瞻博网络SRX 5800:最大的防火墙
但测试显示安全报告和可管理性的问题
如果世界纪录的吉尼斯新闻纪录有“最大的防火墙,”瞻博网络的新SRX 5800肯定是资格。
我们如何测试瞻博网络的SRX 5800
在我们独家的Clear Choice测试中,这台笨重的机器通过它的16个10Gigabit Ethernet接口加速了接近140Gbps的流量,使它成为迄今为止我们或任何人测试过的最大最快的防火墙。
但“最大”和“最有能力”不一样。例如,启用入侵防御会导致转发速率降至30Gbps,即使是在处理良性流量时也是如此。
还有安全策略管理方面的问题。Juniper提供的网络和安全管理器(NSM)设备还不接受来自SRX的安全警报。换句话说,这是一个安全管理平台,它不会说网络如何甚至是否受到攻击。
作为防火墙,SRX / NSM Combo很好,即使是最大网络的管理人员。但由于NSM中缺乏安全警报和一些严重的可用性缺点,我们尚不推荐该系统作为组合的防火墙/ IP。
一个底盘
SRX 5800是基于机箱的系统。预先填充有两个交换机控制板来管理卡片间通信,由客户提供I / O卡或服务处理卡(SPC)。I / O卡有两个味道:四端口10G以太网或40端口1-千兆以太网。您可以使用SPCS混合和匹配I / O卡,该SPC处理防火墙和入侵防御等服务。
虽然这一系统显然是针对不间断的环境,但Juniper并没有在单底盘版本中获得所有的热插拔技术。你不能在不中断交通的情况下插入或移除卡片。Juniper的解决方案是底盘集群——将两个怪物盒子连接到一个集群中,让你可以卸下一个底盘进行维护、升级或维修,同时仍然通过交通。
SRX的操作系统是完全的JunOS,带有Juniper的防火墙和入侵防御功能NetScreen.收购分层在顶部。如果您喜欢从命令行管理路由器并具有纯粹的防火墙策略,您将立即使用SRX 5800。它得到了junos,你喜欢,一个摇滚稳固的状态防火墙和地球上任何防火墙的最快表现。
性能指标
当Juniper最初告诉我们,它将提供60 gbps的SRX 5600防火墙时,我们相应地调整了测试平台的尺寸。因此,当Juniper转而发送更大的SRX 5800时,让人感到有点意外,SRX 5800被供应商的数据表列为120 gbps的防火墙。这两个系统都支持16个10G以太网接口,但是5800提供了两倍的转发能力——两倍于我们的测试平台所能产生的TCP流量。Juniper在这个机箱中安装了8张双cpu服务处理卡,完全填充了14个槽的机箱。
虽然Spinent的Sunnyvale Spoc Lab的测试床为这个特定项目提供了“只有”80Gbps的TCP流量(使用16 Spirent Avalanche 2900电器),但我们能够通过提供高达160Gbps的无状态UDP流量来全面锻炼SRX 5800(使用螺旋测试中心交通发电机/分析仪)。我们运行了单独的TCP和UDP测试,并评估了系统的功能和可用性。
UDP测试显示了SRX 5800的高容量。在最大长度1518字节帧的测试中,防火墙的吞吐量超过137Gbps,平均延迟76微秒。在防火墙上启用网络访问转换(NAT)不会带来性能损失;吞吐量和延迟实际上与no-NAT情况相同。
系统在处理64字节和256字节帧时要慢得多,吞吐量分别为6.9G和29Gbps。平均延迟也更高,64字节和256字节帧分别为152和292微秒。
但随着UDP的性能较低,对大多数用户来说都不一定是问题。根据CAIDA和其他来源观察的样本,UDP表示总互联网流量的5%或更少。TCP转发功能对于大多数安全设备来说是一个更有意义的性能度量。
为了评估TCP性能,我们配置了Spirent Avalanche设备,以充当Web客户端和服务器,其中2,400名模拟用户每个都通过防火墙请求512-Kbyte对象。我们反复运行此测试,在各种配置中。
*仅作为防火墙,SRX 5800是一个恒星表演者。它以78Gbps的总速率移动HTTP流量,从我们的测试床上的最大可能。我们没有启用NAT,但鉴于我们的UDP测试结果我们不相信这样做会有任何表现罚款。响应时间在整个测试中保持稳定,用户平均地获得对象的131毫秒。
