Juniper SRX 5800:史上最大的防火墙
但是测试显示了安全报告和可管理性方面的问题
如果《吉尼斯世界纪录大全》(Guinness Book of World Records)有一个词条是“史上最大的防火墙”,Juniper的新SRX 5800肯定符合资格。
我们是如何测试Juniper的SRX 5800的
在我们独家清晰的选择测试中,这款机器的Hulking Brue在其160GigAbit以太网接口中接近140Gbps的利率,迄今为止,我们或其他任何人都有曾经测试过的最大和最快的防火墙。
但“最大”与“最有能力”不一样。例如,即使仅处理良性流量,也能使入侵预防导致转发速率降至30Gbps。
并且存在安全策略管理问题。提供的网络和安全管理器(NSM)设备瞻博网络还没有接受来自SRX的安全警报。换句话说,它是一个安全管理平台,不会说网络是如何攻击的。
作为一种防火墙,SRX/NSM组合是很好的,即使对于非常大的网络的管理者也是如此。但是由于NSM缺乏安全警报和一些严重的可用性缺陷,我们还不能推荐该系统作为防火墙/IPS的组合。
什么是底盘
SRX 5800是一个基于机箱的系统。预先配置了两个交换控制板来管理卡间通信,由客户根据需要插入I/O卡或业务处理卡(SPC)。I/O卡有两种类型:四端口10G以太网或40端口1千兆以太网。您可以将I/O卡与spc混合并匹配,spc处理防火墙和入侵防御等服务。
虽然该系统明确针对不间断的环境,但瞻博网络没有在单机箱版本中得到所有热插拔技术。您无法在不中断流量的情况下插入或删除卡。瞻博网络的解决方案是底盘群集 - 将这两个怪物盒中的两个链接到群集中,让您在仍然传递流量的同时占用底盘以进行维护,升级或维修。
SRX的操作系统是Junos Tone-and-over,具有瞻博网络的防火墙和入侵防御功能网屏收购是最重要的。如果您喜欢从命令行管理路由器,并且有一个适度的防火墙策略,那么您将立即使用SRX 5800。它拥有你喜欢的朱诺,坚如磐石的状态防火墙,以及地球上性能最快的防火墙。
性能指标
当瞻博网络最初告诉我们它将提供其SRX 5600防火墙,一个60 Gbps系统,我们相应地大小。因此,当瞻博网络发送较大的SRX 5800时,这是一个惊喜,供应商的数据表列出了120 Gbps防火墙。两个系统都支持高达16个10G以太网接口,但5800提供的转发能力两倍 - 两次我们的测试床在TCP流量方面会产生的两倍。Juniper填充了这款机箱,其中八个双CPU服务加工卡,完全填充了14槽机箱。
虽然试验台在思博伦则森尼维耳市SPOC实验室提供“只有”80 gbps的TCP流量为这个特定的项目(使用16思博伦则雪崩2900电器),我们能够充分行使SRX 5800年提供160 gbps的无状态的UDP流量(使用思博伦则TestCenter交通生成器/分析仪)。我们分别运行TCP和UDP测试集,并评估系统的功能和可用性。
UDP测试证明了SRX 5800的高容量。在具有最大长度的1,518字节帧的测试中,防火墙的吞吐量超过137Gbps,平均延迟为76微秒。在防火墙上启用网络访问转换(NAT)严重无需惩罚;吞吐量和延迟都与No-NAT案例实际上相同。
处理64和256字节框架时,系统远远速度,分别具有6.9g和29Gbps的吞吐量。对于64和256字节框架,平均延迟也在更高,152和292微秒为152和292微秒。
但是UDP的性能降低对大多数用户来说并不一定是个问题。根据CAIDA和其他来源观察到的样本,UDP只占互联网总流量的5%或更少。TCP转发能力对于大多数安全设备来说是一个更有意义的性能指标。
为了评估TCP性能,我们将Spirent Avalanche设备配置为充当Web客户机和服务器,其中有2400个模拟用户,每个用户通过防火墙请求512kbyte对象。我们在各种配置下反复运行这个测试。
*仅作为防火墙,SRX 5800就表现出色。它以78Gbps的总速率移动HTTP流量,这是我们的测试平台所能达到的最大速率。我们没有启用NAT,但根据我们的UDP测试结果,我们认为这样做不会有任何性能损失。响应时间在整个测试过程中保持稳定,用户获得对象的平均时间为131毫秒。
