分析使用需求 3款防火墙的评测报告

    选择正确的防火墙产品需要权衡很多不同的因素。很自然，人们总是希望买到的这个小盒子非常容易安装并配置；可以实现反病毒、反垃圾邮件等外围的安全功能；最后，还要有合适的价格。但是，即便是你真的遇到这么多需求，也不要希望你的防火墙能真的做得很好。除非它真能在提供最高网络性能的同时，还能抵御外部攻击。

网管bitscn_com

    我们最近组织了一些中等规模的防火墙产品（中等规模是指支持10万～20万并发连接，支持1千到2千个VPN隧道连接）在思博伦位于加利福尼亚的通信实验室进行一次性能测试。测试中使用了思博伦专门测试性能和安全性的测试设备，参测的设备有ServGate的EdgeForce Accel、SonicWall的Pro 3060以及Stonesoft的StoneGate SG-500. 网管有家www.bitscn.net

    我们使用了思博伦公司的 Avalanche 5.2 和 Reflector 5.2测试工具套件，运行在Avalanche 2500 和 Reflector 2500硬件设备上，来测试每台防火墙的性能指标，包括在一定压力流量下的性能指标。我们同样也模拟了在DDoS攻击的背景下设备的工作能力，攻击类型包括Syn、Smurf、Reset和ARP Flood攻击，以此希望评估出设备在抵御攻击时能否成功地转发合法的数据。

    对于VPN性能的测试，我们使用了思博伦的SmartBits 6000流量发生器，并配有最新版本的TeraVPN 4.0测试套件来测试端到端（服务器到服务器之间的连接）VPN隧道的最大吞吐量。

网管联盟bitsCN_com

    在测试的最后，我们发现所有这三套设备的性能都因为模拟的攻击而受到影响。我想这并不奇怪。反过来想，这可能是企业级防火墙产品的一个基本情况。但是我们发现防火墙和VPN测试结果有着显著的不同，ServGate和SonicWall的产品都处于领先的位置。 网管联盟bitsCN@com

    ServGate EdgeForce Accel：结构模块化 认证最齐备 网管论坛bbs_bitsCN_com

    ServGate的 EdgeForce产品线没有采用被过于推崇的ASIC架构方案，而是采用了更具灵活性的模块化体系结构。可选的模块可以使您的Accel防火墙获得从250Mbps到1Gbps的不同吞吐量，也能配置不同的功能模块，比如说Web加速、本地认证、防病毒或者反垃圾邮件等都是重要的功能模块。 中国网管联盟bitsCN.com

    EdgeForce Accel是一个1U的机架安装产品，采用了一种经过定制的Linux操作系统，运行在一台奔腾III 866MHz上，并且系统采用了Broadcom的安全芯片来进行密钥计算。这是参测设备中惟一的一款国际计算机安全协会认证过的产品，支持千兆网络接口。该设备采用了图形用户界面的标准管理系统，其防火墙规则设置或者e-mail报警设置都非常简单。Accel支持多种VPN标准和协议，您可以根据需要设置所需的QoS.对于管理多个分支机构中的防火墙也会非常简单，ServGate会很快发布一款集中管理控制台软件。 网管联盟bitsCN_com

    在防火墙性能测试中，Accel实现了12.8万个并发连接，当达到13.1万并发连接时会出现连接丢失。当我们测试每秒最高并发连接时我们遇到了问题，因为我们默认设备会自动中断原先的连接。而Accel会在每一个TCP连接关闭后仍然将连接端口保持120秒钟，不能为测试最大每秒新建连接数及时释放足够的系统资源。

    在这样的设置下，Accel在入侵检测功能打开、NAT打开的情况下，测得了每秒1100个并发连接能力。ServGate的有关人员介绍说，如果将TCP连接的丢弃时间减少到60秒，并且关闭入侵检测和NAT的话，防火墙的性能可以提升至每秒3490个新建连接数。

    虽然ServGate声明他们的Accel在相应模块的支持下，可以达到2000个VPN隧道的处理能力，但是由于时间的局限，我们并没有测试到这个数值。所有的厂商都没能提供快速设置大量VPN隧道的方法，但是在测试结束前我们设置并验证了ServGate设备支持1000个隧道的能力。 网管u家bitscn.net

    尽管Accel支持千兆位的网络接口，我们测试端到端单一隧道吞吐量时，还是使用了100Mbps的网卡。最后我们得到了双向198Mbps的吞吐量成绩。

网管bitscn_com

网管联盟bitsCN_com