【IT168 专稿】SA-2010是Hillstone新近推出的企业级千兆安全网关产品,集防火墙、VPN、QoS和攻击防护等功能于一身。它提供了6个千兆电口,2个千兆光电互斥接口,部署起来具有很好的灵活性。先进的多核平台在提高性能的同时降低了整体功耗。我们测试了该产品在空载和满载时的功耗,分别仅为28W和30W,相比其它架构的同级产品低了几倍。
相比传统意义上的防火墙,SA-2010具有比较强的3-7层流量管理能力,可以满足愈发强烈的行为控制需求。对应用层协议的控制能力是SA-2010的亮点之一。借助特征及行为引擎,该产品目前可以对BT、eMule等9种P2P应用与MSN、QQ等11种IM应用进行识别与控制,还可以通过升级支持更多的新应用。配合强大的QoS特性,用户可以制定灵活的控制策略,以应对复杂多变的实际情况。针对IP的并发连接数、新建连接数及带宽限制也是很实用的功能,可以很有效地限制病毒或未能识别的P2P应用给网络带来的危害。根据以往的测试经验,应用层级别的检测与控制非常消耗CPU资源,会给产品性能带来很大影响。而在SA-2010上进行的对比测试表明,加载屏蔽BT、eMule、MSN、QQ的策略后,该产品最大新建连接数只下降了约1/5,非常令人满意。
大多数防火墙在超载的情况下,CPU满负荷运作,根本无暇顾及新的连接请求。连Ping管理IP都没有回应,更不要说通过应用层协议访问WebUI或CLI控制台。如果遭到DDoS或蠕虫病毒攻击,管理员必须使用Console才能控制设备,局限性很大。SA-2010在超载情况下表现出的特性与众不同,它会有一个周期性的连接抑制处理,我们理解为一种自我保护机制。测试用例使用了一个超过SA-2010最大新建连接能力1/3左右的流量,从实时统计图中可以看出,连接请求被SA-2010主动抑制,形成一些错误;CPU此时得以用更多的资源去处理先前维持的连接请求,导致成功建立连接数小幅上扬。这个过程的具体实现机制未知,但从应用角度看很有意义——连接被抑制后的大部分时间里,SA-2010可以通过Telnet、SSH等非WebUI方式进行管理。我们还注意到,控制台进程被绑定在CPU的一个核中,只有在其它核满负载运行时,系统才会使用这个核的资源来处理任务。当然,这种情况大多出现在网络流量异常的时候,所以控制台会在CPU占用率超过80%时报警,及时提醒用户注意。
多核平台提供了一个非常好的机会,但并不是每一个关注者都能轻易把握。大厂商通常注重产品线的稳定,在能够满足需求的情况下,不会轻易迁移成熟产品的硬件平台;研发能力是小厂商的主要瓶颈,就算针对多核平台投入大量资源,产品的开发周期和市场接受度也要打个问号。所以,目前市场上采用多核平台的产品,大多是一线厂商各产品线的高端产品。Hillstone凭借深厚的技术背景,成功开发了一系列基于多核平台的安全产品,很好地发挥了架构延展性方面的优势。如何在软件方面有所改进,将多核平台的潜力最大限度地发挥出来,我们拭目以待。
