WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

评测导购 > 数据保护 > 正文
业界最快T级防火墙如何炼成?美国NSS实验室用数据告诉你
作者: 佚名 2014-04-04 14:53 【watchstor.com】

你知道吗?目前世界上90%以上的数据都是最近几年才产生的,而互联网上的数据则正在以每年50%的速度高速增长着,即每两年就将翻一番。在 “大数据”时代,数据具备量大、流速高、种类繁多、非结构化强等一系列特点,这也使得承载“大数据”的数据中心面临着前所未有的挑战——除了要提升处理、分析海量且多样的数据的能力外,更要满足网络带宽爆炸性增长的需求,同时全面保证数据的安全。因此,为了更好地适应“大数据”时代的变化,数据中心也亟需跨入一个全新的时代——T级安全防护时代,为“大数据”的安全保驾护航。

而提到T级安全防护,就不得不提华为发布的业界首款T级高性能数据中心防火墙——USG9500系列。作为一款“跨时代”的防火墙产品,华为USG9500系列自问世以来就备受业界的关注,并在2014年业界权威第三方安全测评机构美国NSS实验室公组织的业界首个数据中心防火墙的公测中,成功通过了基于“数据中心防火墙测试方法学”的测试,成为了业界“最快的防火墙”;同时正式“加冕”为业界首款经过第三方认证的T级数据中心防火墙。那么这款“业界最快的防火墙”究竟是如何炼成的呢?现在就为你揭晓答案!

· “NP+多核+分布式”创新架构,使性能达到960Gbps

华为USG9580是华为USG9500系列数据中心防火墙产品的最高型号产品,拥有16个扩展槽位;支持GE、10GE、40GE、100GE等接口类型(支持高密度接口板,单板可支持48个GE或10个10GE接口;同时可支持单口40G/100G板卡);理论吞吐量性能可达960Gbps(即T级水准)。而为了验证其T级性能,NSS实验室在实测时为USG9580数据中心防火墙配备了多达100个10GE接口和6个下一代高性能安全业务模块。测试结果显示,在报文大小分别为达到512、1024和1514字节的UDP测试中,华为USG9580防火墙可实现96个10GE接口的线速吞吐量,即真正达到了960Gbps的理论性能。


华为USG9580防火墙UDP吞吐量测试结果

而华为USG9580数据中心防火墙能拥有如此出色的性能,正是得益于其采用的革命性的“NP+多核+分布式”架构。相比目前业界主流防火墙所采用的传统架构(即采用单颗CPU支撑业务转发的方式),USG9500系列的‘NP+多核+分布式’创新架构将多颗多核CPU集成在一块业务板卡上,优化了业务流量在分布式多CPU平台上的分流哈希算法,并凭借创新的风道设计解决了如此高密度处理下的功耗和散热的问题,从而将USG9500系列防火墙的处理性能提升到了T级。

USG9500系列的‘NP+多核+分布式’创新架构不仅使其具备T级吞吐能力,更使其在真实环境(即在在处理L4-7层的复杂流量时)应用中的表现,相比“传统架构”的优势更加明显。NSS实验室针对USG9580防火墙的“Real-World真实流量组合”测试就很好的印证了这一点!


华为USG9580防火墙Real-World真实流量组合测试结果

· 多种业务场景表现稳定出色

该测试利用不同的协议组合基于被测设备的预定位置(网络核心或边界)来反映真实的用户使用场景。NSS实验室选择了常见的5种数据中心业务场景(金融、虚拟化、移动APP、WEB APP、ISP)进行了验证,华为USG9580在这些业务模型下均测试出了390Gbps左右的高性能表现。而需要特别说明的是,根据NSS实验室测试方法学的规定,TCP测试流量只在单方向发送,因此测试时每对端口的吞吐量限制在了10Gbps(96个万兆端口变为48对万兆端口),即最高理论吞吐量应为480Gbps。也就是说,华为USG9580的实测表现已经非常接近理论性能!

对于华为USG9580数据中心防火墙在测试中的优异表现,NSS实验室CEO,Vikram Phatak这样评价道:“华为USG9580数据中心防火墙是目前我们所测试过的业界最快的防火墙。我们相信,安全领域专家和任何会考虑华为解决方案的客户将对我们的测试结果非常感兴趣。”

的确,通过NSS实验室的性能实测,华为USG9580数据中心防火墙的T级吞吐性能得到了完美展示。在全球数据中心流量急速上升的今天(年复合增长率达31%),华为USG9580作为数据中心的安全“防护者”,以T级性能应对大数据流量和网络带宽爆炸性的增长,全面消除了业务互联互通的瓶颈,成为了T级安全防护时代的性能标杆!

