网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
2005年度千兆防火墙公开比较评测报告
文章来源: 网络世界 文章作者: 未知 发布时间: 2006-04-18   字体: [ ]
 

  四、防御攻击时的Web性能

  测试工程师:防火墙所处的位置决定了它会经受非常多恶意行为的挑战。当它和攻击做斗争时,在其翼护下的用户上网感受将会怎样?

  测试实况:我们首先创建了Web背景流,测试仪模拟的用户规模和上面的测试相同,只不过服务器端的网页变为由1K字节到256K字节不等的多种静态页面。

  然后,防火墙启动攻击防御,测试仪开始通过内网向处于DMZ的服务器进行Ping_Flood攻击,攻击参数设置参见第41版防DoS攻击部分。当确认防御成功后,重新传输Web背景流。我们对攻击前后Web应用背景流的数值表现进行了比较。

  结果发现,当不启动攻击时,Web应用穿越各个防火墙时的性能差异非常细微。在攻击防御过程中,穿过参测设备建立的TCP连接的延迟大多有了明显的变化,而连接建立后开始响应页面的延迟多半没有剧烈变化。参见表三和图3。

  通过在防火墙上监视流量,负载最大时达到了350Mbps左右。

  可贵的是,即使防火墙忙于抗DoS攻击,联想网御Super V在Web应用方面的性能也没有任何降低。Check Point i-SECURITY SP-5500和FortiGate 3600的表现也不错,它们将TCP连接建立的延迟控制在70ms以下。

  五、测试点评

  何去何从防火墙

  现在黑客的目标直指防火墙一般都打开的端口80和443等,比如通过HTTP携带恶意数据进行跨站脚本攻击等,或者将P2P通信应用在80端口上或干脆直接封包在HTTP协议中,而黑客完全可以通过未经授权的P2P通信进入企业网络内部。

  显然,作为边界安全网关产品,防火墙仅仅提供端口级的访问控制已经不能解决上述问题。防火墙必须要在应用层数据分析上迈出一大步。

  尽管在这次测试中,我们没有对应用层防护进行更多的测试,但是,通过对P2P通信控制能力的考查,已经可以对这些产品在应用层的分析程度上有一个基本认识。正可谓“落叶而知秋”。

  不管是“安全网关”还是“应用智能”,他们都已摆脱“地址+端口”的羁绊,开始着眼于应用数据的内部,只不过程度不同。有人认为应用层数据的分析不应该由防火墙来完成。可是,对于来自外网的威胁,有哪个用户愿意买多台功能不同的设备将它们组合起来?以前,用户更多的是迫于无奈。

  现在有了这类完全集成或部分集成的产品。可是,人们很担心防火墙变得更加“聪明”后的性能问题。

  谈到性能,大家应该从多个角度去考察,仅仅看“permit any”情况下、64字节的UDP转发性能是片面的。防火墙添加了规则后表现怎么样?不同包长混合、UDP和TCP连接混合后的表现怎么样?防御攻击时的性能怎么样?

  从另一个角度说,有的“一体化”产品的性能也的确需要加强,但我们看到,有些变得更“聪明”后的产品的性能也是不错的。

  此外,不要忘了防火墙首先是一个安全产品。随着黑客们的行为、网络通信方式较之以前发生的变化,防火墙应该知难而进!我们了解到,一些传统状态检测防火墙厂商正在开发应用层的防护功能,有的还正与防病毒厂商合作,旨在增加边界网关的防范能力。另外,一些安全网关也努力地向更高性能发展,在我们的这些参测厂商中,有的马上就要推出全新的产品。

--
原文链接: http://searchsecurity.techtarget.com.cn/305/2372805.shtml

 
推荐文章
·怎么样给企业级防火墙“体检”
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
·一种新的穿透防火墙的数据传输技
 
 
共4页: 上一页 [1] [2] [3] 4 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·浴火坚“墙”——12款防
·防火墙技术综述
·教你命令行下配置Window
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
·怎样用ipchains构建防火
相关分类
相关文章
·没有防火墙是可行的 但
·ISS欲将防火墙防病毒合
·Windows Vista系统防火
·防火墙技术术语详解以及
·没有防火墙的安全:明智
·使用防火墙封阻应用攻击
·安全基础:防火墙功能指
·不可不知:十七个防火墙
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $