第一页
随着安全防范意思的不断加强,“上网行为管理”的需求逐渐为大型用户单位接受并得到广泛应用。目前, 市场生产“上网行为管理设备”很多,鱼龙混杂。教育、运营商、集团企业等大型用户应该如何选择适合自身的产品,如何保障网络架构的安全与管控?众多的上网行为管理产品中,核心竞争力在哪里?笔者就针对上网行为管理用户中的大型用户应用为点,通过技术原理、实践、测试及应用等方面进行解析,旨在帮助大型用户如教育、运营商、集团企业等管理者能够有效利用信息化的手段进行企业管理,达到高效率、低成本的管理模式,创造更多的价值与运营模式。
大型用户如何选择适合的上网行为管理产品
不同类型的用户,需要针对自身规模与网络环境来选择适合的上网行为管理产品。根据企业网络规模、网络出口带宽为标准,大型用户信息点在5000-50000个,数据流量在500M到5G,例如大型集团企业、政府机关、较大规模的高等院校以及电信级用户,对于网络安全及Internet上网行为管理,都有着极大的需求。
现在市场上流行的绝大多数上网行为管理产品,所具备的性能与处理能力,基本上不能够完全满足大型企业用户的需求。主要在于系统性能与海量数据处理能力达不到大型用户的需求。
大型用户网络架构分析
对于大型用户的网络结构来说,追求的是稳定性和高效性,网络架构越复杂,管理起来成本就会越高。对于网络来说只要做到结构清晰,可管理性强,遇到故障可以及时发现并快速修复就可以了。当然,内部网络管理是大型用户最为头痛的问题。因为组织规模庞大,部门、人员以及区域分部,都比较复杂,而要做到统一进行管控,不是普通的上网行为管理设备能够解决的,那么,强大的产品性能与数据处理能力,就是大型企业选择上网行为管理系统的必要条件。
高性能与海量数据处理能力的的上网行为管理产品适合大型企业用户
对于特大型用户而言,上网行为管理产品不但需要满足用户互联网控制管理的功能需求,同时产品的高性能与海量数据处理能力更为关键。目前市场上的各品牌上网行为管理产品,大都能够实现互联网管理的功能。但是,很多用户采购的上网行为管理产品时遇到不单纯是产品功能与解决方案的问题,更多的体现在性能上达不到需求。主要表现在:部署之后,只能开启简单的功能模块,大部分模块开启之后,系统就死掉了,而且运行一段时间之后表现网络延迟明显,报表数据无法查询;甚至还有一些系统根本就部署不上。据笔者了解,业内一家专业的内容和应用安全设备提供商——莱克斯科技(北京)有限公司(以下简称“莱克斯科技”),其Netoray NSG系列上网行为管理产品单台设备最高能处理高达4G的流量,通过组合部署完全能够满足大型用户的需求。该公司推出的上网行为管理,网络行为分析与流量优化网关等产品,均具备自主知识产权的高性能和海量数据处理能力,主要满足大型用户的需求。下面,就用户的应用需求为方向,向您介绍其技术原理、实现方式及测试数据,帮助广大用户能够有最为真实的体验。
高性能与高处理能力实现技术原理( 多模并行处理架构)
莱克斯科技的几条产品线都是基于其自主研发的模块化结构的高速数据通讯平台(USAP)之上的。各功能模块,如行为管理,内容审计,流量优化等都是“种植”在USAP平台之上,通过系统策略调度来满足用户的不同需求。 USAP平台采用功能模块并行处理的专家会诊系统(ECS)专利技术。在数据包(流)分析处理过程中,传统的串行处理需要逐步处理所功能模块,而ECS专家会诊系统成功地将串行处理模式优化到并行处理模式,大大地提升了处理时间,进而提高了上网行为管理设备的性能与处理能力。
图一:传统数据处理方法与多模并行处理架构的对比
图一描述了多模并行处理架构的工作情况。当前网关类安全产品所有安全功能模块在一台主机上串行处理, 则总耗时为T=(T1+T2+T3+…Tm…+Tn),其中n为安全功能模块数。USAP由于采用了对多个安全处理单元一次并行处理方法,可以使得数据包分析处理时间大幅度缩减,假如n个安全功能中最耗时的一项功能共计耗时Tm,则USAP处理一个包的时间为理论上的值T=Tm,其中 Tm=Max {T1, t2, Tm,… Tn}。 由此看出USAP的数据包处理速度比当前各类产品均有大幅度提高,而且具有安全功能越多优越性越好的特性,这项技术的应用成为莱克斯科技系列产品的一大性能突破。
第二页
并行数据包(流)数据数据分析与处理的技术实现
在莱克斯科技的系列产品中,Netoray NSG上网行为管理系统,ClearNet NA网络行为分析系统、Netoray TOG流量管理系统,均基于其高速通讯平台(USAP)。
高速通讯平台(USAP)
高速通讯平台(USAP):基于自主知识产权LyxOS的模块化通用安全应用平台。可以根据用户的实际需求制定相应系统策略来配置系统,达到对用户实际需求的无缝契合。
