摘要: 作为网络部署中安全防护的第一道防线,防火墙的重要性不言而喻。最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史——1989年包过滤防火墙诞生,随后又相继出现了代理防火墙,以及被广泛认知的基于状态检测技术的防火墙;而到了2004年,随着防火墙开始以...
作为网络部署中安全防护的第一道防线,防火墙的重要性不言而喻。最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史——1989年包过滤防火墙诞生,随后又相继出现了代理防火墙,以及被广泛认知的基于状态检测技术的防火墙;而到了2004年,随着防火墙开始以UTM(统一威胁管理)形态出现,安全功能与性能不可兼得的问题开始显现,并在随后的几年时间里愈演愈烈,即使到了如今这个“下一代防火墙(NGFW)”的时代,该问题仍未得到有效解决。而近日,Fortinet(飞塔)则推出了一款高性能的NGFW——FortiGate-1500D,旨在攻破安全功能与性能只能相互妥协的难题!
FortiGate-1500D是飞塔FortiGate D系列中的中高端产品,适用于大型企业园区、MSSP和小型数据中心。其能够在如今大规模的威胁环境下有效保护网络的安全,并且不影响网络的性能;同时,其还具备深度数据包检测、应用可视化和网络流量控制等“下一代”安全防护能力(需搭载FortiOS 5.2操作系统),并可与FortiSandbox沙盒产品集成联动,从而有效防御APT威胁。
Fortinet FortiGate-1500D高性能下一代防火墙
FortiGate-1500D的机身仅有2U高,但却集成了高密度端口——拥有超过30个GE端口/插槽和8个10GE SFP+插槽,在节省机房空间的同时,提供了丰富的网络接入能力(消除安全带来的瓶颈)。而双电源的设计,也使其稳定性得到了有效保证。
熟悉Fortinet(飞塔)的朋友都知道,其FortiGate系列产品的与众不同之处就是其创新的内部架构——在通用CPU的基础上,引入了专门的网络处理器ASIC NP芯片(提升新建会话和转发性能)和内容处理器ASIC CP芯片(为安全功能加速),而这也正是其实现安全功能与性能可以兼得的关键!
采用NP6网络处理器*2和CP8内容处理器的FortiGate-1500D
具体到FortiGate-1500D来说,其采用了Fortinet(飞塔)最新推出的NP6网络处理器*2与CP8内容处理器。其中,NP6可进一步提升新建会话率与设备接口转发性能;而CP8则可实现多功能防火墙的七层功能(DPI等)安全加速,比如IPS、应用识别等。这使其性能较上一代(采用NP4和CP7处理器)产品提升了一倍,也让我们对FortiGate-1500D攻破“安全功能与性能只能相互妥协”这一难题充满信心。
好啦,关于Fortinet FortiGate-1500D高性能下一代防火墙的基本信息我们就介绍到这里,马上来看它的实测表现,看看它能否突破传统!
FortiGate-1500D的测试平台和测试方法
为了更好地测试FortiGate-1500D的实际性能表现,我们特别挑选了Ixia最新推出的PerfectStorm ONE测试平台,该平台可提供4个1Gpbs端口、8个10Gbps端口、甚至是2个40Gbps端口;其能轻松模拟超过245种应用和35000种恶意攻击,并且在每秒200万个新会话的情况下支持多达6000万个并发会话,可全面展现FortiGate-1500D最真实的性能表现!
Ixia PerfectStorm ONE测试平台
根据Fortinet(飞塔)的介绍,FortiGate-1500D可提供80Gbps(1518byte)的防火墙吞吐能力,并且具备1200万并发会话,以及25万每秒新建会话的能力;而在下一代防火墙性能方面,其在开启IPS之后的性能仍可达11Gbps。
不可否认,上述FortiGate-1500D的性能数据确实很“漂亮”,但笔者认为,防火墙的测试,除了最高理论吞吐性能之外,并发测试、新建会话测试、IPS吞吐性能测试等,都必须考虑到实际场景。比如,在实际场景中,不可能在没有基础流量的情况下产生新建连接请求;因此,想要测试防火墙在真实场景下的新建连接速率,就必须在已有大量背景流量的情况下进行测试,如果其仍能达到很高的新建连接速率,才说明该防火墙真正具备很高的实际场景处理能力。
综上所述,我们针对FortiGate-1500D的实际性能测试,将不再针对其基本的理论吞吐性能,而是在应用识别、IPS、Web过滤和DLP四大功能全部开启的情况下(实际场景模拟),实测其最大并发会话数、每秒新建会话数、以及NGFW吞吐性能。这样的测试结果才真正具备参考意义!
