信安世纪NSAE 21000应用安全网关评测报告

作者 | 2009-12-22 22:16 | 类型 专题分析, 互联网, 通讯产品 | 18条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




原文发布于《计算机世界》

负载均衡设备是大型机房中很常见的一类产品,通常用来将业务请求合理分配到不同的服务器,解决海量用户访问的难题。近年来,随着数据中心的理念深入人心,用户的业务模型也随之发生变化,对负载均衡设备提出了新的要求,即更高的性能、与应用层更好的结合度以及更强的业务相关性。单纯的4-7层交换已无法很好地满足用户需求,许多厂商都以负载均衡为基础,围绕应用交付理念推出更贴近于用户应用的增值功能。尤其是SSL加速、高速缓存这样的特性,俨然成为负载均衡设备在应用交付时代必须具备的功能。近日我们测试的信安世纪NSAE 21000应用安全网关,就是这样一款颇具新意的产品。

化零为整的应用交付解决方案

NSAE 21000是北京信安世纪科技有限公司推出的应用交付控制器(ADC)系列产品中的高端型号。该产品采用2U规格设计,内置硬件压缩及SSL加速模块,可提供最多8个千兆及两个万兆接口。面对复杂的网络结构,NSAE 21000可以采取单臂或双臂的接入方式,尽量减少不必要的变动,保证了业务网的安全及稳定。作为网络结构中的枢纽节点,可靠性在某种意义上是比功能、性能更为重要的指标,故双电源设计及多种设备冗余方式亦是NSAE 21000必不可少的特性。该产品还支持独有的N+1冗余方式,为用户业务提供了更高规格的保障。

要对这款产品的形态进行准确定位,还真是件比较复杂的事情。也难怪信安世纪要将NSAE系列归为应用交付类产品,我们在设备上看到了大量的功能特性,分别针对着业务中的不同层面,堪称是一款化零为整的解决方案。简单来说,这款产品提供了服务器负载均衡、SSL加速、链路负载均衡和全局服务负载分担四大功能,以及高速缓存、TCP连接复用、HTTP压缩等辅助性质的优化特性。它们彼此间并不孤立,通过合理部署,用户可以将这些分散的功能点捏合成为针对业务优化的功能模型,起到事半功倍的效果。

应用驱动的测试模型

对于NSAE这样由负载均衡发展而来的应用交付产品,业界并无成熟的或被广泛认可的评估标准,我们在测试时重点向实际应用靠拢。实验室工程师在前期进行了广泛调研,根据众多行业用户的反馈制定了具有代表性的测试方案。从抽象的测试拓扑图中可以看出,无论此类产品的形态如何进化,负载均衡还是用户最基本的部署思路。而SSL加速、业务体验的优化和网络安全因素,在金融(网上银行)、电子商务等领域的用户看来亦是必须考虑的评估指标。我们相信,随着各行业信息化程度的提高,这种应用交付性质的整体解决方案将受到越来越多的重视。

传统模式下,客户端发起SSL请求访问B/S架构的业务网络,服务器要先与之建立TCP连接,经证书验证后再建立SSL隧道,才能开始传输真正的业务数据。在这个过程中,服务器的大量资源都消耗在业务处理以外的步骤,安全性也得不到保证;如果在服务器群组前部署了NSAE系列产品,该设备就可以接管与客户端建立TCP连接及SSL隧道的步骤,再通过普通的HTTP协议与调度策略选定的服务器进行业务数据交互。TCP连接复用可以在后端发挥很好的作用,NSAE可以预先与服务器建立一定数量的TCP长连接,避免业务繁忙时频繁发起TCP请求造成不必要的性能开销。如果检测到HTTP数据未经压缩,设备也可以代为进行,有利于提高带宽利用率及用户访问体验。

