12款防火墙比较评测报告

1、12 款防火墙比较评测报告网络世界评测实验室作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。 为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据， 网络世界评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。网络世界评测实验室依然本着科学、客观公正的原则，不向厂商收取费 用，向所有希望参加评测的厂商开放。我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有 来自国内外 12 家厂商的 14 款产品，其中百兆防火墙包括来自安氏互联网有限公 司的LinkTrust CyberWall -lOOPro、方正数码的方正方御FGFW,联想网御2000

2、, NetScreen-208、清华得实 NetST2104、ServGate 公司的 SG300、神州数码的 DCFW-1800、天融信网络卫士 NGFW4000、三星SecuiWall防火墙以及卫士通 龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟 JB-FW1、 NetScreen-5200、 Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟 JB-FW1 防火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工 程师的共同努力下,顺利完成了对其他 12 款产品的评测任务。测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照

3、RFC2504、 RFC2647 以及我国标准进行的定量测试和定性测试。我们性能测试和 防攻击能力主要采用 Spirent 公司的 SmartBits 6000B 测试仪作为主要测试设备, 利用SmartFlow和WebSuite Firewall测试软件进行测试。在测防攻击能力时，为 准确判定被攻击方收到的包是否是攻击包,我们还使用 NAI 公司的 Sniffer Pro 软件进行了抓包分析。在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易 用性、可管理性、VPN、加密认证以及日志审计等多方面功能。最后,我们还要感谢向我们提供测试工具的思博伦通信公司以及 NAI 公司, 同

4、时也对那些勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。一、性能综述对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防 火墙的性能一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保 防火墙的高性能对防火墙来说是巨大的挑战。在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现 方式的巨大差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火 墙的硬件体系结构来讲，目前主要有三种，一种使用ASIC体系，一种采用网络 处理器（NP）,还有一种也是最常见的，采用普通计算机体系结构，各种体系结 构对数据包的处理能力有着显著的差异。防火墙软件本身的运行效率

5、也会对性能 产生较大影响，目前防火墙软件平台有的是在开放式系统（如 Linux， OpenBSD） 上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作系统。我 们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能 时将防火墙配置为最简单的方式：路由模式下内外网全通。我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包 括：双向性能、单向性能、起 NAT 功能后的性能和最大并发连接数。双向性能 测试项目为吞吐量、10%线速下的延迟、吞吐量下的延迟以及帧丢失率；单向性 能测试项目包括吞吐量、10%线速下的延迟；起 NAT 功能后的性能测试包括吞 吐量、1

6、0%线速下的延迟。1百兆防火墙性能解析 作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防 火墙在不丢帧的情况下转发数据包的最大速率。在双向吞吐量中， 64 字节帧， 安氏领信防火墙表现最为出众，达到了 51.96%的线速， NetsScreen-208 也能够达 到 44.15% ，在单向吞吐量测试中， 64 字节帧长 NetScreen-208 防火墙成绩已经达到 83.60%，位居第一，其次是方正方御防火墙，结果为 71.72%。延迟决定了数据包通过防火墙的时间。双向 10%线速的延迟测试结果表明， 联想网御 2000 与龙马卫士的数值不分伯仲，名列前茅。帧丢失率决定防火

7、墙在持续负载状态下应该转发，但由于缺乏资源而无法转 发的帧的百分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢 失率一般比较低。在测试的 5 种帧长度下， NetScreen-208 在 256、512 和 1518 字节帧下结果为 0， 64 字节帧下结果为 57.45%。一般来讲，防火墙起 NAT 后的性能要比起之前的单向性能略微低一些，因 为启用 NAT 功能自然要多占用一些系统的资源。安氏领信防火墙与清华得实 NetST 2104防火墙在起NAT功能后64字节帧的吞吐量比单向吞吐量结果略高。最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来 说也是一个非常有

8、特色也是非常重要的性能指标，尤其是在受防火墙保护的网络 向外部网络提供Web服务的情况下。天融信NGFW 4000以100万的最大并发连 接数名列榜首，而龙马卫士防火墙结果也达到80万。我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻 击。我们还在防攻击测试中试图建立 5 万个 TCP/HTTP 连接，考察防火墙在启动 防攻击能力的同时处理正常连接的能力。Syn Flood 目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不 相同，比如，安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这 两款防火墙时我们建立的是50000个TCP连

