科技网

当前位置: 首页 >通讯

JuniperSRX5800世界上最快的

通讯
来源: 作者: 2019-03-21 11:41:56

在我们独家的ClearChoice专题测试中,SRX5800能够通过其16个万兆以太接口,以140Gbps的速率传送流量,从而使之成为我们和其它机构测试过的最大且速度最快的防火墙。

“最大”并不等同于“能力最强”。例如,启用入侵防御会导致转发速率降至30Gbps,即使是在处理良性流量时也是如此。

在安全策略管理方面也出现了问题。Juniper提供的NetworkandSecurityManager(NSM)设备还无法从SRX接收安全警报。也就是说,这种安全管理平台不会通知络受到何种攻击,甚至不会说明络是否正在遭受攻击。

作为一种防火墙,SRX/NSM的组合本身是好的,即使是最大络的管理人员也会喜欢。但由于NSM缺乏安全警报且在使用性方面有一些严重的缺陷,我们不会将其作为一种组合式防火墙/IPS加以推荐。

强大的机箱

SRX5800是一种基于机箱的系统。机箱内预装了两个交换机控制主板,用于管理板卡间的通信,客户可以根据自己的需要来选择插入I/O卡或服务处理卡(SPC)。I/O卡有两种型号:4端口万兆以太卡或40端口千兆以太卡。。您可以将I/O卡与服务处理卡混插或匹配使用,由后者来处理防火墙和入侵防御等服务。

虽然该系统是面向不间断环境的,但Juniper并未在此单机箱版本中提供所有的热插拔技术。用户无法在不干扰数据流量传输流的情况下插拔板卡。Juniper的解决方案是一种机箱集群–将两台此类巨型机箱连接为一个集群后,您可以关闭其中一台机箱进行维护、升级或修理工作,而另一台机箱仍可继续传输流量。

SRX的操作系统是JunOS,并采用了Juniper在收购NetScreen后取得的防火墙和入侵防御特性。如果您喜欢利用命令行来管理路由器,并且采用较为温和的防火墙策略,那么SRX5800将是您的必然选择。该产品采用了您喜欢的JunOS操作系统、坚如磐石的有状态防火墙,并且提供了整个地球上速度最快的防火墙。

性能指标

当Juniper最初向我们表示会提供SRX5600防火墙时,我们考虑到该系统的带宽达60Gbps,因此对测试平台进行了相应的扩容。因此,当Juniper送来更大的SRX5800时,我们感到颇有些惊讶。根据该厂商的数据清单,这种产品是带宽达120 Gbps的防火墙。两种系统均支持最多16个万兆以太接口,但5800可以提供两倍的转发能力,其容量是我们的测试平台能够生成最大TCP流量的两倍。Juniper在该机箱中安装了8块双CPU服务处理器,将机箱内的14个插槽全部占满。

尽管思博伦公司在Sunnyvale市思博伦概念验证实验室的测试平台“只能”为该项目提供80Gbps的TCP流量(使用16台SpirentAvalanche2900设备),但我们可以利用160Gbps的无状态UDP流量将SRX5800的能力发挥到极限(使用一台Spirent TestCenter流量生成器/分析器)。我们可以独立运行TCP和UDP测试集,并对系统的特性和使用性做出了评估。

UDP测试充分证明了SRX5800的高容量。在使用1518字节最大长度帧的测试中,防火墙的吞吐量超过了137Gbps,平均延迟为76毫秒。在启用NAT后,未对防火墙的性能造成不良影响;吞吐量和延迟均与无NAT的场景下完全相同。

该系统在处理64字节和256字节帧时的速度要慢得多,吞吐量分别为6.9G和29Gbps。平均延迟也更高,64字节和256字节帧的延迟分别为152毫秒和292毫秒。

但对多数用户而言,在UDP条件下出现的较低性能并不一定算是什么问题。据CAIDA和其它一些来源的采样观察,UDP只占Internet总流量的约5%或更低。对于多数安全设备来说,TCP转发能力才是更有意义的性能指标。

为了对TCP性能做出评估,我们将SpirentAvalanche配置为Web客户端和服务器,每端均有2400个仿真用户通过防火墙请求512k字节的对象。在不同的配置下,我们将该测试重复运行了多次。

*当只用作防火墙时,SRX5800的性能越群。其传输HTTP流量时的合并速率达78Gbps,是我们的测试平台能够测试的最高水平。我们并未启用NAT,但鉴于UDP测试的结果,我们认为即使启用了NAT也不会对性能造成任何不良影响。在整个测试中,响应时间一直保持稳定,用户访问其对象时的平均延迟为131毫秒。

当我们启用入侵防御后,情况就完全不同的。即使在不存在攻击流量的情况下,合并转发速率从78Gbps狂降至30Gbps。我们启用了Juniper建议的252种攻击特征,基本代表各种主要的和关键的事件。同样,在运行该测试时只使用了良性的流量。因此,需要用到入侵防御特性的用户会在任何攻击出现之前就遇到较大的性能损失。然而,这种性能损失并非无法预测:Juniper自己提供的性能数据里将SRX5800的速率预计为30Gbps。