性能:堪为大用

了解过NSAE系列产品的种种功能特点,就可以开始有针对性的测试。我们首先使用思博伦通信提供的Avalanche2900应用层性能测试仪,同时模拟海量客户端及Web服务器群组,考察了NSAE 21000在反向代理与透明两种工作模式下,单独开启服务器负载均衡(调度算法:轮询)功能时的性能。这两种工作模式对外都以虚拟IP的形式提供服务,其区别在于前者将中断客户端的连接,代为发起访问请求,充当纯粹的代理服务器的角色;后者只做负载均衡,将客户端的访问请求不经修改直接传递给后端服务器。虽然透明模式相对简单,TCP连接复用等优化特性却无法实现,所以我们建议用户在实际应用中采用反向代理模式。为保证此模式下后台服务器也能得到客户端的真实IP地址,NSAE可以在转发的HTTP包头中插入真实IP字段。

NSAE 21000在这个测试环节中有着比较优异的表现。透明模式下,当采用包含1个请求的HTTP测试模型时,该产品每秒可处理超过5万笔事物,同时维持100万个并发连接。此时换用1MB大小的页面文件,测得的HTTP最大可用带宽高达2.7Gbps。反向代理模式下,虽然数据包需要改动的部分多了不少,实测得的性能却没有下降太多。鉴于此,我们在接下来的测试中都使用反向代理模式,并开启了TCP连接复用与HTTP压缩功能。

前文中曾经提到,SSL加速功能已成为一些用户重点考察的指标,我们也对此做了比较详细的性能测试。NSAE 21000每秒可处理超过1万笔单向SSL事物,同时维持超过35万个事物连接,最大HTTPS可用带宽更是高达1.9Gbps;改用双向验证模式后,设备的新建、并发能力都有所下降,最大可用带宽却基本未受影响。我们认为双向验证情况下的性能数据更具实际意义,毕竟在诸多网上银行乃至淘宝、支付宝等具体应用中,双向验证后建立SSL隧道已经成为很普遍的做法。从技术角度分析,双向验证也是个非常消耗系统资源的流程,即便对于主流高性能服务器来说也不是个轻松的任务,NSAE 21000在这一部分的表现值得称道。

测试后记

新的业务理念与运营模式是各行业在信息时代公认的制胜法宝,这也为由负载均衡产品发展而来的应用交付控制器带来了更好的市场前景。对涉足此领域的厂商来说,谁能在业务相关性方面做得更加深入,谁就能在市场竞争中处于领先。信安世纪NSAE 21000应用安全网关在测试中让我们感受到了这一点,文中记录的高性能与完善的基本功能只是一个方面,许多看似不起眼但与应用极度相关的细节特性,才是这款产品令人称道的亮点所在。而链路负载均衡、智能DNS等功能的实现,也让NSAE 21000成为满足用户业务需求的多面手。

(1个打分, 平均:1.00 / 5)

工具箱
本文链接 | | 打印此页 | 18条用户评论 »

雁过留声

“信安世纪NSAE 21000应用安全网关评测报告”有18个回复

  1. caijimin 于 2009-12-22 11:14 下午

    Transaction 事物

  2. wenlujon 于 2009-12-22 11:20 下午

    不知道对某些需要走一条线路的应用比如网银认证等支持如何。

  3. 老韩 于 2009-12-22 11:24 下午

    报纸篇幅所限,很多细节都没能提及。他家产品主要就在金融系统卖得多,事物分配一致性上应该都没问题。

  4. wenlujon 于 2009-12-22 11:43 下午

    这款设备在金融系统中的负载均衡的意义是?这个场合下使用的原因也是带宽的匮乏?网络设备的负载均衡有许多限制因素,而国内在同等带宽下,多线路的成本远远低于单线路,导致负载均衡需求大,但这个一般是一些网吧等。
    另外,报道提到采用的是轮询技术,那么这个轮询是根据IP,连接,还是流量?
    负载均衡必须很好解决以下问题:
    1. 单线路应用验证
    2. 流量均衡
    不知道这个设备具体表现如何?
    还有,这种高性能是否相对于国内的带宽情况(网关),是否有太多过剩?

