UTM与单功能产品相比,它所提供的安全防护功能更为丰富。而由于各厂商所运用的技术不同,即使是相同的功能模块,所包含的内容也并不一样,仅单一功能项所能实现的防护效果就有很大差别,更何况是统一威胁管理设备这样一个综合多种功能的设备。而且除了功能设计外,产品在启用众多功能模块后的性能表现,以及设备在管理和使用中的易用性等因素都会对安全防护效果造成直接影响。
Cisco ASA 5520
在实际的多功能威胁防御性能对比中,Cisco ASA 5520具有最高的连接建立速度,比最接近的同类产品快四倍以上。
思科系统公司邀请Miercom对Cisco ASA 5520自适应安全设备与多款同类的、竞争性的统一威胁管理(UTM)安全设备(包括Check Point VPN-1 Pro,Fortinet FortiGateTM 1000, Juniper Networks NetScreen-208TM)进行了独立的对比测试。考察的性能领域包括:统一防火墙和IPS吞吐率性能,VPN吞吐率性能,IPS威胁防御能力,以及每秒连接性能。
在启用所有攻击/病毒签名时的防火墙性能(Mbps),HTTP对象的尺寸为16K字节。
图一
在使用实际流量和尺寸为16K字节的对象并启用全部威胁签名时,Cisco ASA 5520的吞吐率明显高于其他同类产品。
天清汉马USG-2000C
在防病毒性能测试中,天清汉马USG-2000C成功建立了模拟文件传输的并发连接数47900个,在最大并发连接压力下的平均处理速率为2099.01HTTP连接/秒。以每个网络使用者正常网络连接需保持20~50条网络连接计算,USG-2000C产品的防病毒能力可以满足2000个左右用户同时上网的需求。在反垃圾邮件性能测试中,USG-2000C可同时接受85769个用户的邮件发送请求,并且每秒可平均对493.5封邮件进行处理,可以满足企业用户海量邮件处理的需求。
图二
启明星辰的天清汉马USG-2000C型“统一威胁管理”(UTM)产品,在网络性能测试过程中,无论是网络层的数据包吞吐量测试,还是在应用层连接用户数及连接处理速率测试中,其性能均远远超过其它品牌的产品。
启明星辰天清汉马UTM系列产品采用高性能的硬件架构和一体化的软件设计,集防火墙、VPN、网关防病毒、入侵防御(IPS)、抗拒绝服务攻击(Anti-DOS)、WEB 内容过滤和反垃圾邮件等多种安全技术于一身,同时全面支持QoS、负载均衡、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护。
启明星辰UTM的IPS入侵防御功能融入了启明星辰积累10年的检测技术,能够对各类攻击实现精确检测与阻断。其防毒技术可以对100000种以上的文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件进行检查。此外,实用的流量监控系统NetFlow可以提供历史带宽使用趋势分析等实用工具。
山石网科SA-5050
SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议,可以对CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤。对于现实中大量存在的压缩文件,防病毒引擎也可以做到最多5层还原检测,避免病毒从这种途径混入内部网络。
本次测试采用的测试仪表为思博伦通信的Avalanche2900,采用双向共8个千兆电口的配置。SA-5050采用8个端口进行对接,分为Trust(4口)与Untrust(4口)两个安全域,分别连接测试仪模拟的客户端与服务端。为避免性能受到影响,在测试时关闭了所涉及模块外的一切功能选项,并采用带外管理的方式监控被测设备。
在制订测试方案时,我们进行了一系列用户需求调查。从反馈信息中了解到,电信运营商对性能有着特殊的要求,通常会采用独立的设备构建完整的安全防护体系。而企业与高校则是最关注安全网关应用层防护能力的两类用户,它们的需求十分复杂,甚至拓展到防病毒以外的其他领域。我们根据这些信息制订了两个测试用例,着重模拟企业与高校用户的使用环境,对SA-5050的应用层安全性能进行测试。
图三
第一个测试用例是关于防病毒性能的基准测试,考察设备在1000条防火墙策略、源端口地址转换模式下,模拟每秒40000个用户访问Web页面时SA-5050实际能够达到的性能。测试的事务流程取自大多数用户通过浏览器访问网站的完整过程:使用客户端发起HTTP 1.1访问请求,从服务端获取一个64KB大小的页面文件,完成后即拆除连接。为防止防火墙模块对安全策略进行合并等预处理,我们制定了与模拟客户端、服务端处于同一广播域内的跳跃式策略,以保证访问请求在最后命中。在这项测试中,SA-5050的吞吐量接近1.9Gbps,表现非常强劲。
第二个测试用例则在刚才的基础上,开启P2P/IM控制与URL过滤模块,加载屏蔽BT、eMule、QQ、MSN四种常见应用和10个URL关键字的策略,模拟每秒31000个用户访问Web页面。从技术角度看,这两类应用都涉及应用层报文处理,理论上会对性能造成比较大的影响,但从调查结果来看,这样的配置非常具有代表性,更加贴近企业与高校用户的实际需求。测试结果显示,SA-5050在这种环境下的最大可用带宽超过1.1Gbps,比预想值高出不少。我们还发现,产品在达到性能极限时,无论是WebUI还是CLI都保持了正常的响应速度,不会出现常见的“假死”情况。
后记
用户对于UTM产品的需求,首先源自在网络应用中对不同威胁的防御需要,因而产品在功能设计上能否真正起到预期作用就成了首要考察的内容。
UTM要提供综合防御,对整个平台的处理能力提出了更高要求,尤其是防恶意软件、垃圾邮件过滤等针对内容的防护功能,都有较大的资源消耗。UTM在同时开启多项功能引擎后,其性能是否会形成应用瓶颈就成了值得关注的重要因素。