網(wǎng)御神州泰山紅日G60-76AA安全網(wǎng)關(guān)評測
但性能與業(yè)務(wù)復(fù)雜度天生就是一對矛盾體,在一些要求較高的應(yīng)用場合,就算是多核系統(tǒng)平臺也很難做到功能、性能兩全。對于這種現(xiàn)狀,網(wǎng)御神州科技有限公司(以下簡稱“網(wǎng)御神州”)顯然有著深刻的認識。繼去年發(fā)布全線多核戰(zhàn)略,將旗下中高端產(chǎn)品遷移至多核平臺后,該公司又于近日發(fā)布了全新的泰山紅日系列產(chǎn)品。這一系列產(chǎn)品基于為多核平臺加速的設(shè)計理念,引入了可編程ASIC加速引擎,使系統(tǒng)整體處理能力達到一個新的高度。經(jīng)過努力,我們有幸趕在正式發(fā)布前對型號為G60-76AA的產(chǎn)品進行了詳細的測試分析,在此與讀者朋友們分享。
全功能安全堡壘
泰山紅日G60-76AA采用2U規(guī)格設(shè)計,內(nèi)置10個千兆電口與10個千兆SFP接口,接入能力十分強大。由于該產(chǎn)品定位于對性能、可靠性要求較高的應(yīng)用環(huán)境,標配雙電源也是順理成章的事情。充裕的機身空間使其具備良好的擴展性,用戶可以根據(jù)需要選配硬盤,在本地保存日志及審計信息。產(chǎn)品功耗也并未因內(nèi)置硬件加速引擎而出現(xiàn)顯著增長,實測空載97W、滿載120W的結(jié)果在2U規(guī)格的安全網(wǎng)關(guān)設(shè)備中表現(xiàn)尚可。
嚴格的管理方式是泰山紅日系列產(chǎn)品的亮點之一。該產(chǎn)品支持Telnet、SSH1/SSH2、基于HTTPS的WebUI與本地串口管理,但默認只開啟了后兩者,而且在登錄到WebUI前,必須在本地控制臺中導(dǎo)入設(shè)備附帶的管理員證書。泰山紅日使用這種雙向驗證建立SSL隧道的方式,有效屏蔽了密碼泄露導(dǎo)致的安全威脅。該產(chǎn)品也支持證書導(dǎo)入,可以無縫融入政府、金融等大型用戶已部署的證書管理體系中。
隨著安全網(wǎng)關(guān)逐漸成為市場主流,網(wǎng)御神州也順應(yīng)平臺化的大潮,在泰山紅日系列產(chǎn)品中集成了多種實用的安全功能。除防火墻、IPSec VPN、SSL VPN、病毒過濾、入侵防御等常見功能外,該產(chǎn)品還內(nèi)置了囊括57大類、超過1200萬個URL信息的綠色上網(wǎng)、針對應(yīng)用的控制及基于Web或客戶端的用戶認證等行為管理類組件,提供了由被動到主動的立體防御措施。這種模式的優(yōu)點顯而易見,用戶可以根據(jù)自身需求選擇相應(yīng)的功能模塊,并且在未來安全需求發(fā)生變化時,保持快速升級的能力。
動力源:多核AC架構(gòu)
泰山紅日系列產(chǎn)品采用了多核x86處理器搭配可編程ASIC加速引擎的硬件解決方案,網(wǎng)御神州稱之為“多核AC架構(gòu)”。該方案解決了多核架構(gòu)在網(wǎng)絡(luò)層處理能力上的不足,使其在狀態(tài)與應(yīng)用層業(yè)務(wù)處理方面的優(yōu)勢得到很好的發(fā)揮,與傳統(tǒng)ASIC架構(gòu)相比有著截然不同的存在意義。
如今,技術(shù)領(lǐng)域發(fā)生了翻天覆地的革命。多核x86處理器憑借強大的計算能力與突飛猛進的I/O性能,越來越多地出現(xiàn)在安全產(chǎn)品中,承載起各類復(fù)雜的業(yè)務(wù);ASIC也在形態(tài)、成本、性能等方面找到合理的平衡點,為整體處理能力的提升提供了易于實現(xiàn)的基礎(chǔ),而不僅僅表現(xiàn)為“傻快傻快”的防火墻。最重要的變化還是來自需求方面,安全業(yè)務(wù)的不斷拓展使得病毒過濾、入侵防御乃至應(yīng)用控制等功能逐漸成為與防火墻同樣重要的關(guān)注焦點,這恰恰是多核AC架構(gòu)的用武之地。經(jīng)過可編程ASIC加速引擎的卸載,多核x86處理器可以專注于應(yīng)用層業(yè)務(wù)的處理,使之盡可能少地成為系統(tǒng)性能的短板。這一點,在測試中有比較明顯的體現(xiàn)。
