精准的应用控制

通过研究Gartner和NSS Labs对于下一代防火墙的定义发现，NGFW除了要具备完善的基础防火墙功能以外，还必须要具备应用识别和控制、用户及用户组控制的能力，不论是基于DPI、DSI还是会话关联检测技术，防火墙要能够通过策略配置进行应用、服务的识别、控制(行为限定)和阻断。

通过利用IXIA Breaking Point FireStorm测试仪表，我们模拟了P2P下载类应用、文件传输类应用、即时通讯类应用(包含VoIP)这三大常用应用集。再通过现实终端进行实际操作测试，以检查送测NGFW产品对于应用深度识别的能力。从而完成对被测NGFW设备的应用完全阻断测试和有条件阻断和控制测试。

表1：应用识别与阻断测试结果

我们对即时通信软件(包括VoIP类)、P2P下载和文件传输/共享类应用通过测试仪表进行了测试，通过观察测试仪表的测试过程以及输出报表的内容，我们发现华为和WatchGuard的被测设备仍然可以让Skype应用进行会话新建，而Fortinet和网康可以对该应用进行完全阻断。

起初我们认为是被测设备不能对Skype应用进行阻断限制。但是在后来的有条件阻断和控制测试中(比如在Gmail中阻断内嵌的VoIP和即时通信功能)，验证了华为和WatchGuard的设备并不是不能阻断，而是实现阻断的机制不一样，所以才有在测试仪上的结果。在实际流量测试时，我们将一台PC通过被测设备连接到互联网，另一台设备直接连接到互联网，两台设备互相发起QQ、Skype、Gtalk的请求。

经测试，在允许登录的情况下，四款被测设备均能分别阻断QQ传文件、QQ语音、QQ视频、Skype语音、Skype视频、Skype文字。对于Gtalk的测试， 我们选择了以网页Gmail为载体，内嵌的Gtalk视频、Gtalk文字聊天进行测试。被测设备也能成功阻断即时通讯功能而保持Email功能的正常工作，展现了作为下一代防火墙产品应有的细粒度应用识别和控制能力。

对于华为和WatchGuard的NGFW产品，我们在实际测试Skype深层应用控制的时候发现，虽然双方的Skype客户端显示正在通信，但是并无法收到各自发出的语音及文本，证明是能够成功阻断的。这也解释了虽然被测设备的策略禁止了Skype的通信，但是测试仪表仍然显示Skype能够成功发起会话连接的情况。造成这种情况的原因应该是由于针对应用识别和控制机制的实现并不是一般的对报文进行解析，然后阻断，而是保持会话能够成功建立，但是一直监测会话内的数据流是否属于策略禁止的，如果是则对数据包进行丢弃处理。

最后，对于带宽杀手，P2P类应用，不论是下载客户端(迅雷、电驴等等)，还是支持在线播放的影音播放器(迅雷看看、PPS、PPTV等等)，还有视频网站播放页内嵌的流媒体(优酷、爱奇艺、土豆等等)，都分别进行了测试，结果均可成功阻断，而且各家也均可对下载进行流量控制的操作，为下载配置固定带宽。华为的USG6650产品还可以支持多链路接入，并且对多链路进行负载均衡操作，但是功能仅限于对链路带宽的分配，并不能基于应用做导流。

入侵防御

在网络安全体系结构中，防火墙充当主动控制和防御的角色，即需要阻止除明确允许的流量以外的所有流量，是所谓的白名单策略。而整合的IPS则扮演着被动防御的角色，即允许除IPS明确拒绝的流量以外的所有流量，是所谓的黑名单策略。二者相辅相成，共同构成NGFW强大安全能力的重要组成部分。IPS通过对数据包、会话内容进行基于特征库等已知知识库的判定，被测设备要能对恶意流量进行正确阻断。并且能够做到基本的防逃逸，比如协议模糊、IP 数据包分片、HTTP分片、RPC分片、URL混淆、NETBIOS和FTP逃逸等等。

在本次测试中，被测设备的IPS特征库均从设备上进行联机更新，保证特征库的公开性，与用户所采用的新的特征库是一样的。IPS策略配置为匹配命中则阻断或丢包处理，在进行入侵防御测试时，被测设备要能够持续进行日志记录以及恶意流量阻断。此外，在进行威胁防护的时候，要能够准确识别正常流量，并允许该合法流量通过。因此在测试时会在测试IPS的恶意流量中混入符合规则的合法应用流量以对设备进行测试。

