分享

转载自《网络世界》网站 http://www.cnw.com.cn/test-report/htm2012/20121101_257384.shtml

评测亮点：

卓越、稳定的高性能防护

真正的IPv6状态防护

强劲的TCAM匹配引擎

当前，数据中心机房、大型园区网等网络环境中，网络带宽在向着10G乃至于40G的方向飞速发展，网络干路以及核心的安全防护问题也同样凸显了出来。与网关及端点安全防护不同，核心及干路的网络安全直接关系到全网的正常运营。通过网络核心及干路的安全防护，可以对内、外网的异常信息和攻击及时进行定位，并加以阻断;可以有效防止网络漏洞、蠕虫等安全威胁的扩散;乃至于通过对应用层网络的过滤清洗，达到网络流量规划整形的目的。因此网络的核心安全已经成为了网络安全的终级防线。而如何有效部署这道终极防线，已经成为一个非常重要的话题。

在网络的干路及核心的安全防护需求完全有别于网关及端点，干路及核心的高带宽、大流量对网络安全设备的网络流量处理能力提出了异常高的要求。同时，随着电信及大型网络环境中IPv6协议的正式部署，对IPv6的安全防护以及IPv4到IPv6的过渡功能也成为了网络干路及核心安全的防护重点。

为此，杭州华三通信技术有限公司(以下简称H3C公司)推出了新一代SecBlade防火墙模块H3C SecBlade FW Enhanced(以下简称FW Enhanced)。FW Enhanced能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。采用H3C ASPF(Application Specific Packet Filter，基于应用层状态的包过滤)技术，实时检测应用层连接状态，实现2-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。FW Enhanced模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。下面《网络世界》评测实验室通过对FW Enhanced的功能及应用性能评测，为大家做了一次实际验证。

高性能的强力展示

网络性能——安全的基础

为满足网络核心及干路中部署网络安全产品以及将来云计算大网络环境下对数据包处理性能的需求，本次评测中，着重对FW Enhanced在网络层IPv4以及IPv6状态下的防火墙性能进行了测试。在测试过程中，采用思博伦公司的TestCenter测试仪表，对插入FW Enhanced防火墙插版的H3C 10500交换机进行防火墙功能采用64Byte-1518Byte七种标准包长进行测试。测试时，在防火墙插板上加载50000条防火墙策略，并在交换机接口板上接入四个万兆光纤接口进行双向全双功网络性能测试。(测试拓扑参见图1)

图1：网络性能测试拓扑图

通过网络层吞吐量流量转发速率的统计结果，我们可以对FW Enhanced的网络层处理性能有一个十分清晰的了解。无论是在IPv4状态还是在IPv6状态之下，FW Enhanced的流量转发速率在512Byte数据包长之后均达到了40Gbps，可以实现线速的数据包转发。显示出了十分强劲的安全防护处理性能。(具体测试结果参见图2)

图2：网络层吞吐量流量转发速率(Mbps)

网络层时延是产品数据处理稳定性的一种体现，在测试过程中，我们选用了在100%吞吐量(无丢包)情况下IPv4与IPv6的网络层时延数据结果进行分析对比。通过对比我们可以发现，无论在IPv4状态下还是IPv6状态下，FW Enhanced在各个数据包长下的时延结果相差不大，时延随着数据包长的变化而逐渐增加，时延结果始终稳定在30微秒以内，体现出了FW Enhanced十分稳定的数据处理能力。(具体结果参见图3)

图3：网络层时延结果(微秒)

应用性能——应用的保障

在目前实际网络应用过程中发现，仅凭借高性能的网络层数据包转发速率，无法满足实际应用过程中网络应用请求的连接处理能力。因此，在防火墙性能测试中，还必需对网络应用请求的连接处理性能同样进行测试。在网络应用性能测试中，我们采用了思博伦公司的Avalanche 3100测试仪表，对FW Enhanced产品应用层新建连接处理性能以及应用层的网络流量进行测试。(测试拓扑参见图4)

图4：网络应用性能测试拓扑图

在测试过程中，我们分别构建了如下测试环境进行测试：

1、FW Enhanced在IPv4状态

2、FW Enhanced在IPv4状态加载50000条防火墙安全策略

3、FW Enhanced在IPv4状态下虚拟为两个子系统并加载50000条安全策略

4、FW Enhanced在IPv6状态下

5、FW Enhanced在IPv6状态下加载50000条防火墙安全策略

6、FW Enhanced在IPv6状态下虚拟为两个子系统并加载50000条安全策略

以上测试项目从多虚拟系统、大容量安全规则、IPv6多个方面对FW Enhanced的网络应用处理能力进行了全方位评估。通过测试结果我们可以了解，FW Enhanced在IPv4状态下，无论是在加载5万条防火墙策略还是虚拟为两个子系统并加载5万条防火墙策略之后，FW Enhanced的应用层新建连接速率始终稳定保持在40万新建连接每秒左右。而在IPv6状态下，FW Enhanced的新建连接速率依然可以保持在40万新建连接每秒左右，在加载5万条防火墙策略以及虚拟为两个子系统并加载5万条防火墙策略后，新建连接能力没有变化，显示出了十分出色的网络应用层连接处理能力。更加难得可贵的是，在对FW Enhanced的各项应用性能测试中，FW Enhanced的CPU占用率始终在10%以下。这为FW Enhanced在今后实际应用中，加载更多不同应用策略提供了十分坚实的硬件基础。(具体测试结果参见图5)

