解决UTM中性能与功能的矛盾(一体化安全企业网关)

解决UTM中性能与功能的矛盾(一体化安全企业网关)
解决UTM中性能与功能的矛盾(一体化安全企业网关)

解决UTM中性能与功能的矛盾,一般有两种途径:选择合适的高性能硬件平台或对软件进行体系架构的优化。选择合适的硬件平台是比较直接、快捷的方式。安全产品的硬件承载平台一般有X86、NP、ASIC、多核SOC等几种。

1 x86架构

x86架构,也称为CPU架构,采用通用的x86 CPU作为整个系统的转发核心,具有很高的灵活性和可扩展性,一直是安全网关开发的主要平台。其产品功能主要由软件实现,还可以根据用户的实际需要做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。例如,现在安全网关的趋势就是向UTM方向发展,在一个产品中集成防火墙、入侵防御、防病毒及内容过滤等特性,x86架构的安全网关可以很方便地集成上述功能。

但该架构的性能发展受到CPU体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,特别是在小包处理中,x86的进程调度、中断处理等都会大幅降低整机吞吐量。同时,x86作为通用CPU,没有为网络转发及安全计算进行优化,因此基于x86

的硬件平台仍很难达到千兆速率。

x86架构安全网关的特点:

·优点:灵活,功能丰富,开放性好,是百兆和千兆中低端防火墙的主要架构;

·缺点:性能提升困难,特别是小包处理时性能下降严重。

NP(Network Processor:网络处理器)是专门为网络设备处理网络流量而设计的处理器,在其体系结构和指令集中对网络设备常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP协议栈的常用操作,并对网络流量进行快速的并发处理。NP

通过专门的指令集和配套的软件开发系统,提供强大的面向网络报文处理的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期相对较短,成本比开发ASIC低。

但是,相比于x86架构,由于应用开发、功能扩展受到NP的配套软件的限制,故基于NP技术的防火墙的灵活性要差一些,而且还依赖软件环境,所以在性能方面NP不如ASIC。特别是在防火墙的关键性指标——“多策略复杂环境下的吞吐量”上,NP架构的劣势更加明显。NP芯片的基本结构如图2-2所示,核心是xScale CPU,该CPU是一款低端ARM内核的CPU,其处理能力仅相当于Intel P3 CPU,而NP架构防火墙的查表(安全策略表)操作只能由该xScale CPU处理,因此在大流量、多安全策略环境下,NP架构防火墙的吞吐量会出现明显下降。(注:在高端NP路由器中,由外置TCAM芯片实现查找路由表的操作,但该技术无法应用到NP网关中)

同时,NP芯片主要的设计方向是路由器类的网络设备,几乎没有任何针对安全设备的加速功能,所以NP复杂且相对固话的报文处理流程决定了这类架构的安全网关几乎不可能提供高级安全特性,如入侵防御、病毒过滤等,而只能作为纯粹的防火墙使用。

NP架构安全网关特点:

·优点:灵活性优于ASIC,性能优于x86,开发流程要比ASIC短。

·缺点:性能低于ASIC,灵活性低于x86;多安全策略环境下性能下降;不能升级到UTM 设备,无法提供高级安全特性。

ASIC(Application Specific Intergrated Circuits)架构安全网关通过专门设计的ASIC芯片逻辑进行硬件加速处理,这种ASIC完全按照设计者的目的去设计硬件电路,优化相应的功能模块,然后固化完成ASIC。ASIC架构的优势是性能高,转发性能与安全策略数量无关。

ASIC架构的主要缺点表现在以下两个方面。

一是灵活性不够,开发费用高,开发周期太长。由于ASIC架构的固定性与安全网关需要面对的复杂威胁相互矛盾,因此ASIC架构从开发周期上无法应对层出不穷的安全威胁,只适合于功能固化的防火墙、VPN类产品。

二是新建连接的速率不高,实际上这类架构产品的基础模型是ASIC+x86 CPU,由x86 CPU负责系统管理、策略配置及连接建立,然后将相关的安全策略和连接信息同步到ASIC 芯片中,由ASIC芯片实现基于状态的策略控制和报文过滤;ASIC芯片与CPU的状态信息需要不断同步,因此ASIC架构的性能“短板”是新建连接的速率低。

