2004年度中国市场主流防火墙产品评测技术报告

　　2003年中国网络安全市场产品结构

产品结构

市场预测

　　在2003～2004年度的防火墙产品和技术中，将包过滤技术和多种应用技术融合到一起构成复合型防火墙是目前国内防火墙产品的一个特点，也是防火墙今后发展的主流技术，作为一种技术，该类产品在今后许多年还会得到更为完善的发展。

　　在防火墙的发展过程中，现有的x86普通工控机架构仍然占据了国内大部分的百兆防火墙市场，其主要原因是技术成熟、成本相对较低，至强服务器架构的防火墙由于其本身硬件具有较高的性能，因此已经被众多的厂商用作千兆防火墙的平台。而NP架构一直被业界认为是防火墙架构的最佳选择，从2003年使用的Intel 1200到现在主流的Intel 2800(当然Intel 1200现在已经停产)，虽然性能是提高了不少，但其仍然是采用了国外技术，因此采用这种架构只能使用于电信、银行、企业等非政府、军队行业，这从一定程度上对其产品的销售有一些冲击，当然，对于产品的多元化来看无疑是也是一条生路。至于其他防火墙技术，如分布式防火墙虽然在未来有发展的迹象，但未形成成熟的产品，在本次公布的产品中尚未出现。

　　对于防火墙产品的发展趋势，以用户为导向，产品向高性能、多端口、高细粒度控制是防火墙未来发展的主要方向。一方面，在用户对高性能需求的驱使下，百兆防火墙的性能将会得到进一步的提高；另一方面，千兆流量的防火墙已经得到较快发展，它已成为高端市场防火墙产品竞争的焦点。在多种技术融合的基础上，若在防火墙系统中添加网络硬件加速器，将能有效提高其处理能力；而多端口的防火墙能为用户提供更好的安全解决方案，这种多端口技术也是防火墙技术发展的主要方向；当然高细粒度的控制无疑能够增加防火墙访问控制的作用。

　　本次发布的2003～2004年度中国市场主流防火墙产品技术报告，是赛迪评测以各类用户选型和厂商送测的防火墙产品为对象，其中包括百兆防火墙：安氏、方正、南大苏富特、华为、清华得实、龙马卫士、清华紫光、亿阳、阿姆瑞特、Watchguard、西安交大捷普共11款。千兆防火墙：方正、华为、南大苏富特、海信、清华紫光、西安交大捷普共6款(部分厂商在报告正式公布前要求退出，在此不予提及)。并利用先进的专业设备，由经验丰富的专业测试人员通过严格、规范的测试，得到详实可靠的测试数据。赛迪评测力求通过一年一度的中国市场主流防火墙产品技术报告的发布，为各级政府及行业用户进行防火墙产品选购，提供客观真实的产品资料，为用户选型提供帮助与指导。

一、测试情况说明

　　赛迪评测通过各类用户选型和厂商送测，汇集2003～2004年度中国市场主流防火墙产品，分别在功能、管理、性能以及安全性方面进行了测试，并对测试情况进行下列说明。

　　1、管理及功能测试

　　图一 管理及功能测试环境示意图

　　本次管理和功能测试仍然是按照赛迪评测《防火墙测试规范》第三版的测试内容执行的，但管理和功能测试的可量化性比较差，很大程度上存在个人喜好、习惯的问题，同时也由于防火墙产品功能和管理发展的程度已经走向了成熟，因此，本次评测在管理和功能上所占的比重较小，管理只是从是否提供了方便用户使用的管理界面来入手，功能只是能够实现那些功能等，没有从非常详细的功能点上来验证测试。

　　2、安全性测试

　　对于安全性测试，为了能够对防火墙产品在抗DoS能力上有一个比较好的量化，因此本次测试采用了Smartbits 6000B的Websuite2.6测试组件，该组件能够对Syn flood、Smurf attack、Ping of death、Teardrop attack、Land-based attack、Ping sweep、Ping flood、udp flood、tcp扫描、arp攻击以及jolt2攻击等进行抵抗测试。在测试方法上，利用SmartBits模拟实际攻击流量通过内网口向防火墙发送上述类型的数据包，检测外网口收到的数据，以此来判断防火墙是否可以挡住DoS攻击。

