补天论坛-在吞吐率和安全性之间进行选择

在吞吐率和安全性之间进行选择

来源：www.neusoft.com

评价一个防火墙产品好坏的指标有很多，如安全性、适用性、稳定性、吞吐率、并发连接数、可扩展功能等。防火墙掌握了网络中太多的信息，占据了企业网络中的重要位置，因此在原有基本功能上又不断派生出多种附加功能，如VPN 网关功能、流量计费功能、入侵检测功能、网络扫描功能、流量即时防毒功能等。
防火墙所提供的每一个的功能，都可能会成为设备厂商激烈争夺的竞争点。相应地，客户在进行设备选型时也感到越来越眼花缭乱--设备性能指标如此之多，而每款防火墙总是具备不同的优缺点，难以形成全面的产品优势。因此，客户在众多防火墙型号面前无所适从，如何选择最适合实际需要的产品成为IT 部门的重要课题。

如何选择??既然鱼熊掌不可兼得，那只有取主而舍其次了。那么，在上述众多性能中，谁为主、谁为次？下面就安全性与吞吐率的重要性进行比较分析。

从本质上讲，防火墙系统出现是为了给某个需要进行保护的特定网段加上一道安全的闸门。它的任务是严格判断所有流经该防火墙的访问流量，把正常或经授权的访问请求转发至目的网络，而把非法请求予以摒弃并作相应日志记录。这些判断可能依赖于链路层或链路层以上各层报头信息，如Mac地址、IP 地址、协议号、端口号、标志位等；也可能依赖于对报文内容进行匹配过滤审查。如果防火墙的安全性不够好，导致非法访问能够渗入受保护网络区域，那么防火墙整个设备就失去了存在的全部意义。

吞吐率是防火墙另外一个比较重要的参数，如上所述，它反映的是防火墙单位时间内对流量的最大转发能力。现在主流防火墙设备都已经可以支持100M等级链路速度，只是在对于更高速的链路支持上仍然存在着较大的距离，这些高速链路一般指的是GBEthernet、ATM OC-12、POS。现在比较成熟的千兆防火墙，如Netscreen、东软NetEye 等，虽然可以提供多种物理介质的支持，但是在二层上通常只提供GBEthernet一种规程。

相对于安全性而言，吞吐率并不是防火墙选型时需要重点考虑的首要问题。这是因为：

1、防火墙通常部署在具有不同安全等级要求的网络分段处，这些部署位置通常是两个或多个网段之间的通道，一般不具备超高速的链路速度，如企业网络的Internet接入链路，常见速度一般在64k～10M 之间。所以这些链路的速度对于防火墙而言完全能够承受。相反的是，这些接入链路具备各种各样的形式，如ADSL、PSTN、DDN、ISDN、Frame-Relay等，所以管理员需要更多考虑的是防火墙对这些链路是否支持，而不是吞吐率的大小；

2、在企业级网络安全方案设计中，一般应回避在高速链路上部署防火墙，这是因为防火墙在这些位置的部署可能会给整个网络性能带来负面影响--比如说，管理员对防火墙做了错误的配置，造成防火墙拒绝特定或全部流量，那么故障影响范围将波及整个企业网络，造成不必要的事故扩大；

3、某些特定的方案中，可能存在将防火墙部署在高速主干链路上的建议，但这些特高端设备通常只是为运营商级网络所特别研制，成本较高，难以适合一般的企业网络需求。

在吞吐率与安全性孰轻孰重问题上的争论，从某种程度上促进了目前防火墙两种流派的诞生--RISC 派和CISC 派。RISC 派采用RISC 指令集处理器并大量采用了分布式的ASIC 芯片，通过独特的总线控制机制和存储机制，获得较高的报文处理速度，提高系统吞吐率。但是由于大量固化代码的存在和过长的硬件设计周期决定了RISC 防火墙只能对报文进行模式比较固定死板的处理，使RISC 派防火墙无法形成对应用层协议指令或内在内容的灵活控制，也无法针对不断出现的新的攻击方式提供方面、快速的升级方式，在安全性上差强人意；而CISC 派则采用了目前较为普及的CISC 处理器，如Intel x86 系列，通过在软件设计开发方面的专注而获得较好的安全性和灵活扩展能力。

