本篇文章3097字,读完约8分钟
对防火墙产品来说,安全、性能、易用性长期处于失衡状态,更安全几乎成了低性能的代名词,但多功能意味着更多的复杂操作。 防火墙客户必须克服这样的困境:无法放心地打开安全功能,安全管理难以落地。 作为应对新威胁的产品,新一代防火墙能否平衡矛盾?
日前,“互联网世界”评估实验室为了验证新一代防火墙经过几年的快速发展,能否在安全和性能之间提供可靠落地的管理性,制定了与主流新一代防火墙产品进行比较的横向评估, 网康科技此次推出的搭载最新3.0版的nf-s380-c机器,在安全性、性能、易用性方面都很出色,备受瞩目。
网康nf-s380-c
下一代防火墙是什么? ——更安全的防火墙
根据gartner的权威定义,新一代防火墙必须基于APP应用层重新构建安全性,聚焦于日益主流的APP应用层的威胁。 因此,入侵检测( ips )对恶意攻击的检测能力成为测试方考虑下一代防火墙安全能力的最重要指标之一。
测试采用目前流行的183种攻击样本进行模拟测试,网康设备比较有效地检测出178种,达到了97.2%的高检测率。
为了验证ips能否通过各种伪装逃脱手段迂回,测试者在攻击流量中增加了分片、url模糊化、netbios等惯用逃脱手段,通过重新测试检测情况,网康设备实现了零逃脱。 从整体结果来看,网康仅以微弱劣势排在老牌安全制造商华为和fortinet之后。
ips检测率测试结果
“在新一代防火墙上市之前,我们设立了专门研究攻击特征的实验室。 截至目前,网康设备支持识别的漏洞攻击、恶意软件数量均达到4000种左右,ips特征库中共收录了8000多种攻击样本,”网康科技产品经理杜酌说。
互联网技术一直以提高安全能力为产品开发的重要方向之一,在今年发布的两个版本中,ips模块得到持续改进和优化的同时,互联网技术在应用特征识别方面积累的核心技术移植到攻击特征的发现中,从而实现了ips
“日前,陕西省某油田客户项目中,客户特别重视恶意入侵的防御能力,专门组织了比较多家厂商攻击识别能力的测试。 网康设备是众多参赛厂家中病毒、木马拦截能力最好的,采用同样的攻击样本进行测试,网康设备检测率位居第一。”杜酌说。
杜副主任还表示,除了不断提高新一代防火墙ips的能力外,率先采用病毒云清除技术,设备的病毒识别能力、清除效率和响应速度都有了很大提高。 另外,网康充分结合了检测型主动防御技术,新一代防火墙不仅仅是被动防御者。
下一代防火墙怎么办? —更高效的防火墙
新一代防火墙将不再像传统的utm那样只面向中小型互联网环境。 因此,与大通信量相比,需要更高的处理能力来检测更细的粒度,并需要将安全功能打开后的性能损失降到最低。 一位专家表示,在功能完全开启的情况下,将性能衰减控制在50%左右是是否满足新一代防火墙标准的基本要求。
因此,测试方在测试试验设备性能方面煞费苦心,一方面需要了解设备标准条件下的性能指标,另一方面也需要关注产品在实际部署场景中的性能表现。 在这次测试中,不仅对设备吞吐量、每秒新增课时数等以前流传的性能指标进行了严格的测试,还模拟了典型实际场景的流量,验证了设备的性能表现。
评价工程师说:“这在国内公开的横向评价测试中尚属首次,但对客户来说更具实用价值,也符合新一代防火墙的定义,值得参考。”
吞吐量测试表明,网康设备64字节数据包的单向吞吐量达到2.5gbps,512字节和1518字节数据包长度完全达到线速。 无论您是只打开APP识别还是打开所有功能,互联网连接设备每秒的新连接数都排在首位。
吞吐量和每秒的新测试结果
“这样的测试成绩比几个月前我们用同样的测试方法对同样的设备测量的结果好多了,证明了随着版本的升级网康设备的性能有所提高。”评价工程师反复验证后表示。