· 安全有效性、稳定与可靠性、可管理性、TCO多项指标同样出色

除了T级性能的验证外,NSS实验室“数据中心测试方法学”还考察了华为USG9580防火墙的多方面指标:包括安全有效性、稳定性与可靠性、可管理性以及TCO(总体拥有成本)等等。其中在安全有效性测试中,NSS实验室对华为USG9580进行了基线配置测试、复杂真实业务下多域配置测试、策略测试、应用协议和检测引擎测试等。得益于USG9580全面的安全防护能力(支持NAT及URL溯源、虚拟化、VPN、IPS、Anti-DDoS、应用识别、智能选路、负载均衡等功能),特别是基于数据包协议分析和特征匹配技术的应用识别能力,其顺利的通过了全部测试项目。NSS实验室的测试结果显示,指定流量成功通过,其余流量均被拒绝,日志系统记录了适当的日志表项。也就是说,USG9580实现了数据中心的网络数据的透明可视化,为应用安全的防护提供了可靠保证!

而在稳定性与可靠性的测试中,华为USG9580能够100%阻断之前已经阻断的流量,并发送针对所有被阻断流量的告警,顺利的通过了阻断长时间攻击、在长时间攻击情况下正常转发合法流量、以及协议模糊和变异的测试。与此同时,凭借HRP/HA/链路捆绑、关键部件冗余等技术保障,华为USG9580还顺利通过了电源故障测试、冗余测试、以及数据持久性测试。防火墙作为数据中心中的直连设备,华为深知其稳定性和可靠性的重要性,因此在华为USG9580在设计之初即参考了运营商级的高标准,而NSS实验室的测试结果也很好的验证了其出众的稳定性与可靠性。

华为USG9580虽是一款定位高端的T级防火墙,但其在管理与配置方面的表现同样出色——提供了CLI、WebUI、SNMP等多种手段操作,既可通过单台设备自带的sWEB系统登录维护,也可通过华为eSight专业网管软件统一维护,从而有效降低后期运维的工作量;与此同时,针对企业原有安全策略难以维护、简化的问题,USG9580还通过命中率分析,冗余分析等实现了策略精简,至少可以帮助运维人员减少30%的工作量。基于此,华为USG9580也顺利的通过了NSS实验室严格的管理与配置测试。

通过NSS实验室基于“数据中心测试方法学”的全方位测试,华为USG9580数据中心防火墙展现了领先业界的安全防护能力,同时也让全球安全市场(特别是发达国家和地区的企业)对于华为的品牌和安全产品有一个新的认知。对此,华为美国CSO, Andy Purdy指出:“我们很高兴与全球安全领域分享美国NSS实验室的独立测评结果,我们坚信,像NSS实验室这样的拥有良好声誉的权威独立的第三方测评机构对ICT产品所做的测评具有巨大的价值。这种独立测评应该在全球ICT产业内得到更多的应用,事实上,也应该成为公认的有效风险管理的基石,因为企业在购买平台或产品时需要从业界获得相关建议、建立对该平台或产品的信心。”

当然,作为数据中心建设的决策者,除了要关注产品的性能(能力)外,还要考虑到建设的成本,即希望投资价值回报率最大化。为此,NSS实验室还特别计算了华为USG9580的每Mbps总体拥有成本(TCO),计算公式如下:

3年TCO(含三年生命周期内的初期采购成本和后期维护成本)/NSS实验室所测吞吐量Mbps = 每Mbps总体拥有成本

通过计算,华为USG9580提供了极具竞争力的性能与价格比,每Mbps总体拥有成本仅为1.74美元。试想一下,如果一款价格相对便宜的产品所提供的性能大大低于比其略微昂贵的产品提供的性能,这种便宜产品的投资价值回报率一定不高。特别是对于防火墙这种数据中心建设中的关键设备,其核心价值是实现低TCO的同时提供高吞吐量,就像华为USG9580数据中心防火墙一样。所以说,华为USG9580不仅仅是T级安全防护时代引领者,更是全球下一代数据中心建设的理想之选!


标签:数据保护 存储资源管理 

了不起的IT经理
LecVideo
论坛与活动