由于针对应用层协议漏洞的攻击种类在全部漏洞中占据了绝对优势，所以目前防火墙设备的研发或选型应当更多的关注设备在安全性尤其是应用层安全方面的表现。由于国内防火墙设备基本上都是采用CISC 处理器，省却了在硬件设计上的大量投资，所以更多的投资和精力投入在软件设计上，在安全性方面普遍起点很高。特别是作为国内网络安全产品厂商之翘楚的东软公司，其主打产品NetEye 防火墙在安全性方面尤为出色，不仅功能齐备、完善，而且在应用层访问控制力度上更是达到前所未有的强度。

NetEye 防火墙在安全方面所达到的较高水准应当归功于NetEye 独有的流过滤技术和强大的日志审计系统所带来的优势。具体地讲，NetEye 防火墙在安全方面的优势可以总结为以下几点：

1、在不放弃低层安全防护的前提下，特别突出对应用层的保护：NetEye 防火墙能够对应用层多个协议进行命令级和目录级的访问控制，并且能够同时与底层其他基本控制方式相结合，从而形成一体化的访问控制机制。目前，在常见应用协议中，NetEye 防火墙所支持的命令是最多的，对目录的控制也非常灵活、严谨，并且这一切都可以跟IP、端口、用户帐号等方式结合起来使用；

2、对应用层协议支持的扩展能力：企业的应用越来越多，但是，防火墙在缺省条件下无法提供对所有这些协议的严谨、贴切的支持，所以防火墙应当具有一个精心设计的框架，能够灵活的、无缝的容纳不同应用层协议包的嵌入。NetEye 防火墙的流过滤技术提供了这个能力--流过滤允许各种应用协议支持包的嵌入工作，在实际运行中，流过滤会自动的将相应的流量提交给这个处理包，然后会在应用协议处理包返回内容后进行后续处理。正是通过这种能力，NetEye防火墙先后提供了对Netmeeting、H.323协议、Multicast、双向DNS 解析等多种协议的支持，并且还会有更多的应用协议包陆续推出，甚至用户可以通过定制获得对自己独特应用协议的支持。对某种应用协议实现“支持”就意味着NetEye防火墙将对这种协议进行粒度更细的访问控制、透明代理（对于某些应用而言）、动态规则适应、以及内容过滤功能，从而能够避免单纯基于端口的控制方式所固有的漏洞；

3、内容安全性：NetEye 防火墙不仅仅关注网络上可能发生的攻击行为，而且同样关注链路上所承载的业务流量内容。这些内容一般来说都是不可执行的、完全文本化的，但是这些流量却有可能携带了危害性更大的信息，如企事业单位、国家机关失窃的机密信息、国家明令禁止的反动言论、不健康内容、邮件病毒的特征名称等等。所有这一切都可以通过NetEye防火墙的内容过滤来解决。NetEye 防火墙可以对HTTP、SMTP、FTP等多种协议进行内容过滤，而且对于Email 的主题、附件同样可以进行检查处理，任何违反管理员规则设定的流量或常见的Email 病毒都无法通过NetEye防火墙流经过去。

4、日志审计系统，便于分析总结和收集证据：NetEye 防火墙拥有一个非常大的存储空间，网络访问日志和事件日志等日志系统均可选在存储在防火墙本地或网络日志服务器上。网络访问日志能够详细记录下每段流量的细节信息，如发生时间、持续时间、IP 地址、端口信息、流量统计等，这些信息一来可以提供网络访问行为的记录，而来还可以提供给计费使用。事件日志系统则记录了所有有关安全的事件，如管理用户登录、验证失败、配置文件变动、重要进程状态变化和网络进攻的发生，管理员可以从这个日志系统中获得所有的网络安全信息。每一条信息都会被归于某个安全敏感等级，如Emergency、Critical 或Notify等很多种类别，分别标以不同的、用户可定制的颜色进行直观式的区分。另外，声光、Email、SNMP Trap等构成了NetEye 防火墙丰富多样、无处不达的报警机制，保证管理员能够在第一时间获知网络最新状况。

