亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近年來，用戶對(duì)網(wǎng)絡(luò)業(yè)務(wù)的可視性、可管理性要求越來越高，要求能從業(yè)務(wù)視角理解網(wǎng)絡(luò)流量，并針對(duì)應(yīng)用制定管理策略；隨之而來的，是以下一代防火墻（NGFW）為代表的應(yīng)用層網(wǎng)絡(luò)安全產(chǎn)品如雨后春筍般涌現(xiàn)出來；傳統(tǒng)的網(wǎng)絡(luò)層安全產(chǎn)品，如傳統(tǒng)防火墻、IPS等，由于缺乏應(yīng)用識(shí)別與控制能力，正在被面向應(yīng)用層的NGFW、下一代IPS等產(chǎn)品取代。以NGFW為例，根據(jù)Gartner的調(diào)研，在2011年時(shí)僅有不到1%的互聯(lián)網(wǎng)連接采用NGFW來保護(hù)，而到2014年底，這個(gè)數(shù)字飆升到35%。

什么樣的防火墻能稱之為下一代防火墻？

“下一代防火墻”首次提出于2009年。Gartner在題為《Defining the Next-Generation Firewall》的報(bào)告中指出：“不斷變化的業(yè)務(wù)流程、IT技術(shù)和網(wǎng)絡(luò)威脅，正推動(dòng)網(wǎng)絡(luò)安全的新需求。協(xié)議的使用方式和數(shù)據(jù)的傳輸方式已發(fā)生變化，網(wǎng)絡(luò)攻擊的目標(biāo)由單純的破壞演變?yōu)閻阂廛浖踩搿Ｔ谶@種環(huán)境中，試圖要求在標(biāo)準(zhǔn)端口上使用合適協(xié)議的控制方法已不再具備足夠的有效性，傳統(tǒng)防火墻必須演進(jìn)為下一代防火墻。”

由此可以總結(jié)得出，NGFW應(yīng)具備應(yīng)用識(shí)別和感知能力，同時(shí)應(yīng)融合IPS系統(tǒng)以應(yīng)對(duì)網(wǎng)絡(luò)威脅；下一代防火墻的核心安全能力，是能夠執(zhí)行不依賴于IP、端口的應(yīng)用、用戶和內(nèi)容控制策略，并能夠?qū)崟r(shí)檢測(cè)網(wǎng)絡(luò)流量中的惡意網(wǎng)址、病毒、漏洞利用、間諜軟件等行為。這一切的基礎(chǔ)，是對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包執(zhí)行深度檢測(cè)，也就是將數(shù)據(jù)包解封到應(yīng)用層。數(shù)據(jù)包封裝和解封層次越多，CPU的計(jì)算負(fù)載就會(huì)越高，具體表現(xiàn)為設(shè)備性能衰減，這是“魚與熊掌不能兼得”的簡(jiǎn)單邏輯，也是為了應(yīng)用級(jí)防護(hù)所必須付出的成本。

NSS Labs是如何評(píng)估NGFW性能的

評(píng)估防火墻設(shè)備（包括傳統(tǒng)防火墻和NGFW）的主要指標(biāo)，是設(shè)備的吞吐量，其他指標(biāo)還包括丟包率、延時(shí)等。吞吐量指的是被測(cè)設(shè)備在不丟包的情況下，所能轉(zhuǎn)發(fā)的最大數(shù)據(jù)流量。吞吐量有很多種，如大包、小包、UDP包、HTTP包等吞吐量；同一臺(tái)設(shè)備，在處理不同報(bào)文時(shí)，會(huì)表現(xiàn)出迥然不同的吞吐量。為了總體評(píng)估NGFW的性能，全球知名的獨(dú)立測(cè)評(píng)機(jī)構(gòu)NSS Labs提出了具體的評(píng)估指標(biāo)與測(cè)試方法：

1.UDP裸包處理性能（Raw Packet Processing Performance (UDP Traffic)）

2.延遲（Latency）

3.最大性能（Maximum Capacity）

4.無延時(shí)情況下的HTTP性能（HTTP Capacity With No Transaction Delays）

5.應(yīng)用平均響應(yīng)時(shí)間（Application Average Response Time: HTTP）

6.有延時(shí)情況下的HTTP性能（HTTP Capacity With Transaction Delays）

7.“逼近真實(shí)”的通訊（“Real-World” Traffic）

可見大部分測(cè)試指標(biāo)是跟吞吐量相關(guān)的，包括一些傳統(tǒng)的網(wǎng)絡(luò)層性能指標(biāo)，如UDP裸包處理能力，這是為了衡量設(shè)備對(duì)數(shù)據(jù)報(bào)文的基本轉(zhuǎn)發(fā)能力。如果某些具有攻擊特征的數(shù)據(jù)包嚴(yán)重影響了整機(jī)的處理能力，應(yīng)用層的性能也將受到顯著影響，應(yīng)用層處理引擎能力再?gòu)?qiáng)也無法發(fā)揮作用。但NSS Labs更側(cè)重于考核設(shè)備在進(jìn)行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能，也就是俗稱的應(yīng)用層吞吐量，如HTTP性能、應(yīng)用平均響應(yīng)時(shí)間等。因此NSS Labs大量引入這些指標(biāo)，用以衡量被測(cè)設(shè)備的應(yīng)用引擎的性能，再結(jié)合參考網(wǎng)絡(luò)層性能指標(biāo)，才能全面評(píng)估NGFW在真實(shí)業(yè)務(wù)環(huán)境中的實(shí)際表現(xiàn)。

