論如何選購最重要的安全裝置：下一代防火牆篇

寫這篇文章的初衷是希望将各種安全産品的測評方法以及測試結果跟大家分享，讓人們更了解安全的重要性，了解使用哪些名額去客觀評價安全性。

其實在企業安全中，防火牆是非常基本的産品，按照等級保護的要求，網絡邊界都必須部署防火牆和IDS/IPS。

現在越來越多的資訊系統要互聯，把分散的資料集中起來分析，那麼需要安全防護的系統和需要通路控制的邊界也越來越多，防火牆的部署也越來越廣泛。

而在實際使用中，防火牆的功能都差不多，其防護效果差别不大，關鍵還是性能，隻要是開啟所有防護功能之後的性能能滿足要求就可以。

就目前而言，國内防火牆的水準和國際領先水準(魔力象限右上角)的廠商還有一定差距。

對于國内大多數企業來說，其防護水準也足夠，沒有必要花費大價錢買最高精尖的産品，畢竟适合自己企業的才是最好的。

無論哪個行業，安全都是其基礎需求。

對于我們廣電行業來說，除了做好基礎的防護，還要符合相關的規定。按照總局規定，很多資訊系統都必須隔離，隔離的網絡卻要進行資料交換，是以防火牆是不合規的。

這裡先賣個關子，後續将介紹其他資料交換方法，保證不是拿U盤copy。

| 正文

近年來，由于網絡安全重要性的提升，安全産品市場迅速成長，安全裝置琳琅滿目，但防火牆基本上是必選的，是最基礎的需求。下一代防火牆內建了防病毒(AV)、入侵防禦(IPS) 和協定分析(DPI)，是一種價廉物美的解決方案。

市場上可提供防火牆産品的廠家，國内外知名大品牌就有幾十家，品質肯定是良莠不齊的，今天我們就來講講如何選購質優價低的好東西。

下一代防火牆的按照生産廠商背景分為數通廠商和安全廠商，數通廠商代表有華為、Cisco、H3C 、山石、Juniper、迪普等，安全廠商有綠盟、啟明/網禦、安恒、天融信、深信服、360 網神等。

按照架構分，主要有多核和X86兩個大類，有些廠商會宣稱自己的産品用了一些神奇的技術，歸根結底也是跑不出這兩種架構的，架構本身其實也沒有好壞之分，下面我們的評測方法隻看效果，不管使用何種技術，也不論是國産進口，更不管是哪家生産的。

如何評價防火牆的效果？其實一點都不難，既然是下一代防火牆，ACL肯定都有的，咱們就不比了，直接考察病毒檢出率、入侵防禦成功率和協定檢查率就可以了。

但是，這裡要注意，有句話說得好，抛開劑量談毒性都是耍流氓，防火牆隻有達到了必要的吞吐量，再比較這些名額才有意義，吞吐量上不去，防火牆真的成了牆，正常流量都過不去，還談什麼安全。

所有防火牆廠商都會标稱一個網絡層性能，比如整機10G吞吐，這說的是所有端口的進入這個防火牆加起來的流量可以達到10Gbps ，注意，這一定是沒有開AV、DPI、IPS 這三個功能的，甚至沒有加載 ACL，相當于手機的待機時間，測量時不得使用的。

同時開啟了AV、DPI 、IPS 這三個功能的，稱為應用層性能，測試出來大概也就是網絡層性能的10%，好的廠商大概在20% ，差的不到5% ，水份極大。

這就好比待機時間200小時的手機，一旦打電話玩遊戲，2 小時就沒電了。

既然我們的防火牆是買了用的，不是擺着看的，應當直接忽略網絡層性能，我們這次測試，實際上最重要的工作就是幫這些廠商擠擠水份，測出真正的應用層性能。

言歸正傳，我司作為國内一家科技水準和網絡安全水準處于行業上司地位的大廠，組織了一場防火牆選型測試，報名廠商踏破門檻啊。

首先我們租來一台思博倫C100，其實是最低端的測試儀表，隻能打10G 流量，但是對付那些防火牆廠商綽綽有餘，把其中一個廠商的最高端的防火牆打到癱瘓(這是後話了)… 然後，很重要，我們有工程師會操作這個C100 裝置噢，很少有甲方工程師會操作這個東西的，甚至這樣的第三方公司都很少。

插入普及一個科學小知識，吞吐量=包轉發性能+包長，背景流，也就是我們模拟的正常流量，我們會采用一個最接近日常流量的 iMix包。

下面來談談測試過程中和廠商鬥智鬥勇的故事。

第一回合，更換特征庫

開工，要求廠商把裝置怼上去，AV、DPI、IPS 全開，開炮，直接就挂了，丢包率35%。

廠商銷售馬上跟你溝通，表示裝置沒有調試好，工程師要調一調，請給個機會。沒辦法，平時大家關系都挺好，調一調吧。

這時廠家工程師從容的從口袋裡掏出了一個IPS與AV的小規則庫，那麼這樣就可以做到既打開了各種防火牆功能，不用過度占用防火牆資源。

然後請求再測，好，再測通過測試，表現完美。

但是這招too young，too simple，我們甲方測試人員也不是傻子啊，再測一遍IPS 和AV檢出率，從原來的90%多變成了20% 多，小規則庫肯定是不行的。

