量的速度都超过了此前Palo Alto PA—5060的表现。作为纯防火墙，PA—5060传送512KB对象时的最高速率是18.7Gbps。在IPS模式和UTM模式下，这一速率分别降到了6.1Gbps和6.3Gbps。

另一方面，梭子鱼和Check Point的下一代防火墙产品传送SSL流量的速度都会超过传送明文HTTP流量的速度。很有可能，这两款防火墙在识别流量为SSL后，都不再检查流量。