9、接背景流，两者能够过滤掉所有攻 击包。SG-300、联想网御2000在正常建立TCP/HTTP连接的情况下防住了所有 攻击包。大多数防火墙都能够将Smurf、Ping of Death和Land-based三种攻击包 全部都过滤掉。Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量 不正常。对于这种攻击，我们通过 Sniffer 获得的结果分析防火墙有三种防护方 法，一种是将三段攻击包都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余 的两段数据包组合成正常的数据包允许穿过防火墙，还有一种是将第二段丢弃， 另外两段分别穿过防火墙，这三种方式都能有效防住这种攻击。实际测试结

10、果显 示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况，神州数码 DCFW-1800、得实 NetST2104、联想网御 2000 属于第二种情况，Netscreen-208 属于第三种情况。对于 Ping Sweep 和 Ping Flood 攻击，所有防火墙都能够防住这两种攻击， SG-300 防火墙过滤掉了所有攻击包，而方正方御防火墙只通过了 1 个包。虽然 其余防火墙或多或少地有一些 ping 包通过，但大部分攻击包都能够被过滤掉， 这种结果主要取决于防火墙软件中设定的每秒钟通过的ping包数量。2.千兆防火墙性能结果分析由于千兆防火墙主要应用于电信级或者大型的数据中心，因此

11、性能在千兆防 火墙中所占的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的 差异相当大，但性能结果都明显要高于百兆防火墙。双向吞吐量测试结果中， NetScreen-5200 64、 128、 256、 512、 1518字节帧 结果分别为 58.99%、 73.05%、 85.55%、 94.53%、 97.27%线速。千兆防火墙的延 迟与百兆防火墙相比降低都十分明显，NetScreen-5200的双向10%线速下的延迟 相当低，64字节帧长仅为4.68 ft，1518字节帧长的也只有24.94衽。起NAT功 能后， NetScreen-5200 防火墙 64 字节帧长的吞吐量为

12、62.5%。由于 ServGate SG2000H 不支持路由模式，所有只测了 NAT 结果，该防火墙在 1518 字节帧长 达到了 100%线速。阿姆瑞特F600+起 NAT功能对其性能影响很小。最大并发连 接数的测试结果表明，NetScreen-5200防火墙达到100万。在防攻击能力测试中，三款千兆防火墙对于Smurf和Land-based攻击的防 护都很好,没有一个攻击包通过防火墙。对于Ping of Death攻击，NetScreen-5200 和阿姆瑞特F600+防火墙丢弃了所有的攻击包,SG2000H防火墙测试时对发送的 45 个攻击包，丢弃了后面的两个攻击包，这样也不会对网络造

13、成太大的危害。 在防护Teardrop攻击时，F600+防火墙丢弃了所有的攻击包，ServGate-2000防火 墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一和第三个攻击包, 这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击 测试结果为 1000 个攻击包全都过滤掉。二、功能综述在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万 别，并通过亲自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自 特色。包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测 的防火墙产品中我们可以明显地看到状态检测或将状

14、态检测与其他两种技术混 合在一起是主流的实现原理。在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来 自ServGate公司的SG300和SG2000H，其工作方式主要是桥模式和NAT模式, 没有一般产品所具有的路由模式。天融信NGFW 4000和卫士通龙马的龙马卫士 防火墙还支持混合模式。1百兆防火墙（1）与交换机走向融合当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传 统的三个端口，正在朝向多个端口方向发展，带有 4 个端口的防火墙非常常见， 我们都知道三个端口是用来划分内网、外网和 DMZ 区，那么增加的第 4 个端口 有什么用呢？不同产品差别很大，但以