为了进一步验证试验设备在实际环境中的性能表现,试验方利用试验仪器依次模拟了大学、公司以及公司数据中心三个应用场景的流量。 网康设备三个场景下的吞吐量分别达到4.5gpbs、6.3gbps和6.2gbps,试验结果同样令人高兴。
模拟实际场景中的吞吐量测试结果
据悉,网康新一代防火墙的高端产品目前已经成功应用于政府、金融、能源、教育等多个重要领域的大规模互联网。 再次验证了在此次测试中发挥出色的性能,完全适应网康新一代防火墙多复杂的环境、大流量互联网的安全防护,同时功能完全开启后的性能衰减将严格控制在50%左右。
“性能和安全性始终成反比。 早期的防火墙产品总是强调asic、np、多核等硬件术语。 但是,硬件迅速发展到今天的水平,为提高性能带来的支持开始变得有限。 网络技术产品市场经理熊瑛说:“我们不能忽视软件架构和解决机制对性能的影响。”
作为新一代防火墙的重要基因,多功能一体发动机的运用对设备各功能之间的联动、检测效率的提高起着重要的意义。 以应用控制为例,网康设备在识别应禁止的应用流量后,可以拒绝建立直接连接,与以前传入的防火墙首先建立对话,然后根据对话的特点检测应用类型,最终采取控制措施的“三步走”相比,要好得多
多功能一体发动机vs多发动机串行解决方案
新一代防火墙将为谁使用? ——更简单的防火墙
新一代的安全以人为本,作为“人民安全”理念的倡导者,网康科技在新一代防火墙的功能设计中不断重复着产品的大众化和价值的彰显,竭尽全力为顾客提供优秀的操纵体验。
“我很享受‘智能’这个词,但是现在我更喜欢‘笨蛋’”。 网康科技首席执行官袁沈钢在日前的采访中表示,新一代防火墙的功能更加丰富,内部编程也多且复杂,但操作实际上更为简单。
测试表明,网控新一代防火墙提供了“傻瓜”式的在线和基础战略模板,针对典型的互联网环境,可以通过“分步”式的配置向导轻松完成设备的在线和基础配置。
“按步骤配置步骤”表达式向导
另外,新一代防火墙需要通过直观、智能的异常输出,帮助客户及早防范报警风险和迅速采取安全措施。 在测试过程中,网康设备以色块的形式表现流量构成的设计得到了评价机构的好感。
评价工程师说:“这样的表现比柱状图更好,可以更加关注客户的眼睛。”
用颜色块显示高风险流量
测试报告特别指出,“网康设备将所有ip地址赋予国家和地区的位置属性,使客户可以根据ip地址所属的地区统计连接的具体位置,对管理员分解异常行为,发现异常流量也有积极的作用。”
基于地理位置统计的连接建立情况
有趣的是,网康设备可以根据僵尸互联网的行为特征来辨别互联网中可疑的僵尸主机,同样也是一些参与设备所特有的。 另外,通过对多功能模块日志的分析,多次点击同一页面实现查找问题点的简单操作也给评价工程师留下了深刻的印象。
相关日志掌握威胁的全貌
据悉,互联网康新一代防火墙的操作体验,也受到终端用户的好评,获得了更智能的分解能力和直观的表达能力,防火墙从单纯的执行者蜕变为有执行能力的指导者。
“今天,黑客手段越来越隐蔽和巧妙。 是网康新一代防火墙强大的可视化功能。 通过直观的观察和简单的点击,很快发现了隐蔽性很高的攻击,实现了更积极的防御。 北京蓝星首席信息官胡振环评价说:“我认为这也体现了新一代防火墙给我们带来的变革。”
结语[/s2/]
国际数据企业idc今年发布的报告显示,新的APP应用推动了边界安全产品的转型,作为概念的定义者,gartner对新一代防火墙APP应用的前景进行了更为乐观的预测。 随着概念和本质的纷争告一段落,年将是新一代防火墙在国内市场爆发的元年。
作为国内最早推出真正意义上的新一代防火墙的制造商,网康科技已经用优质的产品给了我们最佳的诠释。 性能和易用性不需要安全妥协。
标题:“安全、高效、简单下一代防火墙不妥协”
地址:http://www.sdsxywx.com/sdss/4358.html