F5数雷竞技电脑网站据中心防火墙尖子性能测试

庞大的数据雷竞技电脑网站中心，检查。多个10G以太网管道，检查。负载均衡器，检查。防火墙？真？DO网络架构师需要购买另一个盒子，并有可能采取的性能损失？

不按F5 Networks公司，它说其BIG-IP 10200v高级防火墙管理（AFM）可以在80 Gbps的速度处理流量，同时筛选和保护数百万的连接数十个，同时负载平衡服务器的流量。

在这个独特的明智选择测试中，我们投入了对测试的要求。F5的防火墙想出了个ace球，杏网络容量，同时还提供了先进的过滤和攻击防护能力。在某些情况下，流量率与替代防火墙高于没有，可能是因为F5设备管理服务器负载更有效。

[也：思科给人留下深刻印象的是它首次破解了下一代防火墙]

虽然F5主要以其大ip应用交付控制器(ADC)而闻名，但该公司一直在稳步增加其安全套件，尤其是数据中心。雷竞技电脑网站今年年初推出的BIG-IP 10200v是这个家族的第二大成员，有16个10G以太网接口和两个40G以太网接口，采用2RU格式。唯一更大的单元是基于chassis的Vipiron 4800。

虽然大多数的下一代防火墙的注意力都集中在客户端防护，F5瞄准BIG-IP 10200v主要用于数据中心的使用，保护服务器。非常高的速率增加状态防火墙功能是战略的一个组成部分。

另一部分是iRules，这是一个现有的特性，允许用户基于HTTP和HTTPS标头检查、修改和重新路由流量。IRules使用与许多脚本语言类似的语法。对于不具备脚本编写技能的网络管理人员，F5设备包含一些用于常见任务的固定规则，比如将HTTP请求重定向到HTTPS，或者防止Windows Mobile用户在Active Directory中更改了密码而在移动设备上没有更改密码时被锁定。

防火墙和的iRules可经由命令行或Web接口来配置。Web界面会很熟悉谁在使用F5负载均衡器的人。我们没有很多与F5齿轮的经验，却发现网页UI通常易于浏览。

另一个服务器保护功能是内置的拒绝服务攻击(DoS)保护。该设备包括近40个DoS过滤器，全部默认启用。这些过滤器在2-4层工作，并且覆盖IPv4和IPv6。(防火墙也适用于IPv6流量，但时间限制限制了我们对IPv4流量的测试。)

更多DoS防护来自IP-智能功能，识别并阻止IP地址的各种类别的威胁。从全球传感器网络的使用信息，IP-智能可以从僵尸网络的Windows漏洞，网络钓鱼攻击，以及其他种类的威胁阻断交通。IP情报是不是默认启用的，而我们并没有在性能测试中使用它。

这些特性包含在F5的高级防火墙管理器(AFM)包中。F5单独出售一个应用程序安全管理器(ASM)包，其中包括应用程序检查和入侵检测，但我们没有测试这个。因此，BIG-IP 10200v最适合那些希望将防火墙和负载平衡器合并到一个设备中的终端用户。但是，如果您正在寻找一种一体化的安全设备，您需要购买额外的ASM包。

有多快?

我们测试的速度和可扩展性方面的防火墙性能（参见“我们是如何做到的”下文）。在一些测试中，思博伦雪崩流量发生器/分析器提供的固定的物体的大小，这是在确定绝对最大速度是有用的。我们还配置雪崩提供Web对象的大小和内容类型的混合，就像网络管理人员将在生产网络中找到。

在一个固定对象测试中，Spirent崩仅提供10 kbyte对象。大量研究表明，所有Web事务的平均对象大小都接近这个数字。如果有什么不同的话，那就是在大量使用ajax的Web应用程序的推动下，这个平均值有下降的趋势。为了确定可能的最高速率，我们还使用512-kbyte对象进行了测试。在这种情况下，HTTP所涉及的事务开销可以忽略不计。

