“火眼金睛”挑选万兆防火墙
　作者: 天融信 陈霄　编辑:
　　【IT168 评论】随着网络带宽的迅猛提升，万兆网络大规模普及的今天，万兆网络成为网络新应用的主力军，不仅是万兆网络基础设备(、)，包括万兆设备(、IPS等)也迎来产品和技术的全面提升。由于恰好处于网络的末端，因此防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响，特别是骨干网上使用的万兆防火墙，性能的高低直接影响着网络的正常应用。所以，目前防火墙的网络性能指标日益为人们所重视，地位也越来越重要。　　作为网络互联设备，参考RFC对其在二、三层的数据包转发性能进行测试评估，是大部分网络设备性能测试的基本方法，二、三层的转发性能也可以帮助评估设备下层的交换转发机制是否高效。但作为防火墙来说，最大的特点就是可以对4~7层的高层流量进行一定的控制。随着下一代防火墙概念的逐渐清晰，防火墙肯定需要基于用户应用以及行为进行控制管理。这就必然对性能造成一定的影响，而这种影响有多大，会不会成为整个网络的瓶颈，就成为人们所关心的问题。据此，我们认为完整的防火墙性能评估应该由网络层性能、传输层性能和应用层性能三部分组成。　　当前市场万兆防火墙鱼龙混杂，性能宣传值动辄从10Gbps到几百Gbps，几乎绝大多数宣称的最大性能指标都是网络层性能，即是根据RFC2544中吞吐率定义得出，但更重要的实际环境中的应用性能到底怎样呢?面对作为用户，如何分辨真伪，选择最为合适的产品呢?下面我们就通过一系列测试数据给您一个答案。　　笔者近期在实验室选取当前比较流行的X86架构INTEL Sandy Bridge平台进行测试。硬件平台为英特尔SNB+Cougar Point C200组中最高端的型号C206，配置Core I7 2600 +4G DDR3。I7 2600处理器具有256KB L2缓存(每核)和8MB共享L3缓存，主频为3.4GHz。搭配82599，提供4个万兆多模SFP Plus接口。被测设备配置为交换模式，使用设备缺省安全策略进行测试。　　网络层测试　　在网络层性能部分我们选用了最重要的指标吞吐量。IETF RFC1242中对吞吐量做了标准的定义：&The Maximum Rate at Which None of the Offered Frames are Dropped by the Device.&，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。在RFC2544中给出了该项测试的步骤过程及测试方法。　　在吞吐量测试中我们选用了IXIA公司的IxAutomate软件，IxAutomate是对RFC指标测试的自动化测试软件。在对防火墙吞吐量的测试中，我们遵照RFC建议，采用64，128，256，512，和1518字节等7种不同长度的数据帧来进行。　　测试结果见下表：　　在这7种数据帧中的性能结果最高的一般都是1518字节，目前市场上大多万兆防火墙宣称的转发吞吐量基本都是选取1518字节吞吐量测试结果。从上表可看出此款防火墙1518字节的吞吐高达26.9G。　　传输层性能测试　　传输层性能是针对防火墙状态相关的性能测试。它主要包括TCP并发连接数(Concurrent TCP Connection Capacity)和最大TCP连接建立速率(Maximum TCP Connection Establishment Rate)两项指标的测试。在RFC2647/RFC3511中对上述两个测试项做了明确定义与测试说明。在本测试中我们选择最能显示防火墙处理能力的最大TCP连接建立速率来进行测试。　　最大TCP连接建立速率通常也成为每秒新建连接速率，是测试防火墙维持的最大TCP连接建立速度，本指标用以体现防火墙更新状态表的能力，考察CPU的资源调度状况。这个指标主要体现了被测防火墙对于连接请求的实时反应能力。