网御神州泰山红日G60-76AA安全网关评测

安全
在信息安全领域,“多核”是个相当热门的词汇。面对不断增长的带宽和愈发多样化的安全需求,新一代安全产品必须构建在处理能力更强大的硬件平台之上。
在信息安全领域,“多核”是个相当热门的词汇。面对不断增长的带宽和愈发多样化的安全需求,新一代安全产品必须构建在处理能力更强大的硬件平台之上。而从工程化的角度看,在单颗内核处理能力提升缓慢的情况下,多核系统无疑是个很好的选择。纵观近几年国内外安全厂商发布的产品,硬件解决方案也基本以其为主,堪称市场主流。

但性能与业务复杂度天生就是一对矛盾体,在一些要求较高的应用场合,就算是多核系统平台也很难做到功能、性能两全。对于这种现状,网御神州科技有限公司(以下简称“网御神州”)显然有着深刻的认识。继去年发布全线多核战略,将旗下中高端产品迁移至多核平台后,该公司又于近日发布了全新的泰山红日系列产品。这一系列产品基于为多核平台加速的设计理念,引入了可编程ASIC加速引擎,使系统整体处理能力达到一个新的高度。经过努力,我们有幸赶在正式发布前对型号为G60-76AA的产品进行了详细的测试分析,在此与读者朋友们分享。

全功能安全堡垒

泰山红日G60-76AA采用2U规格设计,内置10个千兆电口与10个千兆SFP接口,接入能力十分强大。由于该产品定位于对性能、可靠性要求较高的应用环境,标配双电源也是顺理成章的事情。充裕的机身空间使其具备良好的扩展性,用户可以根据需要选配硬盘,在本地保存日志及审计信息。产品功耗也并未因内置硬件加速引擎而出现显著增长,实测空载97W、满载120W的结果在2U规格的安全网关设备中表现尚可。

严格的管理方式是泰山红日系列产品的亮点之一。该产品支持Telnet、SSH1/SSH2、基于HTTPS的WebUI与本地串口管理,但默认只开启了后两者,而且在登录到WebUI前,必须在本地控制台中导入设备附带的管理员证书。泰山红日使用这种双向验证建立SSL隧道的方式,有效屏蔽了密码泄露导致的安全威胁。该产品也支持证书导入,可以无缝融入政府、金融等大型用户已部署的证书管理体系中。

随着安全网关逐渐成为市场主流,网御神州也顺应平台化的大潮,在泰山红日系列产品中集成了多种实用的安全功能。除防火墙、IPSec VPN、SSL VPN、病毒过滤、入侵防御等常见功能外,该产品还内置了囊括57大类、超过1200万个URL信息的绿色上网、针对应用的控制及基于Web或客户端的用户认证等行为管理类组件,提供了由被动到主动的立体防御措施。这种模式的优点显而易见,用户可以根据自身需求选择相应的功能模块,并且在未来安全需求发生变化时,保持快速升级的能力。

  

动力源:多核AC架构

泰山红日系列产品采用了多核x86处理器搭配可编程ASIC加速引擎的硬件解决方案,网御神州称之为“多核AC架构”。该方案解决了多核架构在网络层处理能力上的不足,使其在状态与应用层业务处理方面的优势得到很好的发挥,与传统ASIC架构相比有着截然不同的存在意义。

如今,技术领域发生了翻天覆地的革命。多核x86处理器凭借强大的计算能力与突飞猛进的I/O性能,越来越多地出现在安全产品中,承载起各类复杂的业务;ASIC也在形态、成本、性能等方面找到合理的平衡点,为整体处理能力的提升提供了易于实现的基础,而不仅仅表现为“傻快傻快”的防火墙。最重要的变化还是来自需求方面,安全业务的不断拓展使得病毒过滤、入侵防御乃至应用控制等功能逐渐成为与防火墙同样重要的关注焦点,这恰恰是多核AC架构的用武之地。经过可编程ASIC加速引擎的卸载,多核x86处理器可以专注于应用层业务的处理,使之尽可能少地成为系统性能的短板。这一点,在测试中有比较明显的体现。

与新的硬件架构相对应,改进过的网御神州SecOS并行安全操作系统将负担起更多的调度协调工作,使多核平台与可编程ASIC加速引擎尽可能地融为一体。对于不同硬件平台之间的资源差异,也可以利用系统内置的CPU核任务调度负载均衡技术实现任务的统一分配,最大限度地利用多核x86处理器进行应用层业务的处理。这种并行化的运作方式,可以确保每个内核都能在资源允许的范围内实现处理能力的最大化,也是提高产品稳定性与平滑升级的先决条件。

性能:理论决定实际

架构上的优势可以通过理论分析得出,产品化后的真实性能如何,还得通过测试来验证。我们首先按照RFC2544规范的要求,使用思博伦通信提供的SmartBits 600测试仪考察了泰山红日G60-76AA在1条全通策略与199条阻断/1条全通策略配置下防火墙的吞吐量与平均延迟。为保证结果的准确性,测试分别在路由、透明及NAT模式下进行3次,取稳定值作为最终结果。

我们得到了一组整齐划一的测试数据。无论是路由、透明还是NAT模式,泰山红日G60-76AA在7种帧长下都保持了100%的线速吞吐。延迟方面的表现也颇具亮点,64、128Byte帧长时小于7微秒的平均延迟将设备对视频会议等时延敏感型应用的影响减少到最小。需要说明的是,因为测试仪端口数量的限制,本次只使用了8个千兆口进行测试。如此看来,8Gbps线速绝非该产品的极限性能,也许我们应该使用更多的端口进行复测。

对于状态检测防火墙来说,必须还要有足够优秀的连接建立、维护能力,才能让吞吐量的数值具有实际意义。我们按照RFC3511的规范要求,使用思博伦通信提供的Avalanche 2900应用层性能测试仪对泰山红日G60-76AA进行了测试。在路由模式、加载200条防火墙策略的情况下,该产品的每秒HTTP新建连接数超过6万5千,并可保持最大200万个并发连接。结合之前网络层测试结果看,如果用户需要的是一台高性能千兆防火墙,这款产品无疑是个不错的选择。

多核AC架构支撑下的多业务综合性能,是泰山红日系列产品另一个值得关注的重点。我们在路由模式、防火墙加载200条策略的基础上,打开病毒过滤与入侵防御模块进行了测试。此时G60-76AA的HTTP可用带宽达到1280Mbps,每秒HTTP新建连接数为13766,最大并发连接数依旧保持在200万。对比纯x86多核平台的产品,这个结果确实有一定的优势。而从未来前景考虑,x86多核处理器的高速更新换代几乎是必然结果,这也意味着泰山红日系列产品在网络层性能保持领先的同时,应用层性能还有着广阔的提升空间。

责任编辑:王文文 来源: 计世网
相关推荐

2012-07-23 11:00:43

全业务融合安全网关安全网关下一代安全架构

2009-03-19 09:52:19

2012-08-05 16:36:08

2012-08-24 16:51:45

2011-10-10 16:37:57

2009-04-25 08:46:47

2010-09-26 14:18:25

2010-04-27 16:07:00

2010-07-28 10:23:27

2023-04-28 10:46:52

2010-08-30 13:01:00

2009-04-02 11:12:53

2009-04-02 14:38:49

2011-07-27 17:27:34

2009-04-02 15:38:49

2010-07-28 18:21:04

2009-04-02 15:02:34

2014-07-29 09:53:36

2009-08-24 10:34:06

安全网关趋势分析

2011-12-01 19:08:58

点赞
收藏

51CTO技术栈公众号