文/PConline

互聯網的快速發展，在為我們提供便捷的同時，也帶來了更多更為復雜的安全問題。若要扼守網絡咽喉，傳統防火墻產品，顯然已經力不從心，因此，下一代防火墻應勢而生。我們說，下一代防火墻并不是簡單的功能堆砌和性能疊加，而要做到真正的集成，貼切網絡環境與用戶需求。

另一方面，隨著帶寬與網速的提升，出口網絡規模也由百兆、千兆升級到了萬兆，網絡在升級，但大多數的防火墻雖也進行了迭代更新，實則卻是止步不前，官宣參數與實際效果相差甚遠。究其原因，在實際網絡環境中，64-256字節數據包最多，因此小包數據處理能力才是衡量防火墻產品性能的關鍵所在。

本期，我們收到的送測產品是銳捷的RG-WALL 1600-X9850全新下一代防火墻，不僅小包性能強勁，此外還采用了整體設計，一次交付，更能輕松滿足10萬人得到出口需求，讓我們趕緊一起來了解一下吧！

讓我們先來大致了解一下該款產品。銳捷RG-WALL 1600-X9850采用CPU+ASIC硬件架構，突破了X86及mips架構的性能瓶頸，融合銳捷安全多年來的技術積累，性能輕松滿足10萬人的出口需求。對于業務和接口，摒棄了復雜的模塊化設計，全部集成于主機上，無需額外的硬件配置即可享受高性能、多業務，豐富的接口。同時，固化硬件配置、冗余電源、冗余風扇，實現99.999%的電信級可靠性。

1、銳捷RG-WALL 1600-X9850下一代防火墻的價值所在？

首先，銳捷X9850采用 X86CPU+ASIC硬件架構，小包性能可達整機性能的70%左右，小包性能強勁，還能為用戶提供更可靠的安全體驗。

其次，銳捷X9850的應用層安全性能由多個ASIC芯片協助CPU處理，各功能基于ASIC芯片硬件加速，單顆ASIC芯片就能提供高達40Gbps的IPv4和IPv6防火墻性能。針對應用層安全，銳捷X9850的硬件架構同時宣稱能夠確保用戶開啟SSL深度檢測，入侵檢測、病毒防護等安全模塊后依然能夠保障足夠的性能，保障應用層安全。

最后，由于主機形態為標準的3U設備，占地小更節省機房空間，且操作方便，性能比更高；此外，銳捷X9850為用戶提供了4個40 GE QSFP接口，20個10 GE SFP+/GE SFP接口，以及8個10 GE SFP+接口，接口豐富，可滿足多鏈路場景，還可為未來的擴展預留接口。整機功耗平均725W，節能的同時提高投資收益。

好了，現在我們對銳捷X9850已有了大致的了解，究竟性能如何，口說無憑，馬上進入下一帕——實驗室評測。

2、實驗室評測

本次評測地點，我們選在了中國威爾克通信實驗室。中國威爾克通信實驗室是公正權威的國家第三方信息通信實驗室，從事網絡信息安全服務、軟件及信息系統評測、第三方委托檢測驗收、工業和信息化部電信設備進網認證檢測、泰爾認證檢測、行業/企業標準制定、新領域項目課題合作研究等檢測評估和技術服務。

并且實驗室作為國際電信聯盟ITU-T第17研究組（安全）中國對口組組長、中國通信標準化協會（CCSA）的全權會員和理事單位、北京軟件和信息服務業協會理事單位、電信終端測試技術協會(TAF)的核心成員，積極參與覆蓋全信息通信領域的各項標準制定、技術研究等工作。

本次測試，包括了性能測試和安全功能性能測試兩項。

1、性能測試

目前市面所見防火墻，其吞吐性能在測試過程中主要以1518大包測試性能為主，主要是市面上防火墻采用的硬件架構在1518字節上性能更加突出，防火墻作為出口設備，實際網絡環境中，64-256字節數據包最多，尤其是DDOS洪水攻擊，為了攻擊效率都采用大量小包發起攻擊，所以對于防火墻來講小包數據處理能力才是衡量防火墻產品性能的關鍵。

1.1 IPv4環境下性能測試

先來看下第一個測試，即設備的16個萬兆口整體的性能吞吐。根據拓撲搭建環境，將被測試設備的16個10G接口分別與Testcenter一一相連，配置設備用測試儀測試防火墻的最大吞吐量，測試數據包為UDP，時間30秒。通過儀表驗證，基于銳捷獨有的ASIC芯片處理，產品的大包1518字節吞吐性能跟中報512字節吞吐性能及極限的小包64字節吞吐測試究竟可以達到多少呢？

如上圖所示，我們預設了160G的吞吐，經測試得到的結果是，大包1518字節數據包吞吐量字節測試結果達到158G，實際測試達到了宣傳值的99%；中包512字節的測試結果與1518字節相同，也是跑出了99%的成績。小包64字節測試結果達到108G,實際測試達到了宣傳值的68%，證明銳捷X9850在大包中包吞吐測試中數據包沒有衰減；而小包的衰減也能夠控制在30%左右，成績相當傲人。

