网络安全 频道

网神NSG9500下一代极速防火墙评测

  下一代防火墙的核心部署可以为用户带来什么?BYOD设备可以按用户分级进行管理、内网用户中存在的网络威胁及非法应用行为将可以及时定位并进行控制、可以按文件内容、网络应用、用户级别等不同维度实现更加细粒化的等级保护管理……

  下一代防火墙核心部署的好处多多,但核心网络的应用流量处理问题,是对NGFW最大的挑战。提到网络核心,人们首先想到是大流量、高密+度的网络接口。那么通常做为网关安全产品的下一代防火墙可以应对这样的挑战吗?

  网神信息技术(北京)股份有限公司新近研发的NSG9500下一代极速防火墙产品(以下简称网神NSG9500),通过应用层和网络层安全模块的并行调度,提升了应用层处理性能;系统引擎与安全引擎的用户态设计,避免了安全扫描对设备性能的影响,有效提高了整机运行速度;用户智能管控、应用精细识别、IPS+APP联动及立体可视化监控等一系列特有功能为我们提供出了全新的网络核心级应用安全管理控制解决方案。

  再加上友好的扁平化风格界面,配合直观的功能模块设计,帮助用户更加方便的进行网络管理。可以说,网神NGFW下一代极速防火墙在有效解决应用层瓶颈和多样化威胁的基础上,为自身系统调度保证了足够的冗余空间,让设备的整体处理性能有了质的飞跃,为用户网络应用的核心安全提供了完美的网络安全解决方案。

NGFW到核心

  网神 NSG9500下一代防火墙产品

NGFW到核心

  在现在万兆网络为主干的网络环境中,核心产品如果无法提供100G以上的网络处理性能是很难满路满足NGFW到核心的应用需求的。那么网神NSG9500是否可以满足网络核心高带宽、大流量的网络应用处理需求呢?为此《网络世界》评测实验室与思博伦合作,在思博伦概念验证(SPOC)实验室中采用思博伦最新的SPT N4U与Avalanche C100测试仪表分别对网神NSG9500的网络层及应用层性能进行了测试。(测试拓扑参见图1、2)

NGFW到核心

  保守的网络性能设计

  由于网神NSG9500可以支持16个万兆光纤接口,为了测试其最大网络性能,在本次测试中,我们采用思博伦可支持10G-100G测试模块的体积最小的机箱SPT N4U,配合可以最高支持4个100G光纤模块的DX2-100GO-P4测试模块,对网神NSG9500的网络层吞吐量及时延进行了测试。在本次测试中,在DX2-100GO-P4测试模块上插入4个40G光纤模块,每个模块引出四个万兆光纤接口与网神NSG9500的16个万兆光纤模块一一对接。

NGFW到核心

  等待接入DX2-100GO-P4的SPT N4U

NGFW到核心

  DX2-100GO-P4

  吞吐量设计性能保守

  在本次吞吐量测试结果出来后,我们不禁对网神NSG9500的吞吐量处理性能下了一个“保守”的结论。并非网神NSG9500的吞吐量处理性能不理想,而是正相反,NSG9500为我们提供了一个十分出色的防火墙网络处理性能答卷。

NGFW到核心

  网神NSG9500 网络层吞吐量测试结果统计图表

  通过网神NSG9500 网络层吞吐量测试结果统计图表我们可以直观的发现,NSG9500在160G满端口吞吐量测试中,性能非常出色。从64Byte起,其就具备着50%以上的吞吐量处理性能。在128Byte时,吞吐量上升至90%以上,自256Byte起,吞吐量基本就全在100%左右。即便是在以前传统防火墙的测试中,这样的测试成绩也已经十分令人惊艳了。可为什么我们还要给他做出一个“保守”的测试结论呢?原因是这样的:在传统防火墙测试时,由于无法了解网络数据传输情况,为了保障网络的稳定运行,我们不得不尽量提升数据包的传输速率,于是产生了“0”丢包的吞吐量指标评定标准。而得益于网络应用流量分析等下一代防火墙技术的发展,使我们可以更清晰的对网络流量数据包平均包长有了更深入的了解。这时我们发现,在实际网络应用中,数据包的平均长度在600Byte-700Byte之间(不同应用环境的网络平均包长会有所出入)。当过于追求小数据包的转发速率时,会对网络可接入带宽造成比较大的影响。由此,我们可以知道数据包转发速率在512Byte时达到或接近线速就完全可以满足当前网络数据包转发的应用需求了。而网神NSG9500在256Byte时的数据包转发速率就已基本达到了线速。这意味着网络网神NSG9500完全可以再扩充一倍的网络接口,使其接入带宽提升到300G以上。从而更好的满足下一代防火墙到核心的高带宽网络流量接入应用需求。

  时延处理高效

  网络核心的数据转发需要大带宽高效率。因此做为网络核心级产品,对数据包转发的时延也会有很高的要求。

  在对网神NSG9500网络层时延性能测试时,在100%吞吐量,无丢包情况下,我们发现,即便是在1518Byte的最长包转发时,依然可以保持在23微秒以内的转发时延,显示出了十分高效的数据包时延转发处理能力。

  惊艳的应用处理性能

  应用层的行为分析及管理控制,是下一代防火墙的一个重大技术突破,而此类功能的可靠实施,必需要依靠强大的应用层处理能力。向核心迈进的网神NSG9500在应用层处理性能如何呢?为此,我们采用思博伦Avalanche C100测试仪表对NSG9500的应用层处理性能进行了测试。

