强大处理能力 安全防护基石——华为Secoway USG5000防火墙第三方评测报告.docx

网络世界 随着Web2.0时代的网络应用不断增加和丰富，各种网络应用对网络安全设备的需求正发生着新的变化，大量的在线视频，高速动态刷新的网页，各种绚丽的网游，需要在短时间内快速的产生响应，对设备的高速响应能力提出了很高的要求，同时，高速也不仅仅只来自正常的网络流量，网络防护能力的需求也在不断提高。在面对数以“G”计的网络攻击流量时，如何才能保证网络安全产品自身不被攻陷，并且可以提供正常的网络访问服务呢？如果在大流量网络攻击中还要保持正常的网络应用，网络安全设备必需具备足够强大的处理能力。为此华为技术有限公司凭借在电信领域多年的技术积累，推出了Secoway USG5000防火墙（以下简称USG5000）。USG5000为1U标准机箱，机箱上带有Console口，有4对固定的以太网光电互斥GE口，其中电口10/100/1000M自适应，2个USB2.0(Universal Serial Bus)接口。机箱上提供2个扩展插槽，用户可以安装4FE(FastEthernet)或2GE(GigabitEthernet)光电互斥接口模块。USG5000内部采用多核多线程处理技术提供高性能安全防范和报文处理能力，并通过两个交流或直流电源模块，实现双路供电及电源的冗余备份，同时支持电源模块/风扇热插拔。华为Secoway USG5000基本性能测试：由于USG5000采用多核技术，超大内存和基于硬件的加密算法，使得防火墙具备很高的应用层处理能力；在数据包传发上也具备了超强的性能。为了对USG5000产品的基本性能进行验证，网络世界评测实验室采用IXIA公司的IXIA 1600T测试仪表配合IxAutomate 6 EA测试软件，根据RFC2544、RFC2889中相关测试规定，对USG5000进行网络性能测试；并采用思博伦通信公司的Avalanche 2900测试仪表配合Avalanche 2.22测试软件依据RFC3511中测试指标规定，对USG5000产品应用性能进行测试。（测试拓扑图参见图一、图二）图一：网络性能测试拓图图二：应用性能测试拓扑图一、网络性能测试在网络性能测试中，网络世界评测实验室分别对USG5000的吞吐量和时延进行了测试。吞吐量测试中，分别对USG5000产品的一对千兆接口、二对千兆接口、三对千兆接口在透明模式和路由模式下分别采用双向全双功模式进行了测试，测试中采用了64、128、256、512、1024、1280及1518共七种RFC2544中定义的标准包长来进行测试。在测试结果中节选64、512、1518 三种IP包长的测试结果进行分析。具体结果参见下表：在一对千兆接口透明及路由模式中，USG5000在64byte、512byte及1518byte下数据包的吞吐量均为100%；随着接口数量的增加，USG5000的小字节数据包处理能力有所下降，64byte小包下两对千兆接口透明模式的吞吐量为54.55%，路由模式下为55.63%，中、大数据包处理能力理想，吞吐量均为100%；在三对千兆接口吞吐量测试中USG5000的吞吐量均有所下降，64byte小包吞吐量透明模式为34.67%，路由模式为35.13%，512byte吞吐量透明模式下为97.72%，路由模式下为97.45%，1518byte吞吐量透明模式下为99.45%，路由模式下为99.4%。在四对口透明模式下网络性能又有了更进一步的提升，对于中等大小(512byte)及大包（1518byte）的吞吐量为均为100%，最大吞吐量可以达到8Gbps，充分显示了其出色的网络处理性能。从以上结果可以看出，USG5000的网络层处理能力比较出色，64byte小数据包吞吐量可以达到2Gbps，中等大小(512byte)的数据包的吞吐量为4Gbps，大字节(1512byte)时吞吐量基本可以达到8Gbps。时延测试中，对USG5000产品一对千兆接口双向全双功模式下64byte-1518byte七种RFC2544标准包长时的时延进行了测试。测试结果详见下表包长(byte)64128256512102412801518时延(微秒)11.0108.6608.83011.14015.36017.68019.620由测试结果可以看出，USG5000对数据包具有很强的处理能力，时延始终控制在20微秒之内，显示出了出色的处理性能。二、应用性能测试应用性能测试中，分别对USG5000的新建连接速率和并发用户数这两个测试指标进行了测试。新建连接速率是网络设备在应用层接受用户请求的处理速率，此项测试结果越高，实际应用中，用户处理性能就是越强，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度，直接关系到用户的使用体验，是WEB2.0时代防火墙产品最关键的性能指标。在新建连接速率测试中，考察USG5000在HTTP协议中的用户连接处理速率。测试中采用HTTP1.1协议版本，测试文件大小为1byte。测试结果表明USG5000具有十分强大的应用处理能力，最大新建连接处理速率为228909连接/秒。