集成VPN的防火墙测试报告

忽忽～～

Internet的迅速普及使得网络安全问题层出不穷，网络安全产品和解决方案也就随之成了企业级用户和厂商们的聚焦点，虽然还有不少用户总把防火墙作为网络安全的代名词，但更多的用户越来越认识到网络安全不仅仅 是防火墙，同时防火墙也不再仅有防火墙的功能，集成其他的安全模块正成为一条主流的发展之路。

   分支机构之间以及它们与总部之间需要利用Internet进行安全通信，移动办公的快速发展也使得用户即使在家里或千里之外依然需要能够安全地与企业网络进行安全沟通，这些应用的崛起使得VPN成为又一个安全热点。VPN网关本身所处的位置与防火墙一样，也往往是位于企业内、外网之间，因此防火墙与VPN功能的集成也就顺理成章成为最受瞩目的一对拍档。于是乎就有了众多的网络安全厂商将VPN和防火墙放在一个盒子里卖给用户，可谁家的解决方案是防火墙与VPN二者的最佳拍档呢？《网络世界》评测实验室针对这种产品系列组织了国内首次集成VPN模块的防火墙的比较测试，以帮助用户走出困惑。
《网络世界》评测实验室一如既往本着科学、客观公正的原则，不向厂商收取费用，向所有希望参加评测的厂商开放。我们此次评测征集的产品包括百兆和千兆两个系列。此次送测产品有来自国内外4家厂商的5款产品，其中百兆产品包括NetScreen-208、D-Link DFL-1500、清华紫光比威UF3500以及方正方通1000V-R，千兆产品是NetScreen-5200。我们从性能(单规则双向全通下的性能、1000条规则下的性能以及一条IPSec VPN隧道下的性能)、防攻击能力以及功能对参测产品进行了全方位考量。

    最后，我们要感谢为此次测试提供测试仪器和软件的思博伦通信公司以及NAI公司，同时也对这些勇于参加此次集成VPN模块的防火墙产品公开比较评测的厂商表示赞赏。

    性能综述

    网络安全倍受关注，安全设备的性能也引起用户广泛的重视：在许多企业的网络中，防火墙处于内网与外网唯一联系的“咽喉要道”，很容易成为整个网络的性能瓶颈；VPN的使用变得越来越频繁，而且，通过VPN传送的大多为关键数据，用户对于VPN的性能十分在意。

    总体来说，我们此次性能测试主要围绕着两方面进行：防火墙与IPSec VPN的性能。防火墙方面，我们此次主要测试了吞吐量、10％线速下的延迟、吞吐量压力下的延迟、最大并发连接数、防攻击能力以及1000条规则下的吞吐量和延迟。VPN的性能我们主要测试了IPSec VPN的最大隧道容量以及在一条IPSec VPN隧道下的性能。

    防火墙VPN设备的性能由硬件和软件共同决定。硬件方面，性能更高的CPU、ASIC或NP、容量更大的内存都能使某些指标得到提高，另外，有些产品中采用了VPN加速卡，所以能够达到更高性能；软件方面，通过算法的改进对性能的改善会有很大帮助。

    双向性能

    需要再次强调的是，与去年一样，我们测试的吞吐量是允许丢包率为0的情况下得到的结果，即使丢包率设为万分之一所得到的结果也可能产生很大的差距。

    双向吞吐量项目的测试中，NetScreen-208和清华紫光比威UF3500在256及以上字节包长都达到了线速。清华紫光比威UF3500的64字节、128字节包长的吞吐量均为最高，分别达到了线速的47.41％和81.44％，这样的结果使我们的测试工程师感到吃惊不小，它同样也反映了国产防火墙所具有的优势。NetScreen-208的吞吐量结果略低于清华紫光比威UF3500，但在10％压力以及吞吐量压力下的延迟都较清华紫光比威UF3500的设备小得多。

    在10%压力下延迟与吞吐量压力下的延迟两项指标中，D-Link DFL-1500除了一项（1518字节包长在100％压力下的延迟）以外都是最小的。

    1000条规则下性能

    防火墙在实际使用时一般都会工作在多条防火墙规则条件下，为了更加接近用户的使用环境，我们测试了各防火墙在配置了1000条规则（包括过滤IP地址、端口、协议等）时的性能。

    清华紫光比威UF3500的防火墙性能下降比较显著，64字节包长的吞吐量下降为原来的1/3左右，延迟也有不同程度的增加。而对于其他大多数参测设备来讲，设置的1000条规则对防火墙性能几乎没有产生什么影响，所得结果与一条规则的大致一样。D-Link DFL-1500的所有结果与一条规则下的都相差不超过1％，是所有产品中1000条规则对其性能影响最小的一款。