当被测防火墙每秒可以更快地处理连接请求，而且可以更快地传输数据的话，用户使用网络的实际感受也就越好，所以TCP连接建立速率的确是个很重要的指标。　　本次测试使用了Ixia公司最新的BPS。通过测试，本次测试设备最大TCP连接建立速率可达15万/秒。下图是本次测试平台的TCP连接建立速率测试结果。　　应用层性能测试　　应用层性能指的是设备处理HTTP应用层流量的防火墙基准性能，主要包括HTTP传输速率(HTTP Transfer Rate)和最大HTTP事务处理速率(Maximum HTTP Transaction Rate)。　　HTTP传输速率主要是测试防火墙在应用层的平均传输速率，是被请求的应用数据通过防火墙的平均传输速率。统计时只能计算协议的有效负载，不包括协议头部分。也必须将与连接建立、释放，以及维持连接所相关的数据排除在统计之外。该项指标也是我们常说的有效吞吐量(GOODPUT)。当我们提到吞吐量时，大多都是指二/三层的测试结果。但作为防火墙这类设备来说有效吞吐量显然是更重要的。由于我们的应用都是运行在四层以上。如果有效吞吐量性能不好，即使二/三层的转发性能很好，仍会导致应用运行缓慢。　　最大HTTP事务处理速率是防火墙所能维持的最大事务处理速率，即表示用户在访问应用业务时所能达到的最大速率。HTTP传输速率和最大HTTP事务处理速率是最能贴近用户真实应用的性能指标。　　应用层性能测试也是本次试验测试的重要部分，本次测试分别选取64K、32K、16K、1K字节页面作为测试页面，测试不同页面大小情况设备的HTTP传输速率以及最大HTTP事务处理速率。　　测试结果如下：　　从上表中的数据我们可以看出根据HTTP Get目标大小的不同，两个指标HTTP传输速率和最大HTTP事务处理速率均会有很大差异。当HTTP GET的目标较大时，HTTP传输速率结果会比较好，当HTTP GET的目标较小时，最大HTTP事务处理速率就会比较高。因此不结合实际情况，单纯看HTTP传输速率和最大HTTP事务处理速率也是不够的。　　通过前面的分析，针对同一款设备我们分别测试了网络层性能-最大吞吐量，传输层性能-每秒新建连接速率，应用层吞吐- HTTP传输速率和最大HTTP事务处理速率。(以上或者用图表)　　在上表中，应用层性能指标我们选用了测试数据中的中间部分HTTP GET Obje Size为32K，这个值有一定的代表意义。如果相同测试条件下进行不同厂家设备的横向对比，通过以上这些数据完全可以比较出高低优劣。但是我们选取的HTTP GET 32K的应用层性能数据就代表设备在真实环境下能够达到这样的处理能力呢?让我们继续下面的测试，看看在下面的测试环境下设备表现如何。　　真实应用环境中，业务肯定不是单一的HTTP业务。由于不同的行业，不同的场合，其网络流量构成也有较大差别。本次测试使用的IXIA BPS表提供了多种流量模型，这些模型从业务构成以及比例上都比较接近真实业务环境。此次测试挑选高校模型和企业模型分别测试：　　高校模型：　　企业模型：　　从以上两个流量模型的测试结果可以看出，随着业务多样性防火墙所能处理的吞吐量及每秒新建会话数进一步下降。　　基于以上测试数据，可以看出在防火墙缺省策略的应用情况下，根据实际情况仿真的测试值比宣称值下降了接近70%-80%。当然用户购买安全设备并不是不配置任何策略就使用的，安全策略的配置是必不可少的内容，也就是说一台宣称20G吞吐量的万兆防火墙在实际环境中能在2G到4G环境下正常应用。　　黑夜给了你黑色的眼睛，面对林林总总的万兆防火墙，希望本文能帮助无论是在选择防火墙或者推荐防火墙的您一些帮助。
IT168企业级拒绝访问 |
| 百度云加速
请打开cookies.
此网站 () 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3d2aa4-ua98).
