下一步防火墙:关闭良好的开端
Check Point、SonicWALL和Fortinet遥遥领先,但所有被测试的四种产品都还在进行中
当我们测试四个时近来的防火墙严格上表现,我们发现产品可以以令人印象深刻的价格转发数据包,但吞吐量在高级时掉落安全功能被打开了。现在我们深入研究应用程序的识别和控制——下一代防火墙的定义特性——来找出哪些是有效的,哪些不是。
我们发现,虽然四种产品测试了展示的承诺,但仍有工作要做。检查点,SonicWALL和Fortinet在我们的记分卡顶部聚集,但仍有我们希望看到改进的地区。Barracuda也没有得分,但在显着的产品升级的中间。
下一代防火墙的定义特征是能够在应用层中识别和控制流量,因此我们设计了一套40个测试套件,以查看防火墙达到其计费的程度。
没有人能取得接近完美的分数,SonicWall SonicOS能识别并阻挡我们40项测试中的26项应用程序,紧随其后的是24,Fortinet FortiGate 21和Barracuda NG防火墙,带有21个,陷入困境。
(编者按:在测试的第一部分中,供应商将他们最大、最快的盒子提交给David Newman在加利福尼亚的实验室进行性能测试。我们允许供应商在相同的产品系列中发送一个更小、更轻的设备到Joel Snyder的亚利桑那州实验室进行功能测试。除了SonicWall之外,这两次测试的实际产品名称都是相同的,只是型号不同。就SonicWall而言,我们测试了SuperMassive 10800的性能,以及NSA E8500的功能,因此为了避免混淆,我们在这里将该产品称为SonicOS,这两款机型都使用相同的操作系统。)
在我们的测试中,一些应用程序引起了比其他应用更多的问题。例如,在我们追求最近的“大爆炸理论”的剧集中(极客的色情片),检查点和SonicWALL阻止了我们的BitTorrent客户端伸出援手,而Barracuda和Fortinet则没有。
另一方面,检查点无法阻止Skype,没有产品阻止了谷歌的Gmail,当我们在我们点击“如果您的浏览器没有向您显示您的电子邮件时,我们会在”点击此处“以获取基本HTML时才会滑倒。
SonicWALL对每个申请的分区都有这么多,其中没有任何文件或对我们做出任何意义,当我们试图允许最终用户看到Facebook时,我们给它一个失败的分数,但没有发布到它 - 供应商之一营销的最受欢迎的例子是为什么下一代防火墙是一个好主意。可以完全阻止Facebook,但您可以使用URL过滤器进行操作 - 您不需要下一代防火墙。如果它的应用识别GUI设计得不太糟糕,SonicWALL将获得更高的分数。
检查点安全网关具有奇妙的管理界面,用于应用识别和控制,比我们测试的其他产品更容易使用。但是,该接口的引擎底层不起作用以及SonicWALL。例如,我们可以轻松创建阻止Facebook或LinkedIn的特定部分的策略,但这些政策实际上并没有工作。例如,只有当我们阻止所有LinkedIn时,防火墙的行为才会正确行事。
Fortinet的FortiGate适合在SonicWall和Check Point之间的管理界面前端。不像Check Point那么优雅,但比SonicWall更有用,FortiGate易于学习和使用。
但是,在涉及加密的流量时,FortiGess最耗尽。例如,当SquirrelMail在标准端口80运行时,阻止流行的Webmail应用程序SquirrelMail的规则很大,但如果我们加密标准的HTTPS端口443上的相同流量,FortiGate不会阻止它 - 即使我们可以看到FortiGate正在解密并重新加密流量按预期。同样是Facebook的真实 - 每项政策都被封锁或允许的Facebook被封锁或允许,但如果我们只是使用Facebook的HTTPS,那么该政策并没有正常工作。
我们在没有技术支持的帮助下,我们遇到了艰难的时间,没有一些帮助,这是由于管理GUI的设计不佳。
例如,因为在HTTP和HTTPS代理中发生应用程序识别,它是单独的工具,所以您必须重复策略,浪费时间并为错误和不一致添加机会。Barracuda告诉我们,我们在GUI中的其他问题,将在第5.4版中修复,因此我们建议等待,直到甚至开始测试下一代功能之前可以使用。
即使你记得在Barracuda NG防火墙的两个代理中更改策略,你也必须在定义应用程序被阻止时小心。尽管您可以在弹出的第一个屏幕中选择您想要阻止的应用程序,但您必须向下滚动三个屏幕才能进入该规则适用的网络列表。
显然,如果您留空,则不适用于任何用户或网络,也不适用于任何弹出的对话框,说“您创建了一个实际执行任何操作的新规则。”
总的来说,Barracuda的应用程序识别得分最低,因为它没有能力匹配我们测试的那么多应用程序。例如,NG防火墙没有通用的Web邮件应用程序或工具的签名,如Lotus Notes、Outlook Web Access或SharePoint。
一些申请类别,NG防火墙确实对我们没有很多意义。例如,要阻止YouTube,您必须阻止“社交网络”,这会工作 - 但它只是只能块才能阻止YouTube。