5、系统及时更新：所有NetEye防火墙的客户都可以从NetEye 网站上获得最新的升级包，通过管理端简单的点击便可以完成系统内核的全面升级，使防火墙能够安全、快速的形成对最新形势的适应能力，确保客户网络不受侵犯。选择防火墙，是为了选择它的安全性。如果追求片面的吞吐率的话，那么作为进行高负荷统计特征匹配的防火墙设备，它的吞吐率永远也赶不上交换机甚至是路由器，但是我们肯定无法选购一台交换机来取代防火墙。所以，防火墙设备选型中最重要的是要考虑它的安全性，其他各类指标应该在安全性能指标能够得到有效保证的前提下再进行考虑。

作者	主题:在吞吐率和安全性之间进行选择
winewind =七步之才= 职务:版主积分：2611 贴数：1767	日期：2003-7-29 13:44:16 在吞吐率和安全性之间进行选择来源：www.neusoft.com 评价一个防火墙产品好坏的指标有很多，如安全性、适用性、稳定性、吞吐率、并发连接数、可扩展功能等。防火墙掌握了网络中太多的信息，占据了企业网络中的重要位置，因此在原有基本功能上又不断派生出多种附加功能，如VPN 网关功能、流量计费功能、入侵检测功能、网络扫描功能、流量即时防毒功能等。防火墙所提供的每一个的功能，都可能会成为设备厂商激烈争夺的竞争点。相应地，客户在进行设备选型时也感到越来越眼花缭乱--设备性能指标如此之多，而每款防火墙总是具备不同的优缺点，难以形成全面的产品优势。因此，客户在众多防火墙型号面前无所适从，如何选择最适合实际需要的产品成为IT 部门的重要课题。如何选择??既然鱼熊掌不可兼得，那只有取主而舍其次了。那么，在上述众多性能中，谁为主、谁为次？下面就安全性与吞吐率的重要性进行比较分析。从本质上讲，防火墙系统出现是为了给某个需要进行保护的特定网段加上一道安全的闸门。它的任务是严格判断所有流经该防火墙的访问流量，把正常或经授权的访问请求转发至目的网络，而把非法请求予以摒弃并作相应日志记录。这些判断可能依赖于链路层或链路层以上各层报头信息，如Mac地址、IP 地址、协议号、端口号、标志位等；也可能依赖于对报文内容进行匹配过滤审查。如果防火墙的安全性不够好，导致非法访问能够渗入受保护网络区域，那么防火墙整个设备就失去了存在的全部意义。吞吐率是防火墙另外一个比较重要的参数，如上所述，它反映的是防火墙单位时间内对流量的最大转发能力。现在主流防火墙设备都已经可以支持100M等级链路速度，只是在对于更高速的链路支持上仍然存在着较大的距离，这些高速链路一般指的是GBEthernet、ATM OC-12、POS。现在比较成熟的千兆防火墙，如Netscreen、东软NetEye 等，虽然可以提供多种物理介质的支持，但是在二层上通常只提供GBEthernet一种规程。相对于安全性而言，吞吐率并不是防火墙选型时需要重点考虑的首要问题。这是因为： 1、防火墙通常部署在具有不同安全等级要求的网络分段处，这些部署位置通常是两个或多个网段之间的通道，一般不具备超高速的链路速度，如企业网络的Internet接入链路，常见速度一般在64k～10M 之间。所以这些链路的速度对于防火墙而言完全能够承受。相反的是，这些接入链路具备各种各样的形式，如ADSL、PSTN、DDN、ISDN、Frame-Relay等，所以管理员需要更多考虑的是防火墙对这些链路是否支持，而不是吞吐率的大小； 2、在企业级网络安全方案设计中，一般应回避在高速链路上部署防火墙，这是因为防火墙在这些位置的部署可能会给整个网络性能带来负面影响--比如说，管理员对防火墙做了错误的配置，造成防火墙拒绝特定或全部流量，那么故障影响范围将波及整个企业网络，造成不必要的事故扩大； 3、某些特定的方案中，可能存在将防火墙部署在高速主干链路上的建议，但这些特高端设备通常只是为运营商级网络所特别研制，成本较高，难以适合一般的企业网络需求。