Hillstone山石網(wǎng)科SG-6000-X6150防火墻評測報(bào)告

1、最新Hillstone山石網(wǎng)科SG-6000-X6150防火墻評測報(bào)告Hillstone山石網(wǎng)科SG-6000-X6150防火墻評測報(bào)告作者 老韓 | 2022-10-14 11:38 | 類型 互聯(lián)網(wǎng), 彎曲推薦, 研發(fā)動(dòng)態(tài), 網(wǎng)絡(luò)平安 | HYPERLINK :/ /2022/10/14/hillstone%e5%b1%b1%e7%9f%b3%e7%bd%91%e7%a7%91sg-6000-x6150%e9%98%b2%e7%81%ab%e5%a2%99%e8%af%84%e6%b5%8b%e6%8a%a5%e5%91%8a/ l comments 75條用戶評論

2、4年時(shí)間完成從0到100G的跨越，山石網(wǎng)科讓人無話可說。再過4年，中國信息平安行業(yè)的格局是否會(huì)被改變？10月21日，山石網(wǎng)科將在北京正式發(fā)布這款百G級別的產(chǎn)品，感興趣的話可以猛擊這里查看官方專題頁。原文發(fā)布于?計(jì)算機(jī)世界?。本文盡量注意在正文中不出現(xiàn)帶有個(gè)人感情色彩的語言；另一方面，拓展表現(xiàn)形式，用視頻保存下測試中的經(jīng)典瞬間，編輯后以更易于接受、傳播的方式加以表達(dá)。對于鏡頭晃動(dòng)帶來的眩暈感我非常抱歉，此外請忽略鼻炎導(dǎo)致偶發(fā)的怪腔怪調(diào)Hillstone山石網(wǎng)科以下簡稱“山石網(wǎng)科是一個(gè)令人驚嘆的平安企業(yè)。自成立以來，該公司保持著穩(wěn)定、高速的產(chǎn)品研發(fā)速度，有步驟地推出了一系列多功能平安網(wǎng)關(guān)產(chǎn)品，占據(jù)

3、了市場先機(jī)。但所有這些產(chǎn)品，其形態(tài)都屬于“盒子Appliance的范疇，固化的業(yè)務(wù)處理單元決定了其防火墻性能無法突破20G這條水平線。而在云計(jì)算從未來時(shí)開展為現(xiàn)在進(jìn)行時(shí)的今天，運(yùn)營商、金融、教育等大型行業(yè)用戶有了更高的業(yè)務(wù)需求，百G級別的防火墻在骨干網(wǎng)、數(shù)據(jù)中心等環(huán)境開始進(jìn)入實(shí)際應(yīng)用階段。為了應(yīng)對新的需求變化，山石網(wǎng)科又于近期推出了SG-6000-X6150以下簡稱X6150高性能防火墻，我們也在第一時(shí)間對該產(chǎn)品進(jìn)行了測試分析。為了到達(dá)百G級別的處理能力，X6150改用“機(jī)框Chassis式產(chǎn)品形態(tài)，實(shí)現(xiàn)了可插拔部件全冗余及業(yè)務(wù)的智能分布式處理。該產(chǎn)品采用5U規(guī)格設(shè)計(jì)，共內(nèi)置了12個(gè)擴(kuò)展槽位，

4、其中10個(gè)可用于接口模塊IOM、平安效勞模塊SSM或QoS效勞模塊QSM，2個(gè)用于系統(tǒng)主控模塊SCM。設(shè)備亦采用了高速大容量交換背板，為每個(gè)模塊提供了足夠大的數(shù)據(jù)通路。對于高端電信級產(chǎn)品來說，供電子系統(tǒng)與散熱子系統(tǒng)的重要性亦不容無視。X6150最多可內(nèi)置4個(gè)電源模塊650W，支持雙路主備冗余部署，加上具有熱插拔特性的風(fēng)扇模組，可以最大程度地保障系統(tǒng)的穩(wěn)定運(yùn)行。多核Plus G2的高級形態(tài)目前，通過單獨(dú)的處理器還很難到達(dá)百G級別的防火墻性能，業(yè)務(wù)的分布式處理是目前市場上百G防火墻產(chǎn)品的主流選擇。不同廠商必然有著不同的系統(tǒng)實(shí)現(xiàn)方式，對于山石網(wǎng)科來說，經(jīng)過屢次開展演變的多核Plus G2架構(gòu)那么是X