我們的攻擊庫其實是 2015年的，這樣的老庫你都搞不定，那可隻能呵呵了。

第二回合，阻斷目的位址

銷售又出現了，說剛才工程師不小心把規則庫灌錯了，再給他們一次機會吧。好吧好吧，誰讓咱之前吃過你的飯呢，再來。

這裡插個小知識，我們在測試AV/IPS檢出率時，是通過發送病毒封包以及攻擊封包通過防火牆，看看防火牆阻斷幾個，然後計算阻斷率。

我們一般把正常包的目的位址和攻擊包分開，這樣比較好計算，這就給了廠商工程師可趁之機。

廠商工程師對防火牆一陣擺弄，偷偷通過防火牆端口抓包檢視測試儀表的攻擊目标IP，進而在防火牆内添加一條ACL——但凡想去目标 IP的資料包全都實施阻斷，這樣在檢測IPS，AV的時候就可以大大降低防火牆的性能消耗，同時也提高了 IPS與AV的檢出率，銷售口中的高性能也就得到了“實作 ” 。

調試好了，請我們測試，第一次，IPS檢出率(綠圈) 為99.95%，完美啊，怎麼這麼牛B，這麼好的入侵防禦我沒見過呢。

那麼，我們試試把背景流量打25%給那個收病毒的目标位址，what？ 正常包(黃圈)也幾乎全部被阻斷了…

來來來，這位銷售我們談一談，公然作弊啊，主動退場吧。

第三回合，阻斷目标端口

IPS/AV攻擊總是要基于TCP/UDP的一些端口進行攻擊，通常我們在進行病毒攻擊時，通過smtp協定發送病毒，就會用到 25端口，有一家廠商工程師在發現這一情況以後，在IPS規則庫中增加一條規則——隻要是通過 25端口發送的資料包全阻斷。

這一招與上一招阻斷目标位址基本是相同的，都為了降低防火牆的性能消耗，并提高檢出率，可以說是上一招的進化版。

對于這一招術，我們應該怎麼防範呢？

當你懷疑廠家的名額造假時（如檢出率過高達到100%），可以偷偷的将病毒封包通過别的端口來發送，在儀表上換端口是很友善的，如果廠商工程師用了這一招，你就會發現，相同的病毒包，在換端口前與換端口後，從93% 暴降到18.9%，如下圖：

| 調整前

好吧，又一個廠商表示主動退場，不要追求他們的作弊行為。

第四回合，阻斷攻擊協定

又一個廠商登場了，我都開始懷疑這些廠商其實私下是串通的，這個廠商居然通過阻斷協定來提高檢出率。

剛才我們提到，在檢測AV檢出率時，我們采用郵件發送的方式，将病毒發送給防火牆檢測。

該端口被抓後，這個廠商居然直接在DPI上，将帶有郵件特征值的資料包直接歸類為病毒的一類，這就厲害了，病毒隻要是通過郵件發送就會被防火牆阻斷下來。檢出效果好，還不容易被發現。

開始我們都被蒙過去了，直到後來我們發現，由于加了這個配置，他們在測DPI時就不能正确識别SMTP 協定了，我們就在想，這個協定怎麼會不認識呢，然後就抱着試試看的心态，打了一串正常郵件包過去，然後也被阻斷了，bingo，銷售快來，作弊抓現行了。

整個測試過程，真的是鬥智鬥勇的過程。你可能會說，要求廠商初始配置好，然後就不能觸碰裝置，那樣就能防止作弊。

但實際測試環境中，雖然甲方時刻在現場監督，但由于場地和時間的限制，很多案例都是一邊配置一邊測試的，有的廠商甚至留個3Gmifi 在管理口遠端偷偷配置，都是很難預防的。再則，銷售們平時關系都不錯，求求你給個機會，也抹不下臉的。

在工程師被抓到作弊後，大部分銷售都會态度誠懇來認錯，希望不要曝光，也有銷售居然厚着臉皮說，這是我司的企業文化啊… 天哪，居然還有這麼不要臉的公司。

作為甲方的安全負責人，我今天寫這篇文章呢，其實主要還是希望給各位同行一點警示，各位安全崗位工作者在日夜防備黑客攻擊的同時，還要小心一些黑心銷售的誇誇其談。

由于大部分甲方安全從業人員沒有能力做防火牆的驗證測試，無法靠實力去僞存真，現在安全廠商可謂魚龍混雜，包括一些知名廠商，也是“人有多大膽，地有多大産”，靠着吹牛賣産品，虛标性能已成慣例。

| 結論

我們整體測試下來，發現除個别廠商比較差，無論如何其IPS檢出率都低于40%，大部分廠商的商用IPS/AV 庫的檢出率在75-80%，保持這個檢出率水準，我們将裝置性能拉平，然後各家再投标，數通廠商的價格不到安全廠商的一半。

下一代防火牆這個産品，數通廠商完勝。