    最大并发连接数

    最大并发连接数考察设备能够同时支持的并发用户数，如果用户需要通过防火墙对外提供Web服务，那么这项指标就十分重要。但是，用户在考虑该项指标时，应该从满足自身需求的角度出发，没有必要过分追求。

    从我们去年测试Web服务器的结果来分析，一台双路至强服务器的最大并发连接数在极限情况下不超过10000，即使某个用户同时拥有几台服务器对外提供Web服务，总的并发连接数不过几万，所以防火墙提供10万以上的并发连接能力就能够满足一般企业的要求，并发几十万的连接数应该足可以满足一个电信级的数据中心服务网络了。

    此次测试方正方通1000V-R与清华紫光比威UF3500的结果同为最高，即500000，其次为D-Link DFL-1500的400000，NetScreen-208为127937。

    防攻击能力

    对于防火墙来说，最能够体现其安全性和保护功能的便是它的防攻击能力。性能优良的防火墙设备能够阻拦外部的恶意攻击，同时还能够使内网正常地与外界通信，对外提供服务。因此，我们在测试防火墙防攻击能力时，主要考察设备在能够建立正常连接的情况下防攻击的能力。

    测试结果发现，所有设备在进行各种防攻击的同时都能够正常响应合法连接，而且成功率都在98％以上，说明这些防火墙在受到攻击时不是简单地进行“拒绝服务”。

    与此同时，某些设备对一定的攻击没有采取很好的防护措施，有很多攻击包穿透了防火墙。

    在我们测试的14种攻击项目中，NetScreen-208以及清华紫光比威UF3500的设备防攻击能力都不错，过滤了多数项目的所有攻击包，只有ARP Attack攻击时透过了一定数量的攻击包。D-Link DFL-1500设备也防住了多数类型的攻击，对于Jolt2和Teardrop两项攻击的防范能力不是很好，有一些攻击包穿透了防火墙。方正方通1000V-R虽然有不少攻击包穿透了防火墙，但是设备在侦测到大量攻击包时发出了报警，提示管理员采取措施。

    VPN性能

    IPSec VPN的性能测试是我们此次的重点之一，也是测试中的一个难点所在。测试IPSec VPN能够支持的最大隧道数时，每条隧道的建立都需要对参数逐一设定。这对有些宣称可支持上千或上万个隧道的产品，所作的工作极为烦琐。

    数据包经过VPN隧道进行传输需要经过加密、解密，对性能所造成的影响很显著。吞吐量比防火墙双向全通时下降许多，而且延迟与吞吐量压力下的延迟普遍增大。

    NetScreen-208在一条3DES+MD5 IPSec VPN隧道下的吞吐量性能最突出，各种包长均为最高。清华紫光比威UF3500在64字节时也不错，达到了线速的11.57％。

    D-Link DFL-1500在一条IPSec VPN隧道下的性能，多次测试的结果存在一定的差别。但是，D-link DFL-1500在延迟方面的表现是所有参测产品中最好的，几乎各项延迟都为最低。

    在测试一条IPSec VPN隧道性能时，吞吐量与包长的关系与双向全通时有一定的差别，1518字节的包长帧在经过加密与重新封装后会分成两个包发送，因此，性能可能会有所下降。

    同时，我们也可以看到，所有参测设备的最低结果也在双向4％以上，足以满足一般的企业对于IPSec VPN性能的需求。

    最大隧道容量测试时，我们使用TeraVPN，它依据RFC设计开发，被测设备能够与TeraVPN互通说明有一定的标准符合性。有些产品（方正方通1000V-R、清华紫光比威UF3500）在IPSec VPN隧道的实现上不支持Preshared Key方式，因而无法使用TeraVPN来测得它们所支持的最大IPSec VPN隧道数。

    Phase 1与Phase 2加密、认证算法组合均为DH-2/MD5/3DES，IKE协商采用Main方式（也称主要模式），IPsec协议和模式为ESP隧道模式，在每个隧道Phase 1与Phase 2的数量比为1:1。

    NetScreen-208、NetScreen-5200和D-link DFL-1500都顺利地实现了与TeraVPN的连通，最后结果NetScreen-208为1000，D-link DFL-1500为212。

