百G时代的里程碑 五G时代

百时代的里程碑五时代山石网科（以下简称山石网科）是一个令人惊叹的安全企业自成立以G G来，该公司保持着稳定、高速的产品研发速度，有步骤地推出了一系列多功能安全hillstone“”网关产品，占据了市场先机但所有这些产品，其形态都属于盒子（）的范畴，固化的业务处理单元决定了其防火墙性能无法突破这条水平线而“appliance”在云计算从未来时发展为现在进行时的今天，运营商、金融、教育等大型行业用户20g有了更高的业务需求，百级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段为了应对新的需求变化，山石网科又于近期推出了（以g下简称）高性能防火墙，我们也在第一时间对该产品进行了测试分析sg-6000-x6150为了达到百级别的处理能力，改用机框（）式产品形态，实现了x6150可插拔部件全冗余及业务的智能分布式处理该产品采用规格设计，共内置了g x6150“chassis”个扩展槽位，其中个可用于接口模块（）、安全服务模块（）或5u服务模块（），个用于系统主控模块（）设备亦采用了高速大容1210iom ssm量交换背板，为每个模块提供了足够大的数据通路对于高端电信级产品来说，供qos qsm2scm电子系统与散热子系统的重要性亦不容忽视最多可内置个电源模块（），支持双路主备冗余部署，加上具有热插拔特性的风扇模组，可以最大x61504程度地保障系统的稳定运行650w多核的高级形态目前，通过单独的处理器还很难达到百级别的防火墙性能，业务的分布式处理是plusg2目前市场上百防火墙产品的主流选择不同厂商必然有着不同的系统实现方式，g对于山石网科来说，经过多次发展演变的多核架构则是实现智能分g布式处理的基础plusg2x6150在首批发布的安全网关产品中，山石网科定义了以交换为核心的多核系统架构由于业务处理单元和接口都采用固化设计，无法实现接口和处理能力的扩展plus而其随后推出的一系列采用多核架构的产品中，交换背板的重要性有了显著提升以去年我们测试过的为例，模块化设计是当时该产品最plusg2吸引人的特性，用户可以根据实际部署需要，选择合适的接口模块及应用层功能模sg-6000-g5150块，灵活拓展整机接口数量和应用层业务的处理能力但由于产品定位的原因，当时发布的系列产品的整机防火墙性能决定于单一的业务处理单元，还未能发挥出多核架构的最大潜力sg-6000直到百级别的面世，山石网科才向我们展示了多核架构的高极形plusg2态在这款产品中，无论主控模块、安全服务模块还是接口模块，都是挂在交换核g x6150plusg2心上的同级节点它们彼此间没有绝对的对应关系，也不存在任何扩展限制安全服务模块依旧基于高性能多核处理器进行设计，多业务节点间完全并行工作，处理不同的数据流量为最大化地提升分布式处理的执行效率，的接口模块上也都不惜成本地使用了单颗或多颗多核处理器，可以根据各安全服务模块的负载情况x6150智能地进行流量分配，以达到理想的负载均衡效果智能分布式处理也会带来一些额外的问题，由于数据流的去向存在不确定性，等需要结合多条流进行处理的业务实现起来会变得比较麻烦在尽可能均衡alg地发送流量到不同安全服务模块的同时，也会将有业务相关性的会话分发到同一个x6150安全服务模块进行处理，保证了数据转发的正确性而对于等更复杂的应用，该产品也继续提供独立业务模块形式的解决方案，在性能与实施成本之间找到qos合理的平衡性能挑战极限的真实性能是所有测试工程师共同关心的话题，我们依照和规范，对开启防火墙模块时的系统性能进行了全面考察与以往不同的x6150rfc2544是，要测试这款产品的极限性能，必须根据实际情况动态调整模块的搭配策略例rfc3511如在吞吐量与延迟测试中，、、帧长时的测试流量并不大，我们采用了个安全服务模块与个万兆接口模块的搭配而在、、、64128256byte帧长的测试中，带宽方面的压力比较大，所以采用个安全服务模块与73;51210241280个万兆接口模块的搭配1518byte5从测试结果中可以看出，在路由模式、单条策略的配置下，在帧长5时的吞吐量达到，此时在命令行下能够看到各安全服务模块都满负荷运x615064byte转，流量均衡的效果十分优秀使用、及帧长测试时，该产品

16.47%的吞吐量都接近线速，无愧于百级别产品的称号平均延迟方面，使用种帧;102412801518byte长吞吐量的负载进行测试时，延迟结果都在微秒以内在如此大的负载g7下，还能将延迟保持在这种水准，表现可谓相当出色90%20如今，新型的攻击已经将攻击重点从带宽转向防火墙或服务器的连接处理能x6150力攻击者经过巧妙构造，可以在不明显抢占带宽与资源的情况下，使防火ddos墙等安全设备达到并发连接上限，达到阻断正常业务的目的在连接处理能cpu力方面的测试结果无疑令人很有信心，在模式下，我们实测得的新x6150建速率超过万即便是在标准的模式下，新建连接速率仍然高达tcpnoclose tcp万以上需要说明的是，这两个数值也只是测试仪能达到的最大性能，从控制台显100http

1.176示的系统资源占用情况看，仍然还有部分性能余量并发连接方面，该产品每个安全服务模块标称的最大并发连接数为万，我们在配置个安全服务模x6150块、个接口模块情况下测得的最大并发连接数正好是单模块标称值的倍（每模8506块需要保留个连接给系统使用）万并发、万新建的测试结果相当46惊人，我们也是第一次在安全产品评测中见到这样的成绩5125000100更稳定更可靠智能分布式系统的构建虽然比较复杂，却能为产品带来更加丰富的特性除了前文验证过的性能优势外，在业务可靠性方面的表现也值得一提由于接口模块要先对入方向的数据流进行分配，在策略允许的情况下，当安全服务模块出现增减x6150时，数据流的分配情况也应随之发生变化这意味着，系统在安全服务模块发生故障时将拥有一定的自我调整能力，用户也可以在在线状态下动态调整安全服务模块的配置为了验证这个猜想，我们设计了一个有针对性的测试用例首先，使用测试仪生成稳定的每秒万的新建流量，这会在配备了个安全服务模块的上大约消耗左右的系统资源当流量稳定运行一段时间后，人为在线拆除一块60http7x6150安全服务模块，测试仪控制台上记录的压力曲线出现一个轻微波动，随即恢复正65%常从设备控制台的监控中可以看到，此时的系统资源消耗平均已超过，说明离线模块所对应的负载已被动态分配到其他节点进行处理等在这种状70%态下稳定运行一段时间后，再人为地将拔出的模块推进插槽，系统马上识别出并开x6150始进行配置稍后再查看系统运行状态，个安全服务模块全部正常工作，资源占用率重新回到左右由此可见，只要用户在部署时为系统留出性能余量，采7用智能分布式架构的就能够在面临业务增长、突发安全事件或部分系统异65%常情况时拥有一定的自适应能力x6150测试后记在整个测试过程中，我们始终被一种兴奋的情绪所感染回顾在市场上公开发布的各款产品，应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品测试结果也证明，它确实达到了百级别的处理能力，x6150且仅在规格的机箱空间内这无论对山石网科还是国内整个信息安全行业来g说，都是一个值得纪念的里程碑，必将会为行业整体水平的提高带来帮助5u毫无疑问，骨干网和数据中心将是高端防火墙的必争之地信息安全企业必须加强对此类应用环境的理解，才能使功能更有针对性，让产品更加贴近用户我们相信，山石网科有作为基础，这一切不会太遥远x6150。