重新安装浏览器，或使用别的浏览器随着网络带宽的迅猛提升，万兆网络大规模普及的今天，万兆网络成为网络新应用的主力军，不仅是万兆网络基础设备（交换机、路由器），包括万兆网络安全设备（防火墙、IPS等）也迎来产品和技术的全面提升。
随着网络带宽的迅猛提升，万兆网络大规模普及的今天，万兆网络成为网络新应用的主力军，不仅是万兆网络基础设备（交换机、路由器），包括万兆网络安全设备（防火墙、IPS等）也迎来产品和技术的全面提升。由于防火墙恰好处于网络的末端，因此防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响，特别是骨干网上使用的万兆防火墙，性能的高低直接影响着网络的正常应用。所以，目前防火墙的网络性能指标日益为人们所重视，地位也越来越重要。
作为网络互联设备，参考RFC对其在二、三层的数据包转发性能进行测试评估，是大部分网络设备性能测试的基本方法，二、三层的转发性能也可以帮助评估设备下层的交换转发机制是否高效。但作为防火墙来说，最大的特点就是可以对4~7层的高层流量进行一定的控制。随着下一代防火墙概念的逐渐清晰，防火墙肯定需要基于用户应用以及行为进行控制管理。这就必然对性能造成一定的影响，而这种影响有多大，会不会成为整个网络的瓶颈，就成为人们所关心的问题。据此，我们认为完整的防火墙性能评估应该由网络层性能、传输层性能和应用层性能三部分组成。
当前市场万兆防火墙鱼龙混杂，性能宣传值动辄从10Gbps到几百Gbps，几乎绝大多数宣称的最大性能指标都是网络层性能，即是根据RFC2544中吞吐率定义得出，但更重要的实际环境中的应用性能到底怎样呢？面对作为用户，如何分辨真伪，选择最为合适的产品呢？下面我们就通过一系列测试数据给您一个答案。
笔者近期在实验室选取当前比较流行的X86架构INTEL Sandy Bridge平台进行测试。硬件平台为英特尔SNB+Cougar Point C200芯片组中最高端的型号C206，配置Core I7 2600 CPU+4G DDR3内存。I7 2600处理器具有256KB L2缓存（每核）和8MB共享L3缓存，主频为3.4GHz。搭配82599网卡芯片，提供4个万兆多模SFP Plus接口。被测设备配置为交换模式，使用设备缺省安全策略进行测试。
网络层测试
在网络层性能部分我们选用了最重要的指标吞吐量。IETF RFC1242中对吞吐量做了标准的定义：&The Maximum Rate at Which None of the Offered Frames are Dropped by the Device.&，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。在RFC2544中给出了该项测试的步骤过程及测试方法。
在吞吐量测试中我们选用了IXIA公司的IxAutomate软件，IxAutomate是对RFC指标测试的自动化测试软件。在对防火墙吞吐量的测试中，我们遵照RFC建议，采用64，128，256，512，和1518字节等7种不同长度的数据帧来进行。
测试结果见下表：
帧长（字节）
吞吐量（Gbps）
在这7种数据帧中的性能结果最高的一般都是1518字节，目前市场上大多万兆防火墙宣称的转发吞吐量基本都是选取1518字节吞吐量测试结果。从上表可看出此款防火墙1518字节的吞吐高达26.9G。
传输层性能测试
传输层性能是针对防火墙状态相关的性能测试。它主要包括TCP并发连接数（Concurrent TCP Connection Capacity）和最大TCP连接建立速率（Maximum TCP Connection Establishment Rate）两项指标的测试。在RFC2647/RFC3511中对上述两个测试项做了明确定义与测试说明。在本测试中我们选择最能显示防火墙CPU处理能力的最大TCP连接建立速率来进行测试。
最大TCP连接建立速率通常也成为每秒新建连接速率，是测试防火墙维持的最大TCP连接建立速度，本指标用以体现防火墙更新状态表的能力，考察CPU的资源调度状况。这个指标主要体现了被测防火墙对于连接请求的实时反应能力。当被测防火墙每秒可以更快地处理连接请求，而且可以更快地传输数据的话，用户使用网络的实际感受也就越好，所以TCP连接建立速率的确是个很重要的指标。
本次测试使用了Ixia公司最新的BPS测试仪。通过测试，本次测试设备最大TCP连接建立速率可达15万/秒。下图是本次测试平台的TCP连接建立速率测试结果。
应用层性能测试
应用层性能指的是设备处理HTTP应用层流量的防火墙基准性能，主要包括HTTP传输速率（HTTP Transfer Rate）和最大HTTP事务处理速率（Maximum HTTP Transaction Rate）。