*在同一配置下,运行有NAT和入侵检测的测试事实上得出的结果与仅使用入侵防御特性的结果是相同的。此外,当SRX仅被配置为防火墙时,响应时间只略增加了一点,用户访问对象时的延迟为160毫秒或更低。

然而,这些测试在进行时都使用了Juniper的“建议”IPS策略,该策略经过精心选择和调整,实现了安全性与连接性和性能之间的平衡。这些策略中的一个重要组成部分是,它们都侧重于客户端至服务器的互动。换言之,它们会捕捉针对服务器的恶意流量,但不会捕捉从服务器至客户端的恶意软件。由于我们的测试流量主要是HTTP,这意味着IPS将多数时间都用于查看流向Web服务器的攻击流量,带宽约为650Mbps。剩余的流量,带宽超过29Gbps,都是从Web向外的流量,除一些协议异常和其它较低层攻击方面的检查,IPS未进行任何深层检查。

*当我们从IPS特征库中添加服务器至客户端的保护时,性能进一步下降至仅8Gbps。教训很明显:在使用IPS策略时必须非常小心,因为如果选择了错误的组件,将会对性能造成巨大的影响。

IPS管理能力不足

为了将Netscreen产品线中的防火墙、VPN和IPS安全特性集成到JunOS中,Juniper扩展了其安全管理工具-NetscreenSecurity Manager,将JunOS平台也纳入其中,同时对该产品重新贴牌并命名为Network and Security Manager。

在我们尝试对SRX5800进行管理时,我们发现其配置界面不够稳定而且攻击数据库不连贯。更糟糕的是,我们在IPS管理方面完全无从下手,这一点是无法接受的。IPS性能不佳,再加上配置困难和几乎无法管理,这表明SRX5800可能是一种很快的高速防火墙,但在Juniper解决可管理性问题之前,其IPS能力还是不用为好。

Snyder是亚桑那州Tucson市OpusOne的高级合伙人。他的联系方式是yder@。Newman是基准测试及络设计咨询企业NetworkTest公司的总裁。他的联系方式是dnewman@。

致谢

NetworkWorld感谢思博伦通信公司对本项目的大力支持。为进行测试,思博伦公司提供其设在Sunnyvale市的思博伦概念验证实验室用,及其Avalanche、ThreatEx和SpirentTestCenter测试仪器。许多思博伦员工也提供了工程和后勤支持,其中包括DanielAgcaoili、Jeff Brown、Chris Chapman、Dinkar Chivaluri、Ambar de la Cruz、Mike Jack、Michael Lynge、Charles McAuley、Thuy Pham、Timmons Player、Michelle Rhines和Navin Tekchandani。

如何测试Juniper的SRX5800

我们在性能、特性和可用性等几个方面对JuniperSRX5800进行了评价。由于该产品是一种安全设备,我们测试的重点就放在其安全性能上。我们在测试中并没有考察路由器指标,例如BGP性能,但SRX-5800确实内置了完整的多协议和多层JunOS9.3路由引擎。我们的安全性能测试包括独立的测试集,分别使用状态TCP和无状态UDP流量。在每个测试集中,我们向所有16个万兆以太接口提供了测试流量。

在状态TCP性能测试中,我们使用了16台SpirentAvalanche2900流量生成器/分析器,仿真HTTP客户端和服务器。我们将测试平台一分为二,Avalanche设备向SRX的八个端口提供流量,仿真2400个Web用户;而其余的Avalanche向剩下的八个SRX端口提供流量,用于仿真560台Web服务器。

在这些测试中,转发速率是主要的指标。我们对2400个Web“用户”进行了一一配置,使其在三分钟的稳定状态时间段内向服务器请求512k字节的对象,并在此时间段内以4秒间隔测量了转发速率。我们还测量了这一水平下的事务速率和响应时间。

我们将这些测试运行了三次,分别将SRX配置为防火墙、运行络地址翻译(NAT)的防火墙,以及运行NAT和加载252种攻击特征的入侵防御状态。这些Juniper建议使用的特征代表着关键和主要的事件,多数属于客户端至服务器方向。我们还在增加攻击特征后运行了额外的测试,更重要的是,添加了服务器至客户端方向的攻击探测特性。

在无状态测试中,我们使用了一台SpirentTestCenter流量生成器/分析器,连接所有16个SRX端口。在该测试中,我们提供了三种尺寸的UDP/IP流量–64、256和1518字节的以太帧,用于表示最小、平均和最大尺寸的包。在所有的测试中,我们使用了一种二进制搜索算法来确定吞速率。我们还测量了该吞吐速率下的平均和最大延迟。所有案例中的测试时长均为180秒。

作为测试的一部分,我们使用了一台由Juniper提供的NSMExpress设备,用于管理SRX-5800的基础、防火墙、NAT和IPS配置。NSMExpress是一种预先配置好的服务器,附带Juniper的Networkand Security Manager管理工具,版本号为2008.2。该工具已预装并可随时使用。我还使用了Juniper的工具对SRX-5800进行了配置,使之生成SRX-5800的安全和NAT策略并建立和IPS配置。我们还在可能的地方将NSM作为日志分析工具来使用,收集SRX-5800发出的警报并作调试之用。

急性肝炎住院一般要多少钱
产后可以做哪些瘦身运动
深静脉血栓的症状
吃什么预防老年痴呆

相关推荐