5、6150實(shí)現(xiàn)智能分布式處理的根底。在首批發(fā)布的平安網(wǎng)關(guān)產(chǎn)品中，山石網(wǎng)科定義了以交換為核心的多核Plus系統(tǒng)架構(gòu)。由于業(yè)務(wù)處理單元和接口都采用固化設(shè)計(jì)，無法實(shí)現(xiàn)接口和處理能力的擴(kuò)展。而其隨后推出的一系列采用多核Plus G2架構(gòu)的產(chǎn)品中，交換背板的重要性有了顯著提升。以去年我們測試過的SG-6000-G5150為例，模塊化設(shè)計(jì)是當(dāng)時(shí)該產(chǎn)品最吸引人的特性，用戶可以根據(jù)實(shí)際部署需要，選擇適宜的接口模塊及應(yīng)用層功能模塊，靈活拓展整機(jī)接口數(shù)量和應(yīng)用層業(yè)務(wù)的處理能力。但由于產(chǎn)品定位的原因，當(dāng)時(shí)發(fā)布的SG-6000系列產(chǎn)品的整機(jī)防火墻性能決定于單一的業(yè)務(wù)處理單元，還未能發(fā)揮出多核Plus G2架構(gòu)的最大潛力

6、。直到百G級別的X6150面世，山石網(wǎng)科才向我們展示了多核Plus G2架構(gòu)的高極形態(tài)。在這款產(chǎn)品中，無論主控模塊、平安效勞模塊還是接口模塊，都是掛在交換核心上的同級節(jié)點(diǎn)。他們彼此間沒有絕對的對應(yīng)關(guān)系，也不存在任何擴(kuò)展限制。平安效勞模塊依舊基于高性能多核處理器進(jìn)行設(shè)計(jì)，多業(yè)務(wù)節(jié)點(diǎn)間完全并行工作，處理不同的數(shù)據(jù)流量。為最大化地提升分布式處理的執(zhí)行效率，X6150的接口模塊上也都不惜本錢地使用了單顆或多顆多核處理器，可以根據(jù)各平安效勞模塊的負(fù)載情況智能地進(jìn)行流量分配，以到達(dá)理想的負(fù)載均衡效果。智能分布式處理也會(huì)帶來一些額外的問題，由于數(shù)據(jù)流的去向存在不確定性，ALG等需要結(jié)合多條流進(jìn)行處理的業(yè)務(wù)實(shí)

7、現(xiàn)起來會(huì)變得比擬麻煩。X6150在盡可能均衡地發(fā)送流量到不同平安效勞模塊的同時(shí)，也會(huì)將有業(yè)務(wù)相關(guān)性的會(huì)話分發(fā)到同一個(gè)平安效勞模塊進(jìn)行處理，保證了數(shù)據(jù)轉(zhuǎn)發(fā)的正確性。而對于QoS等更復(fù)雜的應(yīng)用，該產(chǎn)品也繼續(xù)提供獨(dú)立業(yè)務(wù)模塊形式的解決方案，在性能與實(shí)施本錢之間找到合理的平衡。性能：挑戰(zhàn)極限X6150的真實(shí)性能是所有測試工程師共同關(guān)心的話題，我們依照RFC 2544和RFC 3511標(biāo)準(zhǔn)，對開啟防火墻模塊時(shí)的系統(tǒng)性能進(jìn)行了完整考察。與以往不同的是，要測試這款產(chǎn)品的極限性能，必須根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整模塊的搭配策略。例如在吞吐量與延遲測試中，64、128、256Byte幀長時(shí)的測試流量并不大，我們采用了7

8、個(gè)平安效勞模塊與3個(gè)萬兆接口模塊的搭配；而在512、1024、1280、1518Byte幀長的測試中，帶寬方面的壓力比擬大，所以采用5個(gè)平安效勞模塊與5個(gè)萬兆接口模塊的搭配。從測試結(jié)果中可以看出，在路由模式、單條策略的配置下，X6150在64Byte幀長時(shí)的吞吐量到達(dá)16.47%，此時(shí)在命令行下能夠看到各平安效勞模塊都滿負(fù)荷運(yùn)轉(zhuǎn)，流量均衡的效果十分優(yōu)秀；使用1024、1280及1518Byte幀長測試時(shí)，該產(chǎn)品的吞吐量都接近線速，無愧于百G級別產(chǎn)品的稱號。平均延遲方面，使用7種幀長90%吞吐量的負(fù)載進(jìn)行測試時(shí)，延遲結(jié)果都在20微秒以內(nèi)。在如此大的負(fù)載下，X6150還能將延遲保持在這種水準(zhǔn)，表現(xiàn)

