作为企业用户首选的网络安全产品,防火墙一直是用户和厂商关注的焦点。为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据,《网络世界》评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。
《网络世界》评测实验室依然本着科学、客观公正的原则,不向厂商收取费用,向所有希望参加评测的厂商开放。
我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外12家厂商的14款产品,其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWall -100Pro、方正数码的方正方御FGFW,联想网御2000,NetScreen-208、清华得实NetST2104 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiWall 防火墙以及卫士通龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟JB-FW1、 NetScreen-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下,顺利完成了对其他12款产品的评测任务。
测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照RFC2504、RFC2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spirent公司的SmartBits 6000B测试仪作为主要测试设备,利用SmartFlow和WebSuite Firewall测试软件进行测试。在测防攻击能力时,为准确判定被攻击方收到的包是否是攻击包,我们还使用NAI公司的Sniffer Pro软件进行了抓包分析。
在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管理性、VPN、加密认证以及日志审计等多方面功能。
最后,我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司,同时也对那些勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。
性能综述
对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火墙来说是巨大的挑战。
在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大差异性,从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲,目前主要有三种,一种使用ASIC体系,一种采用网络处理器(NP),还有一种也是最常见的,采用普通计算机体系结构,各种体系结构对数据包的处理能力有着显著的差异。防火墙软件本身的运行效率也会对性能产生较大影响,目前防火墙软件平台有的是在开放式系统(如Linux,OpenBSD)上进行了优化,有的使用自己专用的操作系统,还有的根本就没有操作系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小,测试防火墙性能时将防火墙配置为最简单的方式:路由模式下内外网全通。
我们此次测试过程中,针对百兆与千兆防火墙的性能测试项目相同,主要包括:双向性能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线速下的延迟、吞吐量下的延迟以及帧丢失率;单向性能测试项目包括吞吐量、10%线速下的延迟;起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。
百兆防火墙性能解析
作为用户选择和衡量防火墙性能最重要的指标之一,吞吐量的高低决定了防火墙在不丢帧的情况下转发数据包的最大速率。在双向吞吐量中,64字节帧,安氏领信防火墙表现最为出众,达到了51.96%的线速,NetsScreen-208也能够达到44.15%,
在单向吞吐量测试中,64字节帧长NetScreen-208防火墙成绩已经达到83.60%,位居第一,其次是方正方御防火墙,结果为71.72%。
延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明,联想网御2000与龙马卫士的数值不分伯仲,名列前茅。
帧丢失率决定防火墙在持续负载状态下应该转发,但由于缺乏资源而无法转发的帧的百分比。该指标与吞吐量有一定的关联性,吞吐量比较高的防火墙帧丢失率一般比较低。在测试的5种帧长度下,NetScreen-208在256、512和1518字节帧下结果为0,64字节帧下结果为57.45%。
一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后64字节帧的吞吐量比单向吞吐量结果略高。
共5页: 上一页 1 [2] [3] [4] [5] 下一页
|