你知道嗎?目前世界上90%以上的數據都是最近幾年才產(chǎn)生的,而互聯(lián)網(wǎng)上的數據則正在以每年50%的速度高速增長(cháng)著(zhù),即每?jì)赡昃蛯⒎环T?“大數據”時(shí)代,數據具備量大、流速高、種類(lèi)繁多、非結構化強等一系列特點(diǎn),這也使得承載“大數據”的數據中心面臨著(zhù)前所未有的挑戰--除了要提升處理、分析海量且多樣的數據的能力外,更要滿(mǎn)足網(wǎng)絡(luò )帶寬爆炸性增長(cháng)的需求,同時(shí)全面保證數據的安全。因此,為了更好地適應“大數據”時(shí)代的變化,數據中心也亟需跨入一個(gè)全新的時(shí)代--T級安全防護時(shí)代,為“大數據”的安全保駕護航。
而提到T級安全防護,就不得不提華為發(fā)布的業(yè)界首款T級高性能數據中心防火墻--USG9500系列。作為一款“跨時(shí)代”的防火墻產(chǎn)品,華為USG9500系列自問(wèn)世以來(lái)就備受業(yè)界的關(guān)注,并在2014年業(yè)界權威第三方安全測評機構美國NSS實(shí)驗室公組織的業(yè)界首個(gè)數據中心防火墻的公測中,成功通過(guò)了基于“數據中心防火墻測試方法學(xué)”的測試,成為了業(yè)界“最快的防火墻”;同時(shí)正式“加冕”為業(yè)界首款經(jīng)過(guò)第三方認證的T級數據中心防火墻。那么這款“業(yè)界最快的防火墻”究竟是如何煉成的呢?現在就為你揭曉答案!
·“NP+多核+分布式”創(chuàng )新架構,使性能達到960Gbps
華為USG9580是華為USG9500系列數據中心防火墻產(chǎn)品的最高型號產(chǎn)品,擁有16個(gè)擴展槽位;支持GE、10GE、40GE、100GE等接口類(lèi)型(支持高密度接口板,單板可支持48個(gè)GE或10個(gè)10GE接口;同時(shí)可支持單口40G/100G板卡);理論吞吐量性能可達960Gbps(即T級水準)。而為了驗證其T級性能,NSS實(shí)驗室在實(shí)測時(shí)為USG9580數據中心防火墻配備了多達100個(gè)10GE接口和6個(gè)下一代高性能安全業(yè)務(wù)模塊。測試結果顯示,在報文大小分別為達到512、1024和1514字節的UDP測試中,華為USG9580防火墻可實(shí)現96個(gè)10GE接口的線(xiàn)速吞吐量,即真正達到了960Gbps的理論性能。
華為USG9580防火墻UDP吞吐量測試結果
而華為USG9580數據中心防火墻能擁有如此出色的性能,正是得益于其采用的革命性的“NP+多核+分布式”架構。相比目前業(yè)界主流防火墻所采用的傳統架構(即采用單顆CPU支撐業(yè)務(wù)轉發(fā)的方式),USG9500系列的‘NP+多核+分布式’創(chuàng )新架構將多顆多核CPU集成在一塊業(yè)務(wù)板卡上,優(yōu)化了業(yè)務(wù)流量在分布式多CPU平臺上的分流哈希算法,并憑借創(chuàng )新的風(fēng)道設計解決了如此高密度處理下的功耗和散熱的問(wèn)題,從而將USG9500系列防火墻的處理性能提升到了T級。
USG9500系列的‘NP+多核+分布式’創(chuàng )新架構不僅使其具備T級吞吐能力,更使其在真實(shí)環(huán)境(即在在處理L4-7層的復雜流量時(shí))應用中的表現,相比“傳統架構”的優(yōu)勢更加明顯。NSS實(shí)驗室針對USG9580防火墻的“Real-World真實(shí)流量組合”測試就很好的印證了這一點(diǎn)!
華為USG9580防火墻Real-World真實(shí)流量組合測試結果
·多種業(yè)務(wù)場(chǎng)景表現穩定出色
該測試利用不同的協(xié)議組合基于被測設備的預定位置(網(wǎng)絡(luò )核心或邊界)來(lái)反映真實(shí)的用戶(hù)使用場(chǎng)景。NSS實(shí)驗室選擇了常見(jiàn)的5種數據中心業(yè)務(wù)場(chǎng)景(金融、虛擬化、移動(dòng)APP、WEB APP、ISP)進(jìn)行了驗證,華為USG9580在這些業(yè)務(wù)模型下均測試出了390Gbps左右的高性能表現。而需要特別說(shuō)明的是,根據NSS實(shí)驗室測試方法學(xué)的規定,TCP測試流量只在單方向發(fā)送,因此測試時(shí)每對端口的吞吐量限制在了10Gbps(96個(gè)萬(wàn)兆端口變?yōu)?8對萬(wàn)兆端口),即最高理論吞吐量應為480Gbps。也就是說(shuō),華為USG9580的實(shí)測表現已經(jīng)非常接近理論性能!
對于華為USG9580數據中心防火墻在測試中的優(yōu)異表現,NSS實(shí)驗室CEO,Vikram Phatak這樣評價(jià)道:“華為USG9580數據中心防火墻是目前我們所測試過(guò)的業(yè)界最快的防火墻。我們相信,安全領(lǐng)域專(zhuān)家和任何會(huì )考慮華為解決方案的客戶(hù)將對我們的測試結果非常感興趣。”
的確,通過(guò)NSS實(shí)驗室的性能實(shí)測,華為USG9580數據中心防火墻的T級吞吐性能得到了完美展示。在全球數據中心流量急速上升的今天(年復合增長(cháng)率達31%),華為USG9580作為數據中心的安全“防護者”,以T級性能應對大數據流量和網(wǎng)絡(luò )帶寬爆炸性的增長(cháng),全面消除了業(yè)務(wù)互聯(lián)互通的瓶頸,成為了T級安全防護時(shí)代的性能標桿!
