世界上最快的防火墙Juniper SRX 5800测试报告

作者 | 2009-02-24 15:01 | 类型 专题分析, 通讯产品 | 29条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




image

美国的《网络世界》(Network World)杂志最近对Juniper公司的SRX 5800进行了全面的测试。测试结果表明,SRX 5800的防火墙处理速度可以达到137G,可以称得上世界上最快的防火墙,同时也发现其IPS(Intrusion Prevention System)功能存在严重缺陷。其实,SRX 5800并不只是一个防火墙,它还是一个路由器,运行JUNOS,Juniper将其称为“Secure Service Gateway”。SRX 5800有14个插槽,测试用的机器插有2个RE(Routing Engine)卡,4个IO卡(每个IO卡可带有4个10GE或40个GE接口),和8个双CPU的SPC(Security Processing Card)。

下面是测试结果摘要:

- SRX 5800的最高数据处理速度可以达到137G(1518字节数据包,Juniper的datasheet上标的是120G),打开Firewall和NAT不影响处理速度,平均延迟时间为76微秒。64字节和256字节的数据包处理速度为6.9G和29G。

- 对HTTP数据的处理速度为79G,但打开IPS后,速度降为30G(Juniper的datasheet标的是30G)。加入660Mbps的UDP攻击数据包后,处理速度从30G降为160M,CPU利用率升为100%(这显然是一个严重的Bug)。

- Juniper NSM软件目前还不能和SRX5800的IPS功能一起工作。

- 测试总得分为3.6,其中Routing and Switching得分是5,Firewall得分是4,IPS得分是2,Overall Performance得分是4.5,CLI Management得分是4,NSM Management得分是1。

- SRX 5800报价为1,268,000美元,加上10,000美元的NSM模块。

 

有兴趣的读者可以查看NWW的测试报告全文,“Juniper SRX 5800: Biggest firewall ever”。

还有,Juniper网站对SRX系列的介绍

(2个打分, 平均:4.50 / 5)

工具箱
本文链接 | | 打印此页 | 29条用户评论 »

雁过留声

“世界上最快的防火墙Juniper SRX 5800测试报告”有29个回复

  1. Panabit 于 2009-02-24 6:10 下午

    “平均延迟时间为76毫秒”
    是这么大吗?

  2. Zgita 于 2009-02-24 6:15 下午

    牛B!

  3. 天行者 于 2009-02-24 6:26 下午

    我想问一下,5800一共14个槽位,其中2个运行主控和路由引擎,4个做对外的接口线卡,8个做防火墙业务处理卡,那么这些槽位直接是通过什么方式进行互联?它不需要交换板,还是交换放在了背板?

  4. StayBridge 于 2009-02-24 10:12 下午

    应该是通过背板上的Switch Fabric互联的

  5. StayBridge 于 2009-02-24 11:14 下午

    原文里面没有这部分内容:

    加入660Mbps的UDP攻击数据包后,处理速度从30G降为160M,CPU利用率升为100%

    只有:

    Unfortunately, because of problems in the testbed, which were only uncovered long after testing was completed, we don’t have any performance numbers while the Juniper product was under attack to share with you. However, we did not identify these issues with the testbed in time to stop the inaccurate results from being published in the print edition of this article. Those results should be disregarded. We apologize to both Juniper and to our readers for the error.

    被和谐了?

  6. 杰夫 于 2009-02-24 11:28 下午

    多谢Panabit指出,是76 microsecond,微秒,已更正。

    有关IPS Attack的数据,来自Network World的印刷版杂志,其网络版后来做了更正。

  7. 杰夫 于 2009-02-24 11:34 下午

    回天行者:是通过背板上的Switch Fabric。

  8. Peter 于 2009-02-25 2:22 上午

    他的IPS能力为啥这么差?想不通,听说也用的是很猛的RMI XLR732呀

  9. 网络菜鸟 于 2009-02-25 2:30 上午

    看到价格,吓一跳,上百万美元。好家伙,真贵啊,不知道国内是否有客户。

  10. lituo 于 2009-02-25 3:11 上午

    我现在做的路由器也用的是RMI的XLR732,好像下一个的XLR芯片要换成INTERLAKEN接口的了。

  11. 老韩 于 2009-02-25 4:47 上午

    美国网络世界也有被和谐的时候啊
    中国的网络世界……

  12. StayBridge 于 2009-02-25 5:30 上午

    回网络菜鸟: 那都是list price,实际价格都要拦腰以后再翻几个跟头。

  13. 天行者 于 2009-02-25 5:03 下午

    把Fabric Switch交换芯片放在背板上,如果Fabric Switch怀了一点点,那不要整机断电换背板?还是他们把Fabric Switch放在后插板上。

  14. ASR 于 2009-02-25 7:13 下午

    In SRX 5600/5800 architecture, network interface resides on I/O card while stateful processing happens on SPC/APC
    The de-coupling enables flexible configuration with combination I/O and service card. For example
    Minimum I/O but enormous CPU horsepower required for application layer processing
    High throughput requirement but simple service functionality
    Smooth upgrade path for customer

    Integrated Security and Networking functions on SPC
    Stateful firewall, IPSec VPN inherited from current high-end FW/VPN product line in SPG
    IDP as native service on all platforms
    SSL intercept – ability to decrypt SSL traffic and perform packet inspection
    Quality of Service
    Traditional QoS, Hierarchical scheduling.
    QoS for IPSec tunnel traffic
    Application-aware QoS on per-flow basis
    Multicast, IPv6, Jumbo Frame, 802.3ad link aggregation
    Hosted application service on APC
    Anti-Virus through partnership
    SSL VPN
    Server load-balancing, application acceleration from Redline
    Maybe integrated in SPC as native service

  15. 一寸光阴 于 2009-02-27 7:59 下午

    RMI的性能和宣称的还是有一定差距的。。
    另外RMI的价格也不便宜啊

  16. 匿名 于 2009-03-04 9:05 下午

    Austin, TX.– March 5, 2009 – BreakingPoint announced today that the Juniper Networks SRX5800 Services Gateway achieved 150 Gigabits per second (Gbps) of stateless traffic, 109 Gbps of blended application traffic and live security attacks, and 30 Gbps of intrusion prevention with recommended policies.

