2005年千兆防火墙公开比较评测报告.doc

2005年度千兆防火墙公开比较评测报告P2P通信的流行和针对应用程序攻击的泛滥，边界安全网关的担子越来越重。 　　防火墙何去何从？ 　　有厂商推出了安全网关，在传统防火墙上添加了丰富的IPS和防病毒功能。另有厂商固守防火墙“性能”阵地。还有厂商采用一种近似“中间”的方案。 　　目前防火墙市场色彩好斑斓，如何选择防火墙？乱花渐欲迷人眼！  Check Point i-SECURITY SP-5500 　　鉴于此，我们《网络世界》组织了新一轮的防火墙测试，旨在通过我们的测试，能给读者选择防火墙提供一些参考，也希望在如何用好防火墙这个问题上给管理员们一些借鉴。 　　除了进行一些基准性能测试外，我们更多地是采用模拟实际用户环境的方法，对防火墙进行了从应用层防护到抗DoS攻击时Web性能的较为全面的考察。Check?Point、Fortinet、联想网御、首信和Symantec五家产品勇敢地接受了这个挑战，参加了我们的测试。 　　另外，在这次千兆防火墙测试中，我们还向安氏、东软、港湾、海信数码、华为3Com、Juniper、O2Micro、瑞星、ServGate、神州数码、思科、天融信、中科网威等公司发出了邀请，但他们都以不同的理由拒绝了，天融信和神州数码虽然也想参加我们的测试，但在我们的产品征集时间内没能送来设备而遗憾地错过。 　　在测试中，除了使用IXIA的测试仪外，华为3Com公司还提供了三层全千兆交换机Quidway?5516用于搭建测试环境，此外，在测试准备期间的网上调研中，有100多名读者给我们发回了有效答卷，在此一并向他们表示感谢！ 　　经过一个月的测试，5款迥异的防火墙将它们的特点清晰地展现在我们面前。Fortinet的FortiGate?3600和Symantec?Gateway?Security?5460是“一体化”的安全网关，尽管它们在性能和安全方面有一些差异，但都提供了极为丰富的入侵防御和防病毒功能。联想网御Super?V最大的特点是具有超强的性能，而首信的CF?2000-BP500在性能测试的一些项目中也有出色的表现，并提供了一些很实用的功能。Check?Point?i-SECURITY?SP-5500在大多数测试项目中表现优异，有不错的性能，也提供了较为丰富的应用智能。在最后的综合评比中，Check?Point?i-SECURITY?SP-5500凭借其全面的表现赢得了最高分数，获得了此次《网络世界》评测实验室千兆防火墙公开比较测试的编辑选择奖 P2P控制 　　网络管理员：最近“火”起来的Skype，人们习惯将它归类于IM（即时消息），其实，和BT下载一样，它本质上属于P2P通信软件。这些工具很多都宣称自己可以穿越防火墙。难道防火墙就束手无策吗？ 　　测试实况：??Skype等软件为了便于用户在各种条件下使用，它们可以利用80(一般用于HTTP)和443(一般用于HTTPS)端口进行通信，而这两个端口对于防火墙来说一般都是打开的。我们采用了两种方法进行测试，旨在考察防火墙是否可以控制Skype通信以及是如何实现此功能的。拓扑如图1所示（第二种拓扑用代理服务器取代网关，其余配置类似）。 图1　P2P通信控制拓扑图 ? 图2　防DoS攻击拓扑图? 　　测试中，只有Check?Point?i-SECURITY?SP-5500和FortiGate?3600能够针对Skype进行控制，而且两种测试拓扑都控制成功，尽管它们在配置上有所区别。 表一：P2P通信控制 ? Skype控制 P2P新增特征 Check Point √ √ Fortinet √ √ 　　不管是哪种测试拓扑，在一开始，我们并没有启动Skype控制，而是在防火墙上添加了必要的地址和策略配置，除了域名解析外，我们只允许目的端口为80和443的通信通过。并启用了NAT，还根据需要进行了默认路由的配置。 　　然后，我们打开防火墙的控制选项。在FortiGate?3600的IPS中，专门有一个P2P控制组，组内包含BT（Bit_Torrent）、电驴（Edonkey）、Gnutella、Kazaa和Skype等小项，你可以对其中的任意一个或多个进行阻断。而大家熟悉的MSN则被放到了IPS的IM控制组中。在将Skype阻断打开后，Skype不能联机。 　　Check?Point?i-SECURITY?SP-5500进行Skype控制的结果和FortiGate?3600是一样的，Skype联机成功与否完全取决于防火墙是否打开控制功能。Check?Point?i-SECURITY?SP-5500应用智能的P2P控制部分有MSN和Kazaa等项目，尽管其中没有对Skype的控制选项，但在P2P和其他很