总结ASIC架构安全网关的优缺点:

·优点:转发性能比NP、X86高;

·缺点:功能固化,新建连接的速率低,无法支持高级安全特性。

多核(Multicore)架构是目前最新的高性能安全网关解决方案。所谓多核架构,是指以多核处理器为转发核心的安全网关设备。多核处理器大多基于MIPS64体系,在一个多核处理器中同时支持2~16个独立构架的CPU。同时,多核处理器在开发时即考虑到了用户的应用要求,主流多核处理器均集成了硬件加密、正则匹配等硬件协处理器和网络应用加速器,非常适合安全网关类产品如防火墙、VPN、防病毒、入侵防御等设备采用。多核架构的安全网关从技术角度来说是相当完美的:高吞吐量、会话建立速度高、硬件支持多种高级安全功能等。

多核架构现有的不足就是开发难度大。

总结多核架构安全网关的优缺点:

·优点:转发性能比NP、X86、ASIC高,具备足够的灵活性,支持高级安全功能;·缺点:开发难度大。

5 多核是最适合UTM的架构

从前面的分析可以了解到每种硬件架构的特点,但对于UTM,哪种架构更加合适,这需要有统一的衡量标准。性能与功能的矛盾是硬件平台重点解决的问题,因此暂时把开发难度、研发投入等因素抛开,而从功能满足的灵活性、性能表现两个方面来对各种架构进行比较。将灵活性作为纵坐标,性能作为横坐标,x86、NP、ASIC、多核等架构的位置如图2-2所示。

可以看出,x86架构的灵活性很高,可以实现全面的应用层安全功能,但性能低;NP 架构灵活性比较高,性能中等,不是UTM最佳的架构平台;ASIC性能高,但灵活性低,无法实现全面的应用层安全;多核灵活性高,性能也高,处于象限的右上角,最适合作为UTM的硬件平台。

图2-2 硬件架构的比较

web项目测试实战性能测试结果分析样章报告

5.4.2测试结果分析 LoadRunner性能测试结果分析是个复杂的过程,通常可以从结果摘要、并发数、平均事务响应时间、每秒点击数、业务成功率、系统资源、网页细分图、Web服务器资源、数据库服务器资源等几个方面分析,如图5- 1所示。性能测试结果分析的一个重要的原则是以性能测试的需求指标为导向。我们回顾一下本次性能测试的目的,正如错误!未找到引用源。所列的指标,本次测试的要求是验证在30分钟内完成2000次用户登录系统,然后进行考勤业务,最后退出,在业务操作过程中页面的响应时间不超过3秒,并且服务器的CPU 使用率、内存使用率分别不超过75%、70%,那么按照所示的流程,我们开始分析,看看本次测试是否达到了预期的性能指标,其中又有哪些性能隐患,该如何解决。 图5- 1性能测试结果分析流程图 结果摘要 LoadRunner进行场景测试结果收集后,首先显示的该结果的一个摘要信息,如图5- 2所示。概要中列出了场景执行情况、“Statistics Summary(统计信息摘要)”、“Transaction Summary(事务摘要)”以及“HTTP Responses Summary(HTTP响应摘要)”等。以简要的信息列出本次测试结果。 图5- 2性能测试结果摘要图

场景执行情况 该部分给出了本次测试场景的名称、结果存放路径及场景的持续时间,如图5- 3所示。从该图我们知道,本次测试从15:58:40开始,到16:29:42结束,共历时31分2秒。与我们场景执行计划中设计的时间基本吻合。 图5- 3场景执行情况描述图 Statistics Summary(统计信息摘要) 该部分给出了场景执行结束后并发数、总吞吐量、平均每秒吞吐量、总请求数、平均每秒请求数的统计值,如图5- 4所示。从该图我们得知,本次测试运行的最大并发数为7,总吞吐量为842,037,409字节,平均每秒的吞吐量为451,979字节,总的请求数为211,974,平均每秒的请求为113.781,对于吞吐量,单位时间内吞吐量越大,说明服务器的处理能越好,而请求数仅表示客户端向服务器发出的请求数,与吞吐量一般是成正比关系。 图5- 4统计信息摘要图 Transaction Summary(事务摘要) 该部分给出了场景执行结束后相关Action的平均响应时间、通过率等情况,如图5- 5所示。从该图我们得到每个Action的平均响应时间与业务成功率。

