學(xué)會判斷Web安全網(wǎng)關(guān)的性能 |
發(fā)布時間: 2012/6/15 15:07:12 |
Web安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)是Gartner在其2008年的報告中所重點提及的邊界應(yīng)用安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)。其主要功能包括防病毒、URL過濾、Internet應(yīng)用控制和帶寬管理等。下面,我們將對web安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)的相關(guān)性能指標進行一一分析解讀,希望能對廣大消費者選購web安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)提供一個幫助。 一、防病毒處理能力 網(wǎng)關(guān)防病毒主要針對HTTP/HTTPS、FTP、SMTP、POP3等協(xié)議流量進行雙向的過濾掃描,來達到對企業(yè)內(nèi)網(wǎng)用戶和億恩科技服務(wù)器的保護,并防止內(nèi)網(wǎng)已感染病毒的客戶端和億恩科技服務(wù)器對外擴散病毒。隨著Internet,尤其是Http應(yīng)用的日益普及發(fā)展,使得越來越多的企業(yè)應(yīng)用轉(zhuǎn)為了B/S構(gòu)架,借助HTTP協(xié)議的方便和易用提高企業(yè)效率。同時Internet上無窮無盡的各類資源、虛擬社區(qū)、Web游戲等等使得內(nèi)網(wǎng)用戶訪問Internet 的需求在不斷增加,Web應(yīng)用已經(jīng)成為客戶的最主要流量;而安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)作為內(nèi)外網(wǎng)之間的唯一數(shù)據(jù)通道,如果吞吐量太小,就會成為網(wǎng)絡(luò)瓶頸,給整個網(wǎng)絡(luò)的傳輸效率帶來負面影響。因此,考察網(wǎng)關(guān)的HTTP吞吐能力將有助于我們更好的評價其性能,這里需要注意的是網(wǎng)關(guān)防病毒關(guān)鍵性能是HTTP的吞吐量,而不是 UDP的吞吐量,企業(yè)在選購產(chǎn)品時一定要搞清楚這兩個吞吐量的差別。UDP吞吐量代表的是整個設(shè)備的包轉(zhuǎn)發(fā)能力,而網(wǎng)關(guān)防病毒針對的是具體應(yīng)用協(xié)議和數(shù)據(jù)內(nèi)容的掃描與檢測性能,因此對于網(wǎng)關(guān)防病毒產(chǎn)品來說UDP的吞吐量參考意義不大,UDP的吞吐量高,并不一定內(nèi)容檢測性能就高。在企業(yè)的 internet應(yīng)用協(xié)議流量中通常http流量所占的比重最大,因此HTTP協(xié)議的檢測性能才是網(wǎng)關(guān)防病毒的關(guān)鍵性能指標。為了提升病毒檢測的性能,目前主流解決方案主要有兩種:一種是串流掃描技術(shù);一種是借助ASIC加速卡將由代理緩存下來的整個文件做深度內(nèi)容掃描檢測與特征匹配。客觀的講,這兩種掃描技術(shù)各有所長,但是對于企業(yè)而言,找尋性能和檢測率、漏判之間的平衡,將成為企業(yè)防病毒成敗的關(guān)鍵。串流掃描方案由于優(yōu)先考慮用戶的網(wǎng)絡(luò)使用體驗,不得不簡化病毒掃描流程,對一些較復(fù)雜的文件不能進行深入的檢測,會造成病毒的漏判;另外當(dāng)網(wǎng)絡(luò)流量較大時,很多掃描不能在文件傳輸之前完成,這就造成實際上的病毒掃描功能失效。2005年市面上采用串流病毒掃描技術(shù)的網(wǎng)關(guān)產(chǎn)品較多,但很快發(fā)現(xiàn)漏判漏查的問題無法避免,所以為了解決漏判漏查問題,web安全(服務(wù)器租用找:51033397)網(wǎng)關(guān)廠商 Anchiva(安啟華)在2006毅然拋開串流掃描的做法,堅持要用深度內(nèi)容檢測的方式提高病毒檢測率,于是Anchiva(安啟華)利用1年多的時間開發(fā)了基于ASIC芯片的深度內(nèi)容檢測與特征匹配引擎,成功的解決了掃描性能問題,并且提高了病毒檢測率。Anchiva(安啟華)通過測試對比發(fā)現(xiàn),ASIC硬件掃描引擎在相同測試條件下的Http吞吐量是純軟件掃描引擎的4-5倍。