实际测试显示出下一代防火墙的真正效果究竟有多好

　　一位来自客户公司自以为无所不知的员工宣称，他们的外围防御措施——包括防火墙在内——中存在着令人不齿的缺陷。因此，公司需要尽快部署下一代防火墙（ＮＧＦＷ）。

　　在倾听客户讲述这件事情的时间，我几乎就要当场作出回答了。但这一次，我终于做到了仅仅只是在认真倾听。除此之外，所面临的实际问题依然是如果这位员工所说的内容是正确的该怎么办？由于对该问题没有足够了解，我决定开始对下一代防火墙（ＮＧＦＷ）进行深入的了解。为此，我甚至专门撰写了一篇文章来对从中学到的东西进行介绍。

　　在撰写这篇文章之前，有一个问题出现在了我的面前：下一代防火墙都属于结构非常复杂的多功能设备，这导致进行测试的难度变得非常大。人们不能仅仅将设备安装起来，就呆在那里旁观事情的发生。除此之外，我也恰巧认识一位可以提供帮助的专业人士。 

我需要一些帮助 

　　他就是软件与数字设备研究与测试公司ＮＳＳ实验室的创始人兼首席执行官里克·莫伊。几年前，我将ＮＳＳ实验室加入到自己的关注列表中。而选择这么做的理由就是ＮＳＳ实验室属于完全自主的中立机构。里克在这方面的态度非常坚决： 

　　最重要的就是，这意味着ＮＳＳ实验室的使命就是向信息技术公司提供他们花费数百万美元购买产品基于测试结果的无偏见评价。我们的职责不是简单地“证明”这些产品可以做什么，而是找出它们不能完成什么工作，或者其中的极限在哪里——这经常会导致供应商非常恼火。 

　　基本上，我们的职责是为所服务的客户——信息技术公司提供支持。不象其它分析师和测试实验室，我们在进行研究或制作公共测试报告的时间不接受赞助或资助。 

　　读者如果希望了解有关ＮＳＳ实验室更多信息的话，可以看看ＹｏｕＴｕｂｅ上的这段视频。 

基于现实环境的全面测试 

　　在看完这段视频后，大家可能就会发现让我着迷于ＮＳＳ实验室的某些原因。里克和他的团队采用了独特的方式来对设备以及软件进行测试。一有可能，他们就会针对现实环境进行取样。对此，里克是这么解释的： 

　　在基于现实环境的全面测试中，最关键的部分就是采用目前网络犯罪分子正在使用的实时攻击技术。而ＮＳＳ实验室分布在全球的威胁情报网络正在对４０个不同国家里的威胁态势保持着持续监视。 

　　现实环境中发生的问题可以直接反馈到我们的现场测试工具上。这样的话，我们就可以让产品同时运行在各种配置上，并针对连接到互联网上出现的实时威胁攻击进行测试。这种模式让我们可以实现防范来自任何特定时刻中现实威胁的目标，并针对用户保护情况作出最准确的评估。 

　　据我所知，没有其它测试机构可以做到这一点。为了确保没有记错，我特地询问里克以便确定：

　　是的，我们确实属于独一无二的选择。首先，其它测试机构（实验室和企业技术团队）没有建立起这么高级别的可见性或访问技术来应对全球性威胁。他们通常采用的是功能和方式有限的免费或现成产品。

　　而我们所使用的现场测试工具则属于完全自主设计和内部开发的。建立并运行这种类型的基础设施就意味着大量复杂工作以及高昂成本。对于供应商赞助的测试实验室来说，技术和财务方面的限制都会让这种高效自动化的处理流程无法得以实现。

　　大家现在明白了，为什么在涉及到防火墙问题的时间，我会毫不犹豫地直接联系里克的原因么。

下一代防火墙面对的测试环境

　　对下一代防火墙进行实际测试确实超出了我个人的能力范围，但对于ＮＳＳ实验室来说，答案显然就是否定的——这里就是下一代防火墙测试方法的书面文档。对于正在认真考虑购买下一代防火墙的读者来说，我个人强烈建议仔细阅读一下这些资料。 

　　从文件的一个章节中，我发现ＮＳＳ实验室建立的测试网络非常有趣。

　　在测试中，ＮＳＳ实验室采用了思科Ｃａｔａｌｙｓｔ　６５００系列交换机（光纤和铜缆千兆接口）来建立一张配置多个千兆接口的网络。

　　网络流量发送和接受设备——采用的是ＢｒｅａｋｉｎｇＰｏｉｎｔ和思博伦Ｓｍａｒｔｂｉｔｓ之类的传输端口——实现“内部”和“外部”网络之间的连接。

　　攻击者可以连接到外部网络上，而与此同时易受攻击的主机和面向互联网的服务器　（如Ｗｅｂ、ＦＴＰ等等）则会连接到包括非军事化区域（ＤＭＺ）的内部网络。这让我们可以根据产品的部署和使用情况针对多种方案进行全面的性能测试。 