1.2 IPv6環境下性能測試

未來會有越來越多的IPv6網絡建設，所以IPv6的性能也是防火墻的一大挑戰，在測試過程中我們還對銳捷防火墻的IPv6吞吐性能做了測試。

銳捷網絡所提供的防火墻宣稱硬件為CPU+ASIC架構，AISC處理數據轉發和應用安全，轉發性能可以和交換機媲美，針對IPv6報文長度和字段的的變化做了特定硬件級優化，與同類產品相比，做到IPv6性能零衰減。究竟可以達到多少呢？我們一測變知。

 采用與IPv4同樣的測試方法，我們將數據包流量改為IPv6數據包，經測試得到的結果是，大包1518字節數據包吞吐量字節測試結果達到158G，中包512字節的測試結果與1518字節相同。小包64字節測試結果達到108G,證明銳捷X9850在IPv6環境下能夠提供與IPv4完全同等的效果，與宣稱的硬件架構相符。

2、安全性能測試

下一代防火墻與傳統防火墻最大的區別就在于是否做到了多安全融合，比如融合IPS入侵防御、AV防病毒、SSL深度解密等高層安全性能，而目前世面上的防火墻在開啟高級安全功能后都會出現不同程度的性能衰減，更有甚者，在僅僅開啟IPS性能后整機衰減高達95%以上，所以高級安全功能開啟后防火墻真實性能如何也是衡量一款下一代防火墻的關鍵因素。

我們在威爾克實驗室分別對銳捷防火墻的IPS、 AV、 SSL三大性能進行測試。

2.1 SSL深度檢測測試

如今大型網站都采用https方式（SSL加密）與消費者交互數據用于保護用戶隱私，比如國內的淘寶、百度，國外的Google、Twitter和Facebook等等，當前，大約有三分之一的Internet流量進行了加密傳輸，未來幾年會增長到三分之二。并且隨著《網絡安全法》對于個人隱私的保密要求，中國網站都會逐漸采用SSL加密方式。

但這項技術成為一把雙刃劍，https方式（SSL加密）帶來了個人隱私，但也帶來了挑戰，目前隱藏于SSL傳輸中的攻擊已經超過基于明文的攻擊，SSL已經成為攻擊的有效防護。不支持此功能的防火墻對用戶是一個極大的“漏洞”，而支持但性能不夠的防火墻，一樣成了安全體系中的“擺設”。

目前對SSL進行拆解檢測的有兩種手段，軟件解密或者硬件解密，而且大多數只存在于Web防火墻上面，而銳捷防火墻宣稱能夠在出口上就提供SSL解密，而且能夠提供不俗的性能，我們實際開啟SSL檢測對防火墻進行測試。

SSL測試性能高達23G，這也是銳捷多年以來硬件架構創新帶來的，此舉大大提高了黑客的入侵難度，相當于設置了兩道關卡，結果證實銳捷所提供的防火墻確實提供SSL硬件解密能力。

2.2 IPS入侵檢測性能

入侵防御系統IPS是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。我們在防火墻上開啟IPS入侵防御模塊，再此對防火墻進行測試。

IPS實測性能達到56G，IPS作為高層應用協議，對設備的性能要求非常高，傳統的基于路由器系統改造的防火墻開始IPS后衰減都非常大，更有甚者，開啟IPS后性能下降高達95%，讓下一代防火墻作為擺設，無法發揮其安全大閘的功能，銳捷防火墻的硬件架構采用專用的ASIC硬件分擔CPU壓力，所表現出來的IPS性能與宣稱值相符。

 2.3 AV防病毒性能

勒索病毒無疑給我們敲響了警鐘，病毒需要在出口就要遏制，傳統的殺毒軟件能夠保護單一終端，但是勒索病毒的蔓延警示我們病毒最好能夠遏制在出口，所以一款防火墻的防病毒能力也很重要。

 AV作為純應用層性能，開啟后對于硬件性能要求更高，大部分下一代防火墻鑒于羸弱的性能一般無法開啟防病毒功能，而銳捷防火墻宣稱可以開啟防病毒，那么性能如何，我們再做最后的測試，在開啟防病毒模塊后，再此對防火墻性能進行測試。

銳捷防火墻實際防病毒性能達到20G，想到這里筆者懷念起當年還是酷睿雙核的年代，平均網速只有1M，實際平均吞吐僅僅有幾百k的年代，裝一個卡巴斯基就會被嘲笑，很容易死機，也就是說現在防火墻的防病毒功能可以輕松代替當年8萬臺PC實現防病毒，與銳捷所宣稱的防病毒能力也是相一致的。

3、評測總結

我們看到，銳捷X9850經過第三方評測室的專業科學的檢測后，各項指標均符合要求甚至超出宣稱值。這里我們也建議各位，在選購防火墻時不能僅參考宣稱的理想環境下的測試成績，還要注意產品的小包處理性能，延時以及安全功能啟動等多種參考條件。最后，希望我們本次的客觀評測能對您未來的防火墻設備選型，起到幫助意義。

您考慮使用100G以上的高性能下一代防火墻有哪些困擾？您想親自測試一下高性能防火墻9850嗎？趕緊點擊左下角“閱讀原文”填寫問卷吧！前3名測試者將獲得樂扣樂扣保溫杯1個。

閱讀原文