万兆安全多面手——华为EudemonlOOOE-X8评测报告
作者:暂无
来源:《计算机世界》 2012年第15期
对于我们本次测试的华为安全网关最高端型号Eudemon1000E-X8来说,FPGA 加速卡已经属于标准配置,提供30G 以上的处理能力。
■ 计算机世界实验室
用户需求的不断变化,导致安全产品的性能始终处于快速增长的过程中。比如安全网关,几年前我们还在为万兆产品的横空出世兴奋不已,如今业界领导厂商就已将新品的防火墙性能上限提升至300G?500G。失去了“性能之王”光环的万兆安全网关正在走下神坛,以进入机柜为目标,开始了新的市场周期。根据近期用户、厂商与我们交流时分享的信息来看,这类产品已成为许多行业用户在网络建设或升级时的选型评估对象,其部署数量呈爆发性增长。
万兆从理想到现实的过渡,也让人们对产品的审视角度发生了变化:当其处在巅峰时,大
家看到的只是亮点,那就是产品性能;但当它接受选型评估时,用户会以理智乃至苛刻的态度, 全面衡量产品对需求的综合满足度。如果设备的接口数量或支持安全业务的种类不能满足要求,抑或价格不具合理性, 再高的性能也毫无意义。华为显然意识到这一点,针对愈发复杂的万兆应用场景推出了全新的Eudemon1000E-X 系列安全网关,为用户提供了高性价比的选择。
规格为需求服务
Eudemon1000E-X 产品线中目前包含5 款产品,分别为1U 规格的Eudemon1000E-X3\\X5 和3U 规格的Eudemon1000E-X6\\X7\\X8,定位于Eudemon200E-X 与Eudemon8000E-X 之间的高端千兆至中低端万兆层面。它们均采用集中式转发的设计思路,由主控交换模块上的1 颗NetLogic XLR732 多核处理器实现所有安全业务的处理。从硬件规格角度看,这颗处理器难以支撑20G 以上的流量,所以华为为Eudemon1000E-X 系列产品设计了FPGA 加速卡,用以强化除应用层外所有安全业务的性能。对于我们本次测试的最高端型号Eudemon1000E-X8 来说,FPGA 加速卡已经属于标准配置,宣称提供30G 以上的处理能力。
在以往测试中,华为安全产品在接口密度与种类方面就曾给我们留下过深刻印象。
Eudemon1000E-X延续了这一传统,并将其提升到一个新的高度。该产品目前已拥有超过10 种不同规格的接口卡,支持光纤、铜缆介质下的千兆、万兆接口及3G 数据接入。采用高密度卡可以大幅提升整机的接口数量,就以1U 规格的Eudemon1000E-X5 为例,设备的主控交换模块上固化有8 个千兆接口,如果再选配两个2 万兆加8 千兆接口模块,整机接口数量就达到4 万兆加24 千兆;而对于3U 规格的型号来说,最多14 万兆加56 千兆的接口配置足以应对任何复杂的接入需求。多模/ 单模Bypass 接口卡也是非常实用的设计,很好地解决了用户对于光纤链路的的透传需求。该卡不对流量做任何处理,只在设备工作状态出现异常时进行透传,保证链路的连通性,为用户节省了独立设备的投资。
从产品形态发展的角度看,安全网关走过了UTM、NGFW 等市场周期,在安全业务的集成度方面达到一个新的阶段。尽管业界对产品本身存在各种争论,用户还是认为利大于弊,并以实际行动接受了这类产品。随着软硬件技术的发展,开启多种安全业务后性能大幅衰减的难题被逐渐克服,安全网关的部署场景也随之扩大,其身影已出现在大型网络边缘,开始取代传统的多设备串联模型。Eudemon1000E-X就是在这种背景下诞生的产品,它在高性能防火墙/VPN 的
基础上,加入了包括防病毒、IPS、URL 过滤、反垃圾邮件、应用识别与控制在内的多种安全业务。实际上,除最高端的Eudemon8000E-X 系列外,华为在其他所有安全网关产品中都集成了同样的安全业务组件。所以Eudemon1000E-X 的推出,也可以看做是UTM+ 产品家族的延伸。
细致入微的功能特性
对于安全网关来说, 性能与复杂安全业务的实现效果是天生的矛盾体,厂商必须做出取舍。与多数性能优先的产品不同,Eudemon1000E-X 以提升安全性和用户体验为目标,将功能实现的深度与细粒度作为重点。我们在测试中看到,来自赛门铁克的防病毒与IPS 模块在检测率、误报率方面表现出较高的水准,对著名的“16277 压缩病毒样本包”和针对近年来危险级别较高的CVE 漏洞的攻击有着很好的查杀、抵御能力。而在加入10G HTTP 背景流的情况下,设备仍旧工作正常,病毒检测率与攻击防御效果也没有任何下降。如果用户对病毒防范有更严格的要求,Eudemon1000E-X 还提供了更高等级的启发式检测机制,可将可疑代码提交到云端进行更深度的检测。这个功能须由用户手动开启,保证了业务的私密性。