　　看起来，ＮＳＳ实验室似乎做好了进行完全测试的准备。但是，我希望对下一代防火墙相关情况进行更为深入的了解。而下面列出的内容，就是我所找到的。 

　　卡斯勒：刚才，你介绍了现实威胁以及网络方面的情况。因此，现在的问题就是：在对下一代防火墙进行测试的时间，你究竟会怎么做？

　　莫伊：在针对下一代防火墙的第一次全面测试中，我们会将重点集中在基本功能、性能以及应对受控攻击的有效性等领域中。这些攻击将来自互联网、类似Ｍｅｔａｓｐｌｏｉｔ和ＥｘｐｌｏｉｔＨｕｂ的开源工具以及其它行业合作伙伴。

　　我们将利用１５００多种独立方式来攻击通用漏洞披露（ＣＶＥ）系统；考虑到所模拟的是非常关键的企业环境，因此还将使用到通用安全漏洞评估系统（ＣＶＳＳ－７＋）。这里面将包含有远程服务器攻击，以及大量针对浏览器、插件和办公应用软件的客户端攻击。

　　在针对隐藏在下一代防火墙后面的目标机器进行攻击后，我们将对目标机器返回的命令外壳程序进行监测。如果做到了这一点，就意味着攻击者获得了终端的完全控制权。而这就说明攻击获得了成功，下一代防火墙没有起到有效的保护作用。 

　　即便在没有连接到互联网的情况下，我们就已经发现了几个客户必须认识到的问题和限制。下一阶段的测试将在第二季度开始，我们将利用来自互联网上的威胁对下一代防火墙进行测试。

　　卡斯勒：在文档中，你提到了测试的具体标准，里面包括了：安全有效性、抗规避性、性能、稳定性以及总体拥有成本。你能否对所有类别进行一下简要说明？我特别感兴趣的就是“抗规避性”。它究竟是什么意思？ 

　　莫伊：除了现场测试架构以外，我们还建立了一张包含有漏洞系统和攻击系统的大型内部网络，以便进行安全有效性方面的测试。只有通过对现实攻击所产生的后果进行深入了解，我们才能够发现哪些产品可以真正阻止它们。 

　　规避技术指的是攻击者对采用的入侵形式进行伪装以达到绕过传统安全工具针对原始攻击所进行检测的模式。在测试中，我们会对攻击进行调整，就如同真正的恶意黑客所以做的那样，看看哪些产品会发现原始以及变形后的攻击。 

　　在性能测试中，我们会利用ＢｒｅａｋｉｎｇＰｏｉｎｔ系统来提供最高８０　Ｇｂｐｓ的现实网络流量。当然，数据吞吐量仅仅属于测试中很小的一部分内容。对于数据中心和外围设备来说，潜伏期的影响、每秒连接数以及可以达到的最大并发连接数等项目才属于关键参数。

　　稳定性测试是我们测试中最困难的项目之一。我们将会运行电池相关方面的协议以进行长达数天之久的模糊以及突变测试。在我们针对下一代防火墙进行的测试中，有一半产品在这一步中刚开始就以某种方式崩溃。 

　　最后，终于到了总体拥有成本分析阶段。现在，我们将针对很多涉及因素进行全面分析。由于价值并不仅仅局限在成本之中，所以我们也将针对： 

•　每兆位／秒的安全性会有多高。

•　产品规模是否会给工作人员带来压力。

•　管理控制台和模式是否需要额外的运营商来对提示信息进行监测和处理。 

　　卡斯勒：在测试完几种模式的下一代防火墙后，你觉得测试结果中的哪些产品以及什么功能属于比较令人向往的？ 

　　莫伊：我们向所有防火墙供应商都发出了提交产品进行免费测试的邀请。最终的结果是收到了来自梭子鱼、Ｃｈｅｃｋ　Ｐｏｉｎｔ、飞塔、瞻博、帕洛阿尔托网络、音墙网络和磐石网络等公司的参评设备。 

　　该测试的研究报告、测试结果、ＲＦＰ工具以及分析服务都提供了订阅选项。感兴趣的读者也可以访问我们的网站来获取更多信息。 

　　卡斯勒：里克，我知道你对于第一代防火墙有着非常深入的了解——你觉得下一代防火墙的进步很大么？公司是否应该开始考虑更换现有的系统了？ 

　　莫伊：下一代其实属于营销方面的术语，它并不一定意味着对于所有公司和应用案例的实际效果都会“更好”。公司需要做的是认真考虑自身实际需求，而是否属于下一代防火墙并不属于很重要的问题。

　　举例来说，很多下一代防火墙产品中都包含了性能和潜伏期方面的功能，这导致会无法针对特定应用程序和数据的需求进行有效处理。而这里面就可能会包含有市场交易数据或者实时的低延迟应用。 

　　更有趣的是，很多产品还表现出第一代产品就有的典型质量问题：稳定性、性能和管理等方面的困难。由于从很多方面来看，下一代防火墙都属于全新的产品。所以，用户不能抱有将防火墙加进入侵防御系统就开始幻想以后可以万事无忧了的态度。实际上，添加应用程序标识以及控制方面的工作反而会变得更加具挑战性。供应商将不得不对这些产品的体系结构进行重新考虑。 

最后的思考 

　　提醒一下，千万别忘了感谢某位客户公司的员工。要不是他的话——以及我的自负——就不能让我可以向客户提供更好的建议了。现在，基于ＮＳＳ实验室的测试，她就可以针对下一代防火墙是否适合自身业务情况作出决定了。