　　为了使得模拟攻击更接近于实际，我们在选择攻击流量时分别选择了10%和20%的攻击压力，因为100%的流量压力攻击在实际网络中并不存在。同时，在一些攻击量选择上我们也选择了只发送固定数量的攻击数据包，以确定实际能穿透防火墙的个数。总体来说，对防火墙抵抗攻击测试上，选择不同负载测试抗攻击能力能从一定程度上能够检测出防火墙的安全性。

图二 抗DoS攻击测试环境示意图

　　syn flood攻击的测试原理是向防火墙发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

　　ping of death 攻击：向被攻击主机发送大量的碎片包，使这些碎片组装起来后构成一个超出最大限制的ping 请求包从而造成被攻击主机的缓冲区溢出。

　　land 攻击是向防火墙发送源地址和目标地址相同的tcp 数据包，利用Smartbits 的攻击包发生器产生该攻击流量从外部网攻击防火墙，考察系统的运行情况是否正常。

　　Tear Drop 攻击是利用了IP 数据片断重组上的弱点。IP 数据包在Internet 上传递时，数据包可以分成更小的片断。每个片断看起来都象原来的IP 数据包，不同之处在于，每个片断里都包含一个偏移字段。Teardrop 程序可以生成一系列IP片断，这些IP 片断的偏移字段彼此重叠。当这些IP 片断到达目标主机，进行重组的时候，某些系统就会崩溃、挂起或重启动。

　　ping flood 攻击是该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

　　Smurf 攻击是一种强力攻击，针对的是IP标准的一个功能-叫做直接广播寻址。Smurf攻击向路由器发送大量的ICMP(Internet控制信息协议) echo请求数据包(大量的ping)。因为每个包的目标IP地址都是网络的广播地址，所以路由器会把ICMP echo请求以广播形式发给网络上的所有主机。如果有大量主机，那么这种广播就会造成巨大的ICMP echo请求及响应流量。所以它比ping of deaih的流量高出一或两个数量级。如果在发送ICMP echo请求数据包时，使用了假冒的源IP地址，那么攻击造成的ICMP流量不仅会阻塞网络从而产生该攻击流量。

　　udp flood 攻击是采用发送udp 包的工具从外部网攻击防火墙，考察系统的运行情况是否正常。

　　jolt2 攻击

　　jolt2攻击是在一个死循环中不停的发送一个ICMP/UDP 的IP 碎片，可以使Windows 系统的机器死锁。jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows 系统，同时也大大增加了网络流量。

　　arp请求/响应攻击

　　ARP请求攻击是某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文，arp请求攻击就是发送这样大量的arp请求报文的攻击。

　　Arp响应攻击是ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个本不存在的MAC地址，这样就会造成网络不通，从而形成ARP响应攻击。

　　Tcp扫描攻击

　　TCP SYN scan：这种技术也叫half-open scanning，因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组(packet)，如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。

　　TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定，对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。

　　TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。

　　TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。

3、性能测试

　　性能在防火墙的实际应用中占有非常重要的位置，例如电子政务中视频会议的应用，各大媒体报社及广告业务量比较大的单位或公司，电信行业以及电力等能源行业、国家比较大的研究院等都对防火墙的性能有着很高的要求。

　　在防火墙的实际应用中，对于大多数中小企业来说，可能防火墙的出口带宽也只有2M，因此，对于目前防火墙产品来讲可能不会成为网络的瓶颈，而对于许多防火墙的应用，同时还肩负了内部互联网的各种实际应用，因此对防火墙性能无论厂商还是实际用户都应该有一个比较理性的认识。

　　本次对防火墙性能的测试，我们采取了在IP层进行性能测试的方法，从实际应用角度来讲，更切近用户的实际应用。在性能测试的内容设置上，我们进行了吞吐量测试，丢包率、平均延迟、有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，赛迪评测认为，从这些指标上，能够比较客观的评价出防火墙的产品性能。