性能测试方案

XXX项目 性能测试方案

修订记录

目录 1项目简介 (1) 1.1测试目标 (1) 1.2测试范围 (1) 1.3性能测试指标要求 (2) 1.3.1 交易吞吐量 (2) 1.3.2 交易响应时间 (2) 1.3.3并发交易成功率 (2) 1.3.4资源使用指标 (2) 2测试环境 (3) 2.1网络拓扑图 (3) 2.2软硬件配置 (3) 3测试方案 (5) 3.1交易选择 (5) 3.2测试数据 (5) 3.2.1 参数数据 (5) 3.2.2 存量数据 (6) 3.3资源监控指标 (6) 3.3.1台式机 (6) 3.3.2服务器 (6) 3.4测试脚本编写与调试 (6) 3.5测试场景设计 (6) 3.5.1典型交易基准测试 (6) 3.5.2典型交易常规并发测试 (7) 3.5.3稳定性测试 (8) 3.6测试场景执行与数据收集 (9) 3.7性能优化与回归 (9) 4测试实施情况 (10) 4.1测试时间和地点 (10) 4.2参加测试人员 (10) 4.3测试工具 (10) 4.4性能测试计划进度安排 (11) 5专业术语 (12)

1 项目简介 1.1测试目标 通过对XXXXXX系统的性能测试实施,在测试范围内可以达到如下目的: 了解XXX系统在各种业务场景下的性能表现; 了解XXX业务系统的稳定性; 通过各种业务场景的测试实施,为系统调优提供数据参考; 通过性能测试发现系统瓶颈,并进行优化。 预估系统的业务容量 1.2测试范围 XXX系统说明以及系统业务介绍和需要测试的业务模块,业务逻辑图如下:

本公司服务器环境以及架构图 为了真实反映XXXX系统自身的处理能力,本次测试范围只包(XXX服务器系统和Web服务系统、数据库服务器系统)。 1.3性能测试指标要求 本次性能测试需要测试的性能指标包括: 1、交易吞吐量:后台主机每秒能够处理的交易笔数(TPS) 2、交易响应时间(3-5-8秒) 3、并发交易成功率99.999% 4、资源使用指标:前置和核心系统各服务器CPU(80%)、内存占用率(80%)、Spotlighton 数据库;LoadRunner压力负载机CPU占用率、内存占用率 1.3.1 交易吞吐量 根据统计数据,XXX系统当前生产环境高峰日交易总量为【】万笔。根据二八原则(80%的交易量发生在20%的时间段内),当前生产环境对主机的交易吞吐量指标要求为:TPS_1 ≥【】 * 80% / (24 * 20% * 3600) = 【】笔/秒 为获取系统主机的最大处理能力,在本次性能测试中可通过不断加压,让数据系统主机CPU利用率达到【】%,记录此时的TPS值,作为新主机处理能力的一个参考值。 1.3.2 交易响应时间 本次性能测试中的交易响应时间是指由性能测试工具记录和进行统计分析的、系统处理交易的响应时间,用一定时间段内的统计平均值ART来表示。 本次性能测试中,对所有交易的ART指标要求为: ART ≤ 5 秒 1.3.3并发交易成功率 指测试结束时成功交易数占总交易数的比率。交易成功率越高,系统越稳定。 对典型交易的场景测试,要求其并发交易成功率≥ 99.999% 。 1.3.4资源使用指标 在正常的并发测试和批处理测试中,核心系统服务器主机的资源使用指标要求:CPU使用率≤ 80% 内存使用率≤ 80%

网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]

●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录

目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)

3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)

