Internet的迅速普及使得网络安全问题层出不穷，网络安全产品和解决方案也就随之成了企业级用户和厂商们的聚焦点，虽然还有不少用户总把防火墙作为网络安全的代名词，但更多的用户越来越认识到网络安全不仅仅是防火墙，同时防火墙也不再仅有防火墙的功能，集成其他的安全模块正成为一条主流的发展之路。 
        分支机构之间以及它们与总部之间需要利用Internet进行安全通信，移动办公的快速发展也使得用户即使在家里或千里之外依然需要能够安全地与企业网络进行安全沟通，这些应用的崛起使得VPN成为又一个安全热点。VPN网关本身所处的位置与防火墙一样，也往往是位于企业内、外网之间，因此防火墙与VPN功能的集成也就顺理成章成为最受瞩目的一对拍档。于是乎就有了众多的网络安全厂商将VPN和防火墙放在一个盒子里卖给用户，可谁家的解决方案是防火墙与VPN二者的最佳拍档呢？《网络世界》评测实验室针对这种产品系列组织了国内首次集成VPN模块的防火墙的比较测试，以帮助用户走出困惑。

        《网络世界》评测实验室一如既往本着科学、客观公正的原则，不向厂商收取费用，向所有希望参加评测的厂商开放。我们此次评测征集的产品包括百兆和千兆两个系列。此次送测产品有来自国内外4家厂商的5款产品，其中百兆产品包括NetScreen-208、D-Link DFL-1500、清华紫光比威UF3500以及方正方通1000V-R，千兆产品是NetScreen-5200。我们从性能(单规则双向全通下的性能、1000条规则下的性能以及一条IPSec VPN隧道下的性能)、防攻击能力以及功能对参测产品进行了全方位考量。

        最后，我们要感谢为此次测试提供测试仪器和软件的思博伦通信公司以及NAI公司，同时也对这些勇于参加此次集成VPN模块的防火墙产品公开比较评测的厂商表示赞赏。

    性能综述

        网络安全倍受关注，安全设备的性能也引起用户广泛的重视：在许多企业的网络中，防火墙处于内网与外网唯一联系的“咽喉要道”，很容易成为整个网络的性能瓶颈；VPN的使用变得越来越频繁，而且，通过VPN传送的大多为关键数据，用户对于VPN的性能十分在意。

        总体来说，我们此次性能测试主要围绕着两方面进行：防火墙与IPSec VPN的性能。防火墙方面，我们此次主要测试了吞吐量、10％线速下的延迟、吞吐量压力下的延迟、最大并发连接数、防攻击能力以及1000条规则下的吞吐量和延迟。VPN的性能我们主要测试了IPSec VPN的最大隧道容量以及在一条IPSec VPN隧道下的性能。

        防火墙VPN设备的性能由硬件和软件共同决定。硬件方面，性能更高的CPU、ASIC或NP、容量更大的内存都能使某些指标得到提高，另外，有些产品中采用了VPN加速卡，所以能够达到更高性能；软件方面，通过算法的改进对性能的改善会有很大帮助。

    双向性能

        需要再次强调的是，与去年一样，我们测试的吞吐量是允许丢包率为0的情况下得到的结果，即使丢包率设为万分之一所得到的结果也可能产生很大的差距。

        双向吞吐量项目的测试中，NetScreen-208和清华紫光比威UF3500在256及以上字节包长都达到了线速。清华紫光比威UF3500的64字节、128字节包长的吞吐量均为最高，分别达到了线速的47.41％和81.44％，这样的结果使我们的测试工程师感到吃惊不小，它同样也反映了国产防火墙所具有的优势。NetScreen-208的吞吐量结果略低于清华紫光比威UF3500，但在10％压力以及吞吐量压力下的延迟都较清华紫光比威UF3500的设备小得多。

        在10%压力下延迟与吞吐量压力下的延迟两项指标中，D-Link DFL-1500除了一项（1518字节包长在100％压力下的延迟）以外都是最小的。

    1000条规则下性能

        防火墙在实际使用时一般都会工作在多条防火墙规则条件下，为了更加接近用户的使用环境，我们测试了各防火墙在配置了1000条规则（包括过滤IP地址、端口、协议等）时的性能。

        清华紫光比威UF3500的防火墙性能下降比较显著，64字节包长的吞吐量下降为原来的1/3左右，延迟也有不同程度的增加。而对于其他大多数参测设备来讲，设置的1000条规则对防火墙性能几乎没有产生什么影响，所得结果与一条规则的大致一样。D-Link DFL-1500的所有结果与一条规则下的都相差不超过1％，是所有产品中1000条规则对其性能影响最小的一款。

    最大并发连接数

        最大并发连接数考察设备能够同时支持的并发用户数，如果用户需要通过防火墙对外提供Web服务，那么这项指标就十分重要。但是，用户在考虑该项指标时，应该从满足自身需求的角度出发，没有必要过分追求。

        从我们去年测试Web服务器的结果来分析，一台双路至强服务器的最大并发连接数在极限情况下不超过10000，即使某个用户同时拥有几台服务器对外提供Web服务，总的并发连接数不过几万，所以防火墙提供10万以上的并发连接能力就能够满足一般企业的要求，并发几十万的连接数应该足可以满足一个电信级的数据中心服务网络了。

        此次测试方正方通1000V-R与清华紫光比威UF3500的结果同为最高，即500000，其次为D-Link DFL-1500的400000，NetScreen-208为127937。

    防攻击能力

        对于防火墙来说，最能够体现其安全性和保护功能的便是它的防攻击能力。性能优良的防火墙设备能够阻拦外部的恶意攻击，同时还能够使内网正常地与外界通信，对外提供服务。因此，我们在测试防火墙防攻击能力时，主要考察设备在能够建立正常连接的情况下防攻击的能力。

        测试结果发现，所有设备在进行各种防攻击的同时都能够正常响应合法连接，而且成功率都在98％以上，说明这些防火墙在受到攻击时不是简单地进行“拒绝服务”。