  5. 大荣 于 2009-12-23 12:58 上午

    提个批评,既然有网站,老韩为啥不多写写呢?要不怎么专业呢?有空可以在网上找找我之前做得一些报告的PDF版本,一个报告10多页都有。
    这个厂家难道是spirent的人出来做得?颜色跟Avalanche差不多啊。
    要是做大了,客户得说sprient山寨他们了。

  6. 老韩 于 2009-12-23 1:32 上午

    4楼说的是链路负载均衡吧,这次没测。这次主要测的是服务器负载均衡的特性。我找厂商人来回答问题吧,手头事太多。

  7. 大荣 于 2009-12-23 1:35 上午

    还有人做XML加速吗?这个东西曾经一度非常火爆,那个时候思科做XML加速的时候,就有人质疑他们和IBM的关系了。

  8. 老韩 于 2009-12-23 1:36 上午

    5楼,悲哀啊,你以为我刚才想和你说什么?很多事情不是不想做,而是没那么多时间精力啊。就这还欠着一屁股报告、总结、项目流程之类的没弄呢。

  9. 老韩 于 2009-12-23 1:48 上午

    我倒是有个想法,有些东西必须集思广益才好,比如龙芯3号系统平台的整体测试,弯曲的朋友可以给点建议啊,有现成的应用测试模型最好。我想贴应用,前一阵还找百度做压力测试的朋友商量,是不是能把龙芯3号的系统平台拿过去按他们的规范测一下呢,这结果多有价值啊。类似的,大家可以提啊。

  10. Ken.Guo 于 2009-12-23 1:51 上午

    另外,报道提到采用的是轮询技术,那么这个轮询是根据IP,连接,还是流量?
    负载均衡必须很好解决以下问题:
    1. 单线路应用验证
    2. 流量均衡
    不知道这个设备具体表现如何?
    还有,这种高性能是否相对于国内的带宽情况(网关),是否有太多过剩?

    谢谢这位兄弟的问题,非常专业。呵呵

    轮询技术是负载均衡的标准负载策略,主要是用在一些C/S架构后台服务器,或者图片服务器的负载工作,主要是根据客户端的请求进行轮询,轮询策略是依靠用户的请求连接进行分发,用户的请求会先命中负载均衡上的服务IP,负载均衡作为一个反向代理设备来分发用户的请求。

    单线路应用验证,我不知道是否是负载均衡的会话保持功能,负载均衡的负载策略必需要支持会话保持功能,例如我们登录一个购物网站,该网站会有很多的应用服务器,负载均衡的会话保持功能可以保持用户所有的交易都在一台服务器上。

    流量均衡,我们也可以叫做链路的出入向负载均衡,根据根据用户的请求来判断用户的出入向链路的选择,例如动态路由探测策略,可以根据路由跳数来判断那一条线路响应最快,智能路由功能可以根据用户请求的源地址进行最快链路的出向判断。

    现有国内带宽状态其实是很高的,例如教育行业(国内某高校)我就见过的出向4G的流量,并发值超过500万,真的很恐怖,呵呵这就是考验负载均衡处理能力的考验了。

  11. Ken.Guo 于 2009-12-23 2:01 上午

    不知道对某些需要走一条线路的应用比如网银认证等支持如何。

    现有网银应用还是比较复杂的,呵呵。具体详细的架构及应用就不多说了。
    一条线路的应用,用负载均衡设备其实没有多大的意义,但是网银认证,负载均衡可以开启SSL卸载功能,提高SSL 处理能力。开启前端加速功能提高业务响应速度。

  12. Ken.Guo 于 2009-12-23 2:10 上午

    这款设备在金融系统中的负载均衡的意义是?这个场合下使用的原因也是带宽的匮乏?

    如果没有负载均衡技术,搜狐200多台图片服务器如何同时工作,提高用户处理能力(服务器负载均衡)。单台服务器最高性能并发也不会超过100000,但是如果有1千万用户同时访问,结果如何,服务器DOWN业务无发响应。
    利用负载均衡技术可以让多台服务器同时工作响应用户的请求,提高数据处理能力。

    如果没有链路负载均衡(入向链路负载均衡),我们南北电信的问题如何解决,难道只能通过网站上发布(电信用户点击进入,网通用户点击进入)连接才可以解决南北电信问题吗。
    如果没有出向链路负载均衡,我们就要承受网通用户访问电信资源的超慢速度吗。
    这些其实负载均衡设备都可以帮助用户解决