当成功识别类别时,NG防火墙并不总是成功阻止它。例如,当我们添加规则时,Microsoft和Apple软件更新在日志中显示,但NG防火墙无法成功阻止它们。
附加的功能
对下一代防火墙的需求可以专注于应用识别,但我们相信还有其他方式“扩大元组“帮助网络管理员分类和控制流量。例如,我们发现我们测试的所有四个产品让我们将用户或组信息添加到策略。
我们对其他想法感兴趣,因此我们要寻找基于声誉的政策,汇率为基于策略和基于地理的政策。例如,网络管理器可能希望阻止某些应用程序,例如出站FTP,或从特定地理区域(如果您愿意信任地理位柜数据库具有低错误率,这不一定是真的)。
Fortinet的FortiGate让您编写指的规则,即代表地理而不是IP地址。但更常见的是,这些功能未集成到防火墙规则库中。例如,检查点和SonicWALL允许网络管理器根据IP信誉和地理基于IP信誉控制流量,但没有完全将此功能完全集成到防火墙规则库中;FortiGate具有基于光滑的速率的策略功能,旨在避免拒绝服务攻击,但没有将其集成到防火墙规则库中。
它在下一代防火墙世界上有点早,可以说其他还应该进入超越应用程序和用户识别的防火墙规则基础,但我们的测试显示工程师正在考虑该领域的不同选择。
另一个有待讨论的领域是应用程序(和其他下一代)控件是如何集成到下一代防火墙中的。一种观点认为,应该将它们直接纳入防火墙规则库,创建一个统一的策略,可以同时引用IP地址和端口、用户和应用程序。另一种方法似乎是将应用程序控件拉出到一个单独的规则库中。
在测试四种产品时,我们发现了解决这个问题的四种方法。所有四个都在主防火墙规则库中保留了基于用户(和基于用户组)的控件。不过,从那以后,我们发现了很多变化。Fortinet方法将所有东西集成到一个规则库中,我们发现从基本安全的角度来看,这个规则库是最容易管理的,也是最直观的。这种方法可能是最强大的,因为它只允许流量在所有属性匹配时流动,并且允许您在使用或不使用应用程序控件时交叉使用规则。
检查点和SonicWALL从正常防火墙规则中删除了应用程序规则,这意味着流量必须首先通过防火墙规则,并且在任何应用程序控件进入播放之前被允许。在校验点模型中,应用程序和URL过滤规则将集成到单个规则库中,而SonicWALL具有独立应用程序防火墙模块。
Barracuda的NG防火墙将单独的应用程序规则集放在HTTP和HTTPS代理软件中。我们发现这个问题,不仅是因为你必须定义重复的策略,还因为创造了策略定义的方式使得不可能混合“通过”和“块”,而是严重限制发动机的灵活性。Barracuda告诉我们他们在第5.4版中有这个解决方案。
Check Point和SonicWall的工程师都通过指出应用程序防火墙中的一个问题来为他们的选择辩护:在不允许一些流量通过防火墙(可能包括网络管理员想要阻止的流量)的情况下,您无法决定什么应用程序正在运行。
一个例子可能会有所帮助。假设您有一个公司政策,称“仅在25号端口允许SMTP出站”。孤立地拍摄,这意味着您必须编写两个规则,一个允许在端口25上允许SMTP,另一个是在所有其他端口上阻止SMTP。然后,您可以提供额外的允许规则,例如在多个端口上允许HTTP或IM出站流量。此政策的结果是防火墙必须允许所有其他流量出站连接和传输数据长度,以便决定它是否是SMTP流量。我们的供应商工程师担心这很容易导致意外后果和不安全的配置 - 有效的关注。
这是下一代防火墙供应商仍在寻找出路的一个领域。我们认为Fortinet在这里是在正确的轨道上,但因为这是一个开放的讨论领域,我们没有把它包括在我们的计分卡中。
采取行动
我们看看的最后一个区域是行动选项。在我们的测试中,我们只是要求防火墙阻止流量。但在基于Web的应用程序的情况下,网络管理器可能希望拦截请求并将页面显示到最终用户,该页面指示安全策略禁止交易。
Check Point Security Gateway集成了URL过滤和应用程序识别,是唯一包含此特性的产品。安全网关实际上比这更进一步,允许下一代应用识别规则有一个动作,显示“页面被阻止”的消息,同时允许用户在确认警告后继续点击。
我们也找到了其他选择。例如,SonicWALL和Fortinet让应用程序规则应用一些QoS设置,例如限制流量(在带宽浪费的情况下)或保证流量(在VoIP或视频会议的情况下)。两者也允许“日志数据包”的动作保存事务以供以后分析。
当涉及到实际识别和阻止应用程序时,我们愿意的是一个假设的产品混合我们测试的两个设备:由Check Point安全网关管理系统配置的SonicWALL Sonicos引擎。在没有这样一个神话般的野兽的情况下,Sonicwall做了识别和控制应用的最佳工作,但我们找到了我们测试的一切的改进空间。
当然,应用程序感知是下一代防火墙的锦上添花,它还必须处理与最先进的防火墙相关的所有其他基本任务。在其他部分中,我们将深入研究这些其他功能,我们将其分为网络可见性、SSL解密、IPS、UTM和基本的防火墙阻止和处理。
斯奈德是网络世界测试有个足球雷竞技app联盟的合伙人,也是亚利桑那州图森市Opus One的高级合伙人。可以联系到他Joel.Snyder@opus1.com。
版权所有©2012.Raybet2