15、用作配置管理的为主，安氏的防火墙将该 端口作为与 IDS 互动的端口，比较独特。像天融信网络卫士 NGFW4000 则可以 最多扩展到 12 个端口， Netscreen-208 有 8 个固定端口， Netscreen-5200 则是模 块化的千兆防火墙，可以插带 8 个 miniGBIC 1000Base-SX/LX 千兆端口或 24 个 百兆端口的模块，这显示了防火墙与交换机融合的市场趋势。对 DHCP 协议的支持方面，防火墙一般可以作为 DHCP 信息的中继代理， 安氏领信防火墙、清华得实NetST2104、天融信NGFW4000都有这个功能。而 Netscreen-208、 SG30

16、0 还可以作为 DHCP 服务器和客户端，这是非常独特的地 方。在 VLAN 支持方面， Netscreen 防火墙又一次显示了强大的实力。与交换机 类似， Netscreen-208 支持每个端口划分为子端口，每个子端口属于不同的 VLAN， 支持802.1Q，并且不同子端口还可以属于不同区域。安氏领信、联想网御2000、 天融信NGFW4000防火墙则有相应选项支持VLAN，主要支持802.1Q和Cisco 的 ISL。（2）管理特色凸现管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员 的权限设置、各种管理方式的易用性以及带宽管理特性。不同的防火墙对管理员的权限分级方式不

17、同，但总的来说，不同的管理员权 限在保护防火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明， 各司其职。方正方御 FGFW 通过实施域管理权、策略管理、审计管理、日志查 看四个不同权限对管理员权限进行限制。目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说， 主要包括串口命令行、 Telnet、GUI 管理工具以及 Web 管理。总的来讲，像 Netscreen-208、神州数码防火墙支持命令行、Telnet、GUI管理工具以及Web管 理这几种方式，非常方便用户从中选择自己喜欢的方式。但我们在测试过程中发 现不少防火墙的命令行比较难懂，对于很多用户来说使用会比较困难，

18、而安氏、 Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明了，这为喜欢 用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令 功能比较简单，主要功能还是留给了 GUI 管理软件，方正、联想防火墙是非常 典型的例子。从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web 管理界面给我们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以 使用户轻松配置管理防火墙的各方面，同时Web管理一般都支持基于SSL加密 的HTTPS方式访问。当然，对于要集中管理多台防火墙来说，GUI管理软件应 该是不错的选择。联想网御2000、

19、天融信、清华得实、方正方御的GUI管理软 件安装和使用都比较容易。带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为 用户提供更好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送 测的9款百兆防火墙都支持带宽管理。比如神州数码DCFW-1800防火墙能够实 时检测用户流量，对不同的用户，每天分配固定的流量，当流量达到时切断该用 户的访问。龙马卫士防火墙通过支持基于IP和用户的流量控制实现对防火墙各 个接口的带宽控制。（3）VPN 和加密认证防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信 防火墙、方正网御FGFW、Netscreen-208、SG30

20、0、清华得实NetST 2104、龙马 卫士防火墙这6款防火墙都有VPN功能或VPN模块。作为构建VPN最主要的 协议IPSec，这6款防火墙都提供了良好的支持。安氏领信防火墙的 VPN 模块在对各种协议和算法的方面支持得非常全面， 包括 DES、3DES、AES、CAST、BLF、RC2/R4 等在内的主流加密算法都在该 产品中得到了支持。主要的认证算法 MD5 在 6 款防火墙中都得到了较好支持。 不同加密算法与认证算法的组合将会产生不同的算法，如 3DES-MD5 就是 3DES 加密算法和 MD5 算法的组合结果。安氏和 NetScreen-208 能够很好地支持这种不 同算法之间的组

21、合。 方正网御、清华得实 NetST2104 和卫士通龙马的龙马卫士 防火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于 VPN 之外，远程管理、远程日志等功能通过加密也能够提升其安全性。（4）在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支 持本地、RADIUS、SecurelD、NT域、数字证书、MSCHAP等多种认证方式和 标准，这也是所有参测防火墙中支持得比较全的。非常值得一提的是联想网御 2000所提供的网御电子钥匙。带USB接口的电子钥匙主要用来实现管理员身份 认证，认证过程采用一次性口令（OTP）的协议SKEY，可以抵抗网络窃听。（5）防御功能 防

