近年來，用戶對網(wǎng)絡(luò)業(yè)務(wù)的可視性、可管理性要求越來越高，要求能從業(yè)務(wù)視角理解網(wǎng)絡(luò)流量，并針對應(yīng)用制定管理策略；隨之而來的，是以下一代防火墻（NGFW）為代表的應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品如雨后春筍般涌現(xiàn)出來；傳統(tǒng)的網(wǎng)絡(luò)層安全產(chǎn)品，如傳統(tǒng)防火墻、IPS等，由于缺乏應(yīng)用識別與控制能力，正在被面向應(yīng)用層的NGFW、下一代IPS等產(chǎn)品取代。以NGFW為例，根據(jù)Gartner的調(diào)研，在2011年時僅有不到1%的互聯(lián)網(wǎng)連接采用NGFW來保護，而到2014年底，這個數(shù)字飆升到35%。

什么樣的防火墻能稱之為下一代防火墻？

“下一代防火墻”首次提出于2009年。Gartner在題為《Defining the Next-Generation Firewall》的報告中指出：“不斷變化的業(yè)務(wù)流程、IT技術(shù)和網(wǎng)絡(luò)威脅，正推動網(wǎng)絡(luò)安全的新需求。協(xié)議的使用方式和數(shù)據(jù)的傳輸方式已發(fā)生變化，網(wǎng)絡(luò)攻擊的目標由單純的破壞演變?yōu)閻阂廛浖踩?。在這種環(huán)境中，試圖要求在標準端口上使用合適協(xié)議的控制方法已不再具備足夠的有效性，傳統(tǒng)防火墻必須演進為下一代防火墻。”

由此可以總結(jié)得出，NGFW應(yīng)具備應(yīng)用識別和感知能力，同時應(yīng)融合IPS系統(tǒng)以應(yīng)對網(wǎng)絡(luò)威脅；下一代防火墻的核心安全能力，是能夠執(zhí)行不依賴于IP、端口的應(yīng)用、用戶和內(nèi)容控制策略，并能夠?qū)崟r檢測網(wǎng)絡(luò)流量中的惡意網(wǎng)址、病毒、漏洞利用、間諜軟件等行為。這一切的基礎(chǔ)，是對網(wǎng)絡(luò)中的數(shù)據(jù)包執(zhí)行深度檢測，也就是將數(shù)據(jù)包解封到應(yīng)用層。數(shù)據(jù)包封裝和解封層次越多，CPU的計算負載就會越高，具體表現(xiàn)為設(shè)備性能衰減，這是“魚與熊掌不能兼得”的簡單邏輯，也是為了應(yīng)用級防護所必須付出的成本。

NSS Labs是如何評估NGFW性能的

評估防火墻設(shè)備（包括傳統(tǒng)防火墻和NGFW）的主要指標，是設(shè)備的吞吐量，其他指標還包括丟包率、延時等。吞吐量指的是被測設(shè)備在不丟包的情況下，所能轉(zhuǎn)發(fā)的最大數(shù)據(jù)流量。吞吐量有很多種，如大包、小包、UDP包、HTTP包等吞吐量；同一臺設(shè)備，在處理不同報文時，會表現(xiàn)出迥然不同的吞吐量。為了總體評估NGFW的性能，全球知名的獨立測評機構(gòu)NSS Labs提出了具體的評估指標與測試方法：

