08年10月28日,Hillstone正式发布了电信级万兆安全网关SA-5180,完成了从桌面到万兆核心骨干网级别的产品布局。该公司同时宣布,将与业界知名的防病毒解决方案提供商卡巴斯基合作,利用其高效、完善的病毒库,为SA系列安全网关增加防病毒特性。与传统的纯软件解决方式不同,Hillstone自主研发的防病毒引擎在高性能多核平台的基础上,借助专用安全芯片StoneASIC,可实现更高的处理能力。计算机世界实验室***时间从Hillstone征集到新版本的 SA系列产品,对加入防病毒特性后的应用层安全性能进行了深入测试。
本次我们测试的产品是SA-5050,这也是SA系列千兆安全网关中***端的型号。该产品采用了Hillstone所倡导的多核Plus硬件架构,将多核网络处理器、StoneASIC与高性能交换芯片进行合理搭配,减少了应用环境对性能带来的影响。虽然只是个标准的1U设备,SA-5050却提供了6个千兆电口与6组千兆光电互斥接口,网络接入能力较强。该产品还配备了互为冗余的两组电源,并支持主/备的双机冗余部署方式,为电信级应用做好准备。
SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议,可以对CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤。对于现实中大量存在的压缩文件,防病毒引擎也可以做到最多5层还原检测,避免病毒从这种途径混入内部网络。为保证测试结果的时效性,我们在测试开始前将SA-5050的防病毒引擎与病毒库升级至11月6日的***版本。
本次测试采用的测试仪表为思博伦通信的Avalanche2900,采用双向共8个千兆电口的配置。SA-5050采用8个端口进行对接,分为Trust(4口)与Untrust(4口)两个安全域,分别连接测试仪模拟的客户端与服务端。为避免性能受到影响,在测试时关闭了所涉及模块外的一切功能选项,并采用带外管理的方式监控被测设备。
需求主导的测试方案
在制订测试方案时,我们进行了一系列用户需求调查。从反馈信息中了解到,电信运营商对性能有着特殊的要求,通常会采用独立的设备构建完整的安全防护体系。而企业与高校则是最关注安全网关应用层防护能力的两类用户,它们的需求十分复杂,甚至拓展到防病毒以外的其他领域。我们根据这些信息制订了两个测试用例,着重模拟企业与高校用户的使用环境,对SA-5050的应用层安全性能进行测试。
***个测试用例是关于防病毒性能的基准测试,考察设备在1000条防火墙策略、源端口地址转换模式下,模拟每秒40000个用户访问Web页面时SA-5050实际能够达到的性能。测试的事务流程取自大多数用户通过浏览器访问网站的完整过程:使用客户端发起HTTP 1.1访问请求,从服务端获取一个64KB大小的页面文件,完成后即拆除连接。为防止防火墙模块对安全策略进行合并等预处理,我们制定了与模拟客户端、服务端处于同一广播域内的跳跃式策略,以保证访问请求在***命中。在这项测试中,SA-5050的吞吐量接近1.9Gbps,表现非常强劲。
第二个测试用例则在刚才的基础上,开启P2P/IM控制与URL过滤模块,加载屏蔽BT、eMule、QQ、MSN四种常见应用和10个URL关键字的策略,模拟每秒31000个用户访问Web页面。从技术角度看,这两类应用都涉及应用层报文处理,理论上会对性能造成比较大的影响,但从调查结果来看,这样的配置非常具有代表性,更加贴近企业与高校用户的实际需求。测试结果显示,SA-5050在这种环境下的***可用带宽超过1.1Gbps,比预想值高出不少。我们还发现,产品在达到性能极限时,无论是WebUI还是CLI都保持了正常的响应速度,不会出现常见的“假死”情况。
及时的用户建议
在测试的收尾阶段,一位负责校园网安全保障工作的读者为我们提供了一条很有价值的信息。他所在的学校目前使用一台两年前采购的UTM产品做网关,对于设备的使用现状,这位老师并不是很满意。“现在通过互联网下载的文件越来越大,我们发现UTM扫描大文件时,性能下降太明显。”这个信息让我们很受启发,既然实际需求的变化暴露出安全网关的一些弱点,不妨再做一下有针对性的测试。
我们沿用第二个测试用例的环境,将模拟服务端使用的64KB页面换成一个1.16MB大小的可执行文件,进行了多次测试。SA-5050此时***吞吐量达到1.8Gbps左右,被扫描文件体积的增加并未对设备的防病毒性能造成明显影响。通过与Hillstone工程师的交流,我们得知SA系列产品发挥了高性能硬件平台的优势,将文件接收、文件扫描、文件发送等环节同步地并行处理,减少了传统处理机制造成的低效率、高延迟等情况。
虽然从测试数据看,SA-5050表现出来的应用层性能尚不及2-4层性能指标那样夺目,却已经可以满足多数企业、高校类用户的实际需要。这是对传统瓶颈的一次突破,在高性能硬件平台与新版系统软件的支持下,Hillstone SA-5050包括防病毒在内的应用层处理能力已大大超越了传统意义上的防毒墙或UTM产品,达到一个新的高度。
【编辑推荐】
