下一步防火墙：关闭良好的开端

当我们测试四个时下一代防火墙严格性能我们发现，该产品可能会以惊人的速度转发数据包，但吞吐量下降，当先进安全功能被打开。我们现在深入研究应用程序识别和控制——下一代防火墙的定义特性——以找出哪些是有效的，哪些是无效的。

我们发现，虽然四种产品测试了展示的承诺，但仍有工作要做。检查点，SonicWALL和Fortinet在我们的记分卡顶部聚集，但仍有我们希望看到改进的地区。Barracuda也没有得分，但在显着的产品升级的中间。

下一代防火墙的定义特征是在应用层识别和控制流量的能力，所以我们设计了一套40个测试九大类，看看防火墙如何辜负他们的帐单。

在SonicWall SonicOS识别并阻止了我们40个测试中的26个测试中，没有人能获得接近完美的分数应用程序，紧随其后的是Check Point安全网关24，Fortinet公司的FortiGate 21和梭子鱼NG防火墙18。

Palo Alto获得简短列表状态

快进防火墙对恃

(编者注:在测试的第一部分，供应商将他们最大、最快的盒子提交给加州的David Newman实验室进行性能测试。我们允许供应商在相同的产品系列中发送一个更小、更轻的设备到Joel Snyder的亚利桑那实验室进行特性测试。除了SonicWall之外，实际的产品名称在两次测试中都是相同的，只是型号不同。以SonicWall为例，我们测试了SuperMassive 10800的性能，测试了NSA E8500的功能，所以为了避免混淆，我们在这里把这款产品称为SonicOS，这两款手机都使用了这款操作系统。)

点击查看：性能图表

在我们的测试中，一些应用程序引起的比别人更多的问题。例如，在我们的最近的“生活大爆炸”（色情怪才）的情节任务，检查点和SonicWALL公司从伸手挡住了我们的BitTorrent客户端和感人的谢尔顿，而梭鱼和Fortinet公司没有。

在另一方面，Check Point的无法阻止Skype并没有产品的封锁谷歌的Gmail，它通过滑落，当我们点击“点击这里了解基本的HTML，如果你的浏览器没有显示你的邮件”按钮。

SonicWall公司有每一个应用程序，但均未记录或作出任何意义给我们如此多的子部门，我们给了它一个失败的得分，当我们试图让最终用户能够看到的Facebook，但不发布它 - 供应商之一营销的喜爱为什么下一代防火墙是一个好主意的例子。这是可能完全阻止Facebook的，但你可以这样做与URL过滤 - 你并不需要一个下一代防火墙。SonicWall公司将有一个更高的分数，如果它的应用识别GUI不是设计如此糟糕。

检查点安全网关具有奇妙的管理界面，用于应用识别和控制，比我们测试的其他产品更容易使用。但是，该接口的引擎底层不起作用以及SonicWALL。例如，我们可以轻松创建阻止Facebook或LinkedIn的特定部分的策略，但这些政策实际上并没有工作。例如，只有当我们阻止所有LinkedIn时，防火墙的行为才会正确行事。

Fortinet的FortiGate在管理界面前端介于SonicWall和Check Point之间。FortiGate不像Check Point那么优雅，但比SonicWall好用得多，它易于学习和使用。

但偶然的FortiGate最加密流量参与时。例如，一个规则来阻止流行的webmail应用程序的squirrelmail时用标准的80端口上运行的squirrelmail伟大的工作，但如果我们加密标准HTTPS端口443相同的流量，FortiGate设备将不会阻止它 - 即使我们可以看出，FortiGate设备进行解密和重新加密流量预期。同样是Facebook的真正的 - 未加密的Facebook的被拦截或按政策允许的，但如果我们只是使用HTTPS对于Facebook，政策没有正常工作。

我们在没有技术支持的帮助下，我们遇到了艰难的时间，没有一些帮助，这是由于管理GUI的设计不佳。

例如，因为在HTTP和HTTPS代理中发生应用程序识别，它是单独的工具，所以您必须重复策略，浪费时间并为错误和不一致添加机会。Barracuda告诉我们，我们在GUI中的其他问题，将在第5.4版中修复，因此我们建议等待，直到甚至开始测试下一代功能之前可以使用。

即使您记得要在Barracuda NG Firewall的两个代理中更改策略，在定义要阻止的应用程序时也必须小心。尽管你可以在弹出的第一个屏幕中选择你想要阻止的应用程序，但你必须向下滚动三个全屏，才能输入这条规则适用的网络列表。

很显然，如果你离开这个空白，它并不适用于任何用户或网络，​​也没有任何弹出对话框说“你已经创建了一个新的规则，实际上并没有做任何事情。‘’

总的来说，Barracuda提交的应用程序识别得分最低，因为它没有能力匹配我们测试的那么多应用程序。例如，NG防火墙没有通用的Web邮件应用程序或工具的签名，如Lotus Notes、Outlook Web Access或SharePoint。

一些应用类别的NG防火墙也有没有做出很大的意义给我们。例如，封锁YouTube上，你必须阻止“社交网络”，这不工作 - 但它块不仅仅是YouTube的更多。

当一个类被成功识别时，NG防火墙并不总是成功阻止它。例如，微软和苹果软件更新日志中出现了，当我们增加了一个规则，但NG防火墙无法成功地阻止。

附加的功能

对于下一代防火墙的需求可能会集中在应用识别，但我们相信，还有其他的方式来“拓宽元组“帮助网络管理员分类和控制流量。例如，我们发现我们测试的所有四个产品让我们将用户或组信息添加到策略。

