四、防御攻击时的Web性能

　　测试工程师:防火墙所处的位置决定了它会经受非常多恶意行为的挑战。当它和攻击做斗争时，在其翼护下的用户上网感受将会怎样?

　　测试实况:我们首先创建了Web背景流，测试仪模拟的用户规模和上面的测试相同，只不过服务器端的网页变为由1K字节到256K字节不等的多种静态页面。

　　然后，防火墙启动攻击防御，测试仪开始通过内网向处于DMZ的服务器进行Ping_Flood攻击，攻击参数设置参见第41版防DoS攻击部分。当确认防御成功后，重新传输Web背景流。我们对攻击前后Web应用背景流的数值表现进行了比较。

　　结果发现，当不启动攻击时，Web应用穿越各个防火墙时的性能差异非常细微。在攻击防御过程中，穿过参测设备建立的TCP连接的延迟大多有了明显的变化，而连接建立后开始响应页面的延迟多半没有剧烈变化。参见表三和图3。

　　通过在防火墙上监视流量，负载最大时达到了350Mbps左右。

　　可贵的是，即使防火墙忙于抗DoS攻击，联想网御Super V在Web应用方面的性能也没有任何降低。Check Point i-SECURITY SP-5500和FortiGate 3600的表现也不错，它们将TCP连接建立的延迟控制在70ms以下。

　　五、测试点评

　　何去何从防火墙

　　现在黑客的目标直指防火墙一般都打开的端口80和443等，比如通过HTTP携带恶意数据进行跨站脚本攻击等，或者将P2P通信应用在80端口上或干脆直接封包在HTTP协议中，而黑客完全可以通过未经授权的P2P通信进入企业网络内部。

　　显然，作为边界安全网关产品，防火墙仅仅提供端口级的访问控制已经不能解决上述问题。防火墙必须要在应用层数据分析上迈出一大步。

　　尽管在这次测试中，我们没有对应用层防护进行更多的测试，但是，通过对P2P通信控制能力的考查，已经可以对这些产品在应用层的分析程度上有一个基本认识。正可谓“落叶而知秋”。

　　不管是“安全网关”还是“应用智能”，他们都已摆脱“地址+端口”的羁绊，开始着眼于应用数据的内部，只不过程度不同。有人认为应用层数据的分析不应该由防火墙来完成。可是，对于来自外网的威胁，有哪个用户愿意买多台功能不同的设备将它们组合起来?以前，用户更多的是迫于无奈。

　　现在有了这类完全集成或部分集成的产品。可是，人们很担心防火墙变得更加“聪明”后的性能问题。

　　谈到性能，大家应该从多个角度去考察，仅仅看“permit any”情况下、64字节的UDP转发性能是片面的。防火墙添加了规则后表现怎么样?不同包长混合、UDP和TCP连接混合后的表现怎么样?防御攻击时的性能怎么样？

　　从另一个角度说，有的“一体化”产品的性能也的确需要加强，但我们看到，有些变得更“聪明”后的产品的性能也是不错的。

　　此外，不要忘了防火墙首先是一个安全产品。随着黑客们的行为、网络通信方式较之以前发生的变化，防火墙应该知难而进!我们了解到，一些传统状态检测防火墙厂商正在开发应用层的防护功能，有的还正与防病毒厂商合作，旨在增加边界网关的防范能力。另外，一些安全网关也努力地向更高性能发展，在我们的这些参测厂商中，有的马上就要推出全新的产品。

--
原文链接: http://searchsecurity.techtarget.com.cn/305/2372805.shtml