当采用一台Avalanche2900+一对Avalanche2500进行复测时，USG5000的最大新建连接速率达到了24万连接/秒。（测试结果详见新建连接速率测试图表）新建连接速率测试图表并发连接数是测试网络设备在应用层最大可以允许多少用户同时进行连接，数值越高，设备所同时允许的连接用户就越多。在并发连接数测试中，同样还是采用HTTP协议，协议版本为HTTP1.1，测试文件大小为1024byte，客户端设置一分钟等待。测试结果显示USG5000的并发连接数可以达到200万用户并发连接，性能同样出色。（测试结果参见并发连接用户数图表）并发连接用户数图表安全功能测试：一、防攻击性能测试：高性能的防火墙不但要有很高的连接处理速率，还要有强大的抗攻击能力。本次测试还采用synflood和UDPflood攻击对USG5000的防攻击性能进行了测试，以考查USG5000在高攻击下的连接处理能力及数据包转发能力。1、synflood攻击下新建连接速率：synflood攻击下新建连接速率测试中，模拟了50万pps的synflood攻击，在攻击的同时测试USG5000的HTTP新建连接处理速率。在攻击下USG5000依然可以保持17.1万连接/秒的处理能力。2、synflood攻击下数据包转发速率：synflood攻击下数据包转发速率测试中，模拟在千兆synflood线速攻击下，USG5000的数据包转发性能。结果表明USG5000在线速攻击下64byte小包双向转发的流量依然可以达到515Mbps和495Mpbs；1518byte大包双向转发的流量均为1000Mbps的线速。表现出了十分出色的抗synflood攻击性能。3、UDPflood攻下新建连接速率：UDPflood攻击下新建连接速率测试中，模拟了100万pps的UDPflood攻击，同样在攻击的同时测试USG5000的HTTP新建连接处理速率。在攻击下USG5000可以保持14万连接/秒的处理能力。4、UDPflood攻击下数据包转发速率：UDPflood攻击下数据包转发速率测试中，模拟在千兆UDPflood线速攻击下，USG5000的数据包转发性能。结果表明USG5000在线速攻击下64byte小包双向转发的流量分别为656Mbps和648Mpbs；1518byte大包双向转发的流量均为1000Mbps线速。抗UDPflood攻击性能更加出色。二、防火墙安全策略测试防火墙所加载大量安全策略时的性能关系到企业防火墙的正常应用。本次网络世界评测实验室同样对USG5000在加载海量安全策略后的网络性能进行了测试。1、3万条安全策略重启时间：在加载3万条安全策略后，重新启动USG5000防火墙。USG5000用时2分41秒完成了重新启动，占用时间较少。2、3万条安全策略网络处理性能：在加载3万条安全策略后，对USG5000的一对端口网络层吞吐量和延迟重新进行测试。USG5000在3万条安全策略时一对端口的64byte-1518byte吞吐量依旧为100%，时延在8微秒到50微秒之间，3万条安全策略对USG5000的性能影响不大。3、100万条路由策略网络处理性能：测试中采用两组每组各1023条路由策略，并使每组路由策略一一自动匹配的方式生成了100万条以上的路由策略，在这100万条以上的路由策略下对USG5000一对端口的吞吐量及时延进行测试。USG5000在100万条路由策略下64byte-1518byte ，7种不同包长的吞吐量为100%，时延在8微秒到97微秒之间，100万条路由策略下USG5000性能依然出色。三、NAT性能USG5000支持高安全域-低安全域以及低安全域-高安全域的双向NAT 转换，以及内网NAT 转换。本次同样对USG5000的一对端口及二对端口双向NAT转发能力进行了测试，测试结果表明USG5000在网络层双向NAT测试结果与网络性能中测试结果相差不大，应用层测试中同样也可以保持200万用户的连接访问。四、双机热备：USG5000 的双机备份技术不需要使用单独的连接电缆，使用普通的网线将两台设备相连即可，可以和业务口共用，也可以单独使用一个网口作为备份口，组网十分的灵活、可靠。测试中，测试机一直ping目标机，然后进行防火墙主备切换，切换过程中只丢失一个ping包，防火墙切换快速。五、GTP安全防护随着GRRS(General Packet Radio Service)网络无线数据业务量的增大，以及即将到来的3G 时代，GPRS 网络上的网络安全问题也成为各移动运营商比较关心的问题。对于GPRS的网络安全问题，由于其数据业务都是承载在GTP 隧道中，因此目前GPRS 上的网络安全主要是对GTP 协议的解析以及处理。USG5000 同时支持R97 GTP（GTPv0），R99 GTP（GTPv1）以及 GTP协议以及报文分析控制能力；并具备GTP 报文按特定规则过滤功能、流量限制、GTP 隧道的限制等多种功能。测试表明USG5000在一对千兆端口中完全可以支持线速的GTP数据包传输工作。小结：以上测试结果显示USG5000可以有效抵御高强度的网络攻击，而且同时可以保证正常的网络应用。其