1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,

无线集群网关解决方案

无线集群网关解决方案 无线集群网关实现无线电台与PSTN公网电话的互联互通,支持模拟常规、数字常规、模拟集群、数字集群、短波等各类型电台,支持各类型标准电话交换机,支持无线电台主动拨号。 功能介绍: 集群对讲发展时间长,多数使用单位都具有完善的无线网络覆盖。目前使用的行业和单位众多,扩容时需要考虑原来设备的兼容性。不足之处是通信方式单一,侧重于集群对讲。集群对讲网关是一款功能强大的语音接入设备,方便将对讲集群系统与电话系统进行整合,用户可以方便的通过电话呼叫对讲机,也可以使用对讲机拨打电话,系统支持传统的PSTN电话线路和基于SIP的VOIP电话线路,部署和使用都很方便,可达到即插即用。配合德西特多年来在多方语音领域的经验,开发的语音算法,使得其通话效果高于目前市面上同类产品。 集群对讲网关采用电信级产品设计方案,有着强大组网能力和声音处理能力,采用微电脑芯片技术及电子开关技术,各路控制相互独立,切入、切出音频信号操作灵敏,可实现2路、4路(1U设备)、48路(3U设备)对讲同时接入。采用DB9插头,6U设备配置RJ45插头,配置专业对讲机控制线缆。 集群对讲网关部署灵活简单,简单连线即可使用。支持PSTN、SIP,兼容多型号手台、电台。标准19英寸机架安装,安全可靠。

设备支持普通电话和IP接口(内置IAD),可接入PBX用户线,电信局用户线,模拟用户网关IAD等设备。并可支持各大公司的IP-PBX、软交换、SIP服务器的SIP应用。并可于广大调度指挥系统无缝对接。 AOS无线集群网关为基于IP网络的下一代调度通信系统,从管理、使用、部署、维护等方面全方位满足用户的智能化指挥调度的通信需求。由于发展时间短,AOS无线集群网关更多侧重于传输、接入、以及异形网络的互联互通,有线网络上的应用,在无线网络通信方面不如集群系统应用范围广; 通过网关将德西特多媒体调度与无线集群进行集成互联,可以充分发挥两个系统的优势,形成一套有线无线结合、覆盖范围广、通信方式丰富、使用灵活方便、管理维护简单的指挥调度通信系统,满足用户从传统通信向智能通信升级的需求,并能够保护用户原有的投资。

安全网关和IDS互动解决方案

安全网关和IDS互动解决方案 该方案特点: 通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现“主动防御和被动防御”的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图: 方案概述: 1、项目简介 某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。 该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局

网络和银行网络进行数据交换。 2、安全方案 通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的: 1)保障现有关键应用的长期可靠运行,避免病毒和黑客攻击; 2)防止内外部人员的非法访问,特别是对内部员工的访问控制; 3)确保网络平台上数据交换的安全性,杜绝内外部黑客的攻击; 4)方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地 访问内部网络,实现信息的最大可用性; 5)能对网络的异常行为进行监控,并作出回应,建立动态防护体系。 为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。

主动防御体系 主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。 主要在网络中心增加“入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。 对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。 本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。 在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping 位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。 “漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。 “安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。 被动防御体系 被动防御体系主要采用上海本公司的SGW系列安全网关(Firewall+VPN)产品。 在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。 1)保障局域网不受来自外网的黑客攻击,主要担当防火墙功能; 2)能够根据需要,让外网向internet的访问提供服务,如:Web,Mail,DNS等服务; 3)对外网用户访问(internet)提供灵活的访问控制功能。如:可以控制任何一个内 部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间 上网等等。简而言之,能够基于“六元组”【源地址、目的地址、源端口号(即: 服务)、目的端口号(即:服务)、协议、时间】进行灵活的访问控制。 4)下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过

项目管理继续教育答案

智能建筑和IT运维 1、运维管理的方式除完全客户管理或外包商管理外,还有? A 用户管理 B 项目管理 C 外包管理 D 客户和外包商分别负责 2、组织管理中建议成熟的组织形式为? A 项目型组织 B 技术型组织 C 服务或复合型组织 D 梯队型组 3、确保系统稳定性为什么重要,理由不包括? A 客户最关注 B 工作出发点 C 投入最大 D 业务系统不能断 4、系统稳定强调冗余备份和。 A 应急响应 B 提前规划 C 技术先进 D 业务集中 5、应用系统管理为什么需要通过需求管理尽量减少变更? A 可能产生风险影响系统稳定。 B 客户时间宝贵。 C 运维人员不够。 D 合同中不支持变更。 6、数据系统管理需要对哪项资源提出标准要求? A 应用系统

