VPN模块防火墙比较测试报告

　　VPN网关本身所处的位置与防火墙一样，也往往是位于企业内、外网之间，因此防火墙与VPN功能的集成也就顺理成章成为最受瞩目的一对拍档。于是乎就有了众多的网络安全厂商将VPN和防火墙放在一个盒子里卖给用户，可谁家的解决方案是防火墙与VPN二者的最佳拍档呢？《网络世界》评测实验室在2003年底完成了国内首次集成VPN模块的防火墙比较测试，以帮助用户走出困惑。
　　
　　性能综述
　　总体来说，我们此次性能测试主要围绕着两方面进行：防火墙与IPSec VPN的性能。防火墙方面，我们此次主要测试了吞吐量、10％线速下的延迟、吞吐量压力下的延迟、最大并发连接数、防攻击能力以及1000条规则下的吞吐量和延迟。VPN的性能我们主要测试了IPSec VPN的最大隧道容量以及在一条IPSec VPN隧道下的性能。
　　
　　双向性能
　　我们测试的吞吐量是允许丢包率为0的情况下得到的结果，即使丢包率设为万分之一所得到的结果也可能产生很大的差距。双向吞吐量项目的测试中，NetScreen-208和清华紫光比威UF3500在256及以上字节包长都达到了线速。清华紫光比威UF3500的64字节、128字节包长的吞吐量均为最高，分别达到了线速的47.41％和81.44％。
　　
　　1000条规则下性能
　　防火墙在实际使用时一般都会工作在多条防火墙规则条件下，为了更加接近用户的使用环境，我们测试了各防火墙在配置了1000条规则（包括过滤IP地址、端口、协议等）时的性能。清华紫光比威UF3500的防火墙性能下降比较显著，64字节包长的吞吐量下降为原来的1/3左右，延迟也有不同程度的增加。而对于其他大多数参测设备来讲，设置的1000条规则对防火墙性能几乎没有产生什么影响，所得结果与一条规则的大致一样。
　　
　　最大并发连接数
　　最大并发连接数考察设备能够同时支持的并发用户数，如果用户需要通过防火墙对外提供Web服务，那么这项指标就十分重要。
　　
　　此次测试方正方通1000V-R与清华紫光比威UF3500的结果同为最高，即500000。
　　
　　防攻击能力
　　在我们测试的14种攻击项目中，NetScreen-208以及清华紫光比威UF3500的设备防攻击能力都不错，过滤了多数项目的所有攻击包，只有ARP Attack攻击时透过了一定数量的攻击包。D-Link DFL-1500设备也防住了多数类型的攻击，对于Jolt2和Teardrop两项攻击的防范能力不是很好，有一些攻击包穿透了防火墙。方正方通1000V-R虽然有不少攻击包穿透了防火墙，但是设备在侦测到大量攻击包时发出了报警，提示管理员采取措施。
　　
　　VPN性能
　　IPSec VPN的性能测试是我们此次的重点之一，也是一个难点所在。数据包经过VPN隧道进行传输需要经过加密、解密，对性能所造成的影响很显著。吞吐量比防火墙双向全通时下降许多，而且延迟与吞吐量压力下的延迟普遍增大。
　　
　　NetScreen-208在一条3DES+MD5 IPSec VPN隧道下的吞吐量性能最突出，各种包长均为最高。清华紫光比威UF3500在64字节时也不错，达到了线速的11.57％。
　　
　　最大隧道容量测试时，我们使用TeraVPN，它依据RFC设计开发，被测设备能够与TeraVPN互通说明有一定的标准符合性。有些产品（方正方通1000V-R、清华紫光比威UF3500）在IPSec VPN隧道的实现上不支持Preshared Key方式，因而无法使用TeraVPN来测得它们所支持的最大IPSec VPN隧道数。
　　
　　Phase 1与Phase 2加密、认证算法组合均为DH-2/MD5/3DES，IKE协商采用Main方式（也称主要模式），IPsec协议和模式为ESP隧道模式，在每个隧道Phase 1与Phase 2的数量比为1:1。
　　
　　NetScreen-208、NetScreen-5200和D-link DFL-1500都顺利地实现了与TeraVPN的连通，最后结果NetScreen-208为1000，D-link DFL-1500为212。
　　
　　千兆性能
　　此次只有NetScreen-5200一款千兆产品参测，它的性能表现十分稳定，在三遍测试中结果几乎完全相同。
　　
　　NetScreen-5200在各方面的延迟都很小，其中，双向全通情况下，64、128、256字节帧的延迟仅为几祍，而最长的1518字节帧的延迟也只有25.34祍。1000条规则对NetScreen-5200几乎没有产生任何影响。
　　
　　几点参考
　　通过此次性能测试，我们认为有如下几点供读者参考。
　　
　　首先，防火墙应该只做自己分内的事情，入侵检测、防病毒以及其他过多功能的引入势必对性能造成影响，尤其是千兆设备，更应该为高性能提供更多保障。
　　
　　其次，有些设备配置1000条规则产生的影响较小，而有的却很明显。防火墙在收到数据包时首先要与其配置的规则相对比，并且根据规则转发或抛弃数据包。在规则繁多的情况下，采用设计科学的算法可以节约许多规则对比时间。
　　
　　最后，VPN为传送数据提供更高安全性，是以牺牲一部分性能为代价的。多数设备在采用IPSec VPN传送数据时的性能都不及防火墙双向全通时一半，甚至有的仅为三分之一或四分之一；而延迟方面，各产品则同时增加了许多。
　　
　　功能综述
　　虽然很多人认为防火墙技术已经很成熟了，采用状态检测、包过滤、应用代理三种技术的组合均是大家共同采用的核心技术，但由于采用的软、硬件平台的差异，以及开发能力和开发思路的不同而使得此次比较测试所征集到的5款产品在功能上各有千秋。
　　
　　从单一的防火墙到能干的多面手
　　当防火墙最初出现之时，地位仅是网关处的一道门。而如今，既有路由器与防火墙、VPN的结合，更有交换机中插入安全模块的例证，也有NetScreen这种典型的防火墙产品中加入路由、VLAN等网络特性，安全产品与网络融合的特性正在彰显。还有一点需要提及的是，此次送测的产品支持PPPoE的也不在少数，这将会能够更好满足一些采用宽带上网用户的需求，清华紫光比威UF3500、NetScreen-208、NetScreen-5200以及D-Link DFL-1500均对其有良好的支持。
　　
　　管理有道
　　对防火墙管理者来说，好用与否往往取决于防火墙提供的配置界面以及命令行使用的难易程度。命令行界面和Web界面是NetScreen-208、NetScreen-5200