IPS测试中，我们依然选择IXIA Breaking Point 仪表进行测试，攻击样本则采用默认的Strike Level 1样本集，该样本集是IXIA通过对于网络流量中的威胁进行分析之后取出的较常出现的183种攻击样本，截止到11月份这份样本集仍然是前沿的。

在测试过这个样本集之后，我们又在这个样本集之上添加了一些逃避手段，以测试被测设备的IPS模块是否能够从容面对众多逃逸手段。TCP/IP协议允许对大的数据包进行分片传送，每个分片都带有偏移量值与长度，接受方按照偏移量值重新组装。由于大部分的安全设备都是基于unix/Linux的，一般是先到为准，而Windows则是后到为准。因此若是以Windows为攻击目标，只要有意识地制造分片重叠，安全设备上还原的是随机内容，而正确的恶意代码在背后的Windows上可完整还原，这样就达到躲避IPS检测的目的了。

因此我们采用常用的IP 数据包分片、HTTP分片、RPC分片、URL混淆、NETBIOS和FTP逃逸等等手法添加到攻击样本上，再次测试被测NGFW的IPS攻击检出能力。以下则是测试结果：

表2：入侵防御与带逃避手段的入侵防御能力检测结果

从测试结果可以看出，华为USG6650在IPS检测和带有逃逸手段的IPS测试中表现较为优异，Fortinet FortiGate 3240C和网康NF-S380C以微弱劣势紧随其后。在对攻击样本加入逃逸手段之后，这三款产品仍然能够达到与之前一样的检出率。

稳定性测试

对于串行在网络中的网关设备来说，稳定性至关重要，防火墙一旦出现问题将导致网络的瘫痪。本项测试重点考察被测设备在进行攻击防御过程中的安全能力。我们检查了在有压力的情况下是否会由于产品自身问题产生拒绝异常流量的同时拒绝合法流量的情况。被测设备能够100%阻止此前在IPS测试中成功阻止的恶意样本，并且可以给出告警。如果被测设备不能阻止可识别的恶意流量，那么本项测试结果为失败。被测设备在被攻击时能够对合法流量进行准确识别和转发。如果大量合法流量(超过50%)在被测设备阻止恶意流量时也被阻止，那么此项测试结果为失败。当并发会话达到50%时，被测设备要能够准确识别和阻止违反策略配置的流量。当并发会话达到50%时，被测设备要能够准确识别和转发合法流量。意外断电时，设备要能够保存此前所有的策略配置信息和日志信息。经测试，各款被测设备均能达到要求。

集中管理

企业级安全设备不同于家用路由器，配置复杂是必然的。而且设备启用的安全功能越多，配置就会越复杂，然而，设备提供商却需要在安全性和易用性之间寻找一个平衡，不能让设备配置过于复杂，否则将不能发挥出应有的功效。本次测试对被测设备的可管理性、配置操作进行易用性评估。

所有被测设备均满足测试项所要求的功能。但是在展现方式上却各有不同，有好处有缺点。下面就让我们一起来看一下各家厂商在这方面的实现如何。

 

基础操作

从界面上来看，Fortinet和WatchGuard的产品主要操作菜单在界面的左边，辅助操作在界面顶部，而华为和网康的产品则主要操作菜单在界面顶部，左边为辅助功能和子功能。

在主监控界面上，被测设备均能以模块化方式呈现设备信息(型号、系统版本、序列号运行时间等等)、实时设备和流量状态(VPN、CPU、内存)、IP排名、目的端口排名、TOP应用等等信息，WatchGuard XTM1520还能在面板上直接检测到TOP策略，按命中数对策略进行排名，这个功能在华为USG6650上也有，但是不在主面板上，是另一个SmartPolicy功能。

通过对上线及策略配置的体验，由于都有基础策略模板，所有只需要对网络接口设定IP，即可完成4款设备快速部署上线的工作，并且在主监控面板上能够观察到基本所要监控的信息。在高级策略方面，对于应用控制策略也都能让笔者做到较好的体验和快速部署。由于厂商不同，导致了每款设备的应用分类都不太一样，所以对于笔者来说基于惯性思维并不能很好的地位到想要找的应用。还好各款产品都有查询功能，只要输入想要查询的应用关键词，比如“QQ”，设备就都能返回应用库中凡是与QQ有关的所有应用，用户只需在返回结果中选择需要的应用，将其添加到之前创建好的规则中即可。

查看原文：http://security.cnw.com.cn/security-next-firewall/htm2013/20131212_287634.shtml

分页：

[1]

[2]

[3]

[4]