    吞吐量与延迟测试结果（注：吞吐量结果数值越大性能越好；延迟结果数值越小性能越好。）

吞吐量下延迟与最大并发连接数

	帧长（字节）	D-Link DFL-1500	方正方通1000v-r	NetScreen-208	清华紫光比威UF3500
单规则双向全通（μs）	64	60.41(9%)	67.50(11%)	122.59(39%)	148.14（47%）
	128	63.88(17%)	77.06(18%)	109.43(67%)	173.62（81%）
	256	77.99(32%)	287.11(34%)	135.40(100%)	344.52(100%)
	512	105.46(61%)	135.58(63%)	172.17(100%)	359.39(100%)
	1518	15770.63(100%)	486.57(99%)	490.37(100%)	550.56(100%)
1000条规则（μs）	64	58.78(9%)	66.71(11%)	236.93(39%)	149.32(16%)
	128	63.91(17%)	73.99(18%)	307.41(67%)	236.28(31%)
	256	78.03(32%)	505.37(34%)	270.60(100%)	256.8(58%)
	512	106.01(61%)	157.44(64%)	238.41(100%)	2512.08(100%)
	1518	15922.13(100%)	404.3(99%)	461.97(100%)	603.19(100%)
1条VPN隧道（μs）	64	198.96(4%)	233.23(4%)	960.58(14%)	351.54(11%)
	128	201.41(6%)	270.95(7%)	917.8(23%)	441.43(16%)
	256	287.73(11%)	245.45(9%)	992.5(38%)	580.22(22%)
	512	444.72(18%)	343.58(17%)	1229.54(59%)	715.01(27%)
	1518	596.36(24%)	818.55(31%)	2782.55(54%)	1096.10(32%)
最大并发连接数		400000	500000	127937	500000

    千兆性能

    此次参测的千兆产品只有NetScreen-5200一款，它的性能表现十分稳定，在进行的三遍测试中结果几乎完全相同。

    NetScreen-5200在各方面的延迟都很小，其中，双向全通情况下，64、128、256字节帧的延迟仅为几祍，而最长的1518字节帧的延迟也只有25.34祍。1000条规则对NetScreen-5200几乎没有产生任何影响，除了256字节的吞吐量略有差别，其他所有结果都完全一样。为了考察NetScreen-5200在多流情况下的性能，我们测试了100条流的性能，结果与双向全通（两条流）的差别不大。NetScreen-5200配有8个千兆端口，我们测试了8个端口全部使用时的性能，在延迟方面的变化不大，而吞吐量则下降了大约一半，说明8个端口在全部工作时会造成对共享的系统资源的争夺。

    由于NetScreen没能够提供两台千兆设备，因此我们没有进行一条VPN隧道下的性能测试。

NetScreen-5200性能列表

	帧长（字节）	单规则双向全通	1000规则	100个流	8端口性能
吞吐量（％）	64	52.82	52.82	52.05	25.75
	128	65.2	65.2	64.42	31.9375
	256	79.89	78.34	80.66	38.8984375
	512	91.49	91.49	91.49	45.859375
	1518	98.45	98.45	99.23	49.7265625
延迟（μs）	64	4.78	4.77	5.77	4.16
	128	5.6	5.6	6.48	5.75
	256	8.08	8.08	8.99	8.35
	512	11.86	11.85	12.81	12.52
	1518	25.34	25.34	26.37	27.41

    几点参考

    通过此次性能测试，我们认为有如下几点供读者参考。

    首先，防火墙应该只做自己分内的事情，入侵检测、防病毒以及其他过多功能的引入势必对性能造成影响，尤其是千兆设备，更应该为高性能提供更多保障。比如，在测试双向全通性能时，有些产品在打开防攻击、IDS功能后性能下降就很明显。

    其次，此次测试发现，有些设备配置1000条规则产生的影响较小，而有的却很明显。防火墙在收到数据包时首先要与其配置的规则相比对，并且根据规则转发或抛弃数据包。在规则繁多的情况下，采用设计科学的算法可以节约许多规则比对时间。事实上，在测试中我们也发现，有些设备在某些包长配置了1000条规则的性能还比一条规则的略有提高，说明该设备更能够充分、合理地利用资源。

    最后，VPN在为传送数据提供加密带来更高安全性，是以牺牲一部分性能为代价的。采用VPN传送数据，首先要在VPN网关与网关之间或客户端与网关之间建立起VPN隧道，在传送数据时要对每个IP包进行加密、重新封装，因此是一个较为复杂的过程。多数设备在采用IPSec VPN传送数据时的性能都不及防火墙双向全通时一半，甚至有的仅为三分之一或四分之一；而延迟方面，各产品则同时增加了许多。

    功能综述

    虽然很多人认为防火墙技术已经很成熟了，采用状态检测、包过滤、应用代理三种技术的组合均是大家共同采用的核心技术，但由于采用的软、硬件平台的差异，以及开发能力和开发思路的不同而使得此次比较测试所征集到的5款产品不仅在性能上差异很大，在功能上也可以说是各有千秋。

