下载文档原格式
山石网科:防火墙的那些性能指标,你了解吗?正如购买其他电子设备需要了解很多性能参数一样,选购一台防火墙也需要了解众多的的性能指标。
那么作为防火墙的四项基本性能指标——吞吐、时延、新建、并发,都意味着什么,如何测算得出,到底可以带给用户什么好处?有什么意义?山石网科Hillstone将为您解读防火墙四大指标的含义以及测试方法。
吞吐量(Throughput)吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标,它是指网络设备在每一秒内处理数据包的最大能力。
吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。
设备吞吐量越高,所能提供给用户使用的带宽越大,就像木桶原理所描述的,网络的最大吞吐取决于网络中的最低吞吐量设备,足够的吞吐量可以保证防火墙不会成为网络的瓶颈。
举一个形象的例子,一台防火墙下面有100个用户同时上网,每个用户分配的是10Mbps的带宽,那么这台防火墙如果想要保证所有用户全速的网络体验,必须要有至少1Gbps的吞吐量。
吞吐量的计量单位有两种方式:常见的就是带宽计量,单位是Mbps(Megabits per second)或者Gbps(Gigabits per second),另外一种是数据包处理量计量,单位是pps(packets per second),两种计量方式是可以相互换算的。
在进行对一款设备进行吞吐性能测试时,通常会记录一组从64字节到1518字节的测试数据,每一个测试结果均有相对应的pps数。
64字节的pps数最大,基本上可以反映出设备处理数据包的最大能力。
所以从64字节的这个数,基本上可以推算出系统最大能处理的吞吐量是多少。
很多路由设备的性能指标有一点就是标称xxMpps,所指的就是设备处理64字节的pps数。
比如64字节的pps为100000pps,吞吐量通过换算为100000×(64+20) ×8/1000000= 67.2Mbps,拿这个结果计算1518字节的数据为100000×(1518+20) ×8/100000=1230.4Mbps。
Version5.3.1版本说明本文档包含HSM5.0.0及以后各版本的版本说明,主要介绍了新增功能,已知问题及已解决问题等内容。
l HSM5.3.1l HSM5.3.0l HSM5.2.0l HSM5.1.0l HSM5.0.0HSM5.3.1本节为HSM5.3.1的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.1发布日期:2022年9月27日适用产品型号:l HSM支持纳管SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
注意:若需使用HSM纳管上述型号的防火墙设备,请保证其软件版本为StoneOS5.5R4及以上。
系统文件注意:若需为vHSM获取5.3.1版本的系统文件,即.ova、.qcow2和.vmdk格式的系统文件,请联系山石网科工作人员。
版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.1版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.3.0本节为HSM5.3.0的版本说明。
产品和版本信息产品名称:山石网科集中安全管理平台(HSM)产品型号:HSM-P100、HSM-P3000、vHSM软件名称:HSMpro2.0-5.3.0发布日期:2022年8月4日适用StoneOS版本:l建议使用最新的StoneOS5.5R9P2、5.5R9F1,支持HSM的大部分功能;适用产品型号:l SG-6000A系列、E系列、X系列、K系列、T系列、SDW系列。
系统文件版本升级说明山石网科集中安全管理平台(HSM)不支持从4.X版本升级到5.3.0版本。
兼容性山石网科集中安全管理平台的管理界面通过以下浏览器的测试:l Edge80及以上l Chrome80及以上新增功能已知问题HSM5.2.0本节为HSM5.2.0的版本说明。
山石网科网络安全审计系统V2.0R1发布概述发布日期:2021年09月03日本次发布主要新增以下功能:1.新增支持SG-6000-ICM1050C、SG-6000-ICM1050C-L、SG-6000-ICM1150C、SG-6000-ICM1250C、SG-6000-ICM1350C和SG-6000-ICM1500C平台;2.基础网络、高级网络、安全防护、控制审计策略、IPS引擎、Restful API接口等功能均支持IPv6网络;3.针对管理员支持分级分权控制(日志、用户、策略、目录);4.设备本地用户支持通过终端用户自注册方式进入;5.支持同步AD服务器的安全组,且一个用户可以属于多个安全组;6.IPsec VPN支持管理员自行修改端口;7.控制策略、审计策略、流控通道策略支持VLAN和TOS匹配条件;8.Https证书告警消除、终端导入证书之后消除证书告警;9.设备支持http和sock代理功能;10.设备支持LLDP链路发现功能;11.支持针对SNMP同步的信息查询;12.增加多种系统告警机制;13.针对桥下的子接口、二层接口,支持加入到安全域;14.针对聚合接口,支持加入到接口状态同步组;15.DHCP支持option 252和253;16.IC卡认证支持账号提前导入和校验;17.针对Portal页面,支持导入和导出功能,管理员可执行编辑认证页面;18.支持http通用短信接口网关;19.支持配置导出路径设备和统计设备动态缓存。
平台和系统文件功能列表浏览器兼容性以下浏览器通过了WebUI测试,推荐用户使用:✹Chrome 53以及以上版本✹Firefox 58以及以上版本✹IE9以上版本获得帮助山石网科网络安全审计系统配有以下手册,请访问https://获取:✹《山石网科SG-6000-ICM系列安装手册》✹《山石网科网络安全审计系统WebUI用户手册》✹《山石网科网络安全审计系统命令行用户手册》✹《山石网科网络安全审计系统日志信息参考指南》服务热线:400-828-6655官方网址:https:///。
