四下一代防火墙横向评估

下一代防火墙的特点之一是能够识别应用层的攻击，分别执行特定的应用策略，并提供更高的性能，是真的吗

在本文中，派克的评价（梭鱼）、检查点（Fortinet），Fortinet和SonicWall公司下一代防火墙。结论可以得出的下一代防火墙速度的确快。同时，速度和安全这两个问题是无法解决的，但它们仍然存在。

当所有的下一代防火墙产品检查的应用，流量传输速度达到数千亿美元，这是性能的下一代防火墙的广告。但是，当SSL流量发送，这些产品滴转发率。当SSL解密打开，业绩下滑是一个看不见的。

混合内容的负载

本测试项目包括：

混合和静态长度HTTP和SSL转发速率；

打开SSL解密函数后的转发速率。

TCP协议的可扩展性。

其中，最重要的是混合HTTP转发速率，因为它们最接近企业网络中的防火墙负载。

混合内容的测试是针对不同大小的文件，容量范围从1KB到1.536mb，最大限度地提高企业应用的实时交通。同时，在这个测试中的测试文件也包含不同的格式如JPEG图像，PDF文件，二进制文件和文本对象。

每种产品都有三种不同的模式：纯防火墙、防火墙和IPS功能；防火墙、IPS、反间谍软件和反病毒（检查点是反僵尸网络）和其他功能都是开放的，这三种模式将通过对明文网络流量、SSL流量和SSL流量解密的测试。

在评价中，所有的下一代防火墙产品打开应用程序检查功能默认。就像下一代防火墙的定义、分类和应用层转发交通决策的下一代防火墙的关键点，这是不同于前代的防火墙，IPS等安全设备。

当作为一个单纯的防火墙来处理未加密的流量，在一个良好的速度运行所有的下一代防火墙（见图1）。双向转发速率（入站和出站流量，增加率）超大的SonicWALL是最快的，其次是FortiGate 3950b FortiGate。两产品发送明文流量率或接近20Gbps的，这是在测试平台上最快的性能。

图1

下一代防火墙产品几乎Fortinet公司SonicWALL和最大限度地提高网络容量测试平台的使用，它不仅是单纯的防火墙测试，是一样的IPS、防病毒、反间谍软件功能开启后测试。

这些数字是在帕洛阿尔托pamdash先前测试的比较好；5060防火墙。当时帕洛阿尔托pamdash；5060作为一个单纯的防火墙是在约17gbps最大速率下降，但5.3gbps在IPS模式和IPS和UTM模式。

一般来说，SSL流量的传输速率低于传输明文流量的速率，这并不奇怪，即使没有解密，应用程序检测引擎也很难识别SSL流量中看似随机的模式。

但也有一些例外。检查点的12610传输的SSL流量比单纯的HTTP流量传输速度更快。在一次试验中，NG防火墙F900梭鱼也有这种作用，最有可能的原因是，一旦防火墙识别交通为SSL流量（因为SSL头本身是不加密的，它是容易识别），它将不再试图进一步检查交通。

在开放的IPS和UTM功能，梭子鱼防火墙转发率有明显下降。在反病毒、反僵尸网络功能打开，检查点12610以较慢的速度发送明文流量。应该指出的是，所有三种配置下，检查点12610的SSL性能几乎是相同的，这再次表明一旦SSL流量是公认的，防火墙将不再检查。

静态对象测试

试验结果100kb和512KB的静态对象与混合内容的测试。防火墙通常比SSL传输更快通过HTTP（见图2）。

图2

Fortinet公司和SonicWALL防火墙明文传输速度的HTTP对象再次达到或接近极限测试network.sonicwall超大几乎最大化测试平台的SSL功能。没有测试设备的部署的速度，我们的测试平台来传递100kb对象文件和512KB的对象文件达到17.1gbps和14.4gbps respectively.sonicwall超大传输SSL流量接近这些数字的速度。Fortinet飞塔3950b，其表现的更为明显。

此外，在混合对象测试，速度和网络传输流量Fortinet防火墙比以前的帕洛阿尔托pamdash；5060的表现。作为一个纯粹的防火墙，pamdash；通过pamdash的512KB的对象传输的最高速率是18.7gbps.in IPS模式和UTM模式，本率分别降低到6.1gbps和6.3gbps。

