强大处理能力 安全防护基石——华为Secoway USG5000防火墙第三方评测报告.docx

网络世界 随着Web2.0时代的网络应用不断增加和丰富，各种网络应用对网络安全设备的需求正发生着新的变化，大量的在线视频，高速动态刷新的网页，各种绚丽的网游，需要在短时间内快速的产生响应，对设备的高速响应能力提出了很高的要求，同时，高速也不仅仅只来自正常的网络流量，网络防护能力的需求也在不断提高。在面对数以“G”计的网络攻击流量时，如何才能保证网络安全产品自身不被攻陷，并且可以提供正常的网络访问服务呢？如果在大流量网络攻击中还要保持正常的网络应用，网络安全设备必需具备足够强大的处理能力。为此华为技术有限公司凭借在电信领域多年的技术积累，推出了Secoway USG5000防火墙（以下简称USG5000）。USG5000为1U标准机箱，机箱上带有Console口，有4对固定的以太网光电互斥GE口，其中电口10/100/1000M自适应，2个USB2.0(Universal Serial Bus)接口。机箱上提供2个扩展插槽，用户可以安装4FE(FastEthernet)或2GE(GigabitEthernet)光电互斥接口模块。USG5000内部采用多核多线程处理技术提供高性能安全防范和报文处理能力，并通过两个交流或直流电源模块，实现双路供电及电源的冗余备份，同时支持电源模块/风扇热插拔。华为Secoway USG5000基本性能测试：由于USG5000采用多核技术，超大内存和基于硬件的加密算法，使得防火墙具备很高的应用层处理能力；在数据包传发上也具备了超强的性能。为了对USG5000产品的基本性能进行验证，《网络世界》评测实验室采用IXIA公司的IXIA 1600T测试仪表配合IxAutomate 6 EA测试软件，根据RFC2544、RFC2889中相关测试规定，对USG5000进行网络性能测试；并采用思博伦通信公司的Avalanche 2900测试仪表配合Avalanche 2.22测试软件依据RFC3511中测试指标规定，对USG5000产品应用性能进行测试。（测试拓扑图参见图一、图二）图一：网络性能测试拓图图二：应用性能测试拓扑图一、网络性能测试在网络性能测试中，《网络世界》评测实验室分别对USG5000的吞吐量和时延进行了测试。吞吐量测试中，分别对USG5000产品的一对千兆接口、二对千兆接口、三对千兆接口在透明模式和路由模式下分别采用双向全双功模式进行了测试，测试中采用了64、128、256、512、1024、1280及1518共七种RFC2544中定义的标准包长来进行测试。在测试结果中节选64、512、1518 三种IP包长的测试结果进行分析。具体结果参见下表：在一对千兆接口透明及路由模式中，USG5000在64byte、512byte及1518byte下数据包的吞吐量均为100%；随着接口数量的增加，USG5000的小字节数据包处理能力有所下降，64byte小包下两对千兆接口透明模式的吞吐量为54.55%，路由模式下为55.63%，中、大数据包处理能力理想，吞吐量均为100%；在三对千兆接口吞吐量测试中USG5000的吞吐量均有所下降，64byte小包吞吐量透明模式为34.67%，路由模式为35.13%，512byte吞吐量透明模式下为97.72%，路由模式下为97.45%，1518byte吞吐量透明模式下为99.45%，路由模式下为99.4%。在四对口透明模式下网络性能又有了更进一步的提升，对于中等大小(512byte)及大包（1518byte）的吞吐量为均为100%，最大吞吐量可以达到8Gbps，充分显示了其出色的网络处理性能。从以上结果可以看出，USG5000的网络层处理能力比较出色，64byte小数据包吞吐量可以达到2Gbps，中等大小(512byte)的数据包的吞吐量为4Gbps，大字节(1512byte)时吞吐量基本可以达到8Gbps。时延测试中，对USG5000产品一对千兆接口双向全双功模式下64byte-1518byte七种RFC2544标准包长时的时延进行了测试。测试结果详见下表包长(byte)64128256512102412801518时延(微秒)11.0108.6608.83011.14015.36017.68019.620由测试结果可以看出，USG5000对数据包具有很强的处理能力，时延始终控制在20微秒之内，显示出了出色的处理性能。二、应用性能测试应用性能测试中，分别对USG5000的新建连接速率和并发用户数这两个测试指标进行了测试。新建连接速率是网络设备在应用层接受用户请求的处理速率，此项测试结果越高，实际应用中，用户处理性能就是越强，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度，直接关系到用户的使用体验，是WEB2.0时代防火墙产品最关键的性能指标。在新建连接