    从单一的防火墙到能干的多面手

    去年我们举行防火墙比较测试时就已经感受到多端口的趋势，此次三个端口的产品只有一款更是向我们展示了这一不可阻挡的防火墙多端口革命。NetScreen-208是一款8个10/100M端口的产品，这8个端口非常灵活，每个端口都可以被定义为内、外网口或DMZ。而清华紫光比威UF3500拥有的是最传统的设计，提供了DMZ、外网口和内网口。D-Link DFL-1500则是提供了5个端口，方正方通1000V-R提供了4个端口，一个端口用来与IDS互动。NetScreen-5200这个大家伙更以8个1000Base-SX的模块化端口让人有感受到多端口的趋势。

    当防火墙最初出现之时，地位仅是网关处的一道门。而如今，既有路由器与防火墙、VPN的结合，更有交换机中插入安全模块的例证，也有NetScreen这种典型的防火墙产品中加入路由、VLAN等网络特性，安全产品与网络融合的特性正在彰显。比如企业针对不同部门设置不同的策略，也许不需要多台防火墙，只需要一台多端口防火墙就能搞定，或者仅需要交换机上的防火墙模块就可以实现。

    静态路由是送测5款产品都支持的网络特性，但动态路由协议并不是每家具有的，ASIC防火墙的代表者NetScreen-208和NetScreen-5200在这个方面就走的比较快，不仅支持RIP，还支持OSPF和BGP路由协议，同时又对VLAN提供了良好的支持，简直是一个路由、交换、防火墙、VPN的全能手。

    不仅仅NetScreen防火墙是多面手，这种特性在其他产品也得到体现。虽然我们此次征集的是集成VPN模块的防火墙产品，但实际上每台被测设备除了这两项主要功能之外，纷纷都在内容过滤、邮件过滤等方面有所建树。

    还有一点需要提及的是，此次送测的产品支持PPPoE的也不在少数，这将会能够更好满足一些采用宽带上网用户的需求，清华紫光比威UF3500、NetScreen-208、NetScreen-5200以及D-Link DFL-1500均对其有良好的支持。

    访问控制和安全特性

    对于防火墙来说，根据安全策略对进出网络来进行访问控制的能力是它的最基本功能，但能依据哪些条件可以更细致地对进出企业网络的数据进行控制在各参测产品中还是有差异的。像方正方通1000V-R和清华紫光比威UF 3500在设定策略时除了可以设源、目的IP地址、服务类型以外，还有一个参数就是时间段的条件，用户可以根据需要设定不同时间段采用不同策略。NetScreen-208、NetScreen-5200也支持在策略的高级选项可以选定时间段、设定是否需要添加日志、计数、设定警告界限等，使用户可以灵活添加安全策略。

    虽然我们看到了防火墙与VPN等其他功能集成的一个趋势，但并非所有安全功能都适合集成到一起，比如病毒扫描和IDS功能，这几款被测产品都采取了与合作伙伴合作的方式。但内容过滤以及部分防攻击功能则集成到被测产品之中，所有被测产品都支持URL过滤，可根据URL中的内容进行自定义过滤，比如Cookies、Java Applet、Java Script以及ActiveX等对象。D-Link DFL-1500和方正方通1000V-R还支持FTP和SMTP内容过滤，方正方通 1000V-R甚至可以起到部分垃圾邮件过滤的功能，支持根据邮件主题、附件类型、邮件大小等特征过滤邮件。

    我们所进行的DoS防攻击能力测试已经反应了这些产品本身所具有的防御能力，D-Link DFL-1500、方正方通 1000V-R、NetScreen-208、NetScreen-5200都能由管理员配置相应的选项或门限值灵活确定攻击类型，比如NetScreen两款产品使管理员可以针对不同的区域个性化设定防御选项，配置界面上提供的选项有几十种之多。

    应用代理技术被用于防火墙之中可以从应用层分析客户端发出的请求，可以更准确地控制数据包。但不同的应用层协议往往需要单独的应用代理，同时由于启用应用代理会降低防火墙的效率，所以这些代理往往都是可选项目。HTTP、FTP、SMTP代理往往被用来实现内容过滤功能，方正方通1000V-R、NetScreen-208、NetScreen-5200、清华紫光比威UF3500均对其有很好的支持，NetScreen产品还支持DNS、H.323等代理。

    NAT是防火墙产品最重要的任务之一，被测产品均提供了良好的支持。清华紫光比威UF3500、D-Link DFL-1500、NetScreen产品不仅支持一对一、多对一、多对多NAT，还支持PAT(端口地址转换)，也就是实现内外网之间的端口映射。

    高可用性在被测产品中也体现得淋漓尽致，除了D-Link DFL-1500之外，被测产品均支持双机热备方式，NetScreen-208和NetScreen-5200还支持Active-Active 的负载均衡方式，同时还支持端口冗余。