*当我们启用入侵预防时,这是一个非常不同的故事。即使没有存在攻击交通,聚合转发速率从78Gbps暴跌到约30Gbps。我们启用了252次攻击签名瞻博网络建议,那些代表主要和关键事件的人。同样,此测试仅使用良性流量运行。因此,需要入侵预防的用户可以预期即使在任何攻击发生之前也会受到重大的绩效。这种表现命中并不意外,但是:瞻博网络的数据表提供30Gbps作为SRX 5800期望的速度。
*使用NAT和入侵检测运行相同的配置几乎与单独的入侵防止产生相同的结果。此外,响应时间仅比SRX配置为防火墙时的响应时间略高,用户在160毫秒或更小的用户中获得其物体。
但是,这些测试都完成了瞻博网络的“推荐”IPS策略,精心选择和调整的策略,旨在平衡安全性和性能。这些策略的一个重要部分是它们专注于客户到服务器的交互。换句话说,他们识别针对服务器的恶意流量,但不会捕获服务器到客户端恶意软件。因为我们的测试流量很大程度上是HTTP,这意味着IPS大部分时间都会在Web服务器上看攻击流量,只有大约650Mbps。其余的流量,超过29Gbps,来自Web服务器,同时受到协议异常和其他下层攻击的某些检查,未被IPS深入检查。
*当我们从IPS签名库中添加服务器到客户端保护时,性能进一步下降,只需8Gbps。课程很清楚:非常小心您使用的IPS策略,因为选择错误的元素会显着影响性能。
实际攻击的IPS测试
如果单是数据包检查就会导致流量减缓,我们很想看看如果我们让SRX防火墙受到实际攻击会发生什么。它会进一步减速吗?或者它会在没有额外影响的情况下摆脱袭击?我们使用Spirent ThreatEx安全评估工具,针对SRX防火墙后的目标发起了13次基于udp的攻击,同时继续提供来自Avalanche设备的良性网络流量。
不幸的是,由于在测试完成后只有长时间发现的试验台问题,我们没有任何绩效编号,而瞻博网络正在攻击与您分享。但是,我们没有及时确定这些问题,以阻止在本文的打印版中发布的不准确结果。这些结果应该被忽视。我们向两个瞻博网络和读者致歉的错误。
我们希望在不久的将来与瞻博网络一起工作,以在攻击中重新测试SRX防火墙/ IPS,以便我们可以更好地确定该用例中的系统性能。
IPS管理缺乏
作为将防火墙、VPN和IPS安全特性从Netscreen产品线整合到JunOS的一部分,Juniper扩展了其安全管理工具,Netscreen安全管理器,覆盖JunOS平台,同时重新将产品标识为网络和安全管理器。
在试图管理SRX 5800时,我们发现自己遇到了不可用的配置界面和不一致的攻击数据库。更糟糕的是,我们完全无视IPS管理,这是一个不可接受的立场。IPS性能差,配置困难,几乎不可能管理,这表明SRX 5800可能是一个很好的,快速的防火墙,IPS不应该使用,直到Juniper解决重大的可管理性问题。
斯奈德是阿里兹图森Opus One的高级伙伴。他可以达到joel.snyder@opus1.com.纽曼是Network Test的总裁,这是一家标杆和网络设计咨询公司。可以联系到他dnewman@networktest.com.
谢谢
有个足球雷竞技app网络世界非常感谢思博伦通信的支持,这使得这一项目成为可能。Spirent提供了Sunnyvale Spoc Lab,用于测试以及其雪崩,植物和螺旋体测试中心仪器。许多思博伦员工提供工程和划线支持,包括Daniel Agcaoili,Jeff Brown,Chris Chapman,Dinkar Chivaluri,Ambar de La Cruz,Mike Jack,Michael Lynge,Charles Mcauley,Thuy Pham,Timmons Player,Michelle Rhines和Navin Tekchandani。
纽曼和斯诺特也是网络世界实验室联盟的成员,该公司的高级审稿人的合作社各自为每次审查带有个足球雷竞技app来了多年的实践经验。对于更多实验室联盟信息,包括成为会员所需的内容,转到m.amiribrahem.com/alliance..
版权所有©2009.Raybet2