NGFW不同于數(shù)通設(shè)備，網(wǎng)絡(luò)層吞吐量只是其中一個(gè)基礎(chǔ)功能，真正考驗(yàn)其在“逼近真實(shí)”網(wǎng)絡(luò)環(huán)境中性能表現(xiàn)的核心指標(biāo)是在進(jìn)行應(yīng)用層處理情況下的轉(zhuǎn)發(fā)性能。盡管不是所有廠商都能在商務(wù)層面上認(rèn)同NSS Labs的認(rèn)證，但NSS Labs測(cè)試NGFW性能的技術(shù)路線，受到了國(guó)內(nèi)外防火墻廠商的廣泛認(rèn)同。例如，下一代防火墻廠商的鼻祖Palo Alto，在其NGFW產(chǎn)品數(shù)據(jù)表中已經(jīng)不再提及使用網(wǎng)絡(luò)層方法測(cè)試得出的防火墻吞吐量，而是標(biāo)注啟用了應(yīng)用識(shí)別功能后的吞吐量。

使用UDP大包測(cè)出的指標(biāo)比較好看，然并卵

NSS Labs的測(cè)試方法中確實(shí)引入了UDP裸包處理性能這個(gè)指標(biāo)，但這個(gè)指標(biāo)只是為了用快速轉(zhuǎn)發(fā)包的有效性來驗(yàn)證設(shè)備是否具有高級(jí)別的網(wǎng)絡(luò)性能和低延遲，也就是設(shè)備在理想條件下所能達(dá)到的最佳性能。在具體的UDP裸包測(cè)試方法上，NSS Labs采用了從64字節(jié)到1514字節(jié)不同長(zhǎng)度UDP包進(jìn)行綜合測(cè)試的方法：

對(duì)網(wǎng)絡(luò)通訊原理有一定了解的用戶都知道，每個(gè)以太網(wǎng)幀都有最小64字節(jié)最大1518字節(jié)的大小限制，超出了這個(gè)范圍的幀都會(huì)被認(rèn)定為錯(cuò)誤的數(shù)據(jù)幀，一般的轉(zhuǎn)發(fā)設(shè)備都會(huì)將其丟棄。吞吐量的計(jì)量單位是報(bào)文數(shù)/秒（pps）或字節(jié)數(shù)/秒（bps），在同樣的條件下，使用的包長(zhǎng)越長(zhǎng)，測(cè)試得出的吞吐量越大，使用達(dá)到極限長(zhǎng)度1518字節(jié)的UDP包測(cè)出的吞吐量一定是最大的。這好比是安檢儀上的傳送帶，在傳送速度不變的前提下，傳送帶上放置的包越多，單位時(shí)間內(nèi)完成的安檢量越大。大包吞吐量只能體現(xiàn)出防火墻在理想狀態(tài)下所表現(xiàn)出的極限性能，在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中是不太可能出現(xiàn)這種理想狀態(tài)的。正因?yàn)榇耍琋SS Labs采用了不同長(zhǎng)度UDP包綜合測(cè)試的方法，盡可能的模擬出“逼近真實(shí)”的網(wǎng)絡(luò)環(huán)境。

使用UDP 1518包來衡量網(wǎng)絡(luò)層吞吐量尚有局限性，如果將其簡(jiǎn)單的套用到聚焦于應(yīng)用層功能的NGFW上，就更無法完整的評(píng)估設(shè)備的性能，甚至是片面的。事實(shí)上，測(cè)試儀表打出的UDP包是最簡(jiǎn)單的、對(duì)NGFW引擎的運(yùn)算資源消耗最小、甚至可以忽略不計(jì)的一種包。用這種包來測(cè)試，測(cè)不出NGFW在真實(shí)業(yè)務(wù)場(chǎng)景中表現(xiàn)出來的實(shí)際性能。有些防火墻廠商為了體現(xiàn)產(chǎn)品性能強(qiáng)，讓用戶覺得產(chǎn)品更具競(jìng)爭(zhēng)力，使用UDP 1518包的吞吐量來標(biāo)稱NGFW的吞吐量，這是一種偷換概念的做法，不但不能給用戶選型帶來任何幫助，反而會(huì)誤導(dǎo)用戶。