B 硬件系统 C 环境系统 D 桌面系统 7、数据系统管理为什么要考虑组件的兼容性? A 有效整合资源。 B 成套购买降低成本。 C 方便人员维护。 D 保证系统之间数据通信传输没有障碍。 8、数据系统管理的对象不包含? A 数据库 B 计算机 C 中间件 D 操作系统 9、人员管理中涉及需求管理的主要是? A 用户管理 B 工程师管理 C 客户管理 D 项目经理管理 10、人员管理中客户的定义是? A 负责运维服务提供和操作的人员。 B 使用服务的人员。 C 确保运维项目正常交付的人员。 D 负责服务评价、验收和付费的人员。 11、邀请用户参与运维过程的目的不包括? A 感知运维的实际情况。 B 提出改进的建议。 C 让用户承担责任。 D 与运维团队熟悉互动。 12、组织管理中建议成熟的组织形式为? A 项目型组织 B 技术型组织

智慧农业LORA网关整体解决方案

方案需求 现代农业的生产、经营、管理到服务的各个环节都迫切呼唤信息技术的支撑。加之物联网技术的日渐成熟,物联网在传统农业领域的应用越来越广泛。农业是物联网技术的重点应用领域之一,也是物联网技术应用需求最迫切、难度最大、集成性特征最明显的领域。 技术部署 欣仰邦智慧农业是基于LoRa技术,在温室大棚内部署各类LoRa节点模块与前端传感设备组成的无线传感终端,实时监测棚内空气温湿度、土壤温度、土壤水分、光照度、CO2浓度等环境参数,并通过LoRa网络上传到云平台进行分析,一旦环境偏离植物生长的最适状态,可远程控制加热器、制冷通风、加湿器、除湿器、卷帘机等对环境进行调节,保证农作物有一个良好的、适宜的生长环境,达到增产、改善品质、调节生长周期、提高经济效益的目的。

方案优点 ●空气温湿度监测功能:系统可根据配置的温湿度无线传感器,实时监测大棚内部空气 的温度和湿度。 ●土壤湿度监测功能:配有土壤湿度无线传感器,实时监测温室内部土壤的湿度。 ●光照度监测功能:采用光敏无线传感器来实现对温室内部光照情况的检测,实时性 强。 ●促进植物光合作用功能:植物光合作用需要光照和二氧化碳。当光照度达到系统设定 值时,系统会自动开启风扇加强通风,为植物提供充足的二氧化碳。 ●空气加湿功能:如果温室内空气湿度小于设定值,系统会启动加湿器,达到设定值后 便停止加湿。 ●土壤加湿功能:当土壤湿度低于设定值时,系统便启动喷淋装置来喷水,直到湿度达 到设定值为止。 ●环境升温功能:当温室内温度低于设定值时,系统便启动加热器来升温,直到温度达 到设定值为止。 ●GPRS/3G/4G网络访问功能:物联网通过无线网关接入GPRS或者3G/4G网络。用户便 可以手机来访问物联网数据,了解大棚内部环境的各项数据指标(温度、湿度、光照 度和安防信息)。

