下面，我们就四款产品的每项测试指标进行一下分析：

UDP吞吐量

在测试中，我们采用一对万兆光纤接口打单向流量，所以对于吞吐量来说，可达到10Gbps。在遵循RFC2544的纯UDP网络层吞吐量测试中，各家产品表现各有千秋。

图2：UDP吞吐性能测试结果

由上图可以看出，FortiGate 3240C在三种长度数据包长的吞吐量测试中都达到了接近10Gbps线速的水平。其次则是网康NF-S380C，虽然在64字节小包的测试中只有2.5Gbps，但是在512和1518字节吞吐的测试中都达到了线速水平。华为USG6650虽然在这两种包长的测试中没有达到线速，但是也拥有9Gbps以上的吞吐能力，而且在64字节小包的吞吐量也是网康产品的近两倍。WatchGuard XTM 1520的UDP吞吐量随着数据包大小的增加呈现明显的上升趋势，而且在数据包达到1518字节的时候这款产品也成功达到了线速。

 

时延

从表3性能测试数据表可以看到，FortiGate 3240C表现较为优异，不论是哪种包长，时延都没有超过10us，而且在64字节包长的时延只有不到4us，这样的数据包转发性能完全胜任任何对时延要求严苛的应用场景。其次便是华为USG6650，三种包长的转发时延递增情况与FortiGate 3240C很相似，数据包大小对于转发的时延影响不明显，只以3us递增。网康NF-S380C与WatchGuard XTM 1520虽然同为X86架构的防火墙，但是在转发时延的测试中表现却大不相同。XTM 1520在64字节小包转发时延很大，达到了44.18us，512字节与1518字节数据包的转发时延分别为10.65us和14.38us，在这两种包长的转发时延表现也好于华为USG6650。而网康NF-S380C在64字节转发延迟只有6.4us，512字节转发延迟则有17us，1518字节的转发延迟更是飙升到了147us。

新建和并发连接

对于下一代防火墙来说，应用识别功能是默认开启的，因此在测试新建和并发连接的时候我们选择了两种模式，一种是防火墙+应用识别的基础模式，另一种是在此基础上开启IPS识别的高级模式。也许还有很多厂家的产品，包括被测设备在内，都还有很多其他的功能，但是我们只对Gartner对于NGFW产品定义的基础功能进行低限度的性能测试。

图3：每秒新建测试结果与产品标称数值比较

图4：并发连接数测试结果与产品标称数值比较

由于产品定位和厂商自定义功能的区别，很难找到吞吐、新建、并发等性能参数完全相同的产品，因此直接对比各款不同厂家设备间的“差距”也略显唐突。因此我们选择了“自己比自己”的比较方法，即用实测的数据与各产品参数表标称的数值进行对比，观察衰减情况。

有上两图可以看出，4款产品中有3款产品的并发数定在了1000万，但是每秒新建数量差距很大，为什么即使同样都是万兆产品在新建和并发上有这样的区别呢?我们认为产品定位是一方面，产品的硬件架构也在其中起到了一定的作用。让我们来看一看4款被测设备各自的硬件架构：Fortinet采用X86做主控芯片，同时负责会话新建和并发，再用ASIC做内容过滤，NP做网络层转发的架构;WatchGuard与网康都是采用基于X86的英特尔CPU，负责全部功能的实现;华为则采用了MIPS多核架构实现全部功能。MIPS和英特尔CPU都是在新建和并发能力方面有卓越表现的处理器，而MIPS又强于英特尔CPU。

对于采用英特尔CPU负责会话新建和并发的3款产品，各自的数值也大相径庭的原因，是由于CPU型号的不同导致的。XTM 1520在产品定位上低于NF-S380C，因此要实现更强大的功能和性能，NF-S380C使用的英特尔CPU比XTM 1520更好也不足为奇。另一方面，FortiGate 3240C由于是采用混合架构，应该在CPU选择上会平衡产品成本与售价，因此可能不会用前两款产品那样高性能的CPU。