*当我们启用入侵防御时,情况就完全不同了。即使没有攻击流量存在,总转发率也从78Gbps骤降至30Gbps左右。我们启用了Juniper推荐的252个攻击特征,这些特征代表着重大和关键的事件。同样,该测试仅在良性流量下运行。因此,需要入侵防御的用户甚至可以在任何攻击出现之前就预计到主要的性能打击。这种性能上的打击并不意外:Juniper自己的数据表提供的SRX 5800的速度是30Gbps。
*与NAT和入侵检测运行相同的配置产生的结果几乎与单独的入侵防御相同。而且,响应时间只比单独将SRX配置为防火墙时略高,用户获得对象只需160毫秒或更少。
然而,这些测试都是通过Juniper的“推荐”IPS策略完成的,这是一个精心选择和调整的策略,旨在平衡安全性、连通性和性能。这些策略的一个重要部分是,它们专注于客户机到服务器的交互。换句话说,它们识别针对服务器的恶意流量,但不能捕获服务器到客户端的恶意软件。因为我们的测试流量主要是HTTP,这意味着IPS花了大部分时间查看Web服务器的攻击流量,只有大约650Mbps。其余超过29Gbps的流量来自Web服务器,但受到一些协议异常和其他底层攻击的检测,IPS没有进行深入的检测。
*当我们从他们的IPS签名库中加入服务器到客户端的保护时,性能甚至下降到8Gbps。教训很明显:要非常小心使用IPS策略,因为选择错误的元素会显著影响性能。
IPS测试实际攻击
如果单独的数据包检查导致流量放缓,我们有兴趣了解我们在实际攻击下放置SRX防火墙会发生什么。它会进一步减慢吗?或者它会脱离攻击没有额外的影响?使用Spirent Vertex安全性评估工具,我们针对SRX防火墙后面的目标基于UDP的攻击,同时继续从雪崩设备提供良性的Web流量。
不幸的是,由于测试台中出现的问题(测试完成后很长时间才发现问题),在Juniper产品受到攻击期间,我们没有任何性能数据与您分享。然而,我们没有及时发现这些测试台的问题,从而阻止不准确的结果发表在本文的印刷版上。这些结果应该被忽视。我们为这个错误向Juniper和我们的读者道歉。
我们希望在不久的将来与Juniper合作,在受到攻击的情况下重新测试SRX防火墙/IPS,这样我们可以更好地确定该用例中的系统性能。
IPS管理不足
作为防火墙,VPN和IPS安全功能集成到Junos的防火墙,VPN和IPS安全功能的一部分,Juniper已扩展其安全管理工具,NetScreen Security Manager,以覆盖JUNOS平台,同时将产品重新拖放为网络和安全管理器。
在尝试管理SRX 5800的同时,我们发现自己通过不可用的配置界面和不一致的攻击数据库磕磕绊绊。更糟糕的是,当它来到IPS管理时,我们完全失明,一个不可接受的位置。IPS性能不佳的组合以及困难的配置和几乎不可能的管理表明,虽然SRX 5800可能是精细的,快速的防火墙,但在瞻博网络解决显着和实质性的可管理性问题之前,不应使用IPS。
斯奈德是亚利桑那州图森市Opus One的高级合伙人。他可以到达joel.snyder@opus1.com.。纽曼是网络测试的总裁,基准测试和网络设计咨询。他可以到达dnewman@networktest.com.。
谢谢
有个足球雷竞技app网络世界感谢思博伦通信的支持,使这个项目成为可能。Spirent提供其Sunnyvale SPoC实验室进行测试,以及其Avalanche、ThreatEx和Spirent测试中心仪器。许多Spirent员工提供了工程和后勤支持,包括Daniel Agcaoili, Jeff Brown, Chris Chapman, Dinkar Chivaluri, Ambar de la Cruz, Mike Jack, Michael Lynge, Charles McAuley, Thuy Pham, Timmons Player, Michelle Rhines和Navin Tekchandani。
Newman和Snyder也是网络世界实验室联盟(Network World Lab有个足球雷竞技app Alliance)的成员,这是一个由网络行业的首席评审员组成的合作组织,他们在每一篇评论上都有多年的实践经验。欲了解更多实验室联盟信息,包括如何成为成员,请登录m.amiribrahem.com/alliance。
版权©2009Raybet2