网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

近年来，用户对网络业务的可视性、可管理性要求越来越高，要求能从业务视角理解网络流量，并针对应用制定管理策略；随之而来的，是以下一代防火墙（NGFW）为代表的应用层网络安全产品如雨后春笋般涌现出来；传统的网络层安全产品，如传统防火墙、IPS等，由于缺乏应用识别与控制能力，正在被面向应用层的NGFW、下一代IPS等产品取代。以NGFW为例，根据Gartner的调研，在2011年时仅有不到1%的互联网连接采用NGFW来保护，而到2014年底，这个数字飙升到35%。

“下一代防火墙”首次提出于2009年。Gartner在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下一代防火墙。”

由此可以总结得出，NGFW应具备应用识别和感知能力，同时应融合IPS系统以应对网络威胁；下一代防火墙的核心安全能力，是能够执行不依赖于IP、端口的应用、用户和内容控制策略，并能够实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。这一切的基础，是对网络中的数据包执行深度检测，也就是将数据包解封到应用层。数据包封装和解封层次越多，CPU的计算负载就会越高，具体表现为设备性能衰减，这是“鱼与熊掌不能兼得”的简单逻辑，也是为了应用级防护所必须付出的成本。

评估防火墙设备（包括传统防火墙和NGFW）的主要指标，是设备的吞吐量，其他指标还包括丢包率、延时等。吞吐量指的是被测设备在不丢包的情况下，所能转发的最大数据流量。吞吐量有很多种，如大包、小包、UDP包、HTTP包等吞吐量；同一台设备，在处理不同报文时，会表现出迥然不同的吞吐量。为了总体评估NGFW的性能，全球知名的独立测评机构NSS Labs提出了具体的评估指标与测试方法：

1.   UDP裸包处理性能（Raw Packet Processing Performance (UDP Traffic)）

2.   延迟（Latency）

3.   最大性能（Maximum Capacity）

4.   无延时情况下的HTTP性能（HTTP Capacity With No Transaction Delays）

5.   应用平均响应时间（Application Average Response Time: HTTP）

6.   有延时情况下的HTTP性能（HTTP Capacity With Transaction Delays）

7.   “逼近真实”的通讯（“Real-World” Traffic）

可见大部分测试指标是跟吞吐量相关的，包括一些传统的网络层性能指标，如UDP裸包处理能力，这是为了衡量设备对数据报文的基本转发能力。如果某些具有攻击特征的数据包严重影响了整机的处理能力，应用层的性能也将受到显著影响，应用层处理引擎能力再强也无法发挥作用。但NSS Labs更侧重于考核设备在进行应用层处理情况下的转发性能，也就是俗称的应用层吞吐量，如HTTP性能、应用平均响应时间等。因此NSS Labs大量引入这些指标，用以衡量被测设备的应用引擎的性能，再结合参考网络层性能指标，才能全面评估NGFW在真实业务环境中的实际表现。