導航| 歡迎訪問商訊網
安全
當前位置: 22世纪古墓奇兵快播 > 安全 >

22世纪古墓奇兵:安全、高效、簡單——下一代防火墻不妥協


投稿: adg  2014-01-10 11:22:57  來源: 比特網 我要評論(0 ) 訪問次數 

22世纪古墓奇兵快播 www.llyso.icu   對于 防火墻 產品而言,安全與性能、易用性長期處于失衡狀態,更安全幾乎成為低性能的代名詞,而多功能則意味著更復雜的操作。廣大防火墻用戶必須忍受無法放心開啟安全功能、難以將安全管理落地的窘境。作為面向新興威脅的產品,下一代防火墻是否能夠在矛盾間找到平衡呢?

  日前,《網絡世界》評測實驗室為驗證下一代防火墻在經歷數年發展后,能否在安全與性能間不妥協,是否能夠提供切實落地的可管理性,傾力打造了一輪針對主流下一代防火墻廠商產品的 橫向評測 , 華為 、Fortinet、網康、WatchGuard四家廠商送測了旗下的萬兆級高端產品,并均表現出了應有的水平。網康科技本次送測的搭載最新3.0版本的NF-S380-C設備,在安全性、性能和易用性方面均表現優異,不禁令人眼前一亮。

\

  網康NF-S380-C

  下一代防火墻是什么?——更安全的防火墻

  根據Gartner的權威定義,下一代防火墻應基于應用層重構安全,并主要面向漸成主流的應用層威脅。因此, 入侵 檢測( IPS )對于惡意攻擊的檢出能力成為測試方考量下一代防火墻安全能力的主要指標之一。

  測試采用當前流行的183種攻擊樣本進行模擬測試,網康設備有效檢出178種,達到了97.2%的高檢出率。

  為了驗證IPS是否能夠被各種偽裝、逃逸手段繞過,測試方還在攻擊流量中加入了分片、URL混淆、NETBIOS等慣用逃逸手段,并重新測試檢出情況,網康設備實現了零逃逸。從總體結果看,網康僅以微弱劣勢排在老牌安全廠商華為和Fortinet之后。

\

  IPS檢出率測試結果

  “早在推出下一代防火墻前,我們就成立了專門研究攻擊特征的實驗室,截至目前,網康設備支持識別的漏洞攻擊、惡意軟件數量均達到了4000種左右,IPS特征庫共收錄8000余種攻擊樣本”,網康科技產品經理杜斟說。

  據悉,網康科技始終將安全能力的提升作為產品研發的重點方向之一,在今年發布的兩個版本中,IPS ???得到了持續性改進和優化,并且將網康在應用特征識別方面積累下來的核心技術移植到了攻擊特征的發現上,使得IPS??槎怨セ韉氖侗鷥泳?,具備極強的防逃逸能力。

  “前不久,在陜西一個油田客戶的項目中,用戶對于惡意入侵的防御能力特別看重,專門組織了針對多個廠商攻擊識別能力的測試,網康設備在眾多參測廠商中的 病毒 、 木馬 攔截能力是最優的,使用同樣的攻擊樣本進行測試,網康設備的檢出率排在了第一位”,杜斟說。

  杜斟還談到,網康在持續提升下一代防火墻IPS能力的同時,還率先使用病毒云查殺技術,使得設備的病毒識別能力、查殺效率和響應速度都有了大幅提升。此外,網康充分結合檢測型的主動防御技術,使得下一代防火墻不再僅僅是一個被動的防御者。

  下一代防火墻要如何?——更高效的防火墻

  下一代防火墻將不再如同傳統UTM一樣僅面向中小規模的網絡環境,這要求其具備針對大流量進行細粒度檢測的高運算能力,并盡可能降低安全功能開啟后的性能衰減。有專家甚至指出,在功能全開啟的情況下,性能的衰減能否控制在50%左右,是一款設備是否達到下一代防火墻標準的一項基本要求。

  為此,測試方對于參測設備性能的測試可謂煞費苦心,一方面需要了解設備在標準條件下的性能指標,另一方面還要關注產品在實際部署場景中的性能表現。本次測試不但對設備的吞吐量、每秒新建會話數等傳統性能指標進行了嚴格的測試,同時還模擬典型真實場景的流量驗證了設備的性能表現。

  “這在國內公開的橫評測試中尚屬首次,但對于用戶來講更具實用價值,也更加符合下一代防火墻的定義,很有借鑒意義”,評測工程師如是說。

  在吞吐量測試中,網康設備64字節小包單向吞吐量達到了2.5Gbps,512字節和1518字節包長則完全達到了線速。并且,網康設備無論是在僅開啟應用識別,還是功能全開啟的情況下,每秒新建連接數均名列前茅。

