交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
制造业
高教/职教
医疗卫生
交通
公共安全
文/PConline
互联网的快速发展,在为我们提供便捷的同时,也带来了更多更为复杂的安全问题。若要扼守网络咽喉,传统防火墙产品,显然已经力不从心,因此,下一代防火墙应势而生。我们说,下一代防火墙并不是简单的功能堆砌和性能叠加,而要做到真正的集成,贴切网络环境与用户需求。
另一方面,随着带宽与网速的提升,出口网络规模也由百兆、千兆升级到了万兆,网络在升级,但大多数的防火墙虽也进行了迭代更新,实则却是止步不前,官宣参数与实际效果相差甚远。究其原因,在实际网络环境中,64-256字节数据包最多,因此小包数据处理能力才是衡量防火墙产品性能的关键所在。
本期,我们收到的送测产品是锐捷的RG-WALL 1600-X9850全新下一代防火墙,不仅小包性能强劲,此外还采用了整体设计,一次交付,更能轻松满足10万人得到出口需求,让我们赶紧一起来了解一下吧!
让我们先来大致了解一下该款产品。锐捷RG-WALL 1600-X9850采用CPU+ASIC硬件架构,突破了X86及mips架构的性能瓶颈,融合锐捷安全多年来的技术积累,性能轻松满足10万人的出口需求。对于业务和接口,摒弃了复杂的模块化设计,全部集成于主机上,无需额外的硬件配置即可享受高性能、多业务,丰富的接口。同时,固化硬件配置、冗余电源、冗余风扇,实现99.999%的电信级可靠性。
1、锐捷RG-WALL 1600-X9850下一代防火墙的价值所在?
首先,锐捷X9850采用 X86CPU+ASIC硬件架构,小包性能可达整机性能的70%左右,小包性能强劲,还能为用户提供更可靠的安全体验。
其次,锐捷X9850的应用层安全性能由多个ASIC芯片协助CPU处理,各功能基于ASIC芯片硬件加速,单颗ASIC芯片就能提供高达40Gbps的IPv4和IPv6防火墙性能。针对应用层安全,锐捷X9850的硬件架构同时宣称能够确保用户开启SSL深度检测,入侵检测、病毒防护等安全模块后依然能够保障足够的性能,保障应用层安全。
最后,由于主机形态为标准的3U设备,占地小更节省机房空间,且操作方便,性能比更高;此外,锐捷X9850为用户提供了4个40 GE QSFP接口,20个10 GE SFP+/GE SFP接口,以及8个10 GE SFP+接口,接口丰富,可满足多链路场景,还可为未来的扩展预留接口。整机功耗平均725W,节能的同时提高投资收益。
好了,现在我们对锐捷X9850已有了大致的了解,究竟性能如何,口说无凭,马上进入下一帕——实验室评测。
2、实验室评测
本次评测地点,我们选在了中国威尔克通信实验室。中国威尔克通信实验室是公正权威的国家第三方信息通信实验室,从事网络信息安全服务、软件及信息系统评测、第三方委托检测验收、工业和信息化部电信设备进网认证检测、泰尔认证检测、行业/企业标准制定、新领域项目课题合作研究等检测评估和技术服务。
并且实验室作为国际电信联盟ITU-T第17研究组(安全)中国对口组组长、中国通信标准化协会(CCSA)的全权会员和理事单位、北京软件和信息服务业协会理事单位、电信终端测试技术协会(TAF)的核心成员,积极参与覆盖全信息通信领域的各项标准制定、技术研究等工作。
本次测试,包括了性能测试和安全功能性能测试两项。
1、性能测试
目前市面所见防火墙,其吞吐性能在测试过程中主要以1518大包测试性能为主,主要是市面上防火墙采用的硬件架构在1518字节上性能更加突出,防火墙作为出口设备,实际网络环境中,64-256字节数据包最多,尤其是DDOS洪水攻击,为了攻击效率都采用大量小包发起攻击,所以对于防火墙来讲小包数据处理能力才是衡量防火墙产品性能的关键。
1.1 IPv4环境下性能测试
先来看下第一个测试,即设备的16个万兆口整体的性能吞吐。根据拓扑搭建环境,将被测试设备的16个10G接口分别与Testcenter一一相连,配置设备用测试仪测试防火墙的最大吞吐量,测试数据包为UDP,时间30秒。通过仪表验证,基于锐捷独有的ASIC芯片处理,产品的大包1518字节吞吐性能跟中报512字节吞吐性能及极限的小包64字节吞吐测试究竟可以达到多少呢?