    管理有道

    对防火墙管理者来说，好用与否往往取决于防火墙提供的配置界面以及命令行使用的难易程度。命令行界面和Web界面是NetScreen-208、NetScreen-5200、D-Link DFL-1500、清华紫光比威UF3500所支持的主要配置方式，大家均支持HTTPS方式以保证管理员身份的安全性，但从配置感受上彼此之间并不相同。NetScreen的命令行和Web界面简洁易用，功能丰富，受到我们评测工程师的一致称赞。而D-Link DFL-1500和清华紫光比威UF3500的配置则以Web方式为主，命令行仅支持进行一些简单配置。比较别致的方正方通1000V-R采用的是GUI软件配置方式，客户端需要安装Securway Admin软件连接到防火墙进行配置管理，它的设计思路也比较独特，用户配置防火墙需要从对象、安全策略、门几个部分入手。

    一个大的企业往往会选用多台安全产品，这种用户就需要厂商能够提供集中管理多台防火墙的能力，NetScreen Global Pro以及方正方通 Securway Center 2000是代表性的集中管理软件。

    带宽管理

    提供一定的带宽管理功能将会有助于整个网络能够针对不同的应用和用户提供个性化QoS。方正方通1000V-R通过添加TC(流量控制)策略来实现对带宽流量的控制，通过配置界面设定好加重值和最小速率，按照源、目的IP地址以及服务类型、应用时间来满足个性化带宽分配需求，非常值得提出的是它还支持WFQ和RR两种队列方式。

    清华紫光比威UF 3500支持通过设置优先级来实现流量控制，其QoS级别分为8个等级，通过设置级别和速率定义服务质量，然后应用到安全策略之中，从而使管理员可以方便地对IP或用户实现带宽保证或带宽限制等。

    NetScreen-208和NetScreen-5200则支持配置在每个端口的速率来限制带宽，同时还支持在策略中按照8个优先级队列设置不同服务水平。D-Link DFL-1500有专门的菜单项就是带宽管理，支持根据带宽比率设定级别以及子级别，将其应用于规则中起到带宽控制的作用。

虽然实现方式不尽相同，但可以非常明显地感觉到这些产品都希望通过带宽管理在网关处就能进行服务质量的控制。

    日志审计能力

    日志审计的细致程度对管理员判断攻击事件、系统漏洞以及负载状况起到相当重要的作用，同时日志报表的生成以及相应的查询分析能力也是防火墙所必备的。清华紫光比威UF3500由于本身带有20G硬盘，所以有足够的空间可以将日志存储在本地，但它同时也提供了LogIt日志管理工具供用户安装在日志服务器上，用来进行日志查询和分析。NetScreen-208、NetScreen-5200支持多种日志服务器的存储方式，包括Internal、Syslog、WebTrends、Flash卡等。

    被测产品采用多种方式向管理员发出警告，UF3500、NetScreen-208、NetScreen-5200、方正方通1000V-R这些参测产品都支持E-mail的警告方式，像NetScreen产品还提供了SNMP Trap、Syslog等报警方式，同时还在面板上提供了警告灯以警告管理员受到攻击。方正方通1000V-R 在遇到攻击时还会发出警告声来通知管理员。

    日志的分级和分类可以让管理员更清楚地分析问题所在，被测产品都以不同的类型或级别支持这一功能，比如方正方通的日志分为调试、信息、正常、严重、危险几种级别，而D-Link DFL 1500则以系统、防火墙、过滤、IDS、VPN这些类别清晰对日志进行分别看待。

    支持和帮助能力

    方正方通1000V-R以及紫光比威UF3500都随机附带了内容详尽、印刷精美的中文印刷文档，而且配置界面均为中文，有利于用户使用和理解。D-Link DFL-1500、 NetScreen-208、NetScreen-5200的电子文档是英文的，NetScreen配套的文档中有很多实用的例子，有利于用户更好地理解该产品的实际配置以及相关概念。非常值得一提的是，D-Link DFL-1500的配置界面上还同时提供了比较详细的文档供管理员参考。

    当我们的评测工程师访问各参测厂商的网站时，发现大家在网站支持方面还有待改进，方正科技、清华紫光比威、D-Link网站上只提供了产品简单介绍的资料，而NetScreen网站上提供的文档主要为英文，中文文档也提供了一部分，但还是不太全面。测试方法

    我们使用的测试仪器是思博伦通信公司（Spirent Communication）的SmartBits 6000B。控制台使用一台配置为PIII 1GHz/128M内存/20G硬盘的惠普台式机，操作系统为Windows 2000（SP3）。