我们对其他想法感兴趣，因此我们要寻找基于声誉的政策，汇率为基于策略和基于地理的政策。例如，网络管理器可能希望阻止某些应用程序，例如出站FTP，或从特定地理区域（如果您愿意信任地理位柜数据库具有低错误率，这不一定是真的）。

Fortinet的FortiGate让您编写指的规则，即代表地理而不是IP地址。但更常见的是，这些功能未集成到防火墙规则库中。例如，检查点和SonicWALL允许网络管理器根据IP信誉和地理基于IP信誉控制流量，但没有完全将此功能完全集成到防火墙规则库中;FortiGate具有基于光滑的速率的策略功能，旨在避免拒绝服务攻击，但没有将其集成到防火墙规则库中。

它在下一代防火墙世界上有点早，可以说其他还应该进入超越应用程序和用户识别的防火墙规则基础，但我们的测试显示工程师正在考虑该领域的不同选择。

另一个有待讨论的领域是应用程序(和其他下一代)控制是如何集成到下一代防火墙的。一种观点认为，应该将它们直接折叠到防火墙规则库中，创建一个可以同时引用IP地址和端口、用户和应用程序的单一统一策略。另一种方法似乎是将应用程序控件拉出到一个单独的规则库中。

在测试四种产品时，我们发现了四种解决这个问题的方法。所有这四个控件都在主防火墙规则库中保留了基于用户(和基于用户组)的控件。然而，从那里，我们发现了很多变化。Fortinet方法将所有内容集成到一个单一的规则库中，我们发现从基本安全角度来看，该规则库是最容易管理和最直观的。这种方法可能是最强大的，因为它只在所有属性匹配时允许流量流动，并且它允许使用应用程序控件或不使用应用程序控件来交叉规则。

检查点和SonicWALL公司打破了应用程序与正常的防火墙规则排除，这意味着流量必须先通过防火墙规则和之前的任何应用程序的控制发挥作用是允许的。在Check Point的模型，应用程序和URL过滤规则都集成到一个单一的规则库，而SonicWall公司有一个独立的应用程序防火墙模块。

Barracuda的NG防火墙将单独的应用程序规则集放在HTTP和HTTPS代理软件中。我们发现这个问题，不仅是因为你必须定义重复的策略，还因为创造了策略定义的方式使得不可能混合“通过”和“块”，而是严重限制发动机的灵活性。Barracuda告诉我们他们在第5.4版中有这个解决方案。

检查点和SonicWALL工程师通过指出应用程序防火墙中的问题，您无法捍卫他们的选择：您无法确定正在运行的应用程序而不允许通过防火墙的某些流量，包括网络管理员可能需要阻止的流量。

一个例子可能会有所帮助。假设您有一个公司政策，称“仅在25号端口允许SMTP出站”。孤立地拍摄，这意味着您必须编写两个规则，一个允许在端口25上允许SMTP，另一个是在所有其他端口上阻止SMTP。然后，您可以提供额外的允许规则，例如在多个端口上允许HTTP或IM出站流量。此政策的结果是防火墙必须允许所有其他流量出站连接和传输数据长度，以便决定它是否是SMTP流量。我们的供应商工程师担心这很容易导致意外后果和不安全的配置 - 有效的关注。

这是下一代防火墙供应商仍在寻找出路的一个领域。我们认为Fortinet在这方面的做法是正确的，但由于这是一个开放的讨论领域，我们没有将其纳入我们的记分卡。

采取行动

我们看到的最后一个方面是在动作的选择。在我们的测试中，我们跟它防火墙堵塞交通。但在基于Web的应用程序的情况下，网络管理员可能希望拦截请求并显示一个页面，指示安全策略禁止交易的最终用户。

Check Point Security Gateway集成了URL过滤和应用程序标识，是唯一包含此功能的产品。安全网关实际上做得比这更进一步，它允许下一代应用程序识别规则有一个动作，显示“页面被阻止”消息，同时允许用户在确认警告后单击。

我们发现其他选择。例如，SonicWall公司和Fortinet公司让应用程序规则应用一些QoS设置，如限制流量（带宽浪费的情况下，例如）或保证流量（在VoIP或视频会议的情况下）。双方还允许“日志报”的动作保存以供日后分析的交易。

当涉及到实际识别和拦截的应用程序，我们宁愿是一个假设性的产品混合两种我们测试的设备：在SonicWALL的SonicOS引擎通过Check Point安全网关管理系统的配置。如果没有这样一个神秘的野兽，SonicWall公司做了识别和控制应用的最好的工作，但我们发现房间在我们测试的一切改善。

当然，对下一代防火墙来说，应用程序感知是锦上添花，因为下一代防火墙还必须处理与最先进的防火墙相关的所有其他基本任务。在其他部分，我们将深入研究其他功能，我们将其分为网络可见性、SSL解密、IPS、UTM和基本防火墙拦截和处理。

斯奈德是网络世界测试足球竞猜app软件联盟(Network World Test Alliance)的合作伙伴，也是亚利桑那州图森市Opus One的高级合伙人。可以和他联系Joel.Snyder@opus1.com。