鑒于此，我們《網絡世界》組織了新一輪的防火墻測試，旨在通過我們的測試，能給讀者選擇防火墻提供一些參考，也希望在如何用好防火墻這個問題上給治理員們一些借鑒。

除了進行一些基準性能測試外，我們更多地是采用模擬實際用戶環境的方法，對防火墻進行了從應用層防護到抗DoS攻擊時Web性能的較為全面的考察。Check Point、Fortinet、聯想網御、首信和Symantec五家產品勇敢地接受了這個挑戰，參加了我們的測試。

另外，在這次千兆防火墻測試中，我們還向安氏、東軟、港灣、海信數碼、華為3Com、Juniper、O2Micro、瑞星、ServGate、神州數碼、思科、天融信、中科網威等公司發出了邀請，但他們都以不同的理由拒絕了，天融信和神州數碼雖然也想參加我們的測試，但在我們的產品征集時間內沒能送來設備而遺憾地錯過。

在測試中，除了使用IXIA的測試儀外，華為3Com公司還提供了三層全千兆交換機Quidway 5516用于搭建測試環境，此外，在測試預備期間的網上調研中，有100多名讀者給我們發回了有效答卷，在此一并向他們表示感謝！

Check Point i-SECURITY SP-5500

經過一個月的測試，5款迥異的防火墻將它們的特點清楚地展現在我們面前。Fortinet的FortiGate 3600和Symantec Gateway Security 5460是“一體化”的安全網關，盡管它們在性能和安全方面有一些差異，但都提供了極為豐富的入侵防御和防病毒功能。聯想網御Super V最大的特點是具有超強的性能，而首信的CF 2000-BP500在性能測試的一些項目中也有出色的表現，并提供了一些很實用的功能。Check Point i-SECURITY SP-5500在大多數測試項目中表現優異，有不錯的性能，也提供了較為豐富的應用智能。在最后的綜合評選中，Check Point i-SECURITY SP-5500憑借其全面的表現贏得了最高分數，獲得了此次《網絡世界》評測實驗室千兆防火墻公開比較測試的編輯選擇獎。

一、P2P控制

網絡治理員：最近“火”起來的Skype，人們習慣將它歸類于IM（即時消息），其實，和BT下載一樣，它本質上屬于P2P通信軟件。這些工具很多都宣稱自己可以穿越防火墻。難道防火墻就束手無策嗎？

測試實況：  Skype等軟件為了便于用戶在各種條件下使用，它們可以利用80(一般用于HTTP)和443(一般用于HTTPS)端口進行通信，而這兩個端口對于防火墻來說一般都是打開的。我們采用了兩種方法進行測試，旨在考察防火墻是否可以控制Skype通信以及是如何實現此功能的。拓撲如圖1所示（第二種拓撲用代理服務器取代網關，其余配置類似）。

圖1　P2P通信控制拓撲圖

圖2　防DoS攻擊拓撲圖

測試中，只有Check Point i-SECURITY SP-5500和FortiGate 3600能夠針對Skype進行控制，而且兩種測試拓撲都控制成功，盡管它們在配置上有所區別。

不管是哪種測試拓撲，在一開始，我們并沒有啟動Skype控制，而是在防火墻上添加了必要的地址和策略配置，除了域名解析外，我們只答應目的端口為80和443的通信通過。并啟用了NAT，還根據需要進行了默認路由的配置。 QQread.com 推出Windows2003教程 win2003安裝介紹 win2003網絡優化 win2003使用技巧 win2003系統故障 服務器配置 專家答疑

更多的請看：http://www.qqread.com/windows/2003/index.Html

然后，我們打開防火墻的控制選項。在FortiGate 3600的IPS中，專門有一個P2P控制組，組內包含BT（Bit_Torrent）、電驢（Edonkey）、Gnutella、Kazaa和Skype等小項，你可以對其中的任意一個或多個進行阻斷。而大家熟悉的MSN則被放到了IPS的IM控制組中。在將Skype阻斷打開后，Skype不能聯機。