在吞吐率与安全性孰轻孰重问题上的争论，从某种程度上促进了目前防火墙两种流派的诞生--RISC 派和CISC 派。RISC 派采用RISC 指令集处理器并大量采用了分布式的ASIC 芯片，通过独特的总线控制机制和存储机制，获得较高的报文处理速度，提高系统吞吐率。但是由于大量固化代码的存在和过长的硬件设计周期决定了RISC 防火墙只能对报文进行模式比较固定死板的处理，使RISC 派防火墙无法形成对应用层协议指令或内在内容的灵活控制，也无法针对不断出现的新的攻击方式提供方面、快速的升级方式，在安全性上差强人意；而CISC 派则采用了目前较为普及的CISC 处理器，如Intel x86 系列，通过在软件设计开发方面的专注而获得较好的安全性和灵活扩展能力。由于针对应用层协议漏洞的攻击种类在全部漏洞中占据了绝对优势，所以目前防火墙设备的研发或选型应当更多的关注设备在安全性尤其是应用层安全方面的表现。由于国内防火墙设备基本上都是采用CISC 处理器，省却了在硬件设计上的大量投资，所以更多的投资和精力投入在软件设计上，在安全性方面普遍起点很高。特别是作为国内网络安全产品厂商之翘楚的东软公司，其主打产品NetEye 防火墙在安全性方面尤为出色，不仅功能齐备、完善，而且在应用层访问控制力度上更是达到前所未有的强度。 NetEye 防火墙在安全方面所达到的较高水准应当归功于NetEye 独有的流过滤技术和强大的日志审计系统所带来的优势。具体地讲，NetEye 防火墙在安全方面的优势可以总结为以下几点： 1、在不放弃低层安全防护的前提下，特别突出对应用层的保护：NetEye 防火墙能够对应用层多个协议进行命令级和目录级的访问控制，并且能够同时与底层其他基本控制方式相结合，从而形成一体化的访问控制机制。目前，在常见应用协议中，NetEye 防火墙所支持的命令是最多的，对目录的控制也非常灵活、严谨，并且这一切都可以跟IP、端口、用户帐号等方式结合起来使用； 2、对应用层协议支持的扩展能力：企业的应用越来越多，但是，防火墙在缺省条件下无法提供对所有这些协议的严谨、贴切的支持，所以防火墙应当具有一个精心设计的框架，能够灵活的、无缝的容纳不同应用层协议包的嵌入。NetEye 防火墙的流过滤技术提供了这个能力--流过滤允许各种应用协议支持包的嵌入工作，在实际运行中，流过滤会自动的将相应的流量提交给这个处理包，然后会在应用协议处理包返回内容后进行后续处理。正是通过这种能力，NetEye防火墙先后提供了对Netmeeting、H.323协议、Multicast、双向DNS 解析等多种协议的支持，并且还会有更多的应用协议包陆续推出，甚至用户可以通过定制获得对自己独特应用协议的支持。对某种应用协议实现“支持”就意味着NetEye防火墙将对这种协议进行粒度更细的访问控制、透明代理（对于某些应用而言）、动态规则适应、以及内容过滤功能，从而能够避免单纯基于端口的控制方式所固有的漏洞； 3、内容安全性：NetEye 防火墙不仅仅关注网络上可能发生的攻击行为，而且同样关注链路上所承载的业务流量内容。这些内容一般来说都是不可执行的、完全文本化的，但是这些流量却有可能携带了危害性更大的信息，如企事业单位、国家机关失窃的机密信息、国家明令禁止的反动言论、不健康内容、邮件病毒的特征名称等等。所有这一切都可以通过NetEye防火墙的内容过滤来解决。NetEye 防火墙可以对HTTP、SMTP、FTP等多种协议进行内容过滤，而且对于Email 的主题、附件同样可以进行检查处理，任何违反管理员规则设定的流量或常见的Email 病毒都无法通过NetEye防火墙流经过去。 