读懂下一代防火墙性能指标

读懂下一代防火墙性能指标读懂下一代防火墙，从读懂NSSLabs测试标准开近年来，用户对网络业务的可视性、可管理性要求越来越高，要求能从业务视角理解网络流量，并针对应用制定管理策略；随之而来的，是以下一代防火墙（NGFW）为代表的应用层网络产品如雨后春笋般涌现出来；传统的网络层安全产品，如传统防火墙、IPS等，由于缺乏应用识别与控制能力，正在被面向应用层的NGFW、下一代IPS等产品取代。以下一代防火墙为例，根据Gartner的调研，在2011年时仅有不到1%的互联网连接采用NGFW来保护，而到2014年底，这个数字飙升到35%。什么样的防火墙能称之为下一代防火墙？“下一代防火墙”首次提出于2009年。Gartner在题为《DefiningtheNext-GenerationFirewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下一代防火墙。”由此可以总结得出，NGFW应具备应用识别和感知能力，同时应融合IPS系统以应对网络威胁；下一代防火墙的核心安全能力，是能够执行不依赖于IP、端口的应用、用户和内容控制策略，并能够实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。这一切的基础，是对网络中的数据包执行深度检测，也就是将数据包解封到应用层。数据包封装和解封层次越多，CPU的计算负载就会越高，具体表现为设备性能衰减，这是“鱼与熊掌不能兼得”的简单逻辑，也是为了应用级防护所必须付出的成本。NSSLabs评估NGFW性能的指标评估传统网络层设备的指标，如吞吐量、丢包率等，关注更多的是包转发性能。将这些指标简单的套用到聚焦于应用层的NGFW上，不能完整的评估设备的整体性能，甚至连主要性能指标都无法覆盖。举个简单的类比，跑动能力是一名优秀足球运动员必备的条件，但如果由于足球运动员在长跑比赛中输给了马拉松选手，就得出结论说这名足球运动员的能力不足，显然是错误的。国内防火墙市场上怪现状也许是都看到了下一代防火墙这块巨大的市场蛋糕，近年来国内安全厂商纷纷加入了下一代防火墙的阵营，也陆续推出了各自的下一代防火墙产品。但在能指导用户选购的性能指标上，有些厂商仍在沿用衡量传统设备的网络层指标，一味的强调“快”，给用户洗脑“天下武功，唯快不破”的思想，而对于开启了全部安全模块后的实测性能，却采取了遮遮掩掩的态度。下一代防火墙不同于数通设备，吞吐量和报文转发能力只是其中一个基础功能，真正考验其在“逼近真实”网络环境中性能表现的核心指标是应用层处理能力。开启了全部安全模块后的真实性能在数字上远不如简单的吞吐量这个指标好看，但如果不向用户讲清开启了应用层功能后的实际设备性能，就是一种误导行为。网康的防火墙产品，从问世之日起就定位为下一代防火墙，因此网康始终强调的是其应用层处理，应将应用层性能参数作为主要指标，网络层性能参数作为参考指标。以其中一款高端NGFW产品为例，网康会诚实向用户坦白，开启了全部安全模块后，这款产品的实际吞吐量是14.6Gbps；但我们不会刻意强调，简单的大包处理能力可以达到80Gbps。事实上，80Gbps这个指标，完全可以媲美以“快”而著称的某友商的旗舰产品。