一切基于SSL隧道的应用协议都被纳入控管范围
wanghx
进 化的艺术——Hillstone山石网科SG-6000-G5150产品评测
作 者 老韩 | 2009-09-25 00:14 | 类型 专题分析, 互联网 | 1条用户评论 »
|
金秋十月,产品发布的黄金季节,山石网科抢先推出了新一代SG-6000系列产品。经过测试、分析,我对新产品很满意,很认 同。正文是如实发布在报纸、网站上的。身边不只一个朋友/同事说,我写得倾向性太强了,会让其他厂商不爽,敏感的读者肯定也认为我拿了好处。冤枉!声明山 石网科没给我一分钱红包,也没给我一个字资料。我写的文字,完全是个人的所见所闻所想,如果还说有倾向性,那就当作第三方的观点吧。 事实上,我真的认为,就我了解的各家已发布产品的情况,安全圈里,山石网科在产品技术方面的水平已经不亚于华三、华赛。希望 他们能保持高速发展的态势,做出真正意义上的精品,提升国内信息安全行业的技术形象。 原文发布于《计算机世界》
与信息安全行业内众多老牌厂商相比,Hillstone山石网科(以下简称“山石网科”)是个年轻的企业。短短几年内, 该公司成功发布了SA、SR两大系列共十几款产品,可以提供企业级至电信级的全方位信息安全解决方案,取得了令人刮目相看的成绩。作为后来者,必须要有足 够强大的核心竞争力,才能在激烈多变的市场竞争中站稳脚跟,而深厚的技术积累和具有前瞻性的产品设计思路,就是山石网科的制胜法宝。近日,该公司即将发布 最新的SG-6000系列产品,再次将这一优势演绎的淋漓尽致。 感谢山石网科在产品发布前为实验室提供了测试样机,让我们有机会在第一时间与读者朋友们分享最新鲜的测试感受。这是一台
型号为SG-6000-
G5150的产品(以下简称“G5150”),采用2U规格设计,定位于中高端。产品前面板设计得很漂亮,不过右侧4个扩展槽位更吸引人。G5150可以
支持类型众多的扩展模块,用以增加整机接口数量或业务处理能力。面板左侧分布着4个千兆电口与8个千兆SFP接口,加上USB、AUX、控制口和状态指示
灯,显得很紧凑。此外,该产品还配备了互为冗余的两组热插拔电源,以满足运营商、IDC服务提供商等电信级用户的需求。 多 核Plus G2:全新的系统平台 毫 无疑问,模块化设计是SG-6000系列产品最吸引人的地方,而其基础则是改进后的多核Plus G2系统平台。该平台延续了上一代的设计理念,强化了以交换为中心的设计思路,在硬件体系架构方面继续保持领先。在多核Plus G2系统平台中,接口与处理器都是交换矩阵上的节点。理论上,只要交换矩阵的转发能力不成为瓶颈,就可以继续加入业务处理及接口节点,无缝拓展产品的整体 处理能力。由此看来,新平台不但引领了山石网科产品线的升级,也为更高端的分布式产品开发打下坚实的基础。另一方面,该公司坚持采用这种在数据通信领域应 用比较广泛的理念设计安全产品,在一定程度上也印证着数通与安全的融合趋势。
而对于用户来说,这种模块化的设计思路允许其量体裁衣,根据自身业务需求选择合适的产品配置。就以G5150为例,如果 用户需要更多的接口,那它可以额外再扩展出32个千兆口或4个万兆口。借助于强大的交换矩阵,用户甚至可以在接口间划分VLAN,实现三层交换机的功能; 如果用户需要更强大的处理能力,可以选配AV应用处理模块,将病毒过滤的任务彻底卸载走,从而提升G5150的整体性能。这种解决方案的实际效果,在后面 的测试中得到了很好的验证;如果用户需要的是严格的法规遵从,也可以选配存储扩展模块,在本地保存日志、访问记录及审计信息,从而节省架设外置服务器的高 昂投资。 先进的硬件架构必须配备有与之匹配的软件环境,才能稳定、高效地发挥出系统的整体处理能力。SG-6000系列产品内置了山石网科最新发布的 StoneOS 4.0软件平台,为业务的分布式处理做好准备。我们注意到,防火墙、病毒过滤等功能模块在StoneOS 4.0上已经很好地做到并行处理,测试中处理器各个核的负载都比较平均。从整体测试结果来看,该系统对锁的处理无疑是很成功的,在保证业务高度并行的同时 拥有比较优秀的性能。 UTM Plus:不仅仅是安全 与 全新的多核Plus G2系统平台相对应,SG-6000系列产品的上层业务模块也有了较大规模的扩展,在原先防火墙、抗攻击、VPN、防病毒、流量管理的基础上增加了IPS 与上网行为管理两大组件,形成一套完整的安全管理解决方案。在这套方案中,基于角色与行为的控管模式被发扬光大,很大程度上解决了传统IP+端口方式难于 理解、配置的瓶颈。用户在使用网络资源时,可以通过静态关联、Web认证、VPN接入认证等方式与角色进行绑定,动态获得基于用户或用户组的访问控制及审 计策略。管理员在进行日志审计时,也可以更直观地看到用户及其行为,大大简化了复杂的定位流程。这种控管模式,在一定程度上可以取代端点准入与事件管理两 种功能。
对外发信息进行审计,防止机密外泄及不必要的法律纠纷,是UTM Plus中上网行为管理模块的另一大作用。该模块对HTTP、FTP、SMTP和主流即时通信类应用提供了由信令到内容层面的审计能力,莫说论坛发帖,就 连163、Hotmail、Gmail、QQ邮箱等国内应用比较广泛的Webmail发信都被囊括在内。妄想使用Gmail等采用HTTPS登录的 Webmail逃避检查也是徒劳的,UTM Plus内置的SSL代理可以截断所有单向验证的SSL请求,对解密后的内容进行控制、审计。也就是说,利用这个代理,一切基于SSL隧道的应用协议都被 纳入控管范围,不会再有漏网之鱼。不过,我们也注意到内容审计功能开启时,客户端并不会得到任何提示,山石网科称会在产品正式发布时以告警提示和法律免责 申明的方式加以完善。 性 能:再攀高峰
为了尽量模拟真实环境,防火墙在随后的测试中都保持加载200条策略的状态,带着业务进行测试。G5150集成的IPS模块基于多种协议,截至测试时最 新版的特征库共包含了3187条规则。我们开启了针对双向流量的入侵防御功能,使用思博伦通信提供的Avalanche2900应用层性能测试仪模拟真实 用户,生成不同类型的HTTP流量,考察此时系统的性能。G5150在这部分有着相当漂亮的表现,实测得的HTTP可用带宽高达3031Mbps。我们分 析,IPS、上网行为管理与防病毒模块应该共享同一个协议分析引擎,这也是做到高性能的唯一途径。
|
 (1个打分, 平均:5 / 5) |
只谈性能问题:
1.图示中说(Multicore-MIPS64,up to 16 cores),假设是现代主流的MIPS处理器。
2.按表中的最大吞吐量计算:8Gbps*26.4%*1.488Mpps = 3.14Mpps
这么高档的处理器,这么低的性能,我实在不敢恭维。(莫非它的“路由模式+策略”另有蹊跷)
:-)