08年10月28日，Hillstone正式發(fā)布了電信級萬兆安全網(wǎng)關(guān)SA-5180，完成了從桌面到萬兆核心骨干網(wǎng)級別的產(chǎn)品布局。該公司同時宣布，將與業(yè)界知名的防病毒解決方案提供商卡巴斯基合作，利用其高效、完善的病毒庫，為SA系列安全網(wǎng)關(guān)增加防病毒特性。與傳統(tǒng)的純軟件解決方式不同，Hillstone自主研發(fā)的防病毒引擎在高性能多核平臺的基礎(chǔ)上，借助專用安全芯片StoneASIC，可實(shí)現(xiàn)更高的處理能力。計算機(jī)世界實(shí)驗(yàn)室***時間從Hillstone征集到新版本的 SA系列產(chǎn)品，對加入防病毒特性后的應(yīng)用層安全性能進(jìn)行了深入測試。

本次我們測試的產(chǎn)品是SA-5050，這也是SA系列千兆安全網(wǎng)關(guān)中***端的型號。該產(chǎn)品采用了Hillstone所倡導(dǎo)的多核Plus硬件架構(gòu)，將多核網(wǎng)絡(luò)處理器、StoneASIC與高性能交換芯片進(jìn)行合理搭配，減少了應(yīng)用環(huán)境對性能帶來的影響。雖然只是個標(biāo)準(zhǔn)的1U設(shè)備，SA-5050卻提供了6個千兆電口與6組千兆光電互斥接口，網(wǎng)絡(luò)接入能力較強(qiáng)。該產(chǎn)品還配備了互為冗余的兩組電源，并支持主/備的雙機(jī)冗余部署方式，為電信級應(yīng)用做好準(zhǔn)備。

SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五種協(xié)議，可以對CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等類型的文件進(jìn)行過濾。對于現(xiàn)實(shí)中大量存在的壓縮文件，防病毒引擎也可以做到最多5層還原檢測，避免病毒從這種途徑混入內(nèi)部網(wǎng)絡(luò)。為保證測試結(jié)果的時效性，我們在測試開始前將SA-5050的防病毒引擎與病毒庫升級至11月6日的***版本。

本次測試采用的測試儀表為思博倫通信的Avalanche2900，采用雙向共8個千兆電口的配置。SA-5050采用8個端口進(jìn)行對接，分為Trust（4口）與Untrust（4口）兩個安全域，分別連接測試儀模擬的客戶端與服務(wù)端。為避免性能受到影響，在測試時關(guān)閉了所涉及模塊外的一切功能選項(xiàng)，并采用帶外管理的方式監(jiān)控被測設(shè)備。

需求主導(dǎo)的測試方案

在制訂測試方案時，我們進(jìn)行了一系列用戶需求調(diào)查。從反饋信息中了解到，電信運(yùn)營商對性能有著特殊的要求，通常會采用獨(dú)立的設(shè)備構(gòu)建完整的安全防護(hù)體系。而企業(yè)與高校則是最關(guān)注安全網(wǎng)關(guān)應(yīng)用層防護(hù)能力的兩類用戶，它們的需求十分復(fù)雜，甚至拓展到防病毒以外的其他領(lǐng)域。我們根據(jù)這些信息制訂了兩個測試用例，著重模擬企業(yè)與高校用戶的使用環(huán)境，對SA-5050的應(yīng)用層安全性能進(jìn)行測試。

***個測試用例是關(guān)于防病毒性能的基準(zhǔn)測試，考察設(shè)備在1000條防火墻策略、源端口地址轉(zhuǎn)換模式下，模擬每秒40000個用戶訪問Web頁面時SA-5050實(shí)際能夠達(dá)到的性能。測試的事務(wù)流程取自大多數(shù)用戶通過瀏覽器訪問網(wǎng)站的完整過程：使用客戶端發(fā)起HTTP 1.1訪問請求，從服務(wù)端獲取一個64KB大小的頁面文件，完成后即拆除連接。為防止防火墻模塊對安全策略進(jìn)行合并等預(yù)處理，我們制定了與模擬客戶端、服務(wù)端處于同一廣播域內(nèi)的跳躍式策略，以保證訪問請求在***命中。在這項(xiàng)測試中，SA-5050的吞吐量接近1.9Gbps，表現(xiàn)非常強(qiáng)勁。

第二個測試用例則在剛才的基礎(chǔ)上，開啟P2P/IM控制與URL過濾模塊，加載屏蔽BT、eMule、QQ、MSN四種常見應(yīng)用和10個URL關(guān)鍵字的策略，模擬每秒31000個用戶訪問Web頁面。從技術(shù)角度看，這兩類應(yīng)用都涉及應(yīng)用層報文處理，理論上會對性能造成比較大的影響，但從調(diào)查結(jié)果來看，這樣的配置非常具有代表性，更加貼近企業(yè)與高校用戶的實(shí)際需求。測試結(jié)果顯示，SA-5050在這種環(huán)境下的***可用帶寬超過1.1Gbps，比預(yù)想值高出不少。我們還發(fā)現(xiàn)，產(chǎn)品在達(dá)到性能極限時，無論是WebUI還是CLI都保持了正常的響應(yīng)速度，不會出現(xiàn)常見的“假死”情況。

及時的用戶建議

在測試的收尾階段，一位負(fù)責(zé)校園網(wǎng)安全保障工作的讀者為我們提供了一條很有價值的信息。他所在的學(xué)校目前使用一臺兩年前采購的UTM產(chǎn)品做網(wǎng)關(guān)，對于設(shè)備的使用現(xiàn)狀，這位老師并不是很滿意?！艾F(xiàn)在通過互聯(lián)網(wǎng)下載的文件越來越大，我們發(fā)現(xiàn)UTM掃描大文件時，性能下降太明顯?！边@個信息讓我們很受啟發(fā)，既然實(shí)際需求的變化暴露出安全網(wǎng)關(guān)的一些弱點(diǎn)，不妨再做一下有針對性的測試。

我們沿用第二個測試用例的環(huán)境，將模擬服務(wù)端使用的64KB頁面換成一個1.16MB大小的可執(zhí)行文件，進(jìn)行了多次測試。SA-5050此時***吞吐量達(dá)到1.8Gbps左右，被掃描文件體積的增加并未對設(shè)備的防病毒性能造成明顯影響。通過與Hillstone工程師的交流，我們得知SA系列產(chǎn)品發(fā)揮了高性能硬件平臺的優(yōu)勢，將文件接收、文件掃描、文件發(fā)送等環(huán)節(jié)同步地并行處理，減少了傳統(tǒng)處理機(jī)制造成的低效率、高延遲等情況。

雖然從測試數(shù)據(jù)看，SA-5050表現(xiàn)出來的應(yīng)用層性能尚不及2-4層性能指標(biāo)那樣奪目，卻已經(jīng)可以滿足多數(shù)企業(yè)、高校類用戶的實(shí)際需要。這是對傳統(tǒng)瓶頸的一次突破，在高性能硬件平臺與新版系統(tǒng)軟件的支持下，Hillstone SA-5050包括防病毒在內(nèi)的應(yīng)用層處理能力已大大超越了傳統(tǒng)意義上的防毒墻或UTM產(chǎn)品，達(dá)到一個新的高度。

【編輯推薦】

1. 【UTM安全網(wǎng)關(guān)】冠群金辰KILL過濾網(wǎng)關(guān)
2. SINFOR UTM安全網(wǎng)關(guān)技術(shù)優(yōu)勢