电信向左 企业向右―千兆防火墙横向评测
开篇:润墨网以专业的文秘视角,为您筛选了一篇电信向左 企业向右―千兆防火墙横向评测范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
(计算机世界实验室 韩勖)为厂商与用户架起沟通的桥梁,是计算机世界实验室不懈追求的目标。自2004年起,实验室已经连续3年组织了千兆防火墙产品横向评测,积累了大量经验。今年,我们在与厂商保持互动沟通的基础上,注意倾听读者需求,将测试重点放在一些用户最为关心的地方,希望能为选型提供有益参考。
我们向国内外主流厂商发出了邀请,包括Fortinet、Juniper、H3C、启明星辰、天融信、联想网御、网御神州、卫士通、合勤、锐捷、方正和东软。不过,半数以上的厂商由于各种原因拒绝了我们的邀请,只有卫士通、东软、天融信、合勤勇敢地接受了挑战。卫士通、东软(2款)、天融信送测的4款产品定位于电信级应用,合勤送测的产品则定位于中小企业。除卫士通中华卫士A4400于去年年底外,其余4款产品都是今年内的新品,某种程度上代表了当今防火墙产品的发展水平。这5款产品都是第一次参加公开测试,我们对能进行业内首测感到荣幸。
在前后一个多月的时间里,各款产品都顺利完成了测试。天融信NGFW4000-UF 5564与东软FW5200-IP561凭借各方面的良好表现博得了我们的最高评价,获得计算机世界实验室推荐产品奖。
架构
防火墙产品的架构发展是长久以来业界一直关注的话题,我们在以往的测试中也进行过多次探讨。在沟通中,我们发现许多用户对防火墙产品的架构存在一些错误的认识,这里做个简单说明。x86架构与NP架构,基本上是指单一处理器架构。基于这种架构的防火墙产品,所有的功能都由唯一的CPU去实现。而ASIC技术,是指采用专门的ASIC芯片处理数据转发等任务(针对防火墙产品而言),由CPU来实现其他功能调度,属于混合架构。通常,采用单一x86与NP架构的产品绝对性能不及采用混合架构的产品,但基本能满足大多数企业用户的需求,部署成本也相对较低。电信级产品则大多选择了混合架构设计,追求性能之上的理念。虽然加速芯片的研发周期长、难度大,但从厂商选择看来,似乎是满足高端用户需求的唯一方式。
各厂商对混合架构的理解不同,具体实现方式也不同。参加本次横向评测的4款电信级产品全部采用了混合架构,其中一半采用x86 CPU与ASIC芯片搭配,另一半采用x86 CPU结合快速芯片实现。唯一一款采用NP架构的产品,则定位于中小企业。
功能
随着需求的不断深入,针对不同用户群体的防火墙也出现比较明显的功能差异。面向高端用户的电信级产品以高性能、高可靠性为目标,提供的功能大多为这两者服务,如虚拟防火墙等。企业级产品则集成了越来越多的功能模块,访问控制的重点向应用层转移,以适应更加复杂的需求。在与读者的交流中,我们了解到NAT ALG与对P2P、IM类应用的限制是企业用户当前需求最为强烈的两个功能,并在测试中进行了重点考察。
对于大多采用NAT方式接入互联网的企业用户来说,如果防火墙支持NAT ALG功能,就可以很轻易地完成VoIP等应用的部署。在测试中,定位于中小企业的合勤ZyWALL USG 300对NAT ALG功能的支持最为全面。除支持SIP、H.323和FTP三种应用层协议的NAT ALG处理外,还可以对其进行信令级控制。
P2P与IM类应用为个人用户带来很大便利,带给企业的则是网络资源滥用、病毒入侵、信息泄漏等安全问题。参加本次横向评测的5款产品中,卫士通中华卫士A4400、天融信NGFW4000-UF 5564与合勤ZyWALL USG 300三款产品内置针对P2P与IM类应用的控制模块。值得肯定的是,这3款产品对此类应用的识别与控制都是基于协议的,这是从根本上解决问题的前提。
在未提前知会各厂商的情况下,我们根据与读者交流获得的信息,结合目前网络应用的实际情况,遴选出9款最常见的、也是控制需求最为强烈的软件进行了控制能力测试。这些软件都是截止至测试开始前官方的最新版本,保证了结果的时效性。从测试结果来看,各产品在IM类应用的控制方面表现基本令人满意,对P2P类应用的控制能力还有待加强。QQ、TM与Windows Live Messenger三种国内应用最广泛的IM软件都可以被有效阻断,而eMule这种互联网最大的P2P应用则不能被控制。
性能
为详实体现参测产品2、3层性能表现,我们分别在透明、路由、基于源地址的PAT模式下使用RFC建议的7种不同大小的数据包进行测试。在这个环节中,我们使用思博伦通讯SmartBits 6000B测试仪TeraMetrics LAN-3301A卡上的一对端口,配以SmartFlow 5.5生成测试流量。对于透明与路由模式,我们使用双向各100条数据流;对于基于源地址的PAT模式,我们只使用由源地址网段发起的100条数据流。在延迟测试部分,我们使用测试仪分别生成线速20%、40%、60%三种数据流,考察产品在不同负载下的表现。从测试结果可以看出,采用了ASIC技术的产品有着很好的表现。卫士通中华卫士A4400与天融信NGFW4000-UF 5564实现了线速转发,转发延迟也维持在一个较低水平。
我们采用Avalanche 2700和Reflector 2700配合Avalanche Commander 7.51进行应用层性能测试,重点考察参测产品在路由模式下HTTP协议每秒新建连接数与最大并发连接数两个指标。在测试中,卫士通中华卫士A4400成功建立并维持了1351762个HTTP连接,天融信NGFW4000-UF 5564每秒HTTP新建连接数达到21345个,显示了与这两款产品定位相符的能力。东软与合勤都对产品的最大并发连接数进行了限制,这么做可以避免系统在临界状态出现一些难以预料的错误,保证设备的稳定运行。
安全性
我们选择了Ping of Death、Teardrop、Smurf、Land-based 4种常规攻击与SYN Flood、Ping Flood、UDP Flood 3种流量型DoS攻击,用TeraMetrics LAN-3301A配合WebSuite 2.60,分别生成10秒、线速10%与30秒、线速40%的攻击流量。在测试中,5款产品都可以有效抵御所有攻击,其中天融信NGFW4000-UF 5564与东软FW5200-IP391/IP561因利用加速芯片实现部分功能,表现最为出色。
受版面限制,未能将全部报告内容、表格、图片等信息展现给广大读者。欢迎访问计算机世界实验室官方网站 .cn 获取完整版测试报告。