| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
千兆能力 全面完整
——亿阳网警BOCO.SFW-5000千兆防火墙评测 何军 目前解决网络的安全性和高性能问题,最基本的工具就是使用一体化的千兆防火墙。 千兆防火墙的功能和可管理性同样是考察防火墙的重要指标,如由于管理员疏忽而对防火墙做了错误的配置,造成防火墙拒绝特定或全部流量,那么故障影响范围将波及整个应用网络,特别是运营商级网络的应用,这造成的损失是难以预计的;同样,方便的接入和可供选择的多项功能也是千兆防火墙的重要内容。 千兆防火墙的架构共分为四种,一种是采用至强服务器架构作为千兆防火墙硬件平台,第二种是采用CPU+单片NP作为硬件平台,第三种是双片NP架构的硬件平台,第四种是采用硬件芯片技术作为千兆防火墙的平台。但无论采用什么架构的硬件平台,都是为了提高千兆防火墙的性能和安全性。亿阳网警BOCO.SFW-5000千兆防火墙是基于NP技术实现的千兆防火墙,同时保证了高性能和高安全。 最近,赛迪评测受亿阳信通公司的委托,对亿阳网警BOCO.SFW-5000千兆防火墙,在功能、性能等方面进行了测试,重点测试了千兆防火墙的性能指标,旨在为用户选购防火墙产品提供客观的参考依据。 面相对象管理 安全可靠性提高 防火墙的管理直接影响着防火墙的安全性,因为复杂的防火墙配置容易引起防火墙的策略失误,从而人为造成安全隐患。 亿阳网警BOCO.SFW-5000千兆防火墙在防火墙管理中采用了面向对象的管理理念,提高了对防火墙的管理可靠性和安全性,配置较为方便。同时,通过安全的认证及管理信息的加密传输,实现全局防火墙设备的集中管理,实现统一的安全政策部署,保证整个系统安全策略的一致性,提高整个系统的安全强度。 模块化设计 功能多样且灵活 防火墙的功能体现了防火墙的适用范围。亿阳网警BOCO.SFW-5000千兆防火墙功能以模块形式出现,具有路由和桥接两种工作模式,具有桥接功能的千兆防火墙系统可以实现局域网之间基于数据链路层的连接。千兆防火墙在完成桥接功能的同时,可以对通过防火墙的数据包进行安全检测,并且根据一定的安全策略对某些数据包进行拦截,从而保证在完成桥接功能的同时,维护网络的安全性。在其他功能设置上,如状态检测、NAT功能、双机热备等,这些产品都有较好的表现。 在功能上,该防火墙能够实现状态检测、智能化DOS攻击防范、静态和动态NAT、静态和动态PAT、支持透明模式以及组策略设置等功能,状态检测技术监控每一个出入的数据包,提供高强度的安全性,并可以针对整个组进行安全策略设置。 冗余设计 保障自身可靠 安全性方面,千兆防火墙提供安全冗余是非常关键的,因为任何的单点失效都不应该造成防火墙的失效。 其中该防火墙提供四个风扇托盘、两块RAID-1硬盘存放日志、输入输出冗余接口,Flash memory提供系统启动和持续操作。提供了较为良好的系统冗余,如输入到输出接口冗余,采用双电源等,并可在一些高可靠性的网络中配置成双机热备份模式。 在其他安全性方面,该防火墙的设计都能对经过路由器过滤后的有效数据流进行进一步检测,提供了细化的安全措施和较强的处理能力。网络访问日志和事件日志等日志系统,均可选存储在防火墙本地或网络日志服务器上。网络访问日志能够详细记录下每段流量的细节信息,如发生时间、持续时间、IP 地址、端口信息、流量统计等,这些信息不仅可供记录网络访问行为,还可提供给计费使用。事件日志系统则记录了所有有关安全的事件,如管理用户登录、验证失败、配置文件变动、重要进程状态变化和网络进攻的发生,管理员可以从这个日志系统中获得所有的网络安全信息。 IP层性能突出 满足骨干网络需求 性能在防火墙的实际应用中占有非常重要的位置,特别是骨干网上使用的千兆防火墙,性能的高低直接影响着网络的正常应用。 在本次对防火墙性能的测试中,赛迪评测摒弃了过去采用的在二层对防火墙转发能力进行测试的方法,采取了在IP层进行性能测试的方法,从应用角度来讲,更贴近用户的应用。在性能测试的内容设置上,赛迪评测进行了吞吐量测试,丢包率测试,以及最大延迟、最小延迟和平均延迟的测试。赛迪评测认为,从这些指标上,能够比较客观地评价出防火墙的产品性能。 性能测试逻辑环境如图所示。 随着网络应用对千兆防火墙性能的要求,防火墙作为内外网之间的惟一数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,良好的吞吐能力能够为用户提供较好的应用。 在吞吐量测试中,我们采用RFC建议,吞吐量被定义为网络设备在不丢失任何一个帧的情况下的最大转发速率,即吞吐量=∑端口速率×2(全双工)。以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。 对防火墙吞吐量的测量,赛迪评测采用不同长度的数据帧来进行,即遵照RFC建议,采用64、128、256、512、1024、1280和1518 Byte等7种帧长的数据帧。 为了比较全面衡量防火墙的吞吐能力,按照RFC建议,采用双向、整个测试时长为120秒,并设置多流的情况进行吞吐率测试。多流设置为双向-100流-UDP(即内、外网的地址共200个且互不相同),源和目标地址都同时变化,即在防火墙的状态表内会存在200个状态连接。 亿阳网警BOCO.SFW-5000千兆防火墙产品吞吐量测试结果分别如下: 从测试结果来看,亿阳网警BOCO.SFW-5000千兆防火墙具有较高的吞吐能力,这应该归结为这款防火墙采用了NP架构。 现在网络的应用种类非常复杂,许多应用对延迟非常敏感(例如音频,视频等),而网络中加入防火墙必然会增加传输延迟,所以较低的延迟对防火墙来说也是不可或缺的。 测试延迟是指测试仪发出数据包到经过防火墙后收到该数据包的时间间隔。延迟有两种:存储转发延迟和直通转发延迟。这次主要考察在给定的数率下(保证防火墙在此速率下不丢包),防火墙存储转发的延迟。 在延迟测试中,测试时长采用120秒,方向为双向,测试速率稍低于吞吐量,分别测试10次,每次测试完成,防火墙都重新启动一次,最后结果取10次测试的平均值。赛迪评测认为,这种测试条件下测出的数据比较准确合理。 测试表明,亿阳千兆防火墙的延迟比较小,表2所示为延迟测试结果(括号内数字为实际测试所用负载速率)。 丢包率是指在正常稳定网络状态下,应该被转发,但由于缺少资源而没有被转发的数据包占全部数据包的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。 测试时,赛迪评测的给定速率为100%线速,测试条件较为严格。在本项测试中,测试负载是千兆线速,亿阳网警BOCO.SFW-5000千兆防火墙表现极佳,64Byte下的丢包率为27.28%。 经过赛迪评测本次对这款千兆防火墙的全面测试,总体来说,亿阳网警BOCO.SFW-3000千兆防火墙性能表现突出,代表了目前主流的NP架构千兆防火墙技术,也反映了当前千兆防火墙产品的技术水平。从整体测试结果来看,这款千兆防火墙是能够满足骨干网络的安全应用需求的。 
性能测试环境示意图 
表1 吞吐量测试结果 
表2 延迟测试结果(μs) |
||||||||||||||||||||||||||