如上图所示，紫色为各家送测设备标称的每秒新建连接数和并发连接，红色是基于应用识别和防火墙功能的实测数值，黄色则为再开启IPS功能之后的数值。从整体测试结果可以看出，当深度文件识别类功能开启后(如IPS等)会对应用层新建连接速率处理性能造成较大影响，而各被测设备的并发连接数均能达到或接近厂商标称的数值。因此，深度识别与架构的不同带来了各家厂商在会话新建和并发测试中衰减的不同。虽然各有衰减，但是按照我们的经验看来，还是足以满足使用需求的。

“实际场景”吞吐量

图5：模拟“实际场景”吞吐量测试结果

截至目前，国内尚未有NGFW产品的测试标准，据我们的交流经验了解到，对于NGFW吞吐量的测试普遍采用RFC2544的UDP网络层吞吐量，配合开启应用识别、IPS等功能之后，对特定大小HTTP页面(比如32KB，64KB等等)分别进行测试。但是在实际应用环境中，充斥着各种大小的数据包，以及各种不同的协议。因此使用上述方法对下一代防火墙进行应用层吞吐量测试并不能达到我们测试尽可能模拟实际场景的目标。

因此，我们选择了IXIA Breaking Point 测试仪来模拟“实际场景”的流量模型，对被测设备进行应用层吞吐量测试。这款测试仪自带很多场景模型，这些流量模型都是通过对实际场景流量研究分析抽象出的模板。我们选择了NGFW现阶段有可能部署到的3个场景，即高校、企业、企业数据中心。其中高校场景中主要包括P2P下载、HTTP、DNS、FTP、和即时通讯类协议;企业环境则主要包括FTP、DNS、SMTP、即时通讯、SSH类协议;企业数据中心场景主要包括一些企业办公相关的数据库应用协议，比如Oracle、MySQL等，以及虚拟化类应用协议比如Citrix，以及SMTP、FTP、NetBIOS等等。

综合来看，华为USG6650表现较为卓绝，三个场景中的吞吐量相差无几，而且均达到了单向6Gbps以上的吞吐量，性能衰减只有不到40%。另外WatchGuard XTM1520虽然吞吐性能衰减比USG6650稍多，但是在面对三个不同场景的时候性能并未受到影响。由于硬件架构和流量模型的原因，FortiGate 3240C在企业场景中表现优异，达到了8Gbps的处理能力，其他两个场景也达到了5Gbps左右。网康NF-S380C虽然面对高校场景略显乏力，只有4Gbps多的处理能力，但是企业和企业数据中心场景的应用层处理能力均超过了6Gbps，表现抢眼。

虽然各款产品设计架构有所区别，在开启应用识别功能后性能出现不同程度的衰减，但是都能满足日常应用环境的需要。对于一般500人以内的企业来说，出口带宽一般在50Mbps左右，上百兆的很少。而千人规模的企业和一些高校可能会有千兆出口的需求。因此，以测试出的性能衰减程度来看，是能够满足用户正常需求而又不用出现采购万兆安全网关来满足自己千兆网络的安全需求。

结束语

至此，本次《网络世界》评测实验室所做的下一代防火墙横向测试结束，感谢被测设备提供厂商与IXIA对被测NGFW产品与测试仪表的大力支持。

通过我们的测试可以看出，被测下一代防火墙产品在基础防火墙功能、应用识别、入侵防护、稳定性方面均表现优异，性能方面也基本衰减不超过50%，基本做到了让用户无需妥协网络安全保护与性能的需求。

多功能模块间的关联分析，深度威胁信息钻取，可以通过IP、用户等相关网络信息对威胁发起目地地址进行统计并列表分析，让用户不再被动防御，帮助用户主动出击，使我们的网络更安全，使我们的应用有保障。

 

查看原文：http://security.cnw.com.cn/security-next-firewall/htm2013/20131212_287634.shtml

 

分页：

[1]

[2]

[3]

[4]