专业性不足,漏报率高
高性能、高可靠以及专业的功能是用户对安全最关键的技术要求,尤其是针对诸如IPS这种需要进行深度报文过滤的系统,其本身的技术实现方式并没有成型的技术标准,不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比,大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式,在专业性上存在不足。
众所周知,IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备,在层次化引擎处理方面,包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施,在有效保证检测准确率的同时,对处理器资源也有非常严重的消耗,导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性,出于对性能的考虑,无论是在威胁检测的方式或是有效的特征库数目方面,和专业的IPS设备相比差距很大。部分厂商在实现过程中,为了获得相对较高的吞吐性能,对于大部分的流量,只是采取简单的基于固定字符串的模式匹配,甚至只是开启少部分的攻击特征库,以便大流量快速的通过,由此可能产生威胁检测漏报。
综合性能不理想,实际部署不乐观
现阶段在防火墙中集成的IPS特性,由于本身的业务处理流程的差异,其防火墙和IPS等特性的性能之间相互存在很大的影响,导致设备的综合性能不理想。一般情况下,设备标称的往往是理想情况下单特性开启情况下的最佳性能,而在实际的部署环境中,当FW/IPS等功能全部开启后,因为处理流程的整合,其综合的性能指标会有明显的下降;尤其是对于IPS特性,其性能测试涉及到多个方面的因素影响,如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目,测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。
美国《网络世界》于2009年和2011年针对宣称支持NGFW的两个厂商的产品组织进行的两次测试显示:A厂商的防火墙集成IPS特性,在没有开启IPS特性时,其防火墙可以达到其宣称指标,但是在IPS特性后,即使按照该厂商的推荐开启和攻击流量相关的部分特征库,在没有发送任何攻击流量的情况下,设备的FW性能直线下降超过60%;发送超过10G以上的混杂攻击流量后,设备显示仅仅有不到1G的流量经过了IPS的检测处理并产生了一些攻击日志,其他的大部分流量直接被BYPASS,造成了测试攻击报文的漏报。对B厂商NGFW产品进行测试,将标称超过千兆IPS性能的产品部署在40M的实际Internet环境中,和另外一台同样环境下的独立IPS设备进行对比测试,结果显示该厂商的NGFW产品没有表现出可以匹敌专业IPS设备的攻击检测的适应性和准确率 【As with most IPS-in-a-firewall products, the product doesn't match the flexibility and power of dedicated IPS products】
基于上述的分析,在解决诸如IPS特性的性能和效率的矛盾等问题上,目前谈论的NGFW下一代防火墙仍然任重而道远。面对业务系统的安全防护需求,通过机架式防火墙辅助高端的IPS盒式产品,或者是模块化的FW和IPS的组合,在功能的专业性和性能的可扩展性上,相比较NGFW产品具备明显的优势,仍然会是高端用户首选方案。