图5：应用层新建连接速率结果

专用TCAM芯片保障高标准安全

FW Enhanced由于十分强悍的网络及网络应用处理性能，势必将成为运营商以及各行各业高端场合部署的重点选择之一，但高端应用场合由于其安全要求复杂，往往会在防火墙上加载上数千条防火墙策略，传统防火墙在此场景下的表现往往不尽如人意。

FW Enhanced则一改传统防火墙通常通过软件算法实现防火墙策略匹配的方式，采用专用硬件TCAM来实现，为看到这一改动为FW Enhanced所带来的性能提升，本次评测也进行了针对性的测试，我们选取了现今市面上某主流厂商的吞吐、新建基本与FW Enhanced接近的一款防火墙作为对手，相信这样的对比测试能够比较清晰的看清TCAM专用芯片的价值。我们分别选取了1条至50000条防火墙策略共7个档次来全面测试两款防火墙的性能表现，经过思博伦设备测试结果如下：(具体测试结果参见图6)

图6：TCAM/软件算法新建性能对比

从测试结果可以看出，随着防火墙策略加载数量的不断增高，传统软件算法将极大的消耗系统资源并影响新建性能这个关键指标，在加载5000条策略以后软件算法的性能已经降得极低。反观采用了专用硬件TCAM的FW Enhanced则丝毫不受防火墙策略数的影响，始终能够保持40w条/秒的新建性能，给出了令人惊叹的答卷。同时FW Enhanced还具备了丰富的攻击防范功能，可以有效保障高达40Gbps的网络应用流量正常进行处理，显示出了其高性能一体化的网络安全防护能力。

实用的网络安全功设计

FW Enhanced不但具备很强的网络及应用处理能力，在网络安全功能设置上，也提供了很多十分实用的功能设计。

安全域网络端口自动控制

FW Enhanced具备的安全域网络端口自动控制功能，可以在高级别安全域向低级别安全域建立网络连接后，自动打开低极别安全域所需进行数据传输的网络端口，使网络数据可以进行无障碍传输，从而有效的减轻了网络安全策略设置的难度。

IPv4 over IPv6与IPv6 over IPv4

在当前，IPv4地址已分配完毕的情况下，网络地址由IPv4向IPv6转变已经是必然现象。然而，在IP地址转变的过渡时期，必然会出现很长IPv4地址与IPv6地址共存的情况出现。要想有效解决此类问题，必然需要在网络设备上进行IPv4地址与IPv6地址的转换。FW Enhanced就提供了十分完善的IPv4与IPv6地址转换功能。以IPv4 over IPv6和IPv6 over IPv4的隧道转换功能为例：在IPv4 over IPv6功能开启后FW Enhanced可以在两台设备间建立基于IPv6地址的网络传输隧道，而数据传输的源地址和目的地址依然是IPv4的地址，从而实现了在干网进行IPv6协议数据传输，而在接入端依然保持IPv4地址不变的功能。而IPv6 over IPv4功能与之相反，在两台设备间建立基于IPv4地址的网络传输隧道，而数据传输的源地址和目的地址是IPv6的地址，在干网进行IPv4协议数据传输，接入端为IPv6的地址。

通过多种IPv4与IPv6的转换功能，FW Enhanced可以有效保障在IPv4向IPv6地址过渡期的网络正常应用。

真正的IPv6状态防火墙

在看到FW Enhanced能够满足用户IPv4向IPv6过渡期的正常应用后，我们不禁担忧其是否能够在IPv6环境下提供和IPv4环境中同样等级的防护能力，毕竟这只是实现了IPv6层面的数据转发，防火墙作为网络上最为主要的访问控制设备，我们不得不考虑其真实的防护力如何。

为此，本次测试也考虑了一个针对性测试—利用典型的多通道协议FTP来测试验证FW Enhanced的IPv6状态防火墙功能。经测试，结果显示FW Enhanced在IPv6环境下实现的状态安全防护和IPv4环境下无异，从策略配置到检测机制均能够实现状态防火墙技术，相比于IPv6的访问控制来说，状态检测无疑能够为用户带来更高的IPv6安全防护价值。

高性能一体化

通过以上测试，我们可以了解H3C的SecBlade FW Enhanced防火墙业务模块，在接入H3C S10500/S12500系列交换机后，通过采用专用的64位多核高性能处理器和高速存储器，具备了十分强悍的网络及安全防护处理性能;并且，通过采用专业硬件TCAM，保证了大容量策略表项的高速检索;同时还具备了丰富的攻击防范功能;可以有效保障高达40Gbps的网络应用流量正常进行处理，显示出其高性能一体化的网络安全防护能力。

分享