·安全有效性、穩定與可靠性、可管理性、TCO多項指標同樣出色
除了T級性能的驗證外,NSS實(shí)驗室“數據中心測試方法學(xué)”還考察了華為USG9580防火墻的多方面指標:包括安全有效性、穩定性與可靠性、可管理性以及TCO(總體擁有成本)等等。其中在安全有效性測試中,NSS實(shí)驗室對華為USG9580進(jìn)行了基線(xiàn)配置測試、復雜真實(shí)業(yè)務(wù)下多域配置測試、策略測試、應用協(xié)議和檢測引擎測試等。得益于USG9580全面的安全防護能力(支持NAT及URL溯源、虛擬化、VPN、IPS、Anti-DDoS、應用識別、智能選路、負載均衡等功能),特別是基于數據包協(xié)議分析和特征匹配技術(shù)的應用識別能力,其順利的通過(guò)了全部測試項目。NSS實(shí)驗室的測試結果顯示,指定流量成功通過(guò),其余流量均被拒絕,日志系統記錄了適當的日志表項。也就是說(shuō),USG9580實(shí)現了數據中心的網(wǎng)絡(luò )數據的透明可視化,為應用安全的防護提供了可靠保證!
而在穩定性與可靠性的測試中,華為USG9580能夠100%阻斷之前已經(jīng)阻斷的流量,并發(fā)送針對所有被阻斷流量的告警,順利的通過(guò)了阻斷長(cháng)時(shí)間攻擊、在長(cháng)時(shí)間攻擊情況下正常轉發(fā)合法流量、以及協(xié)議模糊和變異的測試。與此同時(shí),憑借HRP/HA/鏈路捆綁、關(guān)鍵部件冗余等技術(shù)保障,華為USG9580還順利通過(guò)了電源故障測試、冗余測試、以及數據持久性測試。防火墻作為數據中心中的直連設備,華為深知其穩定性和可靠性的重要性,因此在華為USG9580在設計之初即參考了運營(yíng)商級的高標準,而NSS實(shí)驗室的測試結果也很好的驗證了其出眾的穩定性與可靠性。
華為USG9580雖是一款定位高端的T級防火墻,但其在管理與配置方面的表現同樣出色--提供了CLI、WebUI、SNMP等多種手段操作,既可通過(guò)單臺設備自帶的sWEB系統登錄維護,也可通過(guò)華為eSight專(zhuān)業(yè)網(wǎng)管軟件統一維護,從而有效降低后期運維的工作量;與此同時(shí),針對企業(yè)原有安全策略難以維護、簡(jiǎn)化的問(wèn)題,USG9580還通過(guò)命中率分析,冗余分析等實(shí)現了策略精簡(jiǎn),至少可以幫助運維人員減少30%的工作量。基于此,華為USG9580也順利的通過(guò)了NSS實(shí)驗室嚴格的管理與配置測試。
通過(guò)NSS實(shí)驗室基于“數據中心測試方法學(xué)”的全方位測試,華為USG9580數據中心防火墻展現了領(lǐng)先業(yè)界的安全防護能力,同時(shí)也讓全球安全市場(chǎng)(特別是發(fā)達國家和地區的企業(yè))對于華為的品牌和安全產(chǎn)品有一個(gè)新的認知。對此,華為美國CSO, Andy Purdy指出:“我們很高興與全球安全領(lǐng)域分享美國NSS實(shí)驗室的獨立測評結果,我們堅信,像NSS實(shí)驗室這樣的擁有良好聲譽(yù)的權威獨立的第三方測評機構對ICT產(chǎn)品所做的測評具有巨大的價(jià)值。這種獨立測評應該在全球ICT產(chǎn)業(yè)內得到更多的應用,事實(shí)上,也應該成為公認的有效風(fēng)險管理的基石,因為企業(yè)在購買(mǎi)平臺或產(chǎn)品時(shí)需要從業(yè)界獲得相關(guān)建議、建立對該平臺或產(chǎn)品的信心。”
當然,作為數據中心建設的決策者,除了要關(guān)注產(chǎn)品的性能(能力)外,還要考慮到建設的成本,即希望投資價(jià)值回報率最大化。為此,NSS實(shí)驗室還特別計算了華為USG9580的每Mbps總體擁有成本(TCO),計算公式如下:
3年TCO(含三年生命周期內的初期采購成本和后期維護成本)/NSS實(shí)驗室所測吞吐量Mbps = 每Mbps總體擁有成本
通過(guò)計算,華為USG9580提供了極具競爭力的性能與價(jià)格比,每Mbps總體擁有成本僅為1.74美元。試想一下,如果一款價(jià)格相對便宜的產(chǎn)品所提供的性能大大低于比其略微昂貴的產(chǎn)品提供的性能,這種便宜產(chǎn)品的投資價(jià)值回報率一定不高。特別是對于防火墻這種數據中心建設中的關(guān)鍵設備,其核心價(jià)值是實(shí)現低TCO的同時(shí)提供高吞吐量,就像華為USG9580數據中心防火墻一樣。所以說(shuō),華為USG9580不僅僅是T級安全防護時(shí)代引領(lǐng)者,更是全球下一代數據中心建設的理想之選!