测试中还有一个细节给我们留下了深刻的印象, 当使用FTP 协议传输病毒样本时,
Eudemon1000E-X8 除了做出中断连接等动作,还会在FTP 状态中插入提示,利用FTP 客户端将检测到的威胁信息反馈给用户。这是个不起眼但极具价值的特性,可以避免用户在连接无理由中断时反复进行无效操作。同样地,当邮件中含有恶意代码时,Eudemon1000E-X8 也会在阻断的同时在正文中宣告威胁信息;而使用HTTP 协议传输含安全威胁的数据时,设备也会将连接重定向到内置的告警页面,用户不会得到 “连接被重置”这种无厘头的提示。
来自用户的大量需求表明,应用识别与控制已成为现今安全网关必须具有的功能。华为对此有一定的前瞻性, 其Eudemon 全系列产品都已加入这一特性。Eudemon1000E-X8 中集成的应用识别与控制功能与之前测试过的Eudemon8000E-X8( 即华为赛门铁克USG9560) 如出一辙,在可识别的应用数量方面没有任何缩水。该设备同时支持基于应用的策略路由,能让用户更合理地对接入链路进行分配。在商务层面,华为延续了之前的免费策略,即便用户没有购买任何安全业务使用许可,得到的也是支持应用识别与控制特性的应用防火墙。
除了丰富的安全业务,Eudemon1000E-X 在易用性方面也有了长足进步。之前用户抱怨较多的配置复杂、不便于管理的问题,在全新的Web 控制台中得到了很大程度的改善。我们在测试中看到,新的Web 控制台在安全业务划分上更加合理,配置步骤也有所简化,允许用户在一体化策略模型中完成叠加多种安全业务的策略配置。该设备还支持与AD 服务器联动在内的多种用户认证手段,具备了基于用户身份的监控、管理、分析能力,这也是NGFW 定义中让用户比较期待的特性。华为还针对大部分用户的使用习惯,提供了人性化的配置向导及全中文的本地帮助文档,在一定程度上降低了产品部署的复杂度。
性能:不多不少刚刚好
不管集成了多少安全功能,开启防火墙时的性能表现都是安全网关最重要的评估指标,对任何用户都有参考价值。我们使用思博伦通信的TestCenter 与Avalanche 测试仪,对工作在路由模式、1 条全通策略的Eudemon1000E-X8 进行了测试。从测试结果中可以看出,该产品在64Byte 帧长时的吞吐量超过10G,512Byte 起达到32G。如果改用IMIX 流量模型进行测试,吞吐量也接近32G。平均延迟方面,所有数据均在50 微秒以内,不会对应用体验造成任何影响。在连接处理能力方面,Eudemon1000E-X8 在路由模式下的HTTP 每秒新建连接数超过22.7 万,最大能够维持400 万并发连接,绝大多数情况下可以满足用户需要。
考虑到多数用户应用场景中存在的地址转换需求,我们又对开启了NAPT 功能后的
Eudemon1000E-X8进行了测试。当使用IMIX 流量模型进行测试时,得到的吞吐量、平均延迟数
据与路由模式基本保持一致。鉴于我国公安部82 号令中明确要求,以NAT 方式向用户提供接入服务的机构,必须记录、留存用户使用的内网IP 地址与公网IP 地址间的对应关系,我们在连接能力测试中打开了Eudemon1000E-X8 的NAT 日志输出功能。根据以往测试经验,海量日志的采集输出会占用一定的系统资源,被测设备的连接处理能力会有不同程度的下降。不过
Eudemon1000E-X8 显然对此做了有针对性的处理,在以二进制方式输出NAT 日志的情况下,我们实测得到的最大HTTP 新建连接数为219692;更换为Syslog 输出方式后,该指标仍可达到219527。
整体来看,Eudemon1000E-X8的测试数据体现出FPGA 加速逻辑锁定包转发速率的典型特征——当带宽不成为瓶颈时,设备对各种帧长的流量都保持着近1500 万PPS的转发速率;当流量超过32G 时,即便FPGA 的处理能力仍有余量,吞吐量也无法继续提升。由此我们判断,Eudemon1000E-X 系列产品的FPGA 加速卡的设计指标就是1500 万PPS 及32G 的I/O 通路,这一点随后也得到了华为官方证实。华为选择将FPGA 处理节点挂在交换引擎上,解决了以往加速卡固化接口导致的性能瓶颈,充分发挥了FPGA 本身的处理能力,其设计思路值得肯定。
测试后记
简约实用、直达重点,这就是Eudemon1000E-X 给我们最明显的感受。根据产品定位,华为在接口灵活性上做了大量有针对性的设计,重点突出设备的接入能力。虽然没有引入分布式处理机制,FPGA 加速卡的存在也让设备有了一定的升级空间,使Eudemon1000E-X 在千兆至万兆的更新周期内满足业务发展需要,非常适用于运营商、高校、园区出口等以网络访问为目的应用场景。