图二:USAP平台示意图
高效的零拷贝技术
改善数据分析过程,减少数据复制过程,降低CPU负载,提高系统效率。
减少数据拷贝过程中因资源占用而导致的数据丢包现象。
图三:零拷贝技术和传统技术比较
多接口独立工作:
设备可同时设置多个监控口,各监控口独立工作互不影响,同时监控多台核心交换机的数据。支持“多入多出”例图如下:
图四:Netoray NSG多接口独立工作网络架构图
大型用户应用推荐
由于该级别用户对于网络应用需求明确,并且网络架构相对复杂的网络环境,推荐使用数据处理能力与性能比较强大的莱克斯科技上网行为管理设备中的旗舰级产品NSG-5000、NSG-1000、NSG-20000和NSG-5000,无论在产品性能还是产品稳定性上,均获得过业界及用户的好评。
第三页
专业产品测试对比分析
中端型号产品测试结果:
主板:Intel 945
CPU:Pentium(D)3.4G
内存:1G
存储空间:250G
网络接口:GE×4
1、artBits(SMB6000B,固件版本v5.1)测试结果:
数据包长度(Byte) |
吞吐量(Mbps) |
延时 |
64 |
140 |
68.8 |
128 |
260 |
20.1 |
256 |
450 |
21.2 |
512 |
780 |
179.7 |
1024 |
890 |
136 |
1280 |
930 |
149.8 |
1512 |
940 |
120.2 |
2、alanche(Avalanche2700)测试应用性能结果:
使用Avalanche同时模拟HTTP、FTP、SMTP等应用对运行于该硬件平台产品的性能进行测试,测试结果如下:
模式 |
最大新建连接数 |
最大并发连接数 |
路由模式无策略 |
2.4万 |
100万 |
路由模式有策略 |
2.4万 |
100万 |
网桥模式无策略 |
2.7万 |
100万 |
网桥模式有策略 |
2.7万 |
100万 |
高端型号产品测试结果:
主板:Intel 5000P
CPU:Xeon E5410 ×2
内存:8G
存储空间:500G
网络接口:GE×4(或6),千兆光口(SFP)×4
1、artBits(SMB6000B,固件版本v5.1)测试结果:
(由于该配置产品通常会多链路部署,所以这里也进行了多链路的测试)
SFP(千兆光口)测试:
|
64 |
128 |
256 |
512 |
1024 |
1280 |
1518 |
Eth7ð8 |
567.57 |
1000 |
1000 |
1000 |
1000 |
1000 |
1000 |
四口双向 |
531.65 |
948.72 |
1000 |
1000 |
1000 |
1000 |
1000 |
RJ-45(千兆电口)测试:
|
64 |
128 |
256 |
512 |
1024 |
1280 |
1518 |
Eth2ð3 |
567.57 |
1000 |
1000 |
1000 |
1000 |
1000 |
1000 |
四口双向 |
531.65 |
936.71 |
1000 |
1000 |
1000 |
1000 |
1000 |
RJ45与SFP混合测试:
|
64 |
128 |
256 |
512 |
1024 |
1280 |
1518 |
八口双向 |
252.25 |
445.78 |
821.43 |
1000 |
1000 |
1000 |
1000 |
通过以上测试结果可以看出,在四条链路的情况下,对于512字节长度的数据包,系统能够达到4Gbps的吞吐量。
2、alanche(Avalanche2700)测试应用性能结果:
使用Avalanche同时模拟HTTP、FTP、SMTP等应用对运行于该硬件平台产品的性能进行测试,测试结果如下:
模式 |
最大新建连接数 |
最大并发连接数 |
路由模式无策略 |
6.4万 |
400万以上 |
路由模式有策略 |
6.4万 |
400万以上 |
网桥模式无策略 |
7.7万 |
400万以上 |
网桥模式有策略 |
7.7万 |
400万以上 |
莱克斯科技上网行为管理产品独家研发的高性能与高处理能力技术,从技术层面上,实现了大型与超大用户内部网络管控过程所遇到技术难点的解决,也更实现了大型用户选择上网行为管理产品时所无法放心的困境,完全满足高端客户的互联网管理的需求。
根据以上介绍、测试对比及分析等过程,在真实网络应用环境下,莱克斯科技上网行为管理产品所具备的独家技术与产品性能,不但能够保证用户网络高速且平稳,更能够做到网络管理井然有序,真正帮助用户实现了网络内外安全的目的!
网友评论