百G时代的里程碑

来源 :计算机世界 | 被引量 : 0次 | 上传用户:HillTang00009
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
  为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。
  
  多核Plus G2的高级形态
  
  目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
  在首批发布的安全网关产品中,山石网科定义了以交换为核心的多核Plus系统架构。由于业务处理单元和接口都采用固化设计,无法实现接口和处理能力的扩展。而其随后推出的一系列采用多核Plus G2架构的产品中,交换背板的重要性有了显著提升。以去年我们测试过的SG-6000-G5150为例,模块化设计是当时该产品最吸引人的特性,用户可以根据实际部署需要,选择合适的接口模块及应用层功能模块,灵活拓展整机接口数量和应用层业务的处理能力。但由于产品定位的原因,当时发布的SG-6000系列产品的整机防火墙性能决定于单一的业务处理单元,还未能发挥出多核Plus G2架构的最大潜力。
  直到百G级别的X6150面世,山石网科才向我们展示了多核Plus G2架构的高极形态。在这款产品中,无论主控模块、安全服务模块还是接口模块,都是挂在交换核心上的同级节点。它们彼此间没有绝对的对应关系,也不存在任何扩展限制。安全服务模块依旧基于高性能多核处理器进行设计,多业务节点间完全并行工作,处理不同的数据流量。为最大化地提升分布式处理的执行效率,X6150的接口模块上也都不惜成本地使用了单颗或多颗多核处理器,可以根据各安全服务模块的负载情况智能地进行流量分配,以达到理想的负载均衡效果。
  智能分布式处理也会带来一些额外的问题,由于数据流的去向存在不确定性,ALG等需要结合多条流进行处理的业务实现起来会变得比较麻烦。X6150在尽可能均衡地发送流量到不同安全服务模块的同时,也会将有业务相关性的会话分发到同一个安全服务模块进行处理,保证了数据转发的正确性。而对于QoS等更复杂的应用,该产品也继续提供独立业务模块形式的解决方案,在性能与实施成本之间找到合理的平衡。
  
  性能:挑战极限
  
  X6150的真实性能是所有测试工程师共同关心的话题,我们依照RFC 2544和RFC 3511规范,对开启防火墙模块时的系统性能进行了全面考察。与以往不同的是,要测试这款产品的极限性能,必须根据实际情况动态调整模块的搭配策略。例如在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。
  从测试结果中可以看出,在路由模式、单条策略的配置下,X6150在64Byte帧长时的吞吐量达到16.47%,此时在命令行下能够看到各安全服务模块都满负荷运转,流量均衡的效果十分优秀;使用1024、1280及1518Byte帧长测试时,该产品的吞吐量都接近线速,无愧于百G级别产品的称号。平均延迟方面,使用7种帧长90%吞吐量的负载进行测试时,延迟结果都在20微秒以内。在如此大的负载下,X6150还能将延迟保持在这种水准,表现可谓相当出色。
  如今,新型的DDoS攻击已经将攻击重点从带宽转向防火墙或服务器的连接处理能力。攻击者经过巧妙构造,可以在不明显抢占带宽与CPU资源的情况下,使防火墙等安全设备达到并发连接上限,达到阻断正常业务的目的。X6150在连接处理能力方面的测试结果无疑令人很有信心,在TCP No Close模式下,我们实测得的TCP新建速率超过100万。即便是在标准的HTTP 1.1模式下,新建连接速率仍然高达76万以上。需要说明的是,这两个数值也只是测试仪能达到的最大性能,从控制台显示的系统资源占用情况看,X6150仍然还有部分性能余量。并发连接方面,该产品每个安全服务模块标称的最大并发连接数为850万,我们在配置6个安全服务模块、4个接口模块情况下测得的最大并发连接数正好是单模块标称值的6倍(每模块需要保留512个连接给系统使用)。5000万并发、100万新建的测试结果相当惊人,我们也是第一次在安全产品评测中见到这样的成绩。
  
  更稳定 更可靠
  
  智能分布式系统的构建虽然比较复杂,却能为产品带来更加丰富的特性。除了前文验证过的性能优势外,X6150在业务可靠性方面的表现也值得一提。由于接口模块要先对入方向的数据流进行分配,在策略允许的情况下,当安全服务模块出现增减时,数据流的分配情况也应随之发生变化。这意味着,系统在安全服务模块发生故障时将拥有一定的自我调整能力,用户也可以在在线状态下动态调整安全服务模块的配置。
  为了验证这个猜想,我们设计了一个有针对性的测试用例。首先,使用测试仪生成稳定的每秒60万的HTTP新建流量,这会在配备了7个安全服务模块的X6150上大约消耗65%左右的系统资源。当流量稳定运行一段时间后,人为在线拆除一块安全服务模块,测试仪控制台上记录的压力曲线出现一个轻微波动,随即恢复正常。从设备控制台的监控中可以看到,此时的系统资源消耗平均已超过70%,说明离线模块所对应的负载已被动态分配到其他节点进行处理。等X6150在这种状态下稳定运行一段时间后,再人为地将拔出的模块推进插槽,系统马上识别出并开始进行配置。稍后再查看系统运行状态,7个安全服务模块全部正常工作,资源占用率重新回到65%左右。由此可见,只要用户在部署时为系统留出性能余量,采用智能分布式架构的X6150就能够在面临业务增长、突发安全事件或部分系统异常情况时拥有一定的自适应能力。
  