22、火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通 过防火墙获得一定的防护能力。在病毒扫描方面，表现最突出的当属联想网御 2000，它集成了病毒扫描引 擎，具有防病毒网关的作用，能够实时监控 HTTP、 FTP、 SMTP 数据流，使各 种病毒和恶意文件在途径防火墙时就被捕获。在内容过滤方面，大部分防火墙都支持 URL 过滤功能，可有效防止对某些 URL的访问。清华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提 供对 HTTP、 FTP、 SMTP、 POP3 协议内容过滤，能够针对邮件的附件文

23、件类型 进行过滤。联想网御 2000 还支持邮件内容过滤的功能。在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安 氏领信防火墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的 设置选项，用户可以自主设置实现对这些攻击的防护。安氏领信防火墙除了本身 带有入侵检测模块之外，还有一个专门端口与IDS互动。天融信NGFW 4000则 通过 TOPSEC 协议与其他入侵检测或防病毒产品系统实现互动，以实现更强劲 的防攻击能力。（6）安全特性代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结 构等重要信息被限制在代理网关的内侧。

24、参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、 SMTP、POP3 、FTP 等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内 容。NAT 通过隐藏内部网络地址，使其不必暴露在 Internet 上 从而使外界无法 直接访问内部网络设备，而内部网络通过NAT以公开的IP地址访问外部网络，从 而可以在一定程度上保护内部网络。另一方面，NAT也解决了目前IP地址资源 不足的问题。此次参测的防火墙对于 NAT 都有较强的支持功能，虽然大家叫的 名称不同，但主要方式包括一对一、多对一 NAT、多对多NAT以及端口 NAT。（7）高可用性 负载均衡的功能现在在防火墙身上也开始有

25、所体现， Netscreen-208 支持防火墙之间的负载分担，而其他防火墙则支持服务器之间的负载均衡。目前用户对于防火墙高可用性的需求越来越强烈。此次参测的 9 款百兆防火 墙都支持双机热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高 可用端口，实现防火墙之间的 Active-Active 高可用性。（8）日志审计和警告功能 防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日 志进行审计和管理，同时防火墙存储空间较小，因此单独安装一台服务器用来存 放和审计管理防火墙的各种日志都非常必

26、要。安氏、 方正防御、 联想网 御 2000、 清华得实 NetST2104、 神州数码 DCFW-1800、天融信NGFW4000以及龙马卫士防火墙都提供了日志管理软件实 现对日志服务器的配置和管理，可以利用管理软件对日志信息进行查询、统计和 提供审计报表。而 NetScreen-208 支持多种日志服务器的存储方式，包括 Internal、 Syslog、 WebTrends、 flash 卡等。当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设 定的规则，防火墙应该向管理员发出报警信号。安氏、 Netscreen-208 在警告通知 方式方面支持 E-mail、 Sysl

27、og、 SNMP trap 等。而方正方御则支持通过 LogService 消息、E-mai 1、声音、无线、运行报警程序等方式进行报警。对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同 等级的日志。龙马卫士防火墙将日志级别分为调试信息、消息、警告、错误、严 重错误 5 种级别。 NetScreen-208 则将日志分为负载日志、事件日志、自我日志 三种，事件日志分为 8 个不同等级。（9）优秀的文档很关键大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印 象的是联想、方正与安

28、氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防 火墙技术以及产品的详细配置介绍，还举了很多实用的例子帮助用户比较快地配 好防火墙，使用各种功能。得实 NetST 2104防火墙用户手册、天融信 NGFW 4000 电子文档都对CLI命令进行了详细解释，非常有利于那些习惯使用命令行进行配 置的防火墙管理员使用。Netscreen网站上有非常完整的用户手册，但缺憾在于 它们全部是英文的。2千兆防火墙此次总共收集到 4 款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就 自行退出，所以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品 : NetScreen-5200、阿姆瑞特 F600+和 ServGate SG2000H。NetScreen-5200 是采用 ASIC处理器的代表，而SG2000H则是采用网络处理器的例子。从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上， NetScreen-5200、阿姆瑞特 F600+主要支持路由模式和桥模式，而ServGateSG2000H 则支持桥模式和 NAT 模式。F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客 户端或中继代理。在 VLAN 支持方面， NetScreen-5200 的每个端口可以设定不同 子端口，每个子端