SonicWall在SSL解密测试中屹立不倒

如果下一代防火墙的主要优点之一是应用程序和协议识别和控制，那么SSL解密是一个基本需求。我们查看了下一代防火墙的SSL解密功能，看看它们的发现能力有多好应用程序、协议和隐藏在加密连接中的url。

当SSL解密就绪时，防火墙就会执行一种“被认可的中间人攻击”。这意味着防火墙拦截SSL连接，并执行中间人攻击来解密内容。因为攻击是在企业允许的情况下进行的，所以被称为“批准”。

下一代防火墙:一个良好的开端

这要求企业拥有一个被防火墙后所有用户信任的私有证书颁发机构，并且该证书颁发机构可以颁发“签名”证书。该签名证书被加载到下一代防火墙中，对于每一次SSL连接，防火墙都会实时生成一个新的证书，用以替换原来的证书，保证终端用户与防火墙之间的SSL连接的安全性。然后，防火墙使用原始证书保护连接。因为防火墙将两个加密连接堆叠在一起，所以它可以看到未加密的流量。

我们测试的下一代防火墙中唯一在SSL解密方面做得很好的是SonicWall。通过两个复选框，我们能够启用SSL解密，然后将下一代防火墙功能应用到通信中。另外四个复选框开启了对SSL流量的反病毒、反间谍、入侵防御和内容过滤功能。配置(包括加载我们自己的证书颁发机构证书)既简单又快速，而且解密工作正常。我们正在寻找的其他特性，例如使通信免受按IP地址、用户组或证书通用名(如“www.bankofamerica.com”或“www.kaiserpermanente.org”)解密的能力，都没有问题。

我们还测试了SonicWall系统可能会将某些错误传递给客户端，例如自签名证书(SonicOS发现了一个)或颁发者撤销的证书(SonicOS没有检测到)，并发现还有一些工作要做。

其他防火墙的情况就不那么好了。检验点的安全网关有一个更精细和更深思熟虑的配置系统，有更多的铃声和哨子。例如，使用Security Gateway，您可以免除某个类别(例如金融服务)中的所有域的检查。安全网关还通过了我们所有的SSL验证检查，检测被撤销的和自签名的证书很好。但是，安全网关只能检测已知SSL端口上的HTTP流量。这意味着运行在非标准端口上的应用程序不会被检查，任何使用不同协议(如电子邮件、即时消息或文件传输)的应用程序也不会被检查。

Fortinet的FortiGate在覆盖更多协议方面做得更好，处理HTTP、SMTP、POP3、FTP和运行在SSL上的IMAP，但只在已知的端口上。Fortinet的工程师告诉我们，SSL解密与他们的反病毒透明代理系统相连，这使得它无法通过更多端口运行。但是FortiGate在覆盖范围上弥补了它在配置控制上的损失。除了通过IP地址，没有办法让流量免于解密，而FortiGate允许通过自签名和撤销的证书，使两个无效的网站看起来很安全，即使它被配置为阻止无效的SSL证书。

我们也对Barracuda NG防火墙的SSL解密能力感到失望。与其他下一代防火墙不同，NG Firewall要求您明确配置HTTP客户端(没有覆盖其他协议)来使用在NG Firewall上的HTTPS代理。这意味着，如果客户端不使用代理就可以通过防火墙或通过任何其他端口发送流量，那么即使流量通过NG防火墙，它也不能对加密流量应用下一代控制或IPS签名。Barracuda的工程师告诉我们，这个限制将在5.4版中解除。

总的来说，结果是令人失望的，因为只有一个产品，SonicWall SonicOS，支持我们认为的基本功能。这表明，产品仍在快速发展，以满足这一新产品类别的要求，公关和市场营销的速度比工程师要快一些。