  13. 老韩 于 2009-12-23 2:11 上午

    老郭回答得不错,解释的清楚,还绝口不提自家产品,这种以退为进的沟通方式是用户很喜欢的。

    我的印象1:信安的NSAE在测试中给我的印象是webui很好很强大,专业又不晦涩,可以说是我见过的国内厂商中做得比较好的webui。最讨厌华而不实、不支持中文的webui,用户买设备来是给业务用的,又不是研究用的。

  14. Ken.Guo 于 2009-12-23 2:34 上午

    负载均衡技术(L4-L7的应用交付)也算是一门网络应用比较前沿的技术之一,包括Cisco,H3C,华为,北电(呵呵),Juniper国内外大厂也都关注到这一块市场。希望我们国产的产品也可以在网络前沿应用多分一块肉,也希望大家多关注此市场,多提宝贵意见。

    永远的梦,所有的网络设备命令行全是输入拼音!!!也希望各位老大为中国制造多多关注。

    谢谢!!

  15. 老韩 于 2009-12-23 2:39 上午

    太搞了……我额外发挥一下。

    我的印象1续:昨天一朋友让我帮忙做一整体方案,安全,数通,无线……我说我看你这个应用啊,上个C的4500做核心交换比较合适。人家直接给我顶回来了,华为没有?任何设备如果没有中文ui都不考虑……

    用户的心声啊!

  16. wenlujon 于 2009-12-23 3:22 上午

    如果没有负载均衡技术,搜狐200多台图片服务器如何同时工作,提高用户处理能力(服务器负载均衡)。
    网络环境理解有点偏差,没有接触过这方面,猜想是否是以下的拓扑?

    设备分两端,
    一端A连接Internet,比如有三个口,分别连接电信,网通,中国移动。
    另外一端B接一个switch,然后连接集群服务器。
    A端做链路负载均衡,B端做服务器负载均衡。

    然后A端通过路由跳数等做负载均衡策略。B端通过轮询。

    这和一般的网关环境差别大,A端理论上应该没有带宽的限制吧?

  17. 大荣 于 2009-12-23 5:21 上午

    老韩,我可能会给你泼冷水。
    我当时做的时候,我现在回过头来分析,是缺乏一个很好的团队,清晰的模式。
    测试是个生意,在产品公司里它是个生意,是为了把货卖出去的一个环节。
    在用户那里做测试,也是一个生意。
    做媒体,是否做媒体测试,也是一个生意。
    测试是一种表示对技术热爱的方式,7年的时间里我见过不少类似的人。测试仪对于他们来说有点像摄影发烧友手里的玩具。
    你如果热爱测试,不必在乎是在哪里做测试。或分享你的经验。
    你如果热爱技术,不必一定要专职做测试。早点想想,你这个岁数是该考虑的时候。我总体上不是个好榜样,现在很纠结。
    中国第一批做网络产品测试的人我还是认识一些的,特别是水平比较高,愿意钻研的。
    他们现在在做什么?
    抱歉占用一个技术的圣地,谈些旁的东西。

  18. Ken.Guo 于 2009-12-23 11:24 下午

    设备分两端,
    一端A连接Internet,比如有三个口,分别连接电信,网通,中国移动。
    另外一端B接一个switch,然后连接集群服务器。
    A端做链路负载均衡,B端做服务器负载均衡。

    然后A端通过路由跳数等做负载均衡策略。B端通过轮询。

    这和一般的网关环境差别大,A端理论上应该没有带宽的限制吧?

    您的理解基本正确,但是架构不是这样的呵呵。

    电信 网通 教育

    链路负载均衡

    交换机

    服务器负载均衡

    服务器A ……..

    用户入向负载均衡根据用户的LOCAl DNS 地址,判断用户所属地址范围。返回给用户最快访问的地址。
    用户使用该地址进行请求访问,该请求访问命中服务器负载均衡设备,服务器负载均衡进行负载分担。

    A端是有带宽限制的,一般链路负载均衡设备支持流量不可能超过128G,
    在国内接入链路接入情况我所见到的没有超过10G的,呵呵。