由于越来越多的Web流量使用加密，我们使用明文流量运行所有的速度测试，并再次使用安全套接字层/传输层安全(SSL/TLS)加密，使用的是HTTPS。然后，我们在启用解密的情况下重复SSL/TLS测试。

在涉及静态对象大小的测试中，F5防火墙差点刷爆我们的测试床的网络容量。随着10字节的明文Web对象中，F5防火墙移动业务中的78.630Gbps，几乎饱和的客户端和服务器之间的80-Gbit / s的管道。随着512字节的明文Web对象，发生率为80.519Gbps。（这些转发速率是流量聚集在两个方向上，因此有可能超过80Gbps的由于TCP确认送回从客户机到服务器）。

F5防火墙以满足或超过雪崩测试工具容量的速率将静态对象移动到SSL上，分别以17.288G和20.919Gbps的速度移动10和512 kbyte对象。这两个数字都比没有内联防火墙的雪崩工具要快至少1Gbps。

这种差异最可能的解释是，像所有BIG-IP设备，该10200v是负载平衡器。通过执行Web服务器健康检查，并相应分配请求时，F5的防火墙能更高效地比客户端和服务器可以做自己分配工作负荷。

在混合物体的测试中，BIG-IP 10200v在37.486Gbps移动明文流量。这几乎99.5％的思博伦雪崩交通发电机的容量运行在一个背到后端配置相同的测试时。

当运行使用SSL流量相同的测试，在F5防火墙移动业务中的12.874Gbps，约99.8％运行背靠背的雪崩测试工具的能力。因此，在这两个测试中，10200v几乎一样快，因为它是提供移动业务。

采取偷看SSL

最近关于政府窃听和企业间谍活动的新闻铺天盖地，很容易让人认为解密SSL通信是一件坏事。这种假设是错误的。

组织有几个很好的理由为希望解密SSL流量。有些行业需要流量检测的规定。其他人可能想混淆流量的特定字符串（例如，信用卡或社会安全号码）。其他的可能只是要细分应用的百分比，或解决服务器或网络问题。不管是什么原因，也有企业终止SSL连接的正当理由;解密流量并将其传递到用于进一步分析的外部装置;然后重新加密，并把它的道路上。

正如过去的测试结果所显示的，问题是SSL解密可能会带来很大的性能影响。在过去的测试中，我们看到在启用解密时，速率从几十千兆急剧下降到兆范围。考虑到解密和加密的计算复杂度，对性能的担忧只会随着通信量的增加而增加。

在F5防火墙的情况下，存在性能成本SSL解密，但它远不及陡峭的，因为我们在过去的测试中已经看到了。例如，10千字节的Web对象测试跑在一个稍微超过与SSL流量17Gbps;与解密，这一比率下降到11.188Gbps。因此，有一定的性能损失与SSL解密，但它绝不是急转直下到我们在之前的测试中已经看到兆位领土。

有多高?

防火墙性能的另一个重要指标是可扩展性，这反过来有两个维度：容量和速度。我们最大并发TCP连接和最大连接设置速率方面测试的F5防火墙两者。

连接能力是非常重要的，因为一个用户请求可能涉及多个TCP连接。例如，对于许多新闻网站的主页单个请求可以包括由于网页设计趋势，广告服务器，流媒体服务器，以及其他因素，100个或更多的TCP连接。

连接速度很重要，因为网站可以与交通的巨大爆发被击中。一个常见的例子是快闪族，其中某些事件（例如，新的产品或音乐会门票的可用性）导致在连接请求速率的巨大峰值。另一种常见的用例是灾难恢复，其中一组服务器的缺失导致的流量迁移到新的一组服务器。

在容量测试中，我们将Spirent雪崩配置为永远不为每个连接请求一个web对象，然后对测试的其余部分什么也不做。由于在默认情况下，雪崩不会导致TCP连接老化，因此我们能够逐步建立更大的连接计数，达到数千万。

