当我们对四款下一代防火墙产品的性能进行测试时,发现这些产品传输数据包的速度非常快,但是开启高级安全性能后,流量就下降了。现在我们深入了解一些应用验证和控制——下一代防火墙定义的特性——以此找出哪些特性是有效的,哪些是无效的。
我们发现尽管四款被测产品虽给出了产品承诺,但是仍需要改进。Check Point,SonicWALL和Fortinet的产品在所测产品中排名靠前,但是仍然有值得改进的地方。梭子鱼产品的评分不如其他几家,还有很大的改进空间。
下一代防火墙所定义的特性是在应用层识别和控制流量,所以我们的测试分为九个大类,由四十个测试组成,目的是看看防火墙是否与投入的资金相符。
被测产品中,没有一款可称得上完美,SonicWALL SonicOS识别并拦截了40个测试应用中的26个,Check Point Security Gateway则以24个紧随其后,Fortinet FortiGate的拦截数为21,而梭子鱼 NG Firewall则是18。
(编辑注:在这个测试的第一个部分,供应商向加尼福尼亚州的David Newman实验室提交了最大最快的设备进行性能测试。我们允许供应商将同一个产品系列中较小较轻的设备发送到Joel Snyder的Arizona实验室进行特性测试。除SonicWall之外的其他案例中,被测产品使用的名称都相同,只是使用了不同的型号。而在 SonicWall的测试中,我们对SuperMassive 10800进行了性能测试,对NSA E8500进行了特性测试,目的是避免我们将此产品与两个型号共享的SonicOS操作系统混淆。)
在我们的测试中,一些应用出现的问题相对较多。例如,在我们请求播放美剧《生活大爆炸》的时候,Check Point和SonicWall拦截了我们的BitTorrent客户端,而梭子鱼和Fortinet则没有。
另一方面,Check Point不能拦截Skype,而且没有哪款被测产品拦截了谷歌Gmail,因为当我们点击“如果浏览器不显示邮箱请点此HTML版本”,链接就会跳转。
SonicWall 的每个应用都有很多分区,但没有一个被记录下来或是对我们有意义,当我们试图允许终端用户查看Facebook但阻止用户发帖的时候,没能成功——而这恰 好是供应商眼中可拿来推广下一代防火墙的噱头之一。事实上,用URL过滤器就可以完全拦截Facebook——你并不需要动用下一代防火墙。如果不是 SonicWall的应用认证GUI设计得不好,SonicWall的得分应该更高些。
Check Point Security Gateway的应用认证管理界面非常棒,其控件也比其他几家产品的更易于使用。尽管如此,利用此界面的引擎并不如SonicWall的好。例如,我们可 以轻而易举地创建拦截Facebook或LinkedIn特定部分的策略,但是这些策略并不一定奏效。只有当我们拦截整个LinkedIn时,防火墙才有 用。
Fortinet的FortiGate在管理界面前端的表现处于SonicWall和Check Point之间。虽然不如Check Point产品好看,但是却比SonicWall更实用。而FortiGate则易于学习与使用。但是如果涉及加密数据,FortiGate的表现最不尽 如人意。例如,当Squirrelmail在标准80端口运行的时候,有一条规则的拦截效果非常好,不过,当我们在标准HTTPS 443端口加密数据后,FortiGate就无法对其进行拦截了——即便我们看到FortiGate确实按照预想的那样对数据进行了解密和加密——未加密 的Facebook被拦截了,而且是依据策略来显示,但是如果我们仅对Facebook使用HTTPS,那么这一策略的效果并不理想。
在 没有技术支持的帮助下,很难让梭子鱼的下一代防火墙拦截应用,这主要是因为其管理GUI的设计有缺陷。例如,因为应用认证要依靠HTTP和 HTTPS代理,可这两个代理是不同的工具,你必须复制策略,花时间等待,还可能碰到报错。Barracuda称我们在GUI碰到的问题可以在5.4版本 中得到修复,所以建议用户等待新版本发布后再使用。
即使你记得改变梭子鱼NG防火墙两个代理中的策略,在定义要被拦截的应用时也要谨慎一 点。虽然要对需被最先拦截的应用进行挑选,但是在你进入这一规则适用的网络列表前,你还得打开三个页面。显然,如果你不考虑这一点,就不能保证它适用于所 有用户或网络,也不会对话框弹出来告诉你“你创建的新规则不起任何作用。”整体而言,Barracuda在应用识别方面得分最低,它对很多应用都无法进行 恰当的识别与匹配。例如,NG防火墙没有用于常用网邮的签名或工具,如Lotus Notes,Outlook Web Access或SharePoint。
有些NG防火墙的应用分类意义不大。例如,为了拦截Youtube,你必须拦截“社交网络”,虽然 这样有效,但是却同时拦截了其他网站。当类别被成功识别后,NG防火墙通常无法成功拦截。例如,我们添加规则的时候,微软和苹果软件更新会出现在日志中, 但是NG防火墙却无法对其进行拦截。