9、可謂相當(dāng)出色。如今，新型的DDoS攻擊已經(jīng)將攻擊重點(diǎn)從帶寬轉(zhuǎn)向防火墻或效勞器的連接處理能力。攻擊者經(jīng)過巧妙構(gòu)造，可以在不明顯搶占帶寬與CPU資源的情況下，使防火墻等平安設(shè)備到達(dá)并發(fā)連接上限，到達(dá)阻斷正常業(yè)務(wù)的目的。X6150在連接處理能力方面的測試結(jié)果無疑令人很有信心，在TCP No Close模式下，我們實(shí)測得的TCP新建速率超過100萬。即便是在標(biāo)準(zhǔn)的 1.1模式下，新建連接速率仍然高達(dá)76萬以上。需要說明的是，這兩個(gè)數(shù)值也只是測試儀能到達(dá)的最大性能，從控制臺顯示的系統(tǒng)資源占用情況看，X6150仍然還有局部性能余量。并發(fā)連接方面，該產(chǎn)品每個(gè)平安效勞模塊標(biāo)稱的最大并發(fā)連接數(shù)為850萬，我們在

10、配置6個(gè)平安效勞模塊、4個(gè)接口模塊情況下測得的最大并發(fā)連接數(shù)正好是單模塊標(biāo)稱值的6倍每模塊需要保存512個(gè)連接給系統(tǒng)使用。5000萬并發(fā)、100萬新建的測試結(jié)果相當(dāng)驚人，我們也是第一次在平安產(chǎn)品評測中見到這樣的成績。更穩(wěn)定 更可靠智能分布式系統(tǒng)的構(gòu)建雖然比擬復(fù)雜，卻能為產(chǎn)品帶來更加豐富的特性。除了前文驗(yàn)證過的性能優(yōu)勢外，X6150在業(yè)務(wù)可靠性方面的表現(xiàn)也值得一提。由于接口模塊要先對入方向的數(shù)據(jù)流進(jìn)行分配，在策略允許的情況下，當(dāng)平安效勞模塊出現(xiàn)增減時(shí)，數(shù)據(jù)流的分配情況也應(yīng)隨之發(fā)生變化。這意味著，系統(tǒng)在平安效勞模塊發(fā)生故障時(shí)將擁有一定的自我調(diào)整能力，用戶也可以在在線狀態(tài)下動(dòng)態(tài)調(diào)整平安效勞模塊的配置

11、。【視頻】為了驗(yàn)證這個(gè)猜測，我們設(shè)計(jì)了一個(gè)有針對性的測試用例。首先，使用測試儀生成穩(wěn)定的每秒60萬的 新建流量，這會(huì)在配備了7個(gè)平安效勞模塊的X6150上大約消耗65%左右的系統(tǒng)資源。當(dāng)流量穩(wěn)定運(yùn)行一段時(shí)間后，人為在線撤除一塊平安效勞模塊，測試儀控制臺上記錄的壓力曲線出現(xiàn)一個(gè)輕微波動(dòng)，隨即恢復(fù)正常。從設(shè)備控制臺的監(jiān)控中可以看到，此時(shí)的系統(tǒng)資源消耗平均已超過70%，說明離線模塊所對應(yīng)的負(fù)載已被動(dòng)態(tài)分配到其他節(jié)點(diǎn)進(jìn)行處理。等X6150在這種狀態(tài)下穩(wěn)定運(yùn)行一段時(shí)間后，再人為將拔出的模塊推進(jìn)插槽，系統(tǒng)馬上識別出并開始進(jìn)行配置。稍后再查看系統(tǒng)運(yùn)行狀態(tài)，7個(gè)平安效勞模塊全部正常工作，資源占用率重新回到65%左右。由此可見，只要用戶在部署時(shí)為系統(tǒng)留出性能余量，采用智能分布式架構(gòu)的X6150就能夠在面臨業(yè)務(wù)增長、突發(fā)平安事件或局部系統(tǒng)異常情況時(shí)擁有一定的自適應(yīng)能力。測試后記在整個(gè)測試過程中，我們始終被一種興奮的情緒所感染?；貞浽谑袌錾瞎_發(fā)布的各款產(chǎn)品，X6150應(yīng)該是國內(nèi)真正意義上的、純粹的信息平安企業(yè)推出的第一款采用智能分布式架構(gòu)的產(chǎn)品。測試結(jié)果也證明