HTTP传输速率主要是测试防火墙在应用层的平均传输速率，是被请求的应用数据通过防火墙的平均传输速率。统计时只能计算协议的有效负载，不包括协议头部分。也必须将与连接建立、释放，以及维持连接所相关的数据排除在统计之外。该项指标也是我们常说的有效吞吐量（GOODPUT）。当我们提到吞吐量时，大多都是指二/三层的测试结果。但作为防火墙这类设备来说有效吞吐量显然是更重要的。由于我们的应用都是运行在四层以上。如果有效吞吐量性能不好，即使二/三层的转发性能很好，仍会导致应用运行缓慢。
最大HTTP事务处理速率是防火墙所能维持的最大事务处理速率，即表示用户在访问应用业务时所能达到的最大速率。HTTP传输速率和最大HTTP事务处理速率是最能贴近用户真实应用的性能指标。
应用层性能测试也是本次试验测试的重要部分，本次测试分别选取64K、32K、16K、1K字节页面作为测试页面，测试不同页面大小情况设备的HTTP传输速率以及最大HTTP事务处理速率。
测试结果如下：
HTTP Get Object Size
HTTP传输速率
最大HTTP事务处理速率
从上表中的数据我们可以看出根据HTTP Get目标大小的不同，两个指标HTTP传输速率和最大HTTP事务处理速率均会有很大差异。当HTTP GET的目标较大时，HTTP传输速率结果会比较好，当HTTP GET的目标较小时，最大HTTP事务处理速率就会比较高。因此不结合实际情况，单纯看HTTP传输速率和最大HTTP事务处理速率也是不够的。
通过前面的分析，针对同一款设备我们分别测试了网络层性能-最大吞吐量，传输层性能-每秒新建连接速率，应用层吞吐-HTTP传输速率和最大HTTP事务处理速率。
宣称性能（网络、传输层性能指标）
真实性能（应用层性能指标）
HTTP传输速率（32K）
每秒新建连接速率
最大HTTP事务处理速率（32K）
（以上或者用图表）
在上表中，应用层性能指标我们选用了测试数据中的中间部分HTTP GET Obje Size为32K，这个值有一定的代表意义。如果相同测试条件下进行不同厂家设备的横向对比，通过以上这些数据完全可以比较出高低优劣。但是我们选取的HTTP GET 32K的应用层性能数据就代表设备在真实环境下能够达到这样的处理能力呢？让我们继续下面的测试，看看在下面的测试环境下设备表现如何。
真实应用环境中，业务肯定不是单一的HTTP业务。由于不同的行业，不同的场合，其网络流量构成也有较大差别。本次测试使用的IXIA BPS测试仪表提供了多种流量模型，这些模型从业务构成以及比例上都比较接近真实业务环境。此次测试挑选高校模型和企业模型分别测试：
高校模型：
新建连接数
HTTP Video
HTTP Audio
BitTorrent File Download
eDonkey Data Transfer
SMTP Email
AOL InstantMessenger
IMAPv4-Advanced
企业模型：
新建连接数
HTTP Video
HTTP Audio
SIP/RTP Simple Call(TCP)
SIP/RTP Simple Call(UDP)
SMTP Email
AOL InstantMessenger
SMB NULL Session
SMB Client File Download
PostgreSQL
从以上两个流量模型的测试结果可以看出，随着业务多样性防火墙所能处理的吞吐量及每秒新建会话数进一步下降。
基于以上测试数据，可以看出在防火墙缺省策略的应用情况下，根据实际情况仿真的测试值比宣称值下降了接近70%-80%。当然用户购买安全设备并不是不配置任何策略就使用的，安全策略的配置是必不可少的内容，也就是说一台宣称20G吞吐量的万兆防火墙在实际环境中能在2G到4G环境下正常应用。
黑夜给了你黑色的眼睛，面对林林总总的万兆防火墙，希望本文能帮助无论是在选择防火墙或者推荐防火墙的您一些帮助。中科网威取得系统集成与服务资质2017年10月，中科网威通过“信息系统集成及服务资质”叁级认证。此项认证代表着我公司在系统集成、网络安全集成方案、软件开发和服务领域又向前迈进了一大步，综合实力跨越了一个新台阶。
ANYSEC全系列安全产品解决方案中科网威-国内最具实力的网络安全产品生产商,自主研发基于嵌入式SECROS操作系统系列产品包括：VPN安全网关、上网行为管理、企业防火墙、WEB应用防护、IT运维监控审计产品、病毒隔离产品...
中科网威新产品发布会深圳站隆重召开深圳中科网威ANYSEC春季新产品发布会在深圳福田梅林酒店隆重召开。此次新产品发布会以“合作共赢,炫出个性”为主题。中科网威与来自深圳及周边100多家渠道伙伴一起分享了公司今年最新九大产品...
中科网威ANYSEC产品解决方案中科网威ANYSEC九大系列产品：VPN安全网关、上网行为管理、企业防火墙、WEB应用防护、IT运维监控审计产品、病毒隔离产品、企业无线产品等，可为企业、行业用户提供一体化整体网络安全解决方案，目.....
中科网威ANYSEC行业解决方案中科网威一直致力于扎根行业、深入用户进行产品设计与创新，为用户构建安全一体化解决方案，为企事业单位网络安全创造新价值。ANYSEC产品已成功应用于运营商、政府、金融、企业、广电、教育、高校....