1.UDP裸包處理性能（Raw Packet Processing Performance (UDP Traffic)）

2.延遲（Latency）

3.最大性能（Maximum Capacity）

4.無延時情況下的HTTP性能（HTTP Capacity With No Transaction Delays）

5.應(yīng)用平均響應(yīng)時間（Application Average Response Time: HTTP）

6.有延時情況下的HTTP性能（HTTP Capacity With Transaction Delays）

7.“逼近真實”的通訊（“Real-World” Traffic）

可見大部分測試指標是跟吞吐量相關(guān)的，包括一些傳統(tǒng)的網(wǎng)絡(luò)層性能指標，如UDP裸包處理能力，這是為了衡量設(shè)備對數(shù)據(jù)報文的基本轉(zhuǎn)發(fā)能力。如果某些具有攻擊特征的數(shù)據(jù)包嚴重影響了整機的處理能力，應(yīng)用層的性能也將受到顯著影響，應(yīng)用層處理引擎能力再強也無法發(fā)揮作用。但NSS Labs更側(cè)重于考核設(shè)備在進行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能，也就是俗稱的應(yīng)用層吞吐量，如HTTP性能、應(yīng)用平均響應(yīng)時間等。因此NSS Labs大量引入這些指標，用以衡量被測設(shè)備的應(yīng)用引擎的性能，再結(jié)合參考網(wǎng)絡(luò)層性能指標，才能全面評估NGFW在真實業(yè)務(wù)環(huán)境中的實際表現(xiàn)。

NGFW不同于數(shù)通設(shè)備，網(wǎng)絡(luò)層吞吐量只是其中一個基礎(chǔ)功能，真正考驗其在“逼近真實”網(wǎng)絡(luò)環(huán)境中性能表現(xiàn)的核心指標是在進行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能。盡管不是所有廠商都能在商務(wù)層面上認同NSS Labs的認證，但NSS Labs測試NGFW性能的技術(shù)路線，受到了國內(nèi)外防火墻廠商的廣泛認同。例如，下一代防火墻廠商的鼻祖Palo Alto，在其NGFW產(chǎn)品數(shù)據(jù)表中已經(jīng)不再提及使用網(wǎng)絡(luò)層方法測試得出的防火墻吞吐量，而是標注啟用了應(yīng)用識別功能后的吞吐量。

　　使用UDP大包測出的指標比較好看，然并卵

NSS Labs的測試方法中確實引入了UDP裸包處理性能這個指標，但這個指標只是為了用快速轉(zhuǎn)發(fā)包的有效性來驗證設(shè)備是否具有高級別的網(wǎng)絡(luò)性能和低延遲，也就是設(shè)備在理想條件下所能達到的最佳性能。在具體的UDP裸包測試方法上，NSS Labs采用了從64字節(jié)到1514字節(jié)不同長度UDP包進行綜合測試的方法：

對網(wǎng)絡(luò)通訊原理有一定了解的用戶都知道，每個以太網(wǎng)幀都有最小64字節(jié)最大1518字節(jié)的大小限制，超出了這個范圍的幀都會被認定為錯誤的數(shù)據(jù)幀，一般的轉(zhuǎn)發(fā)設(shè)備都會將其丟棄。吞吐量的計量單位是報文數(shù)/秒（pps）或字節(jié)數(shù)/秒（bps），在同樣的條件下，使用的包長越長，測試得出的吞吐量越大，使用達到極限長度1518字節(jié)的UDP包測出的吞吐量一定是最大的。這好比是安檢儀上的傳送帶，在傳送速度不變的前提下，傳送帶上放置的包越多，單位時間內(nèi)完成的安檢量越大。大包吞吐量只能體現(xiàn)出防火墻在理想狀態(tài)下所表現(xiàn)出的極限性能，在現(xiàn)實網(wǎng)絡(luò)環(huán)境中是不太可能出現(xiàn)這種理想狀態(tài)的。正因為此，NSS Labs采用了不同長度UDP包綜合測試的方法，盡可能的模擬出“逼近真實”的網(wǎng)絡(luò)環(huán)境。

使用UDP 1518包來衡量網(wǎng)絡(luò)層吞吐量尚有局限性，如果將其簡單的套用到聚焦于應(yīng)用層功能的NGFW上，就更無法完整的評估設(shè)備的性能，甚至是片面的。事實上，測試儀表打出的UDP包是最簡單的、對NGFW引擎的運算資源消耗最小、甚至可以忽略不計的一種包。用這種包來測試，測不出NGFW在真實業(yè)務(wù)場景中表現(xiàn)出來的實際性能。有些防火墻廠商為了體現(xiàn)產(chǎn)品性能強，讓用戶覺得產(chǎn)品更具競爭力，使用UDP 1518包的吞吐量來標稱NGFW的吞吐量，這是一種偷換概念的做法，不但不能給用戶選型帶來任何幫助，反而會誤導(dǎo)用戶。