    在测试百兆防火墙性能时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口，将其分别与防火墙的内外网口直连，如图1所示。测试千兆设备性能（吞吐量、延迟、VPN最大隧道容量）时，使用1000Base-X TeraMetrics模块的两个1000Base-SX GBIC，通过光纤将其分别与千兆设备的内外网口直连。测试千兆被测设备的全端口性能时，使用四对1000Base-X TeraMetrics卡，八个千兆端口分别与被测设备的八个端口直接连接。

    测试防火墙防攻击能力时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的4个10/100Base-TX端口（使用其中一对端口建立正常的HTTP连接，另一对端口建立攻击流），测试仪器模拟的两个内网口与被测设备的内网口连接到一台交换机上（该交换机经过我们测试达到线速），两个外网口与被测设备的外网口连接到另外一台交换机上。千兆被测设备将内、外网口通过光纤分别连接到交换机上。如图2所示。

    测试设备在一条IPSec VPN隧道下的性能时，将两台设备之间配通一条IPSec VPN隧道，将10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口，将其分别与两台设备VPN设置的内网口直连。如图3所示。

    测试IPSec VPN隧道的最大容量时，使用一对10/100/1000Mbps TeraMetrics卡，分别与被测设备设置的内外网口直连。

    测试软件为SmartFlow 2.20、WebSuite Firewall 2.50、TeraVPN3.0。

    防火墙性能测试

    我们的性能测试主要依照RFC2544、RFC2647、RFC3511以及中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》。

    测试吞吐量、延迟使用的是SmartFlow 2.20，测试双向性能时，每一个方向设置一个流（flow），测试使用的是UDP包。测试百兆设备与千兆设备的测试方法相同。测试防火墙双向性能与最大并发连接数时，我们要求防火墙配置为内外网全通。测试双向性能时，我们选用了64字节、128字节、256字节、512字节、1518字节5种长度的帧。吞吐量的测试时间为60s，允许的帧丢失率（Acceptable loss）设置为0，测试延迟的时间为120s，测试延迟的压力为10%和该种帧长的吞吐量。

    测试防火墙的最大并发连接数时，我们使用的是WebSuite Firewall 2.50，通过防火墙建立带HTTP请求的TCP连接（TCP/HTTP连接），速率为1000个请求/秒。

    在测试防火墙防攻击能力时，我们要求防火墙允许内外网相互访问，允许ping。每种攻击设置5个session，在100%压力下发攻击包，同时测试防火墙能否建立50000个TCP/HTTP连接（称之为背景流），连接速率也为1000请求/秒。攻击由外网向内网发起，背景流为外网向内网建立HTTP请求。

    与去年的测试相比，新版本测试工具（WebSuite Firewall 2.50）模拟的攻击方式增加了许多（由7种增加到14种）。原来7种攻击的简介请读者参阅我们去年防火墙的测试报告（http://www.cnw.com.cn/issues/article.asp?filename=n24028a.txt），新增的几种攻击方式详见网站（test.cnw.com.cn）。

    测试Syn Flood、Smurf、Land-based、Ping Sweep、Ping Flood、UDP Flood、ARP Attack、UDP Scan、Xmas Tree Scan、TCP RESET Scan、TCP SYN Scan攻击时，共发送1000个攻击包；在测试 Ping of Death攻击时5个session发送5个超长包，每个超长包分成45个攻击包，共225个攻击包；测试TearDrop攻击时5个session共发送5个攻击包，每个攻击包由3段组成，一共发送15个攻击包；测试Jolt2攻击时，每个攻击包分为两段，共发送2000个包。

    VPN性能测试

    测试一条IPSec VPN隧道下性能的方法与防火墙双向性能相同。

    测试IPSec VPN最大隧道容量时，SmartBits模拟多个VPN网关与被测设备建立IPSec VPN隧道。Phase 1与Phase 2加密、认证算法组合均为DH-2/MD5/3DES，IKE协商采用Main模式（也称主要模式），IPSec协议和模式为ESP隧道模式，在每个隧道Phase 1与Phase 2的数量比为1:1。

    我们每种测试都进行三遍，取三次的平均值作为最后的结果。

    功能考察

    在防火墙的功能考察测试中，我们的测试工程师详细地阅读了送测防火墙随机说明文档，实际地对每款防火墙进行了安装和配置。对于功能列表中的每个项目，我们的测试工程师都进行了实际的考察。我们通过Console口、Web方式以及某些防火墙特定的管理软件对防火墙进行了配置和尝试。我们通过测试过程中实际的管理操作，考察了每款设备管理界面的友好程度、易管理、易使用程度。