  17. 明天再来 于 2009-03-05 7:13 上午

    Juniper网站上的datasheet上看的描述:
    The scalability of both SPCs and IOCs are enabled by the switch fabric employed in the services gateway. Supporting up to 960 Gbps of data transfer, the fabric enables realization of maximum processing and I/O capability available in any particular configuration. This level of scalability and flexibility enables uninterrupted expansion and growth of the network infrastructure, without the security solution being a barrier.

  18. 明天再来 于 2009-03-05 7:22 上午

    1、switch fabric是一定有的,也不可能放到背板上的,Juniper这种公司再搞有源背板是很搞笑的事情了;后插也是不太可能的,这个机框不是中置背板,而且是完全的前维护机框。so where?仔细看销售列表SRX5K-SCcBSCB SRX5000 line Switch Control Board其实就是fabric。另外Juniper聪明的很,RE和SCB占用一个slot,但是把RE做小一点,然后将RE做成可插拔的插在SCB上,分别报价,给钱吧。

    2、SRX做路由器似乎差了点,只提供10G和GE,差了点。。。。

  19. 明天再来 于 2009-03-05 7:37 上午

    有门路,有兴趣的大侠可以研究一下J的TX matrix plus,这个注定将是今年CR市场的重磅炸弹,尤其是Cisco肯定坐不住了。
    http://www.juniper.net/us/en/products-services/routing/t-tx-series/

  20. ASR 于 2009-03-13 2:00 上午

    TX matrix plus
    1280*10GE
    128*100GE 太变态了

  21. 空见无明 于 2009-04-26 8:08 下午

    我觉得JUNIPER的SRX确实是当今安全行业最先进的设备,也代表一种发展趋势。
    一、硬件架构
     SRX是基于JUNIPER的路由器体系结构,在硬件结构上已比较成熟,RE、SPC、SCB、IOC等模块化硬件设计,扩展性及稳定性都不会差。
    二、SPC
     SRX与路由器最大的不同就在于这个SPC(Service Processing Card),所有的安全功能都是由它提供,每块SPC提供20G吞吐量。与思科的ASR一样,使用了多核CPU架构,这种架构也代理了安全产品的整体发展趋势。
    并且SPC支持防火墙、IPS、VPN等功能,性能也相当强悍。
    三、软件架构
     SRX使用juniper的junos软件,基于freeBSD平台,也是juniper路由器用了多年的软件。对于安全功能,需要将原来的netscreen软件的功能移植到junos上来,这可能导致产品发布初期
    SRX在功能上的不完善,不过经过一段时间也能解决。
    四、接口模块
     现在SRX的接口模块还比较单一,只有10/100/1000M电口模块、GE光口模块、10GE光口模块,在接口密度也应是业界最高的了,如果将来能支持POS接口的话就更好了。

  22. 陈怀临 于 2009-04-27 5:53 上午

    很好的总结。在通信产品里,我个人的体会是:

    1. Routing pushes down to the edge

    2. Intelligence moves up to the edge

  23. 空见无明 于 2009-04-27 9:43 下午

    支持。
    我觉得可能是:
    1、routing and switch technology down to the edge
    2、intelligence service is integrated to all devices.

    1、SRX从公开的资料看SPC使用的是HD-CPU,不清楚这个HD-CPU的具体细节是什么样的,是通用CPU还是如思科ASR1000上的QFP还是一块NP?
    2、SRX上需要多块SPC提供业务功能,我觉得在这多块SPC间做好调度和控制是比较困难的事情,所以这会使其实际的性能与宣称的指标有较大差距。
    3、由于SRX使用了全新的架构及SPC模块,在初期可能会存在较多的BUG及不稳定因素,在feature的支持上可能也会有限制。
    4、从市场来说,SRX的出现一定会造成极大的影响,其它的厂商也会向这个方向发展。SRX在未来几年的安全市场应起来举足轻重的作用。

  24. 老韩 于 2009-04-28 10:12 上午

    上面几楼总结的很好,我抄录了。

  25. kevinwang 于 2010-05-09 10:05 下午

    回StayBridge,没有被和谐,实验室实际测试比这高很多。
    回明天再来,5800和mx960是一个硬件架构,接口不是问题,完全是看市场需要。
    回天行者,SF的问题“明天再来”是正解。called SCB

  26. droplet 于 2010-05-14 1:49 上午

    – 8个双CPU的SPC(Security Processing Card)。

    一个SPC上有两个XLR732,那就是64个threads,牛啊,为什么不多加几个?

  27. 帅云霓 于 2010-05-18 2:56 上午

    如果你想把防火墙当电烤箱使,可以在板子上做16个XLR732。

  28. tom 于 2011-03-08 1:20 上午

    SRX到现在还不是太成熟吧,据说其系统使用起来太过麻烦,以前的一个同事在SRX的组里捉虫,问题是当年他写的程序bug最多,哈哈

  29. anonymous 于 2011-05-04 2:08 上午

    这个nat是怎么做的,nat的端口分配在主控上做的,还是提前预分配的,在每个业务板做的,牛人指点一下