Check Point i-SECURITY SP-5500進行Skype控制的結果和FortiGate 3600是一樣的，Skype聯機成功與否完全取決于防火墻是否打開控制功能。Check Point i-SECURITY SP-5500應用智能的P2P控制部分有MSN和Kazaa等項目，盡管其中沒有對Skype的控制選項，但在P2P和其他很多針對應用層的控制欄目中，Check Point都提供了新增特征的功能。即通過輸入某種軟件的應用層特征，來實現對該軟件的控制。因為現在天天都會有新的P2P軟件被開發出來，使用這種特性可以使用戶不必等到下次產品升級就可以對其進行控制。Check Point的工程師在測試過程中將Skype的特征碼發給了我們。令人欣喜的是，FortiGate 3600也支持新增特征。

在測試前，我們聽說有一些網關產品通過訪問控制規則而不是應用層特征來控制IM，這些規則過濾掉了到Internet上IM用戶注冊服務器的部分或全部通信。我們認為這種方法不靈活而且輕易失效。因而設計了Skype穿過防火墻通過代理服務器進行聯機的測試拓撲。

我們這個測試主要想觀察一下設備在過濾Skype通信時的做法，因而需要在防火墻上設置答應到代理服務器的數據通過。

經過測試，Check Point i-SECURITY SP-5500和FortiGate 3600都能控制成功，而此時Skype用戶的筆記本電腦上MSN依然可以登陸（MSN未加控制）。由于內網Skype用戶所有的通信都指向了代理服務器（經Sniffer抓包確實如此），所以它們應該都是通過在應用層分析Skype的特征來實現控制的。

二、啟動NAT時的Web性能

測試工程師：NAT是每個邊界網關產品都要面對的問題，到底防火墻在啟動NAT后對應用會產生什么樣的影響呢？

測試實況：我們借助IXIA 1600T的應用測試軟件IxLoad來模擬Web服務器和客戶端。我們先后在防火墻上關閉和啟動了NAT，兩種情況下都采用了100條規則。測試儀模擬了250臺Web服務器，模擬了1000個用戶端，每個用戶創建3個并發TCP連接，在每個連接上最多答應傳送10筆交易，下載的文件為1K字節的靜態網頁。測試時間為5分鐘。

啟動NAT后，我們在正式測試前先考察了NAT是否已經生效，通過架設服務器并抓包，確認防火墻已經進行了地址轉換后才進行Web性能測試。

通過測試，我們發現，多數參測防火墻在啟動了NAT后，用戶訪問Web的性能并沒有明顯變化。Web頁面響應延遲除了Symantec比較大以外其他都控制在13至20毫秒之間，穿越防火墻的TCP連接建立的時延大都保持在微秒級，如表二所示。Symantec Gateway Security 5460體現出的差異是因為它使用NAT需要啟動應用代理模塊。 QQRead.com 推出數據恢復指南教程 數據恢復指南教程 數據恢復故障解析 常用數據恢復方案 硬盤數據恢復教程 數據保護方法 數據恢復軟件 專業數據恢復服務指南

通過監視防火墻的流量統計，此時內、外網接口之間的負載達到了200Mbps左右。 

三、防DoS攻擊

測試工程師：我們沒有將測試儀中所有的DoS攻擊武器都搬出來考驗防火墻，而是僅僅選取了Ping_Flood和Syn_Flood兩種攻擊。這兩種攻擊都會使目標主機在極短時間內陷入癱瘓，比較而言，Syn_Flood由于半開連接更耗資源等因素，其危害更大。

測試實況：正如我們所料，這些產品都可以對這兩種DoS攻擊進行防范。

在測試儀IXIA 1600T上使用攻擊軟件IxAttack和IxEXPlorer來模擬攻擊源。由于我們還要考察攻擊情況下的Web應用的性能，為避免形成帶寬瓶頸，我們所有的攻擊測試都在測試儀的百兆端口上進行。測試拓撲如圖2所示，當防火墻不啟動相應的DoS攻擊防御時，測試儀的攻擊按鈕剛剛按下，位于DMZ的Windows Server 2003立即“死機”。