图三 性能测试环境示意图

　　在性能测试中，我们使用SmartBits 6000B的smartflow测试组件，采用RFC建议进行测试。测试采用双向数据流、整个测试时长为120秒，并设置多流的情况进行吞吐率测试。多流设置为双向-100流-UDP(即内、外网的地址共200个且互不相同)，源和目标地址都同时变化，即在防火墙的状态表内会存在200个状态连接。对于有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，仍然采用websuite2.6进行测试。

　　二、测试结果及分析

　　1、安全性测试结果分析

　　按照安全性测试的方法，为了保证我们对被测防火墙测试结果的准确性，在对每一个攻击行为测试结束后，分别对UDP协议的吞吐量、TCP/HTTP的并发连接数等都进行了测试，以验证被测试设备不会是由于防火墙阻断一个攻击而引起阻断所有连接，使得下一个攻击实际是在防火墙阻断下进行的。因此，本攻击测试的结果是有效的。

　　从测试的结果来看，方正方御FG6340、安氏LinkTrust CyberWall -206、南大苏富特softwall 4000、Watchguard Firebox 1000防火墙在整个攻击测试中表现突出，全部阻断了上述攻击。华为Quidway Eudemon 500、清华得实NetST2300在安全设计上都采用了攻击防范设置，特别是华为采用“发现攻击后自动启用代理”的方式，有效阻断了如synflood等攻击，测试结果表明，这种技术在攻击防范上是值得推广的。另外，亿阳网警BOCO.SFW-3000防火墙、清华紫光UF3500防火墙、阿姆瑞特AS-F300防火墙等防火墙在测试过程中也有不同程度的表现，测试结果也是令人满意的。

3、性能测试

　　性能在防火墙的实际应用中占有非常重要的位置，例如电子政务中视频会议的应用，各大媒体报社及广告业务量比较大的单位或公司，电信行业以及电力等能源行业、国家比较大的研究院等都对防火墙的性能有着很高的要求。

　　在防火墙的实际应用中，对于大多数中小企业来说，可能防火墙的出口带宽也只有2M，因此，对于目前防火墙产品来讲可能不会成为网络的瓶颈，而对于许多防火墙的应用，同时还肩负了内部互联网的各种实际应用，因此对防火墙性能无论厂商还是实际用户都应该有一个比较理性的认识。

　　本次对防火墙性能的测试，我们采取了在IP层进行性能测试的方法，从实际应用角度来讲，更切近用户的实际应用。在性能测试的内容设置上，我们进行了吞吐量测试，丢包率、平均延迟、有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，赛迪评测认为，从这些指标上，能够比较客观的评价出防火墙的产品性能。

图三 性能测试环境示意图

　　在性能测试中，我们使用SmartBits 6000B的smartflow测试组件，采用RFC建议进行测试。测试采用双向数据流、整个测试时长为120秒，并设置多流的情况进行吞吐率测试。多流设置为双向-100流-UDP(即内、外网的地址共200个且互不相同)，源和目标地址都同时变化，即在防火墙的状态表内会存在200个状态连接。对于有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，仍然采用websuite2.6进行测试。

　　二、测试结果及分析

　　1、安全性测试结果分析

　　按照安全性测试的方法，为了保证我们对被测防火墙测试结果的准确性，在对每一个攻击行为测试结束后，分别对UDP协议的吞吐量、TCP/HTTP的并发连接数等都进行了测试，以验证被测试设备不会是由于防火墙阻断一个攻击而引起阻断所有连接，使得下一个攻击实际是在防火墙阻断下进行的。因此，本攻击测试的结果是有效的。

　　从测试的结果来看，方正方御FG6340、安氏LinkTrust CyberWall -206、南大苏富特softwall 4000、Watchguard Firebox 1000防火墙在整个攻击测试中表现突出，全部阻断了上述攻击。华为Quidway Eudemon 500、清华得实NetST2300在安全设计上都采用了攻击防范设置，特别是华为采用“发现攻击后自动启用代理”的方式，有效阻断了如synflood等攻击，测试结果表明，这种技术在攻击防范上是值得推广的。另外，亿阳网警BOCO.SFW-3000防火墙、清华紫光UF3500防火墙、阿姆瑞特AS-F300防火墙等防火墙在测试过程中也有不同程度的表现，测试结果也是令人满意的。