    产品点评

    D-Link DFL-1500

    D-Link DFL-1500在硬件设计上十分简洁，其风格与D-Link公司的交换机产品相似，体现了D-Link公司在硬件生产、设计方面的深厚实力与丰富的经验。

    DFL-1500拥有5个10M/100M端口，固定配置其中两个为内网口、一个为DMZ、两个为外网口（在下一个版本会分别配置每个网口为内网口、DMZ或者外网口）。内、外网口的冗余设计可以为关键业务或服务提供更高可靠性。

    DFL-1500的性能表现不错，尤其是它在延迟方面的优异表现给我们的测试工程师留下了深刻的印象，在绝大多数情况下延迟都为此次参测产品中最低的。

    DFL-1500的功能都很丰富，我们可以轻松地对其进行管理配置。Web管理界面采用了三级菜单的形式，使用起来十分方便。在Web界面中有详细的英文帮助信息，给初次使用该产品的用户带来便利，防火墙的基本设置向导能够指导用户方便快捷地进行初始化设置。防火墙能够建立IPSec、PPTP和L2TP的VPN隧道，同时还可以工作在Pass Through模式。在IPSec VPN中可以实现多种加密与认证算法的组合，以满足不同用户的使用要求。DFL-1500内部嵌入了入侵检测（IDS）功能，能够自动检测针对受保护的内网、DMZ或者其中的各类服务器及主机的攻击，并且提供相应的保护措施，同时可以从网上下载最新的入侵检测特征库。

    在防火墙设备中有详尽的帮助文件，随机电子文档内容十分丰富，详细说明了防火墙及VPN的基础知识以及如何安装、配置、使用该产品，给设备的初用者提供了很好的入门指导。

    方正方通1000V-R

    方正科技此次送测的方通1000V-R是一款性能稳定、功能实用的产品。1000V-R的外观小巧精致，带有4个10/100 Base-T的端口，其中三个可用于自行设定为内、外、网口，第四个端口（Black Zone）用于与IDS互动。非常有趣的是，它的四个端口旁边还提供了按钮来识别线序。

    性能上方正方通1000V-R表现比较稳定，每项性能我们进行的三次测试结果之间差异很小，1条规则双向全通状态下的性能与加1000条规则后的吞吐量和延迟均相差无几。建立1条IPSec VPN隧道下的结果与不加VPN相比，结果相差较大，以64字节帧长为例，从线速的11.83%下降到了4.87%。

    与其他被测产品不同，方通1000V-R不支持Web界面进行管理，而是有一套用Java编写的管理软件SecurewayAdmin用来对设备进行配置和管理。对象以及门的概念也是方通所特有的，创建对象、创建安全规则、注册门、传送配置信息是配置防火墙的一般步骤，网络对象、时间对象和服务对象以组件的形式可以提供给安全策略。

    防攻击测试中，在不影响正常连接建立的过程中，Smurf、Ping of Death、TCP Reset Scan、XmasTree Scan这几种攻击全部被防火墙阻挡在外，其他攻击测试时，方正方通1000V-R也会发出报警声通知管理员受到了攻击。方正方通1000V-R还可针对SMTP协议过滤邮件，包括针对附件、MIME类型以及邮件大小以及邮件列表等设定要过滤的邮件，可以起到部分过滤垃圾邮件的功能。

    该产品支持IPSec和L2TP协议建立隧道，在建立IPSec VPN隧道时，可选加密算法种类很多，还支持这些算法与MD5、SHA-1认证算法的任意组合。作为L2TP VPN网关，方正方通1000V-R可以作为DHCP服务器给其他Secuway 1000V-R分配IP地址构建VPN。

    这款产品配套的中文说明书内容比较详尽，还涵盖了很多配置安全策略的例子，有利于用户的阅读与理解。不足之处在于网站上关于1000V-R的信息只有比较简单的介绍，没有提供软件或说明书下载等内容。

    NetScreen-208

    NetScreen-208凭借其简单易用的配置界面以及全面的功能、强大的性能再度获得我们《网络世界》评测实验室“编辑选择奖”。

    今年我们对NetScreen-208的“折磨”远远多于去年，在添加1000条规则以及3DES+MD5的IPSec VPN后NetScreen-208依然傲视群雄，1000条规则对NetScreen-208性能影响甚微，尤其是吞吐量和10%线速下延迟相差无几。加一条VPN隧道的性能明显低于不加VPN的性能，但NetScreen-208依然在吞吐量方面位居榜首。127937的并发连接数与其宣称的128000非常相近。我们通过TeraVPN测试出NetScreen-208支持的VPN隧道数为1000个。

    由于此次送测的NetScreen-208采用的是新版本的Screen OS，所以其功能与去年相比又有了明显的增强。通过对NetScreen-208的实际配置，我们的评测工程师对其命令行和Web管理界面的简便易用均有深深感受，尤其是其Web界面上所提供的“向导”功能支持用户轻松快捷地创建VPN隧道和添加策略，在Web界面首页能够实时图形化显示CPU、内存占用率、会话以及策略。

