网络安全标准测试工作组DPIBench成立

DOIT报道: 如果你是网络管理员或厂商,我肯定你将会受益于“同类”网络安全系统有效性测试数据比较。为此,一个新的组织成立了。该组织致力于开发行业标准的测试套件来达到这个目标。这对你来说将意味着什么?

在21世纪的头十年时间里,在得到市场接受后,下一代防火墙(NGFW)和统一威胁管理(UTM)系统技术得到了进一步的发展。一个UTM设备是一个综合的网络安全产品,该设备可以作为组织的主要网关和防护解决方案。UTM是传统防火墙发展为全包容安全解决方案后的产品,可以在一个设备上执行多种安全功能:网络防火墙、网络入侵防护系统、反木马保护、网关反病毒(GAV)、网关反垃圾信息、VPN、网页内容过滤、负载均衡和设备报告。

NGFW技术构建在UTM技术的基础之上,增加了应用程序感知功能来侦测针对特定应用程序的攻击并加强特定应用程序的精粒度的安全策略。安全策略可以用于提高或减小特定传输流的优先级,阻止特定传输并记录传输用途以备将来审计。

传统防火墙和新一代UTM/NGFW设备之间的一个主要差异是是否有深度包侦测(DPI)。DPI可以辨认并阻止包含病毒的网络传输流,并且/或者将传输流按照应用程序来进行分类。典型的应用程序包括Skype、点对点传输(P2P)、网页浏览、数据库传输、视频流等。

实施了DPI的新一代防火墙技术必须检查每个包的每个比特以便有效分类应用程序传输流和检测试图进入受保护网络的病毒。这给处理器带来了很大的负担。所有网络设备厂商都提供设备的性能和功能清单。但是,这些数据通常都是在最理想情况下所得出的性能指标。由于DPI为网络包带来了更高的处理要求,因此用户可能会碰到性能上的影响。

比起传统防火墙技术对一个包只检测10个比特的情形,新技术要检测一个包中所有的1514个比特,因此测试结果显示90%的吞吐量减少应归咎于新增的处理要求。例如,一个设备在执行传统防火墙操作的时候可以达到100Mb/秒的传输速率,但是在启动DPI之后,速度减少到了10Mb/秒。

为了满足与DPI性能测试有关的要求并“达成公平竞争的环境”,一个主要的标准组织和一个成员不断增加的公司团体最近成立了一个DPIBench工作组来协调并制定DPIBench测试方法。这个工作组的成员包括思科、Juniper、IBM、Checkpoint、MacAfee、阿尔卡特朗讯等公司。这些成员还尚未定好测试条件。该工作组还鼓励在这个行业标准标准套件的开发过程中聆听其他人的声音。DPIBench的进一步开发需要的是成员在测试设置的最终问题上达成一致并在公共测试和认证的流程上达成共识。

最终目标是为消费者提供网络安全技术目标测试数据以便帮助他们挑选解决方案。

DPIBench工作组的下一次会议将于8月19日在山景城召开,由Cavium Networks主持。如果你对新的网络安全标准测试感兴趣,你可以参加这个行业讨论。