选择正确的防火墙产品需要权衡很多不同的因素。很自然,人们总是希望买到的这个小盒子非常容易安装并配置;可以实现反病毒、反垃圾邮件等外围的安全功能;最后,还要有合适的价格。但是,即便是你真的遇到这么多需求,也不要希望你的防火墙能真的做得很好。除非它真能在提供最高网络性能的同时,还能抵御外部攻击。
我们最近组织了一些中等规模的防火墙产品(中等规模是指支持10万~20万并发连接,支持1千到2千个VPN隧道连接)在思博伦位于加利福尼亚的通信实验室进行一次性能测试。测试中使用了思博伦专门测试性能和安全性的测试设备,参测的设备有ServGate的EdgeForce Accel、SonicWall的Pro 3060以及Stonesoft的StoneGate SG-500。
我们使用了思博伦公司的 Avalanche 5.2 和 Reflector 5.2测试工具套件,运行在Avalanche 2500 和 Reflector 2500硬件设备上,来测试每台防火墙的性能指标,包括在一定压力流量下的性能指标。我们同样也模拟了在DDoS攻击的背景下设备的工作能力,攻击类型包括Syn、Smurf、Reset和ARP Flood攻击,以此希望评估出设备在抵御攻击时能否成功地转发合法的数据。
对于VPN性能的测试,我们使用了思博伦的SmartBits 6000流量发生器,并配有最新版本的TeraVPN 4.0测试套件来测试端到端(服务器到服务器之间的连接)VPN隧道的最大吞吐量。
在测试的最后,我们发现所有这三套设备的性能都因为模拟的攻击而受到影响。我想这并不奇怪。反过来想,这可能是企业级防火墙产品的一个基本情况。但是我们发现防火墙和VPN测试结果有着显著的不同,ServGate和SonicWall的产品都处于领先的位置。
ServGate EdgeForce Accel:结构模块化 认证最齐备
ServGate的 EdgeForce产品线没有采用被过于推崇的ASIC架构方案,而是采用了更具灵活性的模块化体系结构。可选的模块可以使您的Accel防火墙获得从250Mbps到1Gbps的不同吞吐量,也能配置不同的功能模块,比如说Web加速、本地认证、防病毒或者反垃圾邮件等都是重要的功能模
EdgeForce Accel是一个1U的机架安装产品,采用了一种经过定制的Linux操作系统,运行在一台奔腾III 866MHz上,并且系统采用了Broadcom的安全芯片来进行密钥计算。这是参测设备中惟一的一款国际计算机安全协会认证过的产品,支持千兆网络接口。该设备采用了图形用户界面的标准管理系统,其防火墙规则设置或者e-mail报警设置都非常简单。Accel支持多种VPN标准和协议,您可以根据需要设置所需的QoS。对于管理多个分支机构中的防火墙也会非常简单,ServGate会很快发布一款集中管理控制台软件。
在防火墙性能测试中,Accel实现了12.8万个并发连接,当达到13.1万并发连接时会出现连接丢失。当我们测试每秒最高并发连接时我们遇到了问题,因为我们默认设备会自动中断原先的连接。而Accel会在每一个TCP连接关闭后仍然将连接端口保持120秒钟,不能为测试最大每秒新建连接数及时释放足够的系统资源。
在这样的设置下,Accel在入侵检测功能打开、NAT打开的情况下,测得了每秒1100个并发连接能力。ServGate的有关人员介绍说,如果将TCP连接的丢弃时间减少到60秒,并且关闭入侵检测和NAT的话,防火墙的性能可以提升至每秒3490个新建连接数。
虽然ServGate声明他们的Accel在相应模块的支持下,可以达到2000个VPN隧道的处理能力,但是由于时间的局限,我们并没有测试到这个数值。所有的厂商都没能提供快速设置大量VPN隧道的方法,但是在测试结束前我们设置并验证了ServGate设备支持1000个隧道的能力。
尽管Accel支持千兆位的网络接口,我们测试端到端单一隧道吞吐量时,还是使用了100Mbps的网卡。最后我们得到了双向198Mbps的吞吐量成绩。
SonicWall Pro 3060:心动的价格 简洁的配置
SonicWall的 Pro 3060 在整个测试中也表现非凡。它达到了和ServGate EdgeForce Accel一样的13.1万并发连接数,并且取得了令人难忘的每秒4750个新建连接数的成绩,在三款产品中拔得头筹。我们简短地测试了SonicWall宣称支持的1000个VPN隧道连接能力。在993个连接时它还表现良好,最后的7个连接就像压死大象的最后几根稻草一样,让测试的结果变得不太好看了。对于端到端的VPN单隧道吞吐量测试,Pro 3060的表现和厂家的标称值相同,为73Mbps。简单地说,3060的VPN性能和扩展能力不能和ServGate的产品相抗衡,但是一半的价格会让很多人心动的。
1
2
下一页>>