與新的硬件架構(gòu)相對應(yīng),改進過的網(wǎng)御神州SecOS并行安全操作系統(tǒng)將負擔(dān)起更多的調(diào)度協(xié)調(diào)工作,使多核平臺與可編程ASIC加速引擎盡可能地融為一體。對于不同硬件平臺之間的資源差異,也可以利用系統(tǒng)內(nèi)置的CPU核任務(wù)調(diào)度負載均衡技術(shù)實現(xiàn)任務(wù)的統(tǒng)一分配,最大限度地利用多核x86處理器進行應(yīng)用層業(yè)務(wù)的處理。這種并行化的運作方式,可以確保每個內(nèi)核都能在資源允許的范圍內(nèi)實現(xiàn)處理能力的最大化,也是提高產(chǎn)品穩(wěn)定性與平滑升級的先決條件。
性能:理論決定實際
架構(gòu)上的優(yōu)勢可以通過理論分析得出,產(chǎn)品化后的真實性能如何,還得通過測試來驗證。我們首先按照RFC2544規(guī)范的要求,使用思博倫通信提供的SmartBits 600測試儀考察了泰山紅日G60-76AA在1條全通策略與199條阻斷/1條全通策略配置下防火墻的吞吐量與平均延遲。為保證結(jié)果的準確性,測試分別在路由、透明及NAT模式下進行3次,取穩(wěn)定值作為最終結(jié)果。
我們得到了一組整齊劃一的測試數(shù)據(jù)。無論是路由、透明還是NAT模式,泰山紅日G60-76AA在7種幀長下都保持了100%的線速吞吐。延遲方面的表現(xiàn)也頗具亮點,64、128Byte幀長時小于7微秒的平均延遲將設(shè)備對視頻會議等時延敏感型應(yīng)用的影響減少到最小。需要說明的是,因為測試儀端口數(shù)量的限制,本次只使用了8個千兆口進行測試。如此看來,8Gbps線速絕非該產(chǎn)品的極限性能,也許我們應(yīng)該使用更多的端口進行復(fù)測。
對于狀態(tài)檢測防火墻來說,必須還要有足夠優(yōu)秀的連接建立、維護能力,才能讓吞吐量的數(shù)值具有實際意義。我們按照RFC3511的規(guī)范要求,使用思博倫通信提供的Avalanche 2900應(yīng)用層性能測試儀對泰山紅日G60-76AA進行了測試。在路由模式、加載200條防火墻策略的情況下,該產(chǎn)品的每秒HTTP新建連接數(shù)超過6萬5千,并可保持最大200萬個并發(fā)連接。結(jié)合之前網(wǎng)絡(luò)層測試結(jié)果看,如果用戶需要的是一臺高性能千兆防火墻,這款產(chǎn)品無疑是個不錯的選擇。
多核AC架構(gòu)支撐下的多業(yè)務(wù)綜合性能,是泰山紅日系列產(chǎn)品另一個值得關(guān)注的重點。我們在路由模式、防火墻加載200條策略的基礎(chǔ)上,打開病毒過濾與入侵防御模塊進行了測試。此時G60-76AA的HTTP可用帶寬達到1280Mbps,每秒HTTP新建連接數(shù)為13766,最大并發(fā)連接數(shù)依舊保持在200萬。對比純x86多核平臺的產(chǎn)品,這個結(jié)果確實有一定的優(yōu)勢。而從未來前景考慮,x86多核處理器的高速更新?lián)Q代幾乎是必然結(jié)果,這也意味著泰山紅日系列產(chǎn)品在網(wǎng)絡(luò)層性能保持領(lǐng)先的同時,應(yīng)用層性能還有著廣闊的提升空間。