如上图所示,我们预设了160G的吞吐,经测试得到的结果是,大包1518字节数据包吞吐量字节测试结果达到158G,实际测试达到了宣传值的99%;中包512字节的测试结果与1518字节相同,也是跑出了99%的成绩。小包64字节测试结果达到108G,实际测试达到了宣传值的68%,证明锐捷X9850在大包中包吞吐测试中数据包没有衰减;而小包的衰减也能够控制在30%左右,成绩相当傲人。
1.2 IPv6环境下性能测试
未来会有越来越多的IPv6网络建设,所以IPv6的性能也是防火墙的一大挑战,在测试过程中我们还对锐捷防火墙的IPv6吞吐性能做了测试。
锐捷网络所提供的防火墙宣称硬件为CPU+ASIC架构,AISC处理数据转发和应用安全,转发性能可以和交换机媲美,针对IPv6报文长度和字段的的变化做了特定硬件级优化,与同类产品相比,做到IPv6性能零衰减。究竟可以达到多少呢?我们一测变知。
采用与IPv4同样的测试方法,我们将数据包流量改为IPv6数据包,经测试得到的结果是,大包1518字节数据包吞吐量字节测试结果达到158G,中包512字节的测试结果与1518字节相同。小包64字节测试结果达到108G,证明锐捷X9850在IPv6环境下能够提供与IPv4完全同等的效果,与宣称的硬件架构相符。
2、安全性能测试
下一代防火墙与传统防火墙最大的区别就在于是否做到了多安全融合,比如融合IPS入侵防御、AV防病毒、SSL深度解密等高层安全性能,而目前世面上的防火墙在开启高级安全功能后都会出现不同程度的性能衰减,更有甚者,在仅仅开启IPS性能后整机衰减高达95%以上,所以高级安全功能开启后防火墙真实性能如何也是衡量一款下一代防火墙的关键因素。
我们在威尔克实验室分别对锐捷防火墙的IPS、 AV、 SSL三大性能进行测试。
2.1 SSL深度检测测试
如今大型网站都采用https方式(SSL加密)与消费者交互数据用于保护用户隐私,比如国内的淘宝、百度,国外的Google、Twitter和Facebook等等,当前,大约有三分之一的Internet流量进行了加密传输,未来几年会增长到三分之二。并且随着《网络安全法》对于个人隐私的保密要求,中国网站都会逐渐采用SSL加密方式。
但这项技术成为一把双刃剑,https方式(SSL加密)带来了个人隐私,但也带来了挑战,目前隐藏于SSL传输中的攻击已经超过基于明文的攻击,SSL已经成为攻击的有效防护。不支持此功能的防火墙对用户是一个极大的“漏洞”,而支持但性能不够的防火墙,一样成了安全体系中的“摆设”。
目前对SSL进行拆解检测的有两种手段,软件解密或者硬件解密,而且大多数只存在于Web防火墙上面,而锐捷防火墙宣称能够在出口上就提供SSL解密,而且能够提供不俗的性能,我们实际开启SSL检测对防火墙进行测试。
SSL测试性能高达23G,这也是锐捷多年以来硬件架构创新带来的,此举大大提高了黑客的入侵难度,相当于设置了两道关卡,结果证实锐捷所提供的防火墙确实提供SSL硬件解密能力。
2.2 IPS入侵检测性能
入侵防御系统IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。我们在防火墙上开启IPS入侵防御模块,再此对防火墙进行测试。
IPS实测性能达到56G,IPS作为高层应用协议,对设备的性能要求非常高,传统的基于路由器系统改造的防火墙开始IPS后衰减都非常大,更有甚者,开启IPS后性能下降高达95%,让下一代防火墙作为摆设,无法发挥其安全大闸的功能,锐捷防火墙的硬件架构采用专用的ASIC硬件分担CPU压力,所表现出来的IPS性能与宣称值相符。
2.3 AV防病毒性能
勒索病毒无疑给我们敲响了警钟,病毒需要在出口就要遏制,传统的杀毒软件能够保护单一终端,但是勒索病毒的蔓延警示我们病毒最好能够遏制在出口,所以一款防火墙的防病毒能力也很重要。
AV作为纯应用层性能,开启后对于硬件性能要求更高,大部分下一代防火墙鉴于羸弱的性能一般无法开启防病毒功能,而锐捷防火墙宣称可以开启防病毒,那么性能如何,我们再做最后的测试,在开启防病毒模块后,再此对防火墙性能进行测试。
锐捷防火墙实际防病毒性能达到20G,想到这里笔者怀念起当年还是酷睿双核的年代,平均网速只有1M,实际平均吞吐仅仅有几百k的年代,装一个卡巴斯基就会被嘲笑,很容易死机,也就是说现在防火墙的防病毒功能可以轻松代替当年8万台PC实现防病毒,与锐捷所宣称的防病毒能力也是相一致的。
3、评测总结
我们看到,锐捷X9850经过第三方评测室的专业科学的检测后,各项指标均符合要求甚至超出宣称值。这里我们也建议各位,在选购防火墙时不能仅参考宣称的理想环境下的测试成绩,还要注意产品的小包处理性能,延时以及安全功能启动等多种参考条件。最后,希望我们本次的客观评测能对您未来的防火墙设备选型,起到帮助意义。
您考虑使用100G以上的高性能下一代防火墙有哪些困扰?您想亲自测试一下高性能防火墙9850吗?赶紧点击左下角“阅读原文”填写问卷吧!前3名测试者将获得乐扣乐扣保温杯1个。