基于创新架构打造的绿盟下一代防火墙
通过前面的介绍我们不难看出,绿盟下一代防火墙(NSFOCUS NF)已经实现了全方位立体安全防护,无论是面对新安全挑战,还是解决传统安全威胁,其都能应付自如。然而这样的“集大成者”也不禁让人产生疑问,其性能能否支撑整套安全防护体系?对于此问题,用户大可放心,因为绿盟已经为其下一代防火墙产品打造了创新的产品架构,除了刚刚提到的新一代64位多核并发、高速硬件平台和双引擎设计模式之外,其还采用了绿盟自主研发的并行操作系统,将管理、数通、安全平面并行部署在多核平台上,借助于多平面并发处理,紧密协作,可显著提升网络数据包的安全处理性能。
绿盟下一代防火墙的创新架构
而双引擎设计(数通引擎和一体化安全引擎)则是NSFOCUS NF创新架构的最大亮点。其中,数通引擎实现基础防火墙功能,并作为整个系统运转的核心,将底层数通处理和高层应用安全处理,高度整合和驱动起来。与此同时,一体化安全引擎对网络数据包只需进行一次解码,即可完成4-7层全部安全扫描和过滤,从根本上解决了传统UTM设备各安全模块彼此分离、解码重复的问题,同时保证了安全模块开启后安全性能不明显下降。
那么该新架构究竟能为绿盟下一代防火墙带来怎样的性能提升呢?NSFOCUS NF在实际应用中的性能表现真有说的这么好吗?我们决定通过实测来验证一下!
首先介绍一下此次实测的绿盟下一代防火墙——NX3系列G4000M。G4000M采用模块化设计,最高支持14个GE电口和8个SFP接口;其标称三层吞吐能力为8Gbps,应用层吞吐能力为4Gbps;而最大并发会话数和每秒新增会话数分别为400万和8万。
不可否认,上述绿盟NX3系列G4000M下一代防火墙的标称性能数据确实很不错,但笔者认为,防火墙的测试,除了三层吞吐这种基础性能测试之外,最大并发测试、每秒新增会话测试、以及应用层性能测试等,都必须考虑到实际场景。举例来说,在实际场景中,不可能在没有基础流量的情况下产生新建连接请求;因此,想要测试防火墙在真实场景下的新建连接速率,就必须在已有大量背景流量的情况下进行测试,如果其仍能达到很高的每秒新增连接表现,就说明该防火墙真正具备很高的实际场景处理能力。
背景流量(企业标准应用流量模型)由IXIA Breaking Point来提供
综上所述,我们选择了思博伦TestCenter和Avalance,以及IXIA Breaking Point三款专业测试设备对绿盟NX3系列G4000M下一代防火墙进行实测。为了使测试结果更具参考价值,此次测试是在开启应用识别、IPS等功能,并且有一定背景流量(Breaking Point提供的企业标准应用流量模型)的情况下进行的。
测试内容:最大并发会话数,每秒新增会话数,以及应用层吞吐性能。
好啦,关于此次测试的基本介绍就到这里,马上开始绿盟NX3系列G4000M下一代防火墙的实际测试!
