前言:
随着网络安全技术的高速发展,网络管理员今天的问题不再是“我们需不需要防火墙?”,而是“我们需要什么样的防火墙?”。当然,这个开放性问题的选择是非常多的,因为每个产品都有其特点和优势,也伴随着各式各样的营销口号放大自己的特点。在这样的宣传暗示下选择和比较不同的产品对于用户来说是比较困难的。如何比较多个产品,选择适合自己地产品?多数情况下,产品的知名度、口碑是一个不错的判断。知名度很大成分上是基于广告宣传的力度,专业的用户可能会更加重视技术层面上的比较。市面上很多防火墙产品的架构比较类似,采取开放平台,也允许我们做比较公正的比较。
LanGate产品是结合了高效嵌入技术及安全平台的UTM类防火墙产品,在新一代的UTM市场(甚至有人说UTM将是防火墙的替代产品)有着优秀表现。本次对比测试的另外两个产品是:思科Cisco PIX 515E 以及 Nokia IP330(软件系统为Checkpoint 4.1 SP5)。Cisco和Nokia/Checkpoint的产品无论在业界还是在用户群里口碑都很高(当然,价格在同类产品中的也不低),这样的比较是我们期待的。
 |
测试参数 Testing Parameters
我们的测试计划包括三个项目:首先,测试吞吐量(Throughput Under Loads);其次,测试并发连接应答(Concurrent Connectivity Response);最后,测试正常操作下的应答(Response Under Normal Operations)。其中最后一个测试是将待测设备放在一个正规的公司工作网络中进行24小时不间断工作测试。这样的测试程序我们验证过很多次,能最真实的表现出产品的优劣。我们相信这样的测试能很好地衡量一个产品的性能。
Cisco PIX515E
Cisco PIX515E (即增强版)是思科公司针对中小企业网络的主打网络安全产品。硬件方面使用Intel Celeron 433 MHz 处理器,16MB Flash以及32MB RAM。公众对Cisco PIX515E的评价是响应快捷,对大多数商业系统的保护到位。本次测试的Cisco PIX515E 型号自带3个以太网接口以及50用户VPN许可证(本次测试我们没有安排VPN测试项目)。
Nokia IP330
Nokia IP330 是Cisco PIX515E的强劲对手。Nokia IP330的软件建立在一个加固的BSD UNIX平台上,使用Checkpoint的FW-1防火墙软件,提供了状态包过滤以及VPN连接。硬件平台使用Intel Pentium II 450 MHz 处理器以及3个高速以太网接口。虽然提供了VPN功能,但是用户需要购买许可证来激活此项功能。
LanGate 80
LanGate 80使用的硬件平台与Cisco基本相同,使用4个高速以太网接,可提供2个外线接入,在双线路接入和带宽管理方面有独到的特点(遗憾的是,为公平起见,本次测试没有对这项功能进行对比)。LanGate 80提供50条VPN隧道,不需要额外收费。
在测试中,我们为每个待测产品都设置了同样的安全策略。为了使测试更具公平性,我们未开启Cisco PIX515E 与 LanGate 80的VPN功能。因为Nokia IP330在未购买VPN许可证前VPN功能默认不开启。
测试结果
第一个测试项目是吞吐量 (Throughput Under Loads)。我们在服务器与PC机群之间架设了测试产品,在一个小时内持续发动4096比特(即512字节)的TCP包进行测试。完成了一轮待测产品的测试后,我们接着反复进行了5轮测试并统计出每个产品的平均吞吐量。我们发现,Cisco PIX515E 与LanGate 80 的吞吐量很稳定,Nokia IP330的吞吐量显然不那么稳定。
在第一至第三轮的测试中,Nokia IP330吞吐量在4,810,000bit/sec至5,000,000bit/sec范围内;然而在后两轮测试中,吞吐量下降至4,000,000bit/sec。Cisco PIX515E 与 LanGate 80的表现在五轮测试中很稳定。Cisco PIX515E五轮测试中均稳定在5,000,000bit/sec上,几乎没有变化,非常稳定。LanGate 80 虽然比Cisco PIX515E 及 Nokia IP330的平均吞吐量都低,但是稳定性很高,基本稳定在4,000,000bit/sec。LanGate 80针对SMB市场,这样的吞吐量对于绝大多数中小型网络显然是足够了。
 |
第二项测试是比较待测产品在大负载下的工作能力,也就是在并发连接时的性能表现。
我们测试两组数据,1,000个并发连接以及5,000个并发连接。在每组测试里,我们衡量五个参数,并发连接处理量(Transactions Processed)、未成功连接数(Unsuccessful Transactions)、平均成功连接数(Average Number of Connections)、最大成功连接数(Maximum Number of Connections)以及连接建立后传输过程的TCP错误。测试结果如表格2和表格3所示。
 |
 |
对于5,000并发连接数测试,Cisco PIX515E 和LanGate 80测试中上都没有不成功的连接;Nokia IP330 在测试过程中出现一次宕机并需要重启。重启后Nokia在接近5,000并发连接数时表现不佳,约有1%的连接不成功。连续测试多次,情况相同。
我们最后测试的项目是将待测设备放在一个正规的小型公司工作网络中进行24小时不间断工作测试。在这个测试中,我们将“公司正规网络”的24小时划分为三个阶段。第一个阶段,低效运转时间,通常是夜晚0点到早晨7点。第二个阶段,从低效运转逐渐到中效运转然后突然变成高效运转接着下降到一个稳定的中效运转,这个阶段通常是早上7点到下午6点。
最后一个阶段,从中效率运转逐渐下降到低效运转,这个阶段通常是晚上时间。不同于以上两项测试是对单个性能、单个参数的测试,这个测试对于很多用户来说也许是最直观的。多数的用户对参数是一知半解,也许在真实环境下才能判断产品是否实用。
如表4所示,三台设备表现都很好。一个有趣的数据是LanGate 80。在第一项吞吐量测试中,LanGate 80的平均吞吐量是三个产品中最低的,然而LanGate 80在突然高效运转时的表现是最好的。我们在模拟高效运转时采取多IP多协议不同长度数据包的并发处理,完全模拟真实商业网络环境,而不是象第二项测试时采取统一长度数据包。在突然高效运转时,Cisco PIX515E的表 现不如LG 80及Nokia IP330。但在低效运转时(少数IP多连接),PIX515E的表现如第一项吞吐量测试一样,重回榜首。
 |
总结:
在测试中,每个产品都表现出了各自性能指标上的优劣, 也真实地反映了实际工作网络环境中的表现。总体而言, 三个项目的测试反映出三个产品性能上相差无几,表现都很优秀,非常适合中小型网络。
现在让我们重新回到前文的问题:“我们需要什么样的防火墙?” 单纯从吞吐量指标分析,排名座次为Cisco、Nokia、LanGate;1,000个并发连接时,Nokia处理能力最好,其次是Cisco、LanGate;到了5,000个并发连接数时,Cisco和LanGate都能一个不漏地处理,但是连接成功后平均TCP传输出错率最低的是LanGate,其次是Cisco、Nokia。实际环境测试中,LanGate在高效运转时处理能力最好,其次是Cisco、Nokia。