服务大厅内外网高级别安全防护,服务大厅PC进行全方位病毒防护,高性能万兆硬件防火墙双机热备保障,1G光纤上网线路进行线路负载均衡,中心服务器安全防护及Web应用防护
中科网威中标肇庆教育学校专网安全互联市教育局对全市1000多所中小学校访问中心教育资源集中管理；远程应用视频会议、电子考场、网上评卷、网上招生等；教育局、学校网络安全防护、网络限制管理审计记录
中科网威售后服务体系中科网威公司具备ISO服务质量管理体系认证，可以向用户提供标准化、专业化、多元化的技术服务。以用户满意度为目标制定服务标准，为用户提供更优质的产品和更贴心的服务。
中科网威强大售后服务支持中科网威400呼叫中心面向所有用户提供7x24小时的免费咨询服务（服务热线400-628--）用户可通过电话、邮件、IM、在线咨询等方式，快速响应并回复用户的各种技术疑问。
中科网威渠道合作模式中科网威产品销售采用全渠道化合作模式，作为厂商中科网威主要专注于网络安全产品研发和方案完善，为渠道合作伙伴提供专业的售后服务、技术培训、市场宣传等支持。
中科网威渠道合作支持中科网威长期致力于网络安全解决方案的创新和研发，同时也非常重视对渠道伙伴的技术支持，提升合作伙伴产品技术服务的安全能力，共同提供给用户更完整的解决方案。
关于中科网威ANYSEC深圳中科网威将以“聚焦网络、专注安全”作为发展目标,以“用户需求为导向”的研发核心理念,携手客户和合作伙伴,共同创建一个未来可信的、快捷安全的网络世界。
中科网科企业文化团结、精诚合作、勇于面对艰难困苦； & & 创新、开拓进取、快乐工作享受生活；立人、百年树人、打造百年过硬品牌； & & 务实、脚踏实地、发展民族信息产业。
新闻资讯 NEWS CENTER
Recommended products
ANYSEC-企业无线产品
中科网威官网 -
防火墙和网闸的区别,网闸和防火墙有什么不同
时间:点击：15
& & & & & 防火墙最终目的是为了内网的安全防护，防止外网对内网的攻击，同时对内网访问互联网的行为进行控制。而网闸的工作原理是信息摆渡，也就是可以实现完全隔离的不同网段之间的有条件访问，这是防火墙实现不了的。举个例子说，如果你有两个网段想互相访问，通过防火墙设置的话只是通过策略和路由实现，而通过网闸的话是用它自己的协议重新封装ip包再进行访问。网闸因为是用自己的协议重新封装ip包，所以处理数据多，速度慢。& & & & & 网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使&黑客&无法入侵、无法攻击、无法破坏，实现了真正的安全。&防火墙和网闸的区别& & & &防火墙与网闸一样是网络安全边界的安全卫士，其发挥的作用都不可轻视。但它们究竟有哪些不一样拉？是不是有了防火墙安全性就安枕无忧拉？或者说网闸的出现是为了取替防火墙的么？两者有哪些区别下边罗列一二：& & & &1、从硬件架构来说，网闸是双主机+隔离硬件，防火墙是单主机系统，在病毒防护方面防火墙有着天然的优势，而网闸在隔绝方面也有其自身的特点；& & & &2、与初级的防火墙相比，网闸工作在应用层，当然随着第二代防火墙的崛起，在应用层控制上第二代防火墙可以说毫不逊色，同时第二代防火墙很多附加功能也是网闸完全无法相提并论的；& & & &3、在数据交换机理上也不同，防火墙是工作在路由模式，直接进行数据包转发，网闸工作在主机模式，所有数据需要落地转换，完全屏蔽内部网络信息；& & & &4、最后，防火墙内部所有的TCP/IP会话都是在网络之间进行保持；而在网闸上不存在内外网之间的回话，连接终止于内外网主机。& & & &从上边得知，无论从功能还是实现原理上讲，网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。同时由于应用层各类的攻击和病毒的相继出现，下一代防火墙的功能也越来越无法被替代，所以，两种产品由于定位的不同，因此不能相互取代。
新闻资讯 NEWS CENTER
Recommended products
ANYSEC-企业无线产品
联系我们：
销售热线：
地址 : 深圳市福田区梅华路105号 国际电子商务产业园1栋601}