Hillstone SA-5050安全網關性能評測報告
08年10月28日,Hillstone正式發布了電信級萬兆安全網關SA-5180,完成了從桌面到萬兆核心骨干網級別的產品布局。該公司同時宣布,將與業界知名的防病毒解決方案提供商卡巴斯基合作,利用其高效、完善的病毒庫,為SA系列安全網關增加防病毒特性。與傳統的純軟件解決方式不同,Hillstone自主研發的防病毒引擎在高性能多核平臺的基礎上,借助專用安全芯片StoneASIC,可實現更高的處理能力。計算機世界實驗室***時間從Hillstone征集到新版本的 SA系列產品,對加入防病毒特性后的應用層安全性能進行了深入測試。
本次我們測試的產品是SA-5050,這也是SA系列千兆安全網關中***端的型號。該產品采用了Hillstone所倡導的多核Plus硬件架構,將多核網絡處理器、StoneASIC與高性能交換芯片進行合理搭配,減少了應用環境對性能帶來的影響。雖然只是個標準的1U設備,SA-5050卻提供了6個千兆電口與6組千兆光電互斥接口,網絡接入能力較強。該產品還配備了互為冗余的兩組電源,并支持主/備的雙機冗余部署方式,為電信級應用做好準備。
SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五種協議,可以對CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等類型的文件進行過濾。對于現實中大量存在的壓縮文件,防病毒引擎也可以做到最多5層還原檢測,避免病毒從這種途徑混入內部網絡。為保證測試結果的時效性,我們在測試開始前將SA-5050的防病毒引擎與病毒庫升級至11月6日的***版本。
本次測試采用的測試儀表為思博倫通信的Avalanche2900,采用雙向共8個千兆電口的配置。SA-5050采用8個端口進行對接,分為Trust(4口)與Untrust(4口)兩個安全域,分別連接測試儀模擬的客戶端與服務端。為避免性能受到影響,在測試時關閉了所涉及模塊外的一切功能選項,并采用帶外管理的方式監控被測設備。
需求主導的測試方案
在制訂測試方案時,我們進行了一系列用戶需求調查。從反饋信息中了解到,電信運營商對性能有著特殊的要求,通常會采用獨立的設備構建完整的安全防護體系。而企業與高校則是最關注安全網關應用層防護能力的兩類用戶,它們的需求十分復雜,甚至拓展到防病毒以外的其他領域。我們根據這些信息制訂了兩個測試用例,著重模擬企業與高校用戶的使用環境,對SA-5050的應用層安全性能進行測試。
***個測試用例是關于防病毒性能的基準測試,考察設備在1000條防火墻策略、源端口地址轉換模式下,模擬每秒40000個用戶訪問Web頁面時SA-5050實際能夠達到的性能。測試的事務流程取自大多數用戶通過瀏覽器訪問網站的完整過程:使用客戶端發起HTTP 1.1訪問請求,從服務端獲取一個64KB大小的頁面文件,完成后即拆除連接。為防止防火墻模塊對安全策略進行合并等預處理,我們制定了與模擬客戶端、服務端處于同一廣播域內的跳躍式策略,以保證訪問請求在***命中。在這項測試中,SA-5050的吞吐量接近1.9Gbps,表現非常強勁。
第二個測試用例則在剛才的基礎上,開啟P2P/IM控制與URL過濾模塊,加載屏蔽BT、eMule、QQ、MSN四種常見應用和10個URL關鍵字的策略,模擬每秒31000個用戶訪問Web頁面。從技術角度看,這兩類應用都涉及應用層報文處理,理論上會對性能造成比較大的影響,但從調查結果來看,這樣的配置非常具有代表性,更加貼近企業與高校用戶的實際需求。測試結果顯示,SA-5050在這種環境下的***可用帶寬超過1.1Gbps,比預想值高出不少。我們還發現,產品在達到性能極限時,無論是WebUI還是CLI都保持了正常的響應速度,不會出現常見的“假死”情況。
及時的用戶建議
在測試的收尾階段,一位負責校園網安全保障工作的讀者為我們提供了一條很有價值的信息。他所在的學校目前使用一臺兩年前采購的UTM產品做網關,對于設備的使用現狀,這位老師并不是很滿意。“現在通過互聯網下載的文件越來越大,我們發現UTM掃描大文件時,性能下降太明顯。”這個信息讓我們很受啟發,既然實際需求的變化暴露出安全網關的一些弱點,不妨再做一下有針對性的測試。
我們沿用第二個測試用例的環境,將模擬服務端使用的64KB頁面換成一個1.16MB大小的可執行文件,進行了多次測試。SA-5050此時***吞吐量達到1.8Gbps左右,被掃描文件體積的增加并未對設備的防病毒性能造成明顯影響。通過與Hillstone工程師的交流,我們得知SA系列產品發揮了高性能硬件平臺的優勢,將文件接收、文件掃描、文件發送等環節同步地并行處理,減少了傳統處理機制造成的低效率、高延遲等情況。
雖然從測試數據看,SA-5050表現出來的應用層性能尚不及2-4層性能指標那樣奪目,卻已經可以滿足多數企業、高校類用戶的實際需要。這是對傳統瓶頸的一次突破,在高性能硬件平臺與新版系統軟件的支持下,Hillstone SA-5050包括防病毒在內的應用層處理能力已大大超越了傳統意義上的防毒墻或UTM產品,達到一個新的高度。
【編輯推薦】