销售与服务热线:400-828-6655密过的数据流也能应付自如。
StoneOS ®识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P 、IM(即时通讯)、游戏、办公软件以及基于SIP 、H.323、HTTP 等协议的应用,应用特征库通过网络服务可以实时更新。
全面的VPN 解决方案SG-6000多核安全网关支持多种IPSec VPN 的部署,它能够完全兼容标准的IPSec VPN 。
SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN 解决方案。
Hillstone 山石网科独具特色的即插即用VPN ,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN 设备配置难、使用难、维护成本高的缺点。
SG-6000多核安全网关还通过集成第三代SSL VPN 实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。
奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
SG-6000-G5150支持三种类型的扩展模块:接口扩展模块、应用处理扩展模块、存储扩展模块。
通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以在设备上实时记录各种审计日志和审计数据,满足公安部82号令的要求,也可以使用外置高性能日志服务器。
另外SG-6000多核安全网关还支持通过软件license 方式进行设备高级扩展,例如提升设备的最大并发会话数、每秒新建连接数和整机处理性能等。
功能规格除非另有说明,否则所列出的性能,容量和特性是基于运行StoneOS ®4.0的系统,实际结果可能会因StoneOS ®版本和部署情况而异。
Hillstone山石网科技术为需求服务Hillstone山石网科是近几年来迅速崛起的安全厂商,以提供集成化的安全网关产品/解决方案而著称。
计算机世界实验室两年内先后测试过该公司提供的3款产品,感觉功能方面在逐步完善,性能也屡创新高。
最近G5150测试报告的发布引发了新一轮热议,我们索性有请山石网科副总裁莫宁及CTO刘向明献身说法,为读者朋友们揭开高性能的奥秘。
需求改变架构韩勖:我注意到山石网科即将发布的SG-6000系列产品采用了新的多核Plus G2系统架构。
从多核Plus到多核Plus G2,都有哪些改进呢?这些改进的意义何在?莫宁:这个改进的过程其实是利用自主创新能力去满足市场需求的一个过程。
第一代的多核Plus基于单个CPU共享内存的并行处理方式,做到比较高的性能。
但客户的要求越来越高,有时候不是简单成倍的增长,甚至是几十倍的增长; 我们产品又发展很快,功能不断丰富,加入了IPS、上网行为管理等应用层安全特性。
芯片厂商提供的产品并不能很好地适应这些变化,在这种情况下,我们不能依赖别人。
多核Plus G2的重大改进就是多核多CPU的并行处理,摆脱芯片处理能力方面的限制,使向更高端延伸成为一种可能。
刘向明:比如我们去年发布的SA-5180,是SA系列中性能最高的产品,但还是有客户希望在打开A V、IPS的时候达到更高的性能。
这种情况就不是依靠单一的芯片能解决的,多核Plus G2就是瓶颈被突破时一种非常自然的进化。
韩勖:那么在多核Plus G2的研发过程中遇到过什么难题?在分布式处理方面采用了什么样的解决方式?莫宁:路由器的实现相对简单,它可以针对每个数据包去做处理,因为这里没有流的概念; 安全网关做的是应用层方面的业务,必须对每一个完整的流去做处理。
所以,我们最大的难点在于任务调度的实现方式,要么把整个流在所有内核间做同步,然后每个包在不同的内核上进行处理,要么把流合理分配到某些内核上,减少同步工作的复杂度。
随着链路接入成本的不断降低,高清视频及多媒体更多地被应用,中大型企业和数据中心逐步将网络升级至千兆甚至万兆高速网络;在Web2.0时代背景下,更多的企业应用转向Web2.0,传统防火墙对此显得无能为力;利益驱动下的黑客攻击和恶意软件肆意传播,同时威胁更多地融合在新型的应用和文件中,传统基于流量的防护方式或频频误报虚惊一场,或经常漏报造成损失,IT管理员疲于应付,效果收效甚微;因此,中大型企业和下一代数据中心不得不面对以下困境:步入万兆时代,如何选择一款高性价比的产品来应对当下和未来不断增长的业务需求?●新型应用层出不穷,作为企业管理者,如何掌握管理灰度规范员工网络行为,提升效率,同时保障关键业务带宽?●浏览器漏洞,虚假软件病毒时刻威胁着企业的终端和网络,如何在源头有效保护企业员工及合作伙伴的安全,保护●企业IT投资,降低业务中断的损失?正是基于对业务和客户需求的持续深入思考,华为赛门铁克公司面向大中型企业和下一代数据中心推出USG5500系列产品。
该系列产品采用全新的万兆多核硬件平台,面对企业海量务业处理零延迟,打造更高速的网络;融合Symantec 先进的入侵防御和反病毒技术,重新演绎专业内容安全防御,营造更安全的网络;集成华为业界领先的DPI(深度包检测)识别技术,精细管理千种应用程序,创建更高效的网络。
为大型企业和数据中心打造“更高速、更高效、更安全”的高性价比网络体验。
产品说明全新的硬件架构USG5500系列产品是万兆级别的安全网关产品,USG5500系列产品的硬件架构基于“专用多核CPU”+“NG-Switch技术”+“All-Flow加速技术”,在为客户带来高质量安全防护的基础上,大幅提升了高性能的用户体验。
USG5500系列产品采用了强大的专用多核CPU,专用的网络处理器能对用户的网络业务进行高效处理,同时摒弃了与网络无关的多余CPU的指令。
USG5500的多核CPU中集成多个高主频CPU Core,能同时支撑多个线程的运行,这种多线程处理的特性,不仅利用多核之间通过高速通道进行消息传递的技术大幅提升了CPU处理效率,也解决了单核或双核处理器对实时任务处理的缺陷和不可靠性。
