防护DDOS效果好的防火墙,急急急
发布网友
发布时间:2022-04-23 08:22
共2个回答
热心网友
时间:2022-06-18 07:44
12款防火墙比较评测报告
对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火墙来说是巨大的挑战。
在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大差异性,从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲,目前主要有三种,一种使用ASIC体系,一种采用网络处理器(NP),还有一种也是最常见的,采用普通计算机体系结构,各种体系结构对数据包的处理能力有着显著的差异。防火墙软件本身的运行效率也会对性能产生较大影响,目前防火墙软件平台有的是在开放式系统(如Linux,OpenBSD)上进行了优化,有的使用自己专用的操作系统,还有的根本就没有操作系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小,测试防火墙性能时将防火墙配置为最简单的方式:路由模式下内*全通。
我们此次测试过程中,针对百兆与千兆防火墙的性能测试项目相同,主要包括:双向性能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线速下的延迟、吞吐量下的延迟以及帧丢失率;单向性能测试项目包括吞吐量、10%线速下的延迟;起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。
一、百兆防火墙性能解析
作为用户选择和衡量防火墙性能最重要的指标之一,吞吐量的高低决定了防火墙在不丢帧的情况下转发数据包的最大速率。在双向吞吐量中,字节帧,安氏领信防火墙表现最为出众,达到了51.96%的线速,NetsScreen-208也能够达到44.15%,
在单向吞吐量测试中,字节帧长NetScreen-208防火墙成绩已经达到83.60%,位居第一,其次是方正方御防火墙,结果为71.72%。
延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明,联想网御2000与龙马卫士的数值不分伯仲,名列前茅。
帧丢失率决定防火墙在持续负载状态下应该转发,但由于缺乏资源而无法转发的帧的百分比。该指标与吞吐量有一定的关联性,吞吐量比较高的防火墙帧丢失率一般比较低。在测试的5种帧长度下,NetScreen-208在256、512和1518字节帧下结果为0,字节帧下结果为57.45%。
一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后字节帧的吞吐量比单向吞吐量结果略高。
最大并发连接数决定了防火墙能够同时支持的并发用户数,这对于防火墙来说也是一个非常有特色也是非常重要的性能指标,尤其是在受防火墙保护的网络向外部网络提供Web服务的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首,而龙马卫士防火墙结果也达到80万。
我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防攻击测试中试图建立5万个TCP/HTTP连接,考察防火墙在启动防攻击能力的同时处理正常连接的能力。
Syn Flood目前是一种最常见的攻击方式,防火墙对它的防护实现原理也不相同,比如,安氏领信防火墙与NetScreen-208采用SYN代理的方式,在测试这两款防火墙时我们建立的是50000个TCP连接背景流,两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TCP/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和Land-based三种攻击包全部都过滤掉。
Teardrop攻击测试将合法的数据包拆分成三段数据包,其中一段包的偏移量不正常。对于这种攻击,我们通过Sniffer获得的结果分析防火墙有三种防护方法,一种是将三段攻击包都丢弃掉,一种是将不正常的攻击包丢弃掉,而将剩余的两段数据包组合成正常的数据包允许穿过防火墙,还有一种是将第二段丢弃,另外两段分别穿过防火墙,这三种方式都能有效防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况,神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况,Netscreen-208属于第三种情况。
对于Ping Sweep和Ping Flood攻击,所有防火墙都能够防住这两种攻击,SG-300防火墙过滤掉了所有攻击包,而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些ping包通过,但大部分攻击包都能够被过滤掉,这种结果主要取决于防火墙软件中设定的每秒钟通过的ping包数量。
二、千兆防火墙性能结果分析
由于千兆防火墙主要应用于电信级或者大型的数据中心,因此性能在千兆防火墙中所占的地位要比百兆防火墙更加重要。总的来说,三款千兆防火墙之间的差异相当大,但性能结果都明显要高于百兆防火墙。
双向吞吐量测试结果中,NetScreen-5200 、128、256、512、1518字节帧结果分别为58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低都十分明显,NetScreen-5200的双向10%线速下的延迟相当低,字节帧长仅为4.68祍,1518字节帧长的也只有24.94祍。起NAT功能后,NetScreen-5200防火墙字节帧长的吞吐量为62.5%。由于ServGate SG2000H不支持路由模式,所有只测了NAT 结果,该防火墙在1518字节帧长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结果表明,NetScreen-5200防火墙达到100万。
在防攻击能力测试中, 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好,没有一个攻击包通过防火墙。对于Ping of Death攻击, NetScreen-5200和阿姆瑞特F600+防火墙丢弃了所有的攻击包,SG2000H防火墙测试时对发送的45个攻击包,丢弃了后面的两个攻击包,这样也不会对网络造成太大的危害。在防护Teardrop攻击时,F600+防火墙丢弃了所有的攻击包,ServGate-2000防火墙只保留了第一个攻击包,NetSreen-5200防火墙则保留了第一和第三个攻击包,这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击测试结果为1000个攻击包全都过滤掉。
热心网友
时间:2022-06-18 07:45
我也使用过金盾防火墙,我是做WEB服务器,也做了个网站,是音乐视频网站,之前老受到攻击,最后买了金盾的软防,买的是无限连接数的.
效果非常不错..