F5声称BIG-IP 10000V支承件36万个并发连接。我们证实，根据权利要求，维持36000291个独特的TCP连接为一个60秒周期。

在速度测试中，我们使用了HTTP 1.0，以确保每一个新的Web请求将迫使新的TCP连接。在这里，F5超过每秒85万个连接其额定容量。在我们的测试中，BIG-IP的持续平均每秒869183个的新连接的60秒内。

我们确实发现在F5防火墙一对夫妇的配合和完成的问题，无论是未成年人。防火墙无法处理的TCP连接所占的比例微不足道 - 几十个数量级到几百失败了数百万到几千万的交易。我们就配置了Spirent雪崩中止任何交易以超过1秒，这是在10G以太网速率的永恒。对于尝试的极少数，TCP握手从未完成。（所有的测试运行，没有一对雪崩C100电器之间的误差。）

在箱子一个更小的数，F5连接关闭期间防火墙发送一个额外的TCP重置（RST）数据包。这是奇怪的考虑，我们会配置了Spirent雪崩关闭连接与TCP完成（FIN），而不是RST标志。F5的解释是，防火墙的客户端和服务器双方连接状态是不同步的连接的极少数，在这些情况下，防火墙发送一个RST无偿包。(Older versions of Windows – Windows XP and earlier, and Windows Server 2003 and earlier – tear down TCP connections with a RST rather than a FIN packet. This saves a little memory on the client, but it’s a terrible idea for intermediate devices like firewalls, since they will continue to try to track connection state). Again, though, we consider both issues minor annoyances.

保护数据中心的服务器，当利雷竞技电脑网站率上升到数十吉比特的是一个显著的挑战。凭借其高速率，高可扩展性，以及它的服务器保护功能，F5的BIG-IP 10200v与高级防火墙管理器（AFM）封装迎接这一挑战。

谢谢

有个足球雷竞技app网络世界非常感谢思博伦通信，这提供了思博伦雪崩C100通信设备的帮助。思博伦的米歇尔Rhines和杰夫·布朗也为该项目提供工程支持。

纽曼是网络世界实验室联盟的成员，也是网络测试公司的总有个足球雷竞技app裁，这是一家独立的测试实验室和工程服务咨询公司。可以联系到他dnewman@networktest.com。

我们是怎么做到的

我们使用三组测试来评估性能，包括混合HTTP内容的转发率;对静态HTTP内容和TCP连接行为进行评估。两对Spirent雪崩C100流量发生器/分析仪，每对配备8个10G以太网接口，作为主要测试工具。

对于转发率测试，我们将F5防火墙的16个10G以太网接口分别配置为作为不同IP子网的网关。我们还在每个防火墙上安装了500多个访问规则。我们将Spirent雪崩配置为模拟2048个客户机和最多80个服务器，分布在16个子网中。

在混合内容的测试中，我们提供的HTTP对象类型和尺寸的相同组合在以前的下一代防火墙性能网络世界的测试。有个足球雷竞技app对象类型包括文本，图像和其他二进制内容，如PDF文件。对象大小介于1千字节为1536个字节，要求所有通过HTTP。我们也已重新运行使用SSL与RC4，MD5密码相同的测试。

静态内容测试也使用HTTP和SSL，但在本例中涉及到带有10和512 kbyte文本对象的单独测试。对于混合内容和静态内容测试，我们在没有失败请求的60秒稳定状态期间平均转发速率。

为了确定并发TCP连接数，我们将每个新客户机配置为通过Spirent雪崩模拟来请求一个对象，然后什么也不做，逐步增加连接的数量。最大并发连接计数被确定为防火墙在没有失败请求的情况下处理所有请求的最大计数。

为了确定建立连接速度，我们配置思博伦雪崩模拟到使用HTTP 1.0版本的客户端和服务器，迫使使用的每个HTTP请求新的TCP连接。使用二进制搜索，我们确定在该防火墙可以提供服务，没有失败的交易60秒请求的最大速率。