当前位置: 主页 > www.0515599.com >

天鹰心水JuniperSRX5800:世界上最快的防火墙

发布日期:2019-10-14 10:23   来源:未知   阅读:

  在我们独家的ClearChoice专题测试中,SRX5800能够通过其16个万兆以太网接口,以140Gbps的速率传送流量,从而使之成为我们和其它机构测试过的最大且速度最快的防火墙。

  “最大”并不等同于“能力最强”。例如,启用入侵防御会导致转发速率降至30Gbps,即使是在处理良性流量时也是如此。

  在安全策略管理方面也出现了问题。Juniper提供的NetworkandSecurityManager(NSM)设备还无法从SRX接收安全警报。也就是说,这种安全管理平台不会通知网络受到何种攻击,甚至不会说明网络是否正在遭受攻击。

  作为一种防火墙,SRX/NSM的组合本身是好的,即使是最大网络的管理人员也会喜欢。但由于NSM缺乏安全警报且在使用性方面有一些严重的缺陷,我们不会将其作为一种组合式防火墙/IPS加以推荐。

  SRX5800是一种基于机箱的系统。机箱内预装了两个交换机控制主板,用于管理板卡间的通信,客户可以根据自己的需要来选择插入I/O卡或服务处理卡(SPC)。I/O卡有两种型号:4端口万兆以太网卡或40端口千兆以太网卡。。您可以将I/O卡与服务处理卡混插或匹配使用,由后者来处理防火墙和入侵防御等服务。

  虽然该系统是面向不间断环境的,但Juniper并未在此单机箱版本中提供所有的热插拔技术。用户无法在不干扰数据流量传输流的情况下插拔板卡。Juniper的解决方案是一种机箱集群–将两台此类巨型机箱连接为一个集群后,您可以关闭其中一台机箱进行维护、升级或修理工作,而另一台机箱仍可继续传输流量。

  SRX的操作系统是JunOS,天鹰心水。并采用了Juniper在收购NetScreen后取得的防火墙和入侵防御特性。如果您喜欢利用命令行来管理路由器,并且采用较为温和的防火墙策略,那么SRX5800将是您的必然选择。该产品采用了您喜欢的JunOS操作系统、坚如磐石的有状态防火墙,并且提供了整个地球上速度最快的防火墙。

  当Juniper最初向我们表示会提供SRX5600防火墙时,我们考虑到该系统的带宽达60Gbps,因此对测试平台进行了相应的扩容。因此,当Juniper送来更大的SRX5800时,我们感到颇有些惊讶。根据该厂商的数据清单,这种产品是带宽达120 Gbps的防火墙。两种系统均支持最多16个万兆以太网接口,但5800可以提供两倍的转发能力,其容量是我们的测试平台能够生成最大TCP流量的两倍。Juniper在该机箱中安装了8块双CPU服务处理器,将机箱内的14个插槽全部占满。

  尽管思博伦公司在Sunnyvale市思博伦概念验证实验室的测试平台“只能”为该项目提供80Gbps的TCP流量(使用16台SpirentAvalanche2900设备),但我们可以利用160Gbps的无状态UDP流量将SRX5800的能力发挥到极限(使用一台Spirent TestCenter流量生成器/分析器)。我们可以独立运行TCP和UDP测试集,并对系统的特性和使用性做出了评估。

  UDP测试充分证明了SRX5800的高容量。在使用1518字节最大长度帧的测试中,防火墙的吞吐量超过了137Gbps,平均延迟为76毫秒。在启用NAT后,未对防火墙的性能造成不良影响;吞吐量和延迟均与无NAT的场景下完全相同。

  该系统在处理64字节和256字节帧时的速度要慢得多,吞吐量分别为6.9G和29Gbps。平均延迟也更高,64字节和256字节帧的延迟分别为152毫秒和292毫秒。

  但对多数用户而言,在UDP条件下出现的较低性能并不一定算是什么问题。据CAIDA和其它一些来源的采样观察,UDP只占Internet总流量的约5%或更低。对于多数安全设备来说,TCP转发能力才是更有意义的性能指标。

  为了对TCP性能做出评估,我们将SpirentAvalanche配置为Web客户端和服务器,每端均有2400个仿线k字节的对象。在不同的配置下,我们将该测试重复运行了多次。

  *当只用作防火墙时,SRX5800的性能越群。其传输HTTP流量时的合并速率达78Gbps,是我们的测试平台能够测试的最高水平。我们并未启用NAT,但鉴于UDP测试的结果,我们认为即使启用了NAT也不会对性能造成任何不良影响。在整个测试中,响应时间一直保持稳定,用户访问其对象时的平均延迟为131毫秒。

  当我们启用入侵防御后,情况就完全不同的。即使在不存在攻击流量的情况下,合并转发速率从78Gbps狂降至30Gbps。我们启用了Juniper建议的252种攻击特征,基本代表各种主要的和关键的事件。同样,在运行该测试时只使用了良性的流量。因此,需要用到入侵防御特性的用户会在任何攻击出现之前就遇到较大的性能损失。然而,这种性能损失并非无法预测:Juniper自己提供的性能数据里将SRX5800的速率预计为30Gbps。

  *在同一配置下,运行有NAT和入侵检测的测试事实上得出的结果与仅使用入侵防御特性的结果是相同的。此外,当SRX仅被配置为防火墙时,响应时间只略增加了一点,用户访问对象时的延迟为160毫秒或更低。

  然而,这些测试在进行时都使用了Juniper的“建议”IPS策略,该策略经过精心选择和调整,实现了安全性与连接性和性能之间的平衡。这些策略中的一个重要组成部分是,它们都侧重于客户端至服务器的互动。换言之,它们会捕捉针对服务器的恶意流量,但不会捕捉从服务器至客户端的恶意软件。由于我们的测试流量主要是HTTP,这意味着IPS将多数时间都用于查看流向Web服务器的攻击流量,带宽约为650Mbps。剩余的流量,带宽超过29Gbps,都是从Web向外的流量,除一些协议异常和其它较低层攻击方面的检查,IPS未进行任何深层检查。

  *当我们从IPS特征库中添加服务器至客户端的保护时,性能进一步下降至仅8Gbps。教训很明显:在使用IPS策略时必须非常小心,因为如果选择了错误的组件,将会对性能造成巨大的影响。

  在我们尝试对SRX5800进行管理时,我们发现其配置界面不够稳定而且攻击数据库不连贯。更糟糕的是,我们在IPS管理方面完全无从下手,这一点是无法接受的。IPS性能不佳,再加上配置困难和几乎无法管理,这表明SRX5800可能是一种很快的高速防火墙,但在Juniper解决可管理性问题之前,其IPS能力还是不用为好。

  Snyder是亚桑那州Tucson市OpusOne的高级合伙人。他的联系方式是joel.。Newman是基准测试及网络设计咨询企业NetworkTest公司的总裁。他的联系方式是。我只想说谷歌什么时候填暗影诅咒