实测FortiGate-1500D
测试拓扑:将FortiGate-1500D的8个10GE端口与Ixia PerfectStorm ONE的2个40GE端口互联。
测试内容:最大并发会话数,每秒新建会话数,以及NGFW吞吐性能。
一切准备就绪,马上开始实际测试!
如今,移动互联网、社交媒体全面兴起,而电商活动更是层出不穷,这使得企业、服务提供商等的网络中的峰值流量屡屡突破记录。因此,无论是企业、MSSP,还是小型数据中心,其防火墙必须具备较高的最大并发会话和每秒新建会话能力,才能满足当前,甚至未来几年的发展需求。那么Fortinet FortiGate-1500D的实测表现如何呢?一起来看测试结果!(PS:此次测试在应用识别、IPS、Web过滤和DLP四大功能全部开启的情况下进行的)
最大并发会话数测试:
FortiGate-1500D最大并发会话数测试结果图
FortiGate-1500D最大并发会话数:590万
每秒新建会话数测试:
FortiGate-1500D每秒新建会话数测试结果图
FortiGate-1500D每秒新建会话数:16万
通过实际测试结果我们不难看出,在考虑到实际场景已有基础流量的前提下,FortiGate-1500D的实际测试结果(其中,最大并发会话数的测试结果为590万,而每秒新建会话数的测试结果则为16万)相比飞塔所公布的数据(理想测试条件)还是有些差距的。但如果与同类型的安全设备进行横向对比,FortiGate-1500D的测试结果还是相当不错的;而且这样的实测性能表现,也完全可以满足当前,及未来几年中企业、MSSP,小型数据中心等的发展需求。
前文已经提到,自UTM时代开始,安全功能与性能就成为了不可兼得的难题。而在如今的“NGFW”时代,IPS虽然已经成为NGFW的基本功能,但放眼整个安全行业,在开启这一基本功能之后,NGFW的吞吐性能表现依然能够令人满意的却不多。那么FortiGate-1500D的表现能否令人满意呢?让我们拭目以待!
开启IPS后的吞吐性能测试:
FortiGate-1500D在开启IPS后的吞吐性能测试结果图
FortiGate-1500D在开启IPS后的吞吐性能:15.4Gbps
经过实测,FortiGate-1500D在开启IPS功能后的吞吐性能居然达到了15.4Gbps,这一结果相比飞塔给出的11Gbps的吞吐性能要高出不少(看来飞塔在NGFW性能方面给出的数据相对保守),表现令人惊喜!而且要强调的是,这一测试还是在开启了应用识别、Web过滤和DLP等功能后取得的,由此可以证明,基于飞塔创新架构(CPU+NP+CP)的FortiGate-1500D,让安全功能与性能的兼得真正成为了可能!
全面展现“高性价比”魅力
2008年Palo Alto Networks发布了下一代防火墙,成为了最早推出NGFW的厂商之一,并且在业界有较高的认可度。但如果你将FortiGate-1500D与Palo Alto的同类型产品(PA系列,开启IPS后的吞吐性能为2Gbps)的测试结果相对比,就不难发现FortiGate-1500D的性能其实有较为明显的优势,而价格却更低。由此可见,FortiGate-1500D的性价比同样诱人!
测试总结:以毫不妥协的性能突破传统!
通过对Fortinet FortiGate-1500D的实测,其出色的表现给我们留下了深刻的印象——即使在应用识别、IPS、Web过滤和DLP四大功能全部开启的情况下,其最大并发会话数和每秒新建会话数的测试结果仍达到了590万和16万,表现不俗;而更加值得一提的是,凭借全新升级的NP6+CP8芯片,FortiGate-1500D以毫不妥协的性能表现,真正突破了传统——实现了安全功能与性能的兼得!因此,对于准备迎接“下一代”安全挑战的企业、MSSP和小型数据中心来说,Fortinet FortiGate-1500D值得选择!
稿源:中关村在线
