博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1954|回复: 8

业内最快防火墙

[复制链接]
发表于 2009-3-24 18:58:20 | 显示全部楼层 |阅读模式
业内最快防火墙


在ClearChoice专题测试中,SRX5800能够通过其16个万兆以太网接口,以140Gbps的速率传送流量,从而使之成为我们和其它机构测试过的最大且速度最快的防火墙。
“最大”并不等同于“能力最强”。例如,启用入侵防御会导致转发速率降至30Gbps,即使是在处理良性流量时也是如此。
  在安全策略管理方面也出现了问题。Juniper提供的NetworkandSecurityManager(NSM)设备还无法从SRX接收安全警报。也就是说,
这种安全管理平台不会通知网络受到何种攻击,甚至不会说明网络是否正在遭受攻击。
  作为一种防火墙,SRX/NSM的组合本身是好的,即使是最大网络的管理人员也会喜欢。但由于NSM缺乏安全警报且在使用性方面有一些
严重的缺陷,我们不会将其作为一种组合式防火墙/IPS加以推荐。
强大的机箱
  SRX5800是一种基于机箱的系统。机箱内预装了两个交换机控制主板,用于管理板卡间的通信,客户可以根据自己的需要来选择插入I/O
卡或服务处理卡(SPC)。I/O卡有两种型号:4端口万兆以太网卡或40端口千兆以太网卡。。您可以将I/O卡与服务处理卡混插或匹配使用,由
后者来处理防火墙和入侵防御等服务。
  虽然该系统是面向不间断环境的,但Juniper并未在此单机箱版本中提供所有的热插拔技术。用户无法在不干扰数据流量传输流的情况下
插拔板卡。Juniper的解决方案是一种机箱集群–将两台此类巨型机箱连接为一个集群后,您可以关闭其中一台机箱进行维护、升级或修理工
作,而另一台机箱仍可继续传输流量。
  SRX的操作系统是JunOS,并采用了Juniper在收购NetScreen后取得的防火墙和入侵防御特性。如果您喜欢利用命令行来管理路由器,并
且采用较为温和的防火墙策略,那么SRX5800将是您的必然选择。该产品采用了您喜欢的JunOS操作系统、坚如磐石的有状态防火墙,并且提
供了整个地球上速度最快的防火墙。
性能指标
  当Juniper最初向我们表示会提供SRX5600防火墙时,我们考虑到该系统的带宽达60Gbps,因此对测试平台进行了相应的扩容。因此,
当Juniper送来更大的SRX5800时,我们感到颇有些惊讶。根据该厂商的数据清单,这种产品是带宽达120 Gbps的防火墙。两种系统均支持
最多16个万兆以太网接口,但5800可以提供两倍的转发能力,其容量是我们的测试平台能够生成最大TCP流量的两倍。Juniper在该机箱中
安装了8块双CPU服务处理器,将机箱内的14个插槽全部占满。
  尽管思博伦公司在Sunnyvale市思博伦概念验证实验室的测试平台“只能”为该项目提供80Gbps的TCP流量(使用16台SpirentAvalanche
2900设备),但我们可以利用160Gbps的无状态UDP流量将SRX5800的能力发挥到极限(使用一台Spirent TestCenter流量生成器/分析器)。
我们可以独立运行TCP和UDP测试集,并对系统的特性和使用性做出了评估。
  UDP测试充分证明了SRX5800的高容量。在使用1518字节最大长度帧的测试中,防火墙的吞吐量超过了137Gbps,平均延迟为76毫秒。在启
用NAT后,未对防火墙的性能造成不良影响;吞吐量和延迟均与无NAT的场景下完全相同。
  该系统在处理64字节和256字节帧时的速度要慢得多,吞吐量分别为6.9G和29Gbps。平均延迟也更高,64字节和256字节帧的延迟分别为
152毫秒和292毫秒。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 23:45 , Processed in 0.093182 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表