下一代防火墙：渐入佳境

　　当我们对四款下一代防火墙产品的性能进行测试时，发现这些产品传输数据包的速度非常快，但是开启高级安全性能后，流量就下降了。现在我们深入了解一些应用验证和控制——下一代防火墙定义的特性——以此找出哪些特性是有效的，哪些是无效的。

　　我们发现尽管四款被测产品虽给出了产品承诺，但是仍需要改进。Check Point，SonicWALL和Fortinet的产品在所测产品中排名靠前，但是仍然有值得改进的地方。梭子鱼产品的评分不如其他几家，还有很大的改进空间。

　　下一代防火墙所定义的特性是在应用层识别和控制流量，所以我们的测试分为九个大类，由四十个测试组成，目的是看看防火墙是否与投入的资金相符。

　　被测产品中，没有一款可称得上完美，SonicWALL SonicOS识别并拦截了40个测试应用中的26个，Check Point Security Gateway则以24个紧随其后，Fortinet FortiGate的拦截数为21，而梭子鱼 NG Firewall则是18。

　　(编辑注：在这个测试的第一个部分，供应商向加尼福尼亚州的David Newman实验室提交了最大最快的设备进行性能测试。我们允许供应商将同一个产品系列中较小较轻的设备发送到Joel Snyder的Arizona实验室进行特性测试。除SonicWall之外的其他案例中，被测产品使用的名称都相同，只是使用了不同的型号。而在SonicWall的测试中，我们对SuperMassive 10800进行了性能测试，对NSA E8500进行了特性测试，目的是避免我们将此产品与两个型号共享的SonicOS操作系统混淆。)

　　在我们的测试中，一些应用出现的问题相对较多。例如，在我们请求播放美剧《生活大爆炸》的时候，Check Point和SonicWall拦截了我们的BitTorrent客户端，而梭子鱼和Fortinet则没有。

　　另一方面，Check Point不能拦截Skype，而且没有哪款被测产品拦截了谷歌Gmail，因为当我们点击“如果浏览器不显示邮箱请点此HTML版本”，链接就会跳转。

　　SonicWall的每个应用都有很多分区，但没有一个被记录下来或是对我们有意义，当我们试图允许终端用户查看Facebook但阻止用户发帖的时候，没能成功——而这恰好是供应商眼中可拿来推广下一代防火墙的噱头之一。事实上，用URL过滤器就可以完全拦截Facebook——你并不需要动用下一代防火墙。如果不是SonicWall的应用认证GUI设计得不好，SonicWall的得分应该更高些。

　　Check Point Security Gateway的应用认证管理界面非常棒，其控件也比其他几家产品的更易于使用。尽管如此，利用此界面的引擎并不如SonicWall的好。例如，我们可以轻而易举地创建拦截Facebook或LinkedIn特定部分的策略，但是这些策略并不一定奏效。只有当我们拦截整个LinkedIn时，防火墙才有用。

　　Fortinet的FortiGate在管理界面前端的表现处于SonicWall和Check Point之间。虽然不如Check Point产品好看，但是却比SonicWall更实用。而FortiGate则易于学习与使用。但是如果涉及加密数据，FortiGate的表现最不尽如人意。例如，当Squirrelmail在标准80端口运行的时候，有一条规则的拦截效果非常好，不过，当我们在标准HTTPS 443端口加密数据后，FortiGate就无法对其进行拦截了——即便我们看到FortiGate确实按照预想的那样对数据进行了解密和加密——未加密的Facebook被拦截了，而且是依据策略来显示，但是如果我们仅对Facebook使用HTTPS，那么这一策略的效果并不理想。

　　在没有技术支持的帮助下，很难让梭子鱼的下一代防火墙拦截应用，这主要是因为其管理GUI的设计有缺陷。例如，因为应用认证要依靠HTTP和HTTPS代理，可这两个代理是不同的工具，你必须复制策略，花时间等待，还可能碰到报错。Barracuda称我们在GUI碰到的问题可以在5.4版本中得到修复，所以建议用户等待新版本发布后再使用。

　　即使你记得改变梭子鱼NG防火墙两个代理中的策略，在定义要被拦截的应用时也要谨慎一点。虽然要对需被最先拦截的应用进行挑选，但是在你进入这一规则适用的网络列表前，你还得打开三个页面。显然，如果你不考虑这一点，就不能保证它适用于所有用户或网络，也不会对话框弹出来告诉你“你创建的新规则不起任何作用。”整体而言，Barracuda在应用识别方面得分最低，它对很多应用都无法进行恰当的识别与匹配。例如，NG防火墙没有用于常用网邮的签名或工具，如Lotus Notes，Outlook Web Access或SharePoint。

　　有些NG防火墙的应用分类意义不大。例如，为了拦截Youtube，你必须拦截“社交网络”，虽然这样有效，但是却同时拦截了其他网站。当类别被成功识别后，NG防火墙通常无法成功拦截。例如，我们添加规则的时候，微软和苹果软件更新会出现在日志中，但是NG防火墙却无法对其进行拦截。

