扫一扫
关注微信公众号

LinkTrustX100主动防御系统产品测试
2005-09-15   

LinkTrust Border Protector X100是一款集防火墙、防病毒、VPN、内容过滤、反垃圾邮件、流量整形、IDS等技术于一身的主动防御系统,可满足中小企业多方位的网络安全应用需求。

产品设计

LinkTrust Border Protector X-100采用X86架构,其系统总线采用高速多系统总线结构,为每个网络接口分配一个独立的系统总线,从而避免了一般X86架构在数据流量非常大的时候网络接口争夺总线的情况。另外对于病毒检测、内容过滤等资源消耗较多的任务则采用协处理器的方式来分担主处理器的工作,保证了高速的数据处理能力。接口设计上,LinkTrust Border Protector X-100具备六个百兆RJ45网络接口,可为用户提供更为灵活的网络连接。

功能设计

如今,网络威胁来自不同方面,单独依赖防火墙进行数据包过滤已不能完全阻止恶意攻击,LinkTrust Border Protector X100融合了高效防病毒处理引擎和防拒绝服务机制,它不仅可以基于IP、端口、协议、时间等实现访问控制,更可以对应用层面的内容实现检测处理,可有效防止被保护区域受到攻击,同时也免除了病毒对网络用户造成的困扰。另外,LinkTrust Border Protector X100还具有VPN、认证、审计等功能,为企业级用户提供了全方位的网络安全防护。

LinkTrust Border Protector X100主动防御系统采用了基于状态检测的包过滤技术,可以实现快速的基于源/目的IP地址、协议、用户和时间的细粒度访问控制。由于状态检测机制的运用,当接收到数据包时首先会与连接状态表进行比对,如符合则可以快速通过,这样避免了对每个包进行规则检查,提升了系统性能。

LinkTrust Border Protector从体系结构上抛弃了传统防火墙的内外概念,将通常防火墙基于接口的访问控制上升到基于安全域的访问控制。各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。LinkTrust Border Protector可根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络间的相互访问。

在管理方面,LinkTrust Border Protector X100采取了权限分级,提供安全管理员、审计管理员、系统管理员和guest等四种角色,不同的身份会有相应的权限,管理职责更明晰。在管理方式上,这款产品提供了基于SSH、Telnet和Console的命令行管理方式以及基于SSL的Web管理方式和基于SNMP V2的网管平台。该产品也提供认证机制来保证系统让非法用户无法登录。

LinkTrust Border Protector X100主动防御系统提供配置日志、事件日志和流量日志等三种日志,有利于用户进行日志分析,支持根据用户的需求将日志发送到共享内存、控制台、终端和远程主机等多种方式的能力。流量日志还符合NetIQ WebTrends标准格式,以便可以通过NetIQ WebTrends来进行流量的日志分析。

产品测试

在吞吐量测试中,当加载单条规则,并采用100对双向数据流,包长为64字节时,透明和路由两种模式下LinkTrust Border Protector X100的吞吐量均超过了30%,而且当包长超过256字节时,其吞吐能力均接近线速。当采用NAT模式进行单向数据传输时,64字节包长的吞吐量为70.61%。

在更为接近实际应用状况的加载100条规则的吞吐量测试中,LinkTrust Border Protector X100在路由和透明模式下的测试成绩相近,64字节包长时的吞吐量可达到17%以上,当数据包长为512字节以上时,它的吞吐能力就已非常接近线速。

从吞吐延迟来的测试数据来看,在数据流量为20%、40%和60%时,其延迟都非常小,以1518字节包长、数据流量是20%为例,在路由模式下加载单条规则时,LinkTrust Border Protector X100的双向延迟只有157.51微秒,而且在吞吐量加大时,这一延迟并未有明显的增大。

小结

从整个测试情况来看,LinkTrust Border Protector X100主动防御系统不但在功能上可以满足企业用户策略控制、VPN、抗攻击、防病毒等主要网络安全措施,同时在性能上可以保证中小企业的正常应用需要,同时它的多防护功能设计也更便于实施和管理,这种设计也体现了安全产品今后的一种发展方向。


热词搜索:

上一篇:什么是Linux防火墙
下一篇:再谈防火墙及防火墙的渗透(1)

分享到: 收藏