    NetScreen-208除了支持32个VLAN之外，还在路由方面有了明显的增强，不只支持256条静态路由，对动态路由协议如支持RIP、OSPF和BGP等都有了更强的支持力度，这与其他产品相比也是它的出色之处。

    在防攻击方面，NetScreen-208比去年更胜一筹，比如在DoS防攻击方面，提供了更多的选项，还提供了更细粒度的阻止HTTP内容功能。我们对14种攻击的测试结果也反应了NetScreen-208在建立正常TCP/HTTP连接的同时，依然能够拥有强大的防攻击能力。

    NetScreen-208不仅对IPSec VPN有良好的支持，支持手工密钥、IKE等密钥交换方式，还支持L2TP以及L2TP within IPSec。可以单独设置VPN隧道监控，以获得有关VPN的运行信息。

    详细内容以及清晰的图示例证是NetScreen文档带给我们的第一感受，用户可以从NetScreen网站上获得众多关于NetScreen-208的产品特性、用户手册等文档资料，但缺憾就在于NetScreen的软件以及配套文档还是以英文为主，本地化工作还需要进一步加强。

    清华紫光比威UF3500

    UF3500是清华紫光比威自主研发的集成VPN模块的百兆防火墙，它出色的性能以及易用的配置体现了国产安全产品不断增强的实力。

    从性能来说，UF3500在双向全通的条件下所表现的优异成绩让我们对国产防火墙刮目相看，在64、128字节帧长下能够达到47.41%、81.44%线速，其他三种帧长下全部达到线速，这在几款参测产品中是最为优异的。但1000条规则以及加上VPN隧道后的残酷考验使UF3500的吞吐量性能下降比较明显。

    UF3500的CLI命令行配置界面仅能起到简单的作用，比如重新启动防火墙、显示防火墙IP等。Web配置界面比较易用，支持通过HTTPS进行管理，可以根据不同权限实现多级管理制度。无需设定普通模式（路由模式和NAT模式）或桥模式，UF3500自动适应不同网络环境，自动完成不同模式之间的的切换。

    防攻击测试中，UF3500也表现的相当不错，对于我们测试的14 种攻击方式中，有12种获得了任何一个攻击包都无法穿越防火墙的结果。

    UF3500非常有特色的一个地方是有专门选项供用户选择ADSL接入方式，ARP代理也是它的一个特点所在。在创建安全策略方面，支持创建IP转发策略、用户转发策略和地址转换策略。以比较细的粒度管理带宽也是UF3500的一个特点，通过设置优先级（支持8个）和速率来定义服务质量，从而保证或限制不同策略中的带宽。

    在VPN支持方面，UF3500能够支持IPSec、IPIP、GRE隧道以及PPTP协议，在建立IPSec隧道时主要支持手工密钥方式交换密钥。

    安全日志、事件日志和传输日志是UF3500支持的日志种类，管理员可以将日志保存到防火墙硬盘中，也可以发送到远程日志服务器保存下来，作进一步详细分析。UF3500本身所带的日志分析器LogIt可供日志管理员分析产品工作过程中产生的日志。

    完善的用户手册是清华紫光比威UF3500随机携带的，内容比较详尽。网站内容还有待改善，只支持对产品简单介绍的文档下载。

    NetScreen-5200

    NetScreen-5200采用2U高度设计，拥有8个端口（mini GBIC SX），每个端口都可以独立设置为内、外网口或DMZ。

    NetScreen-5200在高可靠性方面进行了充分的考虑，提供冗余电源及风扇，同时两台设备之间可以通过高可用（HA）端口实现双机热备以及负载均衡。

    NetScreen-5200在性能方面的不凡表现是它留给我们最深刻的印象，尤其是各种延迟方面，结果都在数微秒与数十微秒之间，与百兆设备比较起来小了很多。它支持的最大并发连接数达到100万，可完全胜任大型企业的需求，1000条规则对它的性能表现几乎没有产生任何影响。

    在高性能工作的同时，NetScreen-5200还提供了丰富的功能。NetScreen-5200对VPN的支持非常出色，多种加密算法和认证算法的组合可以实现更为灵活的VPN通信，VPN中冗余网关以及隧道镜像的支持，可以保证VPN通信的高可用性。

    从管理方式来说，其CLI命令不仅使用起来十分方便，更可以提供对设备全方位的管理与配置。Web管理界面设计清晰明了，首页实时显示系统资源使用情况以及简单的日志信息。

    NetScreen-5200以其优异的性能表现和强大的功能、简便的管理能够满足大型用户在构建安全网络时的较高要求。