  测试后记:
  在整个测试过程中,我们始终被一种兴奋的情绪所感染。回顾在市场上公开发布的各款产品,X6150应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品。测试结果也证明,它确实达到了百G级别的处理能力,且仅在5U规格的机箱空间内。这无论对山石网科还是国内整个信息安全行业来说,都是一个值得纪念的里程碑,必将会为行业整体水平的提高带来帮助。
  毫无疑问,骨干网和数据中心将是高端防火墙的必争之地。信息安全企业必须加强对此类应用环境的理解,才能使功能更有针对性,让产品更加贴近用户。我们相信,山石网科有X6150作为基础,这一切不会太遥远。
其他文献
编者按:“十二五”规划将信息产业的作用提升到战略性新兴产业的高度。那么,对“十二五”规划中信息产业的部署和作用如何理解?被提升到战略性新兴产业地位的信息产业自身又该如何发展壮大?在此次全国“两会”上,就这些问题《计算机世界》报记者约请了多位信息产业的代表、委员进行了独家访谈。    胡伟武:中国信息产业应该做一根针    观点目前,国际巨头的地位难以撼动,从行业、从细分领域突破,是中国IT自主创新
本报讯近日,Opera软件公司开发的独特压缩技术 Opera Turbo迎来一周年纪念。在过去一年中,Opera Turbo用户共计浏览了258亿个经过压缩的网页,即通过Opera Turbo处理了高达1697TB的压缩数据量。Opera Turbo为用户节省的数据量,相当于美国国会图书馆所有印刷品总量的191倍、维基百科全书全部内容的319倍。这表明,以更低资费获得更快速度是用户们上网的普遍需求
11月初拜访四川省经信委分管工业的张国斌副主任时,他正在为电煤短缺奔波发愁,每到冬季,保证足够的电力供应已经成为张主任这样的各地主管领导的头等大事。电力供应关系到工业企业的成长运营,也关系到地区经济的平稳发展,而今天电力供应短缺已经在一定程度上影响到了部分地区的经济发展。  一方面电力供应紧张,另一方面我们也看到了各地都在大力投入兴建云计算基地、云计算数据中心,这进一步加大了兴建地对电力的需求。例
物联网系列专栏文章5  前期文章中把物联网产业链分为DCM三个大业务层面,同时DCM也是一个物联网系统的典型技术架构。本期介绍DCM三层架构的感知层(Device)和传输层(Connect)。    传感器可“大”可“小”    感知层由传感器和部分与传感器连成一体的传感网(无源传感器)组成,处于三层架构的最底层,这也是物联网最基础的联接和管理对象。 最广义来说,传感器是把各种非电量转换成电量的装
2008年,爱普生发布2050年环境愿景,宣布到2050年,将二氧化碳的直接排放量减少90%,并消除二氧化碳之外的其它温室气体的排放,实现所有产品的资源重复利用和循环利用。  美好的愿景要从现实开始起步,近日,《计算机世界》记者应邀参观位于深圳市县南山区第五工业区的爱普生技术(深圳)有限公司(以下简称ESL),零距离体验了爱普生在制造端的环保举措。  ESL占地6.4万平方米,拥有1.2万名员工,
本报讯(记者 李敬)1月18日,由深圳联通与深圳广电集团都市频道合作,基于WCDMA 3G网络的无线视频拍传系统正式在其热点栏目《1时间》投入使用。使用无线视频拍传系统,《1时间》栏目记者从源头采访,到编辑内容传送,再到后期加工制作成片,仅用了1个小时。与传统节目制作流程相比,缩短了近两个小时。  无线视频拍传系统基于联通优质的WCDMA 3G网络,通过高度集成的无线传输模块、视音频编解码系统,实
25岁的田文文打算今年结婚,为了搜集去哪里拍婚纱照、买钻戒,如何操办婚宴,去哪里度蜜月,她可费了不少脑筋。平时喜欢逛55BBS的她,发现许多婚纱摄影楼都上传了不少自家的摄影照供欣赏。在看了一篇“55帮我操办了一场绝美婚礼”的文章后,田文文很是兴奋,觉得无论是婚纱照的拍摄,还是婚礼过程都能在网络的帮助下变得相当完美。她决定也依靠婚庆网站来为自己操办婚礼。  像田文文这样的80后,结婚对他们来说不再是
Google最近在Android平台上实施的反盗版系统的开发被证明是无效的。近日,白帽黑客贾斯汀发现了对其轻松破解的方法,该问题来自于Android许可证验证库(ALVL),只需要一个由简单代码制作的补丁运行一下,即可让未经授权的应用程序运行在Android上,这意味着所有的用户都可以轻松为应用程序“越狱”。数年来,苹果在iPhone上的围追堵截依然没有拦住黑客的脚步,可见,刚开始研究如何封杀应用
对中国科学院体制的质疑,可谓由来已久,其中,有来自官方的,更多的是来自学界的。较早的,有1957年高教部和中国科学院之间关于体制问题的争论,高教部强烈主张撤并科学院,当时的国家技术委员会对此也持赞同意见。他们主张,国家的科学“火车头”地位,应该是在实践中形成的,而不是硬性规定的。这场争论最终经由毛泽东出面协调而告终。改革开放以来,对中国科学院体制的挑战,声音更响。放眼世界,我们发现原来中国的科研体
山东省章丘市三涧溪村村民马素景,是全国第一个拿到下乡电脑和补贴的农村消费者,也是“电脑下乡”政策的第一个受益者。3月23日,马素景在亲友的陪伴下,从农行领到了购买下乡电脑的政府补贴返款,这距离3月16日他购买电脑,仅过了一周时间。“原来3000多块钱的电脑,现在只要2600多块,政府给补贴了400多块钱。”马素景看着他手中“一本通”账户上的返还补贴,心满意足。  3月5日,第一轮“电脑下乡”招标结