當(dāng)然,網(wǎng)絡(luò)流量中需要掃描殺毒的文件類型很多,有txt文本文件,有二進制文件,有可執(zhí)行的pe文件等,因此企業(yè)在選購產(chǎn)品時還需要重點考察防病毒網(wǎng)關(guān)產(chǎn)品對這三類主要文件類型進行掃描殺毒的http吞吐量。 除了http吞吐量外,http的并發(fā)連接數(shù)也是網(wǎng)關(guān)防病毒的關(guān)鍵性能指標,這里同樣需要注意的是http的并發(fā)連接數(shù),并不是TCP并發(fā)連接數(shù)。TCP并發(fā)連接數(shù)是指設(shè)備能夠同時處理的點對點TCP連接的最大數(shù)目,主要反映的是防火墻、路由器等設(shè)備對多個TCP連接的訪問控制能力和連接狀態(tài)跟蹤能力。對網(wǎng)關(guān)防病毒來說,因為需要針對某個具體的應(yīng)用協(xié)議進行掃描過濾,TCP并發(fā)連接數(shù)并不能完全反映設(shè)備的訪問控制能力和連接狀態(tài)跟蹤能力,http并發(fā)連接數(shù)才是真正反映網(wǎng)關(guān)防病毒能支持的最大信息點數(shù)的性能指標。一般廠家會通過增加內(nèi)存的方式來提高http并發(fā)連接數(shù),但是Anchiva(安啟華)公司總架構(gòu)師賀先生說:“http并發(fā)連接數(shù)跟內(nèi)存大小有直接的關(guān)系,但是沒有很好的掃描處理算法來降低每一個連接的開銷,即使內(nèi)存大小一樣,http并發(fā)連接數(shù)也是有明顯差別的;另外還有關(guān)鍵的一點是傳統(tǒng)的TCP協(xié)議棧在透明代理情況下會受限于端口數(shù)目65535的限制,”。從這一點可以看出如果是傳統(tǒng)的TCP協(xié)議棧,即使內(nèi)存再大,HTTP并發(fā)連接數(shù)也不可能超過65535,否則就是欺騙。除非像 Anchiva(安啟華)公司那樣經(jīng)過優(yōu)化改寫過的TCP協(xié)議棧才有可能并發(fā)連接數(shù)突破65535個。 二、Internet應(yīng)用控制和帶寬管理處理能力 Internet應(yīng)用控制和帶寬管理,通常是通過對應(yīng)用數(shù)據(jù)包進行分析,通過識別匹配協(xié)議或應(yīng)用特征進行的4-7層的應(yīng)用管控。僅僅靠識別端口是不行的,因為當(dāng)前網(wǎng)絡(luò)上的大部分應(yīng)用會采用隱藏或假冒端口號的方式躲避檢測和管控,也常常通過動態(tài)協(xié)商端口等方式仿冒合法應(yīng)用的數(shù)據(jù)流來侵蝕著網(wǎng)絡(luò),因此對于應(yīng)用管控還需要識別出協(xié)議或應(yīng)用中特定的字符串以便更準確地進行應(yīng)用的識別與管控。當(dāng)然,對于應(yīng)用管控不需要對所有的應(yīng)用數(shù)據(jù)包進行一一的檢測過濾,僅僅需要對應(yīng)用流量中開始的1個或幾個數(shù)據(jù)包進行特征分析與匹配。因此,對于Internet應(yīng)用控管,其性能的關(guān)鍵在于網(wǎng)關(guān)的包轉(zhuǎn)發(fā)能力。用戶在選購產(chǎn)品時,需要考察的是設(shè)備對數(shù)據(jù)包的吞吐量。為了提高吞吐量,市面上有ASIC加速技術(shù)也有多核技術(shù),二者的目的一致,都是為了提高性能。支持多核并不難,普通的Linux就可以支持,但如果沒有良好的并行多核控制技術(shù),既使再多的核也不能完全發(fā)揮出多核的硬件優(yōu)勢。因此,這就需要具備并行多核優(yōu)化控制技術(shù)來保證多核CPU快速均衡的響應(yīng)不同的網(wǎng)絡(luò)應(yīng)用。Anchiva(安啟華)并行多核控制技術(shù)采用數(shù)據(jù)包動態(tài)均衡分發(fā)處理機制,實現(xiàn)流量在多核間的負載均衡,極大的提升了系統(tǒng)的運算效率。并且一般的多核控制技術(shù)是通過CPU的其中一個核來完成流量的均衡分發(fā),而Anchiva(安啟華)為了充分利用硬件資源,使性能達到最優(yōu),不是占用CPU的一個核來完成流量的均衡分發(fā),而是通過專門編寫的控制技術(shù)利用網(wǎng)卡中的芯片完成流量在不同CPU間的均衡分發(fā),這樣使相同的多核CPU的處理能力更進一步發(fā) 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |