百G時代的里程碑

Hillstone山石網(wǎng)科(以下簡稱“山石網(wǎng)科”)是一個令人驚嘆的安全企業(yè)。自成立以來，該公司保持著穩(wěn)定、高速的產(chǎn)品研發(fā)速度，有步驟地推出了一系列多功能安全網(wǎng)關(guān)產(chǎn)品，占據(jù)了市場先機(jī)。但所有這些產(chǎn)品，其形態(tài)都屬于“盒子(Appliance)”的范疇，固化的業(yè)務(wù)處理單元決定了其防火墻性能無法突破20G這條水平線。而在云計算從未來時發(fā)展為現(xiàn)在進(jìn)行時的今天，運(yùn)營商、金融、教育等大型行業(yè)用戶有了更高的業(yè)務(wù)需求，百G級別的防火墻在骨干網(wǎng)、數(shù)據(jù)中心等環(huán)境開始進(jìn)入實(shí)際應(yīng)用階段。為了應(yīng)對新的需求變化，山石網(wǎng)科又于近期推出了SG-6000-X6150(以下簡稱X6150)高性能防火墻，我們也在第一時間對該產(chǎn)品進(jìn)行了測試分析。

為了達(dá)到百G級別的處理能力，X6150改用“機(jī)框(Chassis)”式產(chǎn)品形態(tài)，實(shí)現(xiàn)了可插拔部件全冗余及業(yè)務(wù)的智能分布式處理。該產(chǎn)品采用5U規(guī)格設(shè)計，共內(nèi)置了12個擴(kuò)展槽位，其中10個可用于接口模塊(IOM)、安全服務(wù)模塊(SSM)或QoS服務(wù)模塊(QSM)，2個用于系統(tǒng)主控模塊(SCM)。設(shè)備亦采用了高速大容量交換背板，為每個模塊提供了足夠大的數(shù)據(jù)通路。對于高端電信級產(chǎn)品來說，供電子系統(tǒng)與散熱子系統(tǒng)的重要性亦不容忽視。X6150最多可內(nèi)置4個電源模塊(650W)，支持雙路主備冗余部署，加上具有熱插拔特性的風(fēng)扇模組，可以最大程度地保障系統(tǒng)的穩(wěn)定運(yùn)行。

多核Plus G2的高級形態(tài)

目前，通過單獨(dú)的處理器還很難達(dá)到百G級別的防火墻性能，業(yè)務(wù)的分布式處理是目前市場上百G防火墻產(chǎn)品的主流選擇。不同廠商必然有著不同的系統(tǒng)實(shí)現(xiàn)方式，對于山石網(wǎng)科來說，經(jīng)過多次發(fā)展演變的多核Plus G2架構(gòu)則是X6150實(shí)現(xiàn)智能分布式處理的基礎(chǔ)。

在首批發(fā)布的安全網(wǎng)關(guān)產(chǎn)品中，山石網(wǎng)科定義了以交換為核心的多核Plus系統(tǒng)架構(gòu)。由于業(yè)務(wù)處理單元和接口都采用固化設(shè)計，無法實(shí)現(xiàn)接口和處理能力的擴(kuò)展。而其隨后推出的一系列采用多核Plus G2架構(gòu)的產(chǎn)品中，交換背板的重要性有了顯著提升。以去年我們測試過的SG-6000-G5150為例，模塊化設(shè)計是當(dāng)時該產(chǎn)品最吸引人的特性，用戶可以根據(jù)實(shí)際部署需要，選擇合適的接口模塊及應(yīng)用層功能模塊，靈活拓展整機(jī)接口數(shù)量和應(yīng)用層業(yè)務(wù)的處理能力。但由于產(chǎn)品定位的原因，當(dāng)時發(fā)布的SG-6000系列產(chǎn)品的整機(jī)防火墻性能決定于單一的業(yè)務(wù)處理單元，還未能發(fā)揮出多核Plus G2架構(gòu)的最大潛力。

直到百G級別的X6150面世，山石網(wǎng)科才向我們展示了多核Plus G2架構(gòu)的高極形態(tài)。在這款產(chǎn)品中，無論主控模塊、安全服務(wù)模塊還是接口模塊，都是掛在交換核心上的同級節(jié)點(diǎn)。它們彼此間沒有絕對的對應(yīng)關(guān)系，也不存在任何擴(kuò)展限制。安全服務(wù)模塊依舊基于高性能多核處理器進(jìn)行設(shè)計，多業(yè)務(wù)節(jié)點(diǎn)間完全并行工作，處理不同的數(shù)據(jù)流量。為最大化地提升分布式處理的執(zhí)行效率，X6150的接口模塊上也都不惜成本地使用了單顆或多顆多核處理器，可以根據(jù)各安全服務(wù)模塊的負(fù)載情況智能地進(jìn)行流量分配，以達(dá)到理想的負(fù)載均衡效果。

智能分布式處理也會帶來一些額外的問題，由于數(shù)據(jù)流的去向存在不確定性，ALG等需要結(jié)合多條流進(jìn)行處理的業(yè)務(wù)實(shí)現(xiàn)起來會變得比較麻煩。X6150在盡可能均衡地發(fā)送流量到不同安全服務(wù)模塊的同時，也會將有業(yè)務(wù)相關(guān)性的會話分發(fā)到同一個安全服務(wù)模塊進(jìn)行處理，保證了數(shù)據(jù)轉(zhuǎn)發(fā)的正確性。而對于QoS等更復(fù)雜的應(yīng)用，該產(chǎn)品也繼續(xù)提供獨(dú)立業(yè)務(wù)模塊形式的解決方案，在性能與實(shí)施成本之間找到合理的平衡。

性能:挑戰(zhàn)極限

X6150的真實(shí)性能是所有測試工程師共同關(guān)心的話題，我們依照RFC 2544和RFC 3511規(guī)范，對開啟防火墻模塊時的系統(tǒng)性能進(jìn)行了全面考察。與以往不同的是，要測試這款產(chǎn)品的極限性能，必須根據(jù)實(shí)際情況動態(tài)調(diào)整模塊的搭配策略。例如在吞吐量與延遲測試中，64、128、256Byte幀長時的測試流量并不大，我們采用了7個安全服務(wù)模塊與3個萬兆接口模塊的搭配;而在512、1024、1280、1518Byte幀長的測試中，帶寬方面的壓力比較大，所以采用5個安全服務(wù)模塊與5個萬兆接口模塊的搭配。

從測試結(jié)果中可以看出，在路由模式、單條策略的配置下，X6150在64Byte幀長時的吞吐量達(dá)到16.47%，此時在命令行下能夠看到各安全服務(wù)模塊都滿負(fù)荷運(yùn)轉(zhuǎn)，流量均衡的效果十分優(yōu)秀;使用1024、1280及1518Byte幀長測試時，該產(chǎn)品的吞吐量都接近線速，無愧于百G級別產(chǎn)品的稱號。平均延遲方面，使用7種幀長90%吞吐量的負(fù)載進(jìn)行測試時，延遲結(jié)果都在20微秒以內(nèi)。在如此大的負(fù)載下，X6150還能將延遲保持在這種水準(zhǔn)，表現(xiàn)可謂相當(dāng)出色。

如今，新型的DDoS攻擊已經(jīng)將攻擊重點(diǎn)從帶寬轉(zhuǎn)向防火墻或服務(wù)器的連接處理能力。攻擊者經(jīng)過巧妙構(gòu)造，可以在不明顯搶占帶寬與CPU資源的情況下，使防火墻等安全設(shè)備達(dá)到并發(fā)連接上限，達(dá)到阻斷正常業(yè)務(wù)的目的。X6150在連接處理能力方面的測試結(jié)果無疑令人很有信心，在TCP No Close模式下，我們實(shí)測得的TCP新建速率超過100萬。即便是在標(biāo)準(zhǔn)的HTTP 1.1模式下，新建連接速率仍然高達(dá)76萬以上。需要說明的是，這兩個數(shù)值也只是測試儀能達(dá)到的最大性能，從控制臺顯示的系統(tǒng)資源占用情況看，X6150仍然還有部分性能余量。并發(fā)連接方面，該產(chǎn)品每個安全服務(wù)模塊標(biāo)稱的最大并發(fā)連接數(shù)為850萬，我們在配置6個安全服務(wù)模塊、4個接口模塊情況下測得的最大并發(fā)連接數(shù)正好是單模塊標(biāo)稱值的6倍(每模塊需要保留512個連接給系統(tǒng)使用)。5000萬并發(fā)、100萬新建的測試結(jié)果相當(dāng)驚人，我們也是第一次在安全產(chǎn)品評測中見到這樣的成績。

更穩(wěn)定 更可靠

智能分布式系統(tǒng)的構(gòu)建雖然比較復(fù)雜，卻能為產(chǎn)品帶來更加豐富的特性。除了前文驗(yàn)證過的性能優(yōu)勢外，X6150在業(yè)務(wù)可靠性方面的表現(xiàn)也值得一提。由于接口模塊要先對入方向的數(shù)據(jù)流進(jìn)行分配，在策略允許的情況下，當(dāng)安全服務(wù)模塊出現(xiàn)增減時，數(shù)據(jù)流的分配情況也應(yīng)隨之發(fā)生變化。這意味著，系統(tǒng)在安全服務(wù)模塊發(fā)生故障時將擁有一定的自我調(diào)整能力，用戶也可以在在線狀態(tài)下動態(tài)調(diào)整安全服務(wù)模塊的配置。

為了驗(yàn)證這個猜想，我們設(shè)計了一個有針對性的測試用例。首先，使用測試儀生成穩(wěn)定的每秒60萬的HTTP新建流量，這會在配備了7個安全服務(wù)模塊的X6150上大約消耗65%左右的系統(tǒng)資源。當(dāng)流量穩(wěn)定運(yùn)行一段時間后，人為在線拆除一塊安全服務(wù)模塊，測試儀控制臺上記錄的壓力曲線出現(xiàn)一個輕微波動，隨即恢復(fù)正常。從設(shè)備控制臺的監(jiān)控中可以看到，此時的系統(tǒng)資源消耗平均已超過70%，說明離線模塊所對應(yīng)的負(fù)載已被動態(tài)分配到其他節(jié)點(diǎn)進(jìn)行處理。等X6150在這種狀態(tài)下穩(wěn)定運(yùn)行一段時間后，再人為地將拔出的模塊推進(jìn)插槽，系統(tǒng)馬上識別出并開始進(jìn)行配置。稍后再查看系統(tǒng)運(yùn)行狀態(tài)，7個安全服務(wù)模塊全部正常工作，資源占用率重新回到65%左右。由此可見，只要用戶在部署時為系統(tǒng)留出性能余量，采用智能分布式架構(gòu)的X6150就能夠在面臨業(yè)務(wù)增長、突發(fā)安全事件或部分系統(tǒng)異常情況時擁有一定的自適應(yīng)能力。

測試后記:

在整個測試過程中，我們始終被一種興奮的情緒所感染?；仡櫾谑袌錾瞎_發(fā)布的各款產(chǎn)品，X6150應(yīng)該是國內(nèi)真正意義上的、純粹的信息安全企業(yè)推出的第一款采用智能分布式架構(gòu)的產(chǎn)品。測試結(jié)果也證明，它確實(shí)達(dá)到了百G級別的處理能力，且僅在5U規(guī)格的機(jī)箱空間內(nèi)。這無論對山石網(wǎng)科還是國內(nèi)整個信息安全行業(yè)來說，都是一個值得紀(jì)念的里程碑，必將會為行業(yè)整體水平的提高帶來幫助。

毫無疑問，骨干網(wǎng)和數(shù)據(jù)中心將是高端防火墻的必爭之地。信息安全企業(yè)必須加強(qiáng)對此類應(yīng)用環(huán)境的理解，才能使功能更有針對性，讓產(chǎn)品更加貼近用戶。我們相信，山石網(wǎng)科有X6150作為基礎(chǔ)，這一切不會太遙遠(yuǎn)。