\

  吞吐量及每秒新建測試結果

  “這樣的測試成績比幾個月前我們使用相同測試方法對同款設備測得的結果又好了很多,說明隨著版本的升級網康設備的性能又有所提升”,評測工程師在反復驗證結果后表示。

  為了進一步驗證參測設備在實際環境下的性能表現,測試方使用測試儀表依次模擬出了高校、 企業 及企業 數據中心 三個應用場景的流量,網康設備在三個場景中的吞吐量分別達到了4.5Gpbs、6.3Gbps和6.2Gbps,測試結果同樣令人欣喜。

\

  模擬真實場景下的吞吐量測試結果

  據悉,網康下一代防火墻的高端產品目前已在政府、金融、能源、教育等眾多重點行業的大型網絡中成功部署。本次測試中優異的性能表現,再一次驗證了網康下一代防火墻完全可以勝任復雜環境、大流量網絡的安全防護,并且在功能全開啟后性能衰減可嚴格控制在50%左右。

  “性能與安全永遠成反比,我們看到早期的防火墻產品總是在強調ASIC、NP、 Multi -Core等硬件術語,但硬件發展到今天的水平,能夠給性能提升帶來的支撐已經開始變得有限,我們不應忽視軟件架構和處理機制對于性能的影響”,網康科技產品市場經理熊瑛說。

  作為下一代防火墻的重要基因,一體化引擎的運用對于設備各功能間的聯動、檢測效率的提升均起到了重要作用。以應用控制為例,網康設備在識別到需禁止的應用流量后,可直接拒絕連接的建立,與傳統防火墻首先建立會話,然后通過會話特征檢測到應用類型,最終采取控制措施的“三步走”相比,具有更高的效率和更強的安全性。

\

  一體化引擎VS多引擎串行處理

  下一代防火墻為誰用?——更簡單的防火墻

  下一代安全以人為本,作為“人民安全”理念的倡導者,網康科技在下一代防火墻的功能設計中堅持產品大眾化和價值顯性化的原則,竭盡所能為用戶提供極佳的操控體驗。

  “原來我還非常欣賞‘智能’這個詞,但現在更加喜歡‘傻瓜’”,網康科技CEO袁沈鋼在日前的一次訪談中直言,下一代防火墻的功能更加豐富,內部的程序設計也復雜的多,但操作起來其實更加的簡單。

  測試表明,網康下一代防火墻提供了“傻瓜”式的上線和基礎策略模板,對于典型的網絡環境,通過“Step By Step”式的配置向導,即可輕松完成設備上線和基礎配置。

\

  “Step By Step”式的配置向導

  同時,下一代防火墻需通過直觀、智能的異常輸出,幫助用戶提早的預警風險或快速溯源安全事件。在測試過程中,網康設備以色塊形式呈現流量構成的設計博得了評測機構的好感。

  “這樣的展現形式比一排柱狀圖要好,可以讓用戶的目光更加聚焦”,評測工程師如是說。

\

  通過色塊顯示高風險流量

  測試報告還特別提到,“網康設備將所有IP地址賦予國家和地區的位置屬性,使得用戶可以根據IP地址所屬的地域統計出連接的具體方位,這對管理者分析異常行為、發現異常流量同樣有著積極的作用”。

\

  基于地理位置統計連接建立情況

  值得一提的是,網康設備可根據僵尸網絡的行為特征判別網絡中的可疑僵尸主機,同樣是幾家參測設備中所獨有的。此外,通過對多功能??槿罩鏡墓亓治?,實現同頁面多次單擊尋找問題所在的簡單操作同樣給評測工程師留下了深刻印象。

\

  關聯日志洞悉威脅全貌

  據悉,網康下一代防火墻的操作體驗,同樣得到了來自最終用戶的好評,更加智能的分析能力以及直觀的呈現能力,使得防火墻已經由單純的執行者蛻變為了具有執行能力的建議者。

  “當今 黑客 攻擊的手段越來越隱蔽和高明,是網康下一代防火墻強大的可視化功能,讓我們通過直觀的查看和簡單的點擊,就及時發現了隱蔽性很強的攻擊,實現了更加主動的防御,我想這也體現了下一代防火墻帶給我們的變革”,北京藍星 CIO 胡振環如是評價。

  結語

  國際數據公司IDC在今年發布的報告預測,新應用將推動邊界安全產品更新換代,作為概念的定義者,Gartner對于下一代防火墻應用前景的預測則更為樂觀。隨著概念與本質的紛爭暫告段落,2014年必將是下一代防火墻在國內市場爆發的元年。

  作為國內最早推出真正意義下一代防火墻的廠商,網康科技已經用品質卓越的產品向我們做出了最佳詮釋——性能與易用不必向安全妥協!

分享到:  
20.9K
欄目導航
熱門標簽
圖片推薦