所有參測產品都可以設置攻擊數據包數目的閾值，當啟動防御后，再次進行攻擊，服務器可以正常工作，CPU利用率維持在10%以下，通過Sniffer抓包，也可以發現不同廠商在應對DoS攻擊時的不同做法。有的仍讓很少量的包通過，有的則丟棄所有的包。此次測試沒有對防DoS攻擊的漏包數目的精確度進行衡量。啟動攻擊前后對性能的影響如表三所示。

四、防御攻擊時的Web性能

測試工程師：防火墻所處的位置決定了它會經受非常多惡意行為的挑戰。當它和攻擊做斗爭時，在其翼護下的用戶上網感受將會怎樣？

測試實況：我們首先創建了Web背景流，測試儀模擬的用戶規模和上面的測試相同，只不過服務器端的網頁變為由1K字節到256K字節不等的多種靜態頁面。

然后，防火墻啟動攻擊防御，測試儀開始通過內網向處于DMZ的服務器進行Ping_Flood攻擊，攻擊參數設置參見第41版防DoS攻擊部分。當確認防御成功后，重新傳輸Web背景流。我們對攻擊前后Web應用背景流的數值表現進行了比較。

結果發現，當不啟動攻擊時，Web應用穿越各個防火墻時的性能差異非常細微。在攻擊防御過程中，穿過參測設備建立的TCP連接的延遲大多有了明顯的變化，而連接建立后開始響應頁面的延遲多半沒有劇烈變化。參見表三和圖3。

通過在防火墻上監視流量，負載最大時達到了350Mbps左右。

可貴的是，即使防火墻忙于抗DoS攻擊，聯想網御Super V在Web應用方面的性能也沒有任何降低。Check Point i-SECURITY SP-5500和FortiGate 3600的表現也不錯，它們將TCP連接建立的延遲控制在70ms以下。 

五、測試點評

何去何從防火墻

現在黑客的目標直指防火墻一般都打開的端口??80和443等，比如通過HTTP攜帶惡意數據進行跨站腳本攻擊等，或者將P2P通信應用在80端口上或干脆直接封包在HTTP協議中，而黑客完全可以通過未經授權的P2P通信進入企業網絡內部。

顯然，作為邊界安全網關產品，防火墻僅僅提供端口級的訪問控制已經不能解決上述問題。防火墻必須要在應用層數據分析上邁出一大步。

盡管在這次測試中，我們沒有對應用層防護進行更多的測試，但是，通過對P2P通信控制能力的考查，已經可以對這些產品在應用層的分析程度上有一個基本熟悉。正可謂“落葉而知秋”。

不管是“安全網關”還是“應用智能”，他們都已擺脫“地址+端口”的羈絆，開始著眼于應用數據的內部，只不過程度不同。有人認為應用層數據的分析不應該由防火墻來完成。可是，對于來自外網的威脅，有哪個用戶愿意買多臺功能不同的設備將它們組合起來？以前，用戶更多的是迫于無奈。

現在有了這類完全集成或部分集成的產品。可是，人們很擔心防火墻變得更加“聰明”后的性能問題。

談到性能，大家應該從多個角度去考察，僅僅看“permit any”情況下、64字節的UDP轉發性能是片面的。防火墻添加了規則后表現怎么樣？不同包長混合、UDP和TCP連接混合后的表現怎么樣？防御攻擊時的性能怎么樣？

從另一個角度說，有的“一體化”產品的性能也的確需要加強，但我們看到，有些變得更“聰明”后的產品的性能也是不錯的。

此外，不要忘了防火墻首先是一個安全產品。隨著黑客們的行為、網絡通信方式較之以前發生的變化，防火墻應該知難而進！我們了解到，一些傳統狀態檢測防火墻廠商正在開發應用層的防護功能，有的還正與防病毒廠商合作，旨在增加邊界網關的防范能力。另外，一些安全網關也努力地向更高性能發展，在我們的這些參測廠商中，有的馬上就要推出全新的產品。