由于安全对于数据中心的重要性,用户会以理智乃至苛刻的态度全面衡量防火墙产品对需求的综合满足度。如果有需求得不到解决,即便产品某个单项指标世界第一,也只能是个“鸡肋”。对于运营商、金融、大型企业的数据中心等用户群体来说,小包的高吞吐量、高性能连接处理能力、低功耗是比较普遍的三大需求。遗憾的是,如果以此为评估标准,市售百G级别防火墙产品中能满足要求的并不多。我们看到Hillstone此次是有备而来,送来了定位于20G—100G的数据中心防火墙SG-6000-X6180(以下简称Hillstone X6180)。
数据中心需求驱动下的产品设计
目前业界主流20G以上级别防火墙基本都为机框加模块的产品形态,Hillstone X6180也采用这种设计理念,机框前后共提供了12个扩展槽位,其中10个通用插槽可安装接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),两个主控插槽用于安装系统控制模块(SCM),均支持热插拔特性。设备亦内置高速大容量交换板,其面板上还设有4组千兆Combo口,可用做HA及设备管理使用。目前,Hillstone X6180可支持两种规格的IOM,分别为集成16个千兆口的IOM-16SFP-80和4个万兆接口的IOM-4XFP-80。当满配5个万兆IOM模块及5个SSM模块时,整机即可达到百G处理能力。
在数据中心资源逐渐紧张的今天,产品的小型化、低功耗已成为用户真正关心的问题。Hillstone X6180仅以5U的“身材”即可提供多达36个万兆接口或144个千兆接口,以及百G级别的处理能力。Hillstone X6180最多可安装4个电源模块,工作于两主两备状态,整机最大功率不超过1300W,在同级别产品中很有优势。我们对设备在实际工作时的功耗进行了测试,结果如下表所示:
低功耗也减小了系统散热方面的压力,Hillstone X6180仅需一个支持热插拔特性的风扇模组即可正常工作,且各模块均采用了被动散热方式,提高了系统运行的可靠性。
在安全业务方面,Hillstone X6180特别增强了对虚拟防火墙的支持能力,最大可设定500个资源独立的虚拟设备,可动态设置每个虚拟防火墙的资源、策略、端口等配置,满足不同应用/租户对独立安全业务平面的需求。
综合处理性能的强者
Hillstone X6180采用了分布式处理与统一管理相结合的实现机制,并在硬件层面保持独立。在整个系统中,SSM模块负责除QoS外所有安全业务的实现,直接决定着产品安全业务处理能力。本次评测使用IXIA XM12机框搭载Xcellon NP以及8端口10GE LSM测试卡进行性能测试。我们实测到的单SSM模块64Byte帧长时的吞吐量达到8Gbps,512Byte帧长起即逐渐接近线速。虽然此时每秒最多要处理1000万以上的数据包,其整体转发延时依然保持在24微秒以内。连接处理方面,单SSM模块标称具有30万HTTP新建连接速率及1000万并发连接能力,测试中则得到了33万HTTP新建连接速率的数据(由于测试仪表的性能限制,本次未能测得并发连接的数据)。由此可见,Hillstone X6180的单SSM模块性能,已经高于许多1U及2U规格、采用集中处理机制的防火墙产品,可以满足业务发展的需要。
通常防火墙被用来进行访问控制、抵御攻击及非法流量进入网络,加载复杂策略和混杂非法流量时的性能应成为考察重点。我们将5000条复杂策略加载到设备中,再次进行了吞吐量测试,得到了与单条全通策略时一致的结果。在混杂20%非法流量的测试中,7种帧长时的吞吐量均出现小幅下降。我们在经过对比后发现,各组数据的下降幅度均在8%?9%之间,在没有配备三态内容寻址存储器(TCAM)的防火墙产品中属于优秀的水平。
按需配置、平滑升级,这是采用分布式处理防火墙产品的独有特性。Hillstone X6180的SSM模块与IOM模块间没有任何绑定关系,当性能无法满足业务需求时,用户可以通过增加SSM模块的方式提升整机处理能力;如需更多的接口,也可由IOM模块进行扩展。我们特别注意了增加SSM模块后的性能变化:当配备两个SSM模块、1个万兆IOM模块时,Hillstone X6180的整机吞吐量及HTTP新建连接速率均比单SSM模块时有一倍的增幅;而在4个SSM的配置下,性能依然呈线性增长。
Hillstone X6180的整机最大性能,则需通过SSM模块与IOM模块的合理配置得以体现。如图2所示,Hillstone X6180的整机64Byte帧长吞吐量达到47.19Gbps,从256Byte帧长起即接近或超过90Gbps。小包性能达到大包性能的一半是令人十分满意的结果。
分布式处理也为Hillstone X6180的业务可靠性带来了额外的提升,当我们拆卸SSM模块时,测试仪的流量曲线出现轻微波动,瞬间即恢复正常;在执行SSM模块安装操作后,新模块仅需1分10秒的时间完成启动、注册,系统会重新对负载进行分配。Hillstone X6180支持Bypass卡,如果设备供电电源出现故障导致断电,则链路自动Bypass,保证业务的不间断运行。
Hillstone SG-6000-X6180从用户需求出发,在小包与连接处理能力、业务可靠性、虚拟化功能特性等方面做了有针对性的设计,加上小型化的体积、高密度端口和低功耗设计,为运营商、金融、大型企业等用户提供了高性价比的选择。