NGFW到核心

  叠在一起的网神NSG9500与思博伦Avalanche C100

  百万级的新建连接处理速率

  在网络中,每一个应用运行时,都会通过建立一条或多条应用会话连接,来进行网络应用数据的传输工作。当下一代防火墙部署到核心后,首先要面对的就是海量的网络应用连接会话请求。网神NSG9500是否可以应对这种核心级的网络应用挑战呢?让我们来看一下NSG9500的在防火墙模式下的新建连接速率测试结果。

NGFW到核心

  防火墙模式新建连接速率测试结果

  通过测试结果我们可以了解网神NSG9500在防火墙模式下,成功建立的最大新建连接速率可以达到3173083新建连接每秒。新建连接速率可以平稳保持在317万新建连接每秒以上。向我们展现出了三百万级的新建连接处理能力。

  根据目前所获得的调查统计,在当前企业网内部网络应用中,最高每用户(IP)每秒的新建连接请求也就在4-5个新建连接每秒之内。即便以每用户(IP) 1Mb的最小传输带宽来计算,300万新建连接每秒的应用连接处理速率可以满足60万用户600G以上网络带宽的新建连接应用需求。而1MB带宽在企业网络应用中仅可以满足上网浏览等最简单的网络应用,如果有网络音、视频或大文件传输的应用需求,每用户10-20Mb内网带宽的网络分配是目前比较常见,以此来计算,NSG9500的新建连接速率性能也还有着极大的应用处理余量存在。这种应用处理余量可以为用户轻松的按排更多的网络应用识别、深度内容管理等应用层的网络应用管理控制功能。从而更好的在网络应用安全层面提升网络核心的管理控制能力。

  千万级的并发连接

  在对网络连接保持能力的并发连接性能测试时,网神NSG9500最大可以支持2000万条并发连接。虽然在企业网内部的实际网络应用中,基本用不到如此高的网络并发连接数量。在服务器方面,即便是十分高性能的服务器,同时保持一万条的网络应用会话连接,对服务器稳定运行来讲,是一件十分危险的事情。用户端所需要的连接数更少,一百条连接基本可以满足用户当前所有网络应用的并发连接应用请求。(如有超出,请先查毒!)由此可知,过高的并发连接的性能,更多的是体现产品对设备内存的管理控制能力。在这方面,网神NSG9500做的同样出色。

  完善的下一代管控功能

  下一代防火墙部署到网络核心,关键是要实现从用户、应用、内容等角度进行不同等级立体防护的管理控制功能。那么网神NSG9500是否具备这样的管理控制功能呢?为此,我们又对NSG9500的网络管理控制功能进行了测试。

  基于用户、应用、设备、地域的QoS控制

  网神NSG9500的单引擎一次性数据处理技术,不但为NSG9500带来了高性能的应用处理能力,还可以十分高效的实现基于用户、应用、设备、地域的QoS控制。在NSG9500的管理控制界面中,通过“安全策略”与“行为管理”的设置,可以轻易的对访问/接入地域、接入设备类型进行分类管理,并可以通过用户认证、应用识别的方式对不同用户不同应用进行智能化的网络带宽流量管理工作。通过这一系列的基于用户、应用、设备、地域的智能QoS管理能力,有效的实现的多维度综合管理、立体分级防护的全新管理控制功能。

NGFW到核心

  高性能入侵防御与攻击防护

  借助于网神新一代多核AMP+架构,NSG9500可以对网络起到实时的防护作用,同时在强大性能和架构支撑下,有效降低数据转发延迟。除了针对应用程序和操作系统漏洞进行的入侵,网络中还存在大量针对TCP/IP协议进行的网络攻击,这些网络攻击主要依赖防火墙的攻击防护来提供保障。NSG9500优化了传统防火墙的攻击防护工作原理,提供更灵活更全面的攻击防护,在强大性能的支撑之下,更加可靠的保证用户网络安全。

  连接限制与多维度可视化监控

  连接限制:

  连接限制是网神NSG9500用来限制并发及新建连接数的功能。配合攻击防护、入侵防御功能,保证用户网络安全。目前最常见的两个应用场景为:

  限制P2P流量的并发连接数。通过限制单个用户的连接数上限,让使用P2P下载的用户在达到阈值时也不会对其它用户造成影响。

  限制来自外网或者内网的高新建高并发的攻击行为,保护连接表不被DoS攻击填满。

  多维度可视化监控

  传统防火墙更侧重于访问控制、攻击防护这些核心功能,监控功能往往过于简单。为管理员日常的维护工作和网络异常时,寻找问题根源带来了很大的不便。

  网神下一代极速防火墙,提供多维度可视化的监控功能,力求为用户带来更人性化,更易读的网络状态信息展示。用户可以实时查看网络当前状态,并可以根据地址、端口、应用、用户、区域多个维度来报表展示。

NGFW到核心

NGFW到核心

  向核心安全迈进的NGFW

  通过以上功能及性能测试,我们可以了解网神下一代极速防火墙NSG9500可以向我们提供高性能、高密度、高带宽的网络接入能力,并且具备了全方位的网络应用管理控制功能,同时还可以向我们提供高性能安全防护、连接限制与多维度可视化监控功能。通过高性能、多功能网络应用管理的有效结合,使网神下一代极速防火墙可以向核心安全,全方位管控这下全新网络安全管理控制领域成功进行迈进。

0
相关文章