保护百万并发用户安全是否真的可行?

互联网 | 编辑: 何毅 2012-02-01 05:23:00转载

大型网络安全供应商Crossbeam Systems演示了一个真实的网络安全测试,它的硬件能够轻松运行防火墙和入侵防御检测,以及网络地址转换(NAT),相当于一百多万移动设备用户并发访问。

大型网络安全供应商Crossbeam Systems演示了一个真实的网络安全测试,它的硬件能够轻松运行防火墙和入侵防御检测,以及网络地址转换(NAT),相当于一百多万移动设备用户并发访问。

网络安全测试由供应商Spirent Communications和独立测试公司共同执行,并于1月17日正式公布结果。EANTC使用一组Spirent Avalanche设备,模拟一百万并发移动设备用户的流量,包括发起HTTP会话、收发电子邮件和下载无线智能手机操作系统更新。工程师通过一条10GB线路将流量传输到Crossbeam的最高端产品——一个全部部署了处理器刀片X80-S机架,且刀片运行的是Check Point Software的R75安全软件。在网络安全测试过程中,从未出现服务中断或用户体验不佳的情况。

Crossbeam机架

Crossbeam X-Series机架平台运行的是第三方网络安全软件,如McAfee和Check Point Software的防火墙软件,这些都是运营商级设备(公司宣布世界前20家运营商中有16家都是它的客户),主要集中于企业市场(公司公布了一些企业客户,如Volkswagon)。

Crossbeam机架的特点是采用一种可扩展和可升级的架构,性能从5Gbps到最高端X80-S机架的140Gbps不等。每一种机架都具有两种模块:网络处理器模块(NPM)负责流量流管理和负载均衡;多核应用程序处理器模块(APM)负责执行应用程序的安全性处理。如果要增加或减少机架容量,客户可以热切换NPM和APM。(注意,如图片所示的X80-S,在测试中安装了4个APM刀片。照片是透过隔音玻璃拍摄的,所有一些反光。)

Crossbeam网络安全测试

这个特殊测试的规模是巨大的——Spirent设备进行堆叠,模拟流量必须在10分钟内启动,然后在接下来的20分钟达到百万用户的并发量。

网络安全测试证明,X80-S能够在启用状态防火墙、IPS和NAT时达到106Gbps性能。它支持一百万并发用户,四百万活跃TCP连接和每秒242,000个新建连接。Spirent的软件测得Crossbeam处理流量的延迟仅仅为10毫秒。在测试进行过程中,模拟的总连接数超过了21亿用户,实验室人员惊呼道:“我们模拟出了一个中国。”

Spirent 首席技术销售工程师Chris Chapman说:“我测试过许多的设备,而这次测试的结果相当于一般服务提供商防火墙性能的5倍以上。”

随着网络安全测试达到每秒600,000个事务,Chapman补充道:“防火墙的每秒查询量是巨大的,但是它仍然保持良好的用户体验。设备的表现真是太超乎想象了!”

Crossbeam X-Series机架的显著特点是APM刀片的热切换功能。在测试到达峰值时,Crossbeam的产品销售主管Peter Doggart感到异常兴奋,他直接跑进机房,拔掉其中一些APM刀片,然后想看看会发生什么状况。

Spirent设备模拟的流量已经开始下降,但是X80-S的总性能仅仅显示为处理能力下降。NPM刀片仍然能够正常执行负载均衡,所以延迟一直保持在400毫秒以下,即使12个APM刀片已经有半数被拔掉。

Doggart说,Crossbeam希望证明其X系列产品,因为IT部门一般不相信供应商所提供的数字,而且他们自身也没有任何验证方法。Crossbeam对企业进行了一些调查,了解他们在将设备部署到生产环境之前对网络安全设备进行评估的方式。有半数受访者从未测试过他们的设备。他们甚至不会做概念验证。而2/3必须购买额外设备,才能满足他们的性能目标。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