4、日志审计系统，便于分析总结和收集证据：NetEye 防火墙拥有一个非常大的存储空间，网络访问日志和事件日志等日志系统均可选在存储在防火墙本地或网络日志服务器上。网络访问日志能够详细记录下每段流量的细节信息，如发生时间、持续时间、IP 地址、端口信息、流量统计等，这些信息一来可以提供网络访问行为的记录，而来还可以提供给计费使用。事件日志系统则记录了所有有关安全的事件，如管理用户登录、验证失败、配置文件变动、重要进程状态变化和网络进攻的发生，管理员可以从这个日志系统中获得所有的网络安全信息。每一条信息都会被归于某个安全敏感等级，如Emergency、Critical 或Notify等很多种类别，分别标以不同的、用户可定制的颜色进行直观式的区分。另外，声光、Email、SNMP Trap等构成了NetEye 防火墙丰富多样、无处不达的报警机制，保证管理员能够在第一时间获知网络最新状况。 5、系统及时更新：所有NetEye防火墙的客户都可以从NetEye 网站上获得最新的升级包，通过管理端简单的点击便可以完成系统内核的全面升级，使防火墙能够安全、快速的形成对最新形势的适应能力，确保客户网络不受侵犯。选择防火墙，是为了选择它的安全性。如果追求片面的吞吐率的话，那么作为进行高负荷统计特征匹配的防火墙设备，它的吞吐率永远也赶不上交换机甚至是路由器，但是我们肯定无法选购一台交换机来取代防火墙。所以，防火墙设备选型中最重要的是要考虑它的安全性，其他各类指标应该在安全性能指标能够得到有效保证的前提下再进行考虑。
alpha_liu =七步之才= 职务:版主积分：445 贴数：555	日期: 2003-8-16 13:47:57 我觉得这篇文章中有些东西写的不太客观，这篇文章很明显的偏向于东软。Netscreen的千兆防火墙的确是很不错的，而和Netscreen同一级别的轮不上NetEye的。国内千兆防火墙做得好的是东方龙马，其次是天融信，NetEye至多是算大公司的产品，但算不上技术领先的产品。NetEye的那些安全方面的优势几乎是大家都共有的。NetEye的吞吐量是很低的，千兆产品不超过300兆。我认为在千兆产品中应该更加的偏向于吞吐率，而不是安全性上的细节处理。从布置的位置看，千兆防火墙多数部署与电信、银行、大型大学以及大型专网的骨干节点，而不是企事业单位的对外接口。千兆防火墙部署的位置多数都是信息的汇聚点，数据流量非常的大。以江苏省电子政务网为例，各个省级厅局以及南京的各个重要单位都分别就近接入四个骨干节点，四个骨干节点中间使用千兆光纤连成一个环。在四个骨干节点部署千兆防火墙，各个接入单位在自己的接入点部署百兆防火墙。千兆防火墙起的作用是对骨干线路中的数据进行控制过滤，而细节的处理都是在百兆防火墙上处理的。这样做的原因是千兆防火墙需要处理的数据量非常的大，如果处理细节性能上必然无法满足，而且对于细节的控制上各个子网络的需求是不可能相同的，使用同一策略也是不现实的，在江苏省政务网的骨干节点去控制网内的终端计算机的访问权限是极其可笑也不能做到的。所以，让千兆防火墙去处理很多的细节防御问题是不现实的，也是没有必要的。根据分级分区域防护的策略来看，让千兆防火墙位于骨干节点粗粒度处理大流量的数据，而子网入口处的百兆防火墙处理细粒度的安全细节才是比较合适的。
skabber =化零为整= 积分：4 贴数：4	日期: 2004-10-22 14:17:38 我同意楼上的观点。其实在不同的使用条件下，技术的性能指标是有所侧重的，骨干和边缘的性能要求就是不一样
loveyou$ =入木三分= 积分：18 贴数：2128	日期: 2004-12-4 14:06:26 哦，明白了
返回《网络安全产品精华》快速返回