　　各项测试性能图表

　　额外的特性

　　虽然对下一代防火墙的需求可能侧重于应用识别，但我们相信还有其他方法有助于网络管理器对数据进行分类与控制。例如，我们发现这四款被测产品可以通过策略添加用户或群信息。

　　我们对其他想法也感兴趣，所以我们也找了一些基于知名度的策略，基于错误率的策略以及基于地理信息的策略。例如，一款网络管理器要拦截一些应用，如通向国外的FTP，可能通向或来自特定的地理区域。

　　Fortinet的FortiGate可以让你写出与地理相关的规则而不仅仅是基于IP地址的规则。但更常见的情况是，这些特性并没有纳入防火墙的规则库。以Check Point和SonicWALL为例，二者都允许网络管理器按照IP可靠性与地理信息来控制流量，但却并没有完全将这一特性融入防火墙规则库;FortiGate有一个比较圆滑的基于报错率的策略特性，该特性旨在避免DoS攻击，但是却并未被整合到防火墙规则库中。

　　在下一代防火墙世界里，除了应用和用户识别之外，不要对防火墙规则库里要添加的内容言之过早，我们的测试表明工程师正探讨其他尝试。另一个还未经正式讨论的领域就是如何把应用控件整合到下一代防火墙中。有人认为应该将其直接囊括到防火墙规则库中，创建可以参考IP地址，端口，用户和应用的整体策略。其他方法似乎是想将应用控件放入单独的规则库中。

　　在测试这四款产品的时候，我们发现有四种方法可回答这个问题。四款产品都在主防火墙库中放置了基于用户的控件。在那里，我们发现了很多变体。Fortinet将一切都整合成为一个单独的规则库，这个规则库是最易于管理的，而且从安全角度来讲也最直观。这种方法是最有力的，因为它只在所有属性都匹配时才允许数据传输，而且你还可以选择使用/.不使用应用控件插入规则。

　　Check Point和SonicWall打破了常规的防火墙规则，这意味着数据必须先通过防火墙规则，获得应用控件的许可。在Check Point模式中，应用和URL过滤规则被整合到单独的规则库中，虽然SonicWall有独立的应用防火墙模块。

　　梭子鱼的NG防火墙将单独的应用规则组合放置在HTTP和HTTPS代理软件中。我们发现这样存在问题，不仅仅因为你不得不定义复制策略，还因为策略定义创建的方式使其不能混合“pass”和“block”。严重限制了引擎的灵活性。Barracuda透露，他们会在5.4版本中对此进行修复。

　　Check Point和SonicWall工程师通过指出应用防火墙中存在的问题来捍卫自己的选择：在不允许一些流量通过防火墙的情况下，你无法决定将要运行的应用到底是什么，这些流量也包括网络管理器希望拦截的数据。

　　假设你的公司策略声称“SMTP仅在端口25对外”。这意味着你得写出两条规则，一条允许端口25上有SMTP，另一条则是在其他端口拦截SMTP。然后，你可以设置额外的情况来授权，如允许多个端口出现HTTP或IM对外流量。这一策略的结果便是：防火墙要允许所有其他对外的流量连接和转换足够长的数据，以便确定这些数据是不是SMTP流量。供应商的工程师担心这会导致一些无心之失及不安全的配置——验证方面的担忧。这也是NG防火墙供应商们现在在努力的领域。虽然我们认为Fortinet的方向是对的，但是由于这是一个公开讨论的领域，所以没有列入评分项目中。

　　具体操作选项

　　我们检测的最后一个部分是具体的操作选项。在测试中，我们只是让防火墙拦截流量。但是在基于Web的应用上，网络管理器或许希望拦截此请求，并告知终端用户安全策略禁止了数据传输。

　　Check Point Security Gateway将URL过滤整合到了应用识别中，且也是唯一一个具有此特性的产品。Security Gateway的功能不止于此，在允许用户在弹出警告后继续“下一步”的同时，它还允许下一代应用识别的规则中显示“被拦截页面”的信息。

　　我们还发现了其他选项。例如，SonicWall和Fortnet可让应用规则运行QoS设置，如对流量浪费进行阻止，或是保护数据。二者都都允许“记录数据包”保留数据传输用于以后的分析。

　　当谈及应用识别与拦截时，我们更希望具有综合特性的产品出现：如SonicWall SonicOS引擎加Check Point Security Gateway管理系统。在找不到这种二合一产品的情况下， SonicWall已经尽力做好应用识别与控制，只是还有改善的空间。

　　当然，应用识别是为下一代防火墙锦上添花，还有必要掌握其他相关的基本技能。我们研究过的部分还包括网络可视性，SSL解密，IPS，UTM和基本的防火墙拦截。