另一方面，梭子鱼下一代防火墙产品转移和检查点的SSL流量将超过HTTP明文传输流的速度。这是可能的，这两个防火墙不再检查交通在交通标识为SSL。

UTM的IPS模式或模式，并检查梭子鱼防火墙速度放慢，但防火墙和网络流量传输Fortinet的速度没有改变。


SSL解密

SSL通信的下一代防火墙是一把双刃剑：如果流量是加密的，它将无法检查的应用；然而，如果交通被解密，防火墙的性能将大大降低。事实上，测试结果表明，SSL解密试验是比较最大的区别，网络，这是最有争议的话题。

当SSL被解密时，下一代防火墙充当代理系统，拦截客户端请求，并将服务器的证书更改为自己的证书。用户一般不太可能检查替换证书。在使用中，他们认为他们直接与原始服务器打交道，同时防火墙将解密和检查流量的内容。

梭子鱼防火墙软件是非透明代理，用户需要重新配置所有的客户端的防火墙，可以解密正常。派克说即将到来的软件版本将支持透明代理机制。其他三防火墙可以作为透明代理系统当SSL解密。

此外，梭子鱼防火墙打开，Fortinet SSL解密将同时反病毒检查功能打开。因此，虽然我们的测试要求，在单纯的防火墙和防火墙和UTM模式模式解密，但防火墙和在纯防火墙模式同时梭鱼FortiGate测试也开启了反病毒检查功能。

在所有的测试中，检查点12610在解密SSL的速度最快，是突破1Gbps的闸门系统（见图3）。

图3

解密SSL流量的下一代防火墙产品和SonicWALL的FortiGate速度、SSL解密不打开速度far.fortigate 3950b FortiGate 191mbps472mbps解密速率之间，远小于在解密3.6gbps6.0gbps缺失的表现。

对于超大的SonicWALL，在SSL解密速度率的下降更为明显，但网络也不赞同这样的测试方法。在我们的测试中，超大的拥有率11.3gbps没有解密传输SSL流量，即使UTM功能打开。在解密的情况下，对同一负载的传输率仅为83mbps，这低于先前的帕洛阿尔托pamdash；108mbps 5060。如果传输100KB的静态对象，率低到49mbps，和pamdash；率5060 626mbps。

华泰证券表示，超大质量黑洞也可以解密的流量速度，如果它是一个更大的考验，他们认为在这个测试防火墙的处理器使用的是只有2%左右，这表明它可以处理的工作比测试结果的50倍以上。

为了证实这一说法，我们测试的流量的50倍，高于基准。发现其中解密SSL流量达4.8gbps.we也试图在其他防火墙做同样的大流量测试，但防火墙没有达到这样的速度。

虽然研究结果表明，在SSL解密的情况下所有设备的性能有很大的影响，但实际应用可能会糟糕得多。这是因为我们在使用这些测试比较弱rc4mdash安全；MD5密码，但在实际的应用中，在更强的密码安全使用的大多数银行和金融机构，如aes256mdash；SHA1，这个密码是计算密集型操作，可能会导致防火墙转发率比试验下。

TCP协议的可扩展性

最后，从衡量TCP可伸缩性的两个方面进行了一组测试：一是容量（最大限度地并发每个防火墙可以支持无超时或其他故障条件、连接数量），另一个是速率（每个防火墙可以建立和中断的最大速度，在故障情况下的新连接）。

图4

在连接能力的测试，我们允许每个现有的连接生成一个新的HTTP请求，每60秒，创造了大量的connections.fortigate 3950b是在这方面最好的公司之一，可以处理约10000000 connection.sonicwall超大之后是一个成功的990万个连接处理。更少的并发处理检查点和梭子鱼防火墙连接，分别只有122万。

为了测试连接的产生率，我们使用旧的HTTP 1规范建立每一个新的transaction.sonicwall超大的TCP连接可以建立29万连接每秒。Check Point防火墙后面，可以设置每秒57039个连接，而防火墙和梭子鱼FortiGate分别只能设置每秒47043和42911连接。因为巨大的使用高度并行的架构，它是在这样一个测试一个有利的位置。

老实说，下一代防火墙的性能还有待改进，此外，虽然SSL流量的解密仍然是安全性和性能之间的权衡，但至少用户在高速检测和控制应用中有更多的选择。