思博伦家庭网关语音测试解决方案

思博伦技术专栏 1 家庭网络部署存在挑战 随着电信增值业务的发展以及固网与移动网络 的融合,目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外,正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。例如,中国电信正在通过“我的e家”品牌,向家庭用户推出家庭网络的概念,并将以此作为大规模家庭网络增值服务的基础。 据统计,2005年全球家庭网关的销量达到1500多万台。2006年,由于中国宽带用户的急速增长使得国内家庭网关的市场需求也增长迅速,预计到2008年我国将超过美国成为全球最大的家庭网关消费国。 但是,在家庭网关的应用过程中,电信运营商的确遇到了一些麻烦。家庭网络是电信运营商网络的延伸,是IP网络,无线Wi-Fi网络,以及传统电信网络的融合结果。而家庭网关需要连接传统电信网络和Internet网络,帮助用户在家里实现网上漫游、语音通话和IPTV等多种业务,实现语音流、数据流、视频流的Triple-Play,并提供有线和无线多种接口,为将来实现家庭全面智能化打下坚实的基础。家庭网关的出现,既给电信运营商找到了新的业务增长点,又给传统电信用户提供了更加便宜、更加方便的服务。一切似乎都是美好的,但现实总是残酷的。VoIP中的语音流本身就存在语音质量不稳定的问题,再加上数据流和视频流的干扰,家庭网关能够长时间提供稳定的让用户满意的服务吗?这样的担心是很有道理的。最简单的一个问题———如何保证用户的语音通话质量不 思博伦家庭网关/IAD语音测试解决方案 思博伦通信 编者按:随着电信增值业务的发展以及固网与移动网络的融合,目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外,正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。思博伦通信的《思博伦家庭网关/IAD语音测试解决方案》一文详细介绍了思博伦公司的家庭网关/IAD的语音测试解决方案。 思博伦公司的家庭网关/IAD的语音测试解决方案,主要使用Abacus50测试系统,帮助设备制造商和运营商降低测试成本,减少因为语音质量不稳定而造成的系统风险。本文对目前正在加紧推进面向家庭用户电信综合业务的电信运营商具有很好的参考意义。 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!"

软件性能测试结果分析总结

软件性能测试结果分析总结 平均响应时间:在互联网上对于用户响应时间,有一个普遍的标准。2/5/10秒原则。 也就是说,在2秒之内给客户响应被用户认为是“非常有吸引力”的用户体验。在5秒之内响应客户被认为“比较不错”的用户体验,在10秒内给用户响应被认为“糟糕”的用户体验。如果超过10秒还没有得到响应,那么大多用户会认为这次请求是失败的。 定义:指的是客户发出请求到得到响应的整个过程的时间。在某些工具中,请求响应时间通常会被称为“TTLB”(Time to laster byte) ,意思是从发起一个请求开始,到客户端收到最后一个字节的响应所耗费的时间。 错误状态情况分析:常用的HTTP状态代码如下: 400 无法解析此请求。 401.1 未经授权:访问由于凭据无效被拒绝。 401.2 未经授权: 访问由于服务器配置倾向使用替代身份验证方法而被拒绝。 401.3 未经授权:访问由于ACL 对所请求资源的设置被拒绝。 401.4 未经授权:Web 服务器上安装的筛选器授权失败。 401.5 未经授权:ISAPI/CGI 应用程序授权失败。 401.7 未经授权:由于Web 服务器上的URL 授权策略而拒绝访问。 403 禁止访问:访问被拒绝。 403.1 禁止访问:执行访问被拒绝。 403.2 禁止访问:读取访问被拒绝。 403.3 禁止访问:写入访问被拒绝。 403.4 禁止访问:需要使用SSL 查看该资源。 403.5 禁止访问:需要使用SSL 128 查看该资源。 403.6 禁止访问:客户端的IP 地址被拒绝。

403.7 禁止访问:需要SSL 客户端证书。 403.8 禁止访问:客户端的DNS 名称被拒绝。 403.9 禁止访问:太多客户端试图连接到Web 服务器。 403.10 禁止访问:Web 服务器配置为拒绝执行访问。 403.11 禁止访问:密码已更改。 403.12 禁止访问:服务器证书映射器拒绝了客户端证书访问。 403.13 禁止访问:客户端证书已在Web 服务器上吊销。 403.14 禁止访问:在Web 服务器上已拒绝目录列表。 403.15 禁止访问:Web 服务器已超过客户端访问许可证限制。 403.16 禁止访问:客户端证书格式错误或未被Web 服务器信任。 403.17 禁止访问:客户端证书已经到期或者尚未生效。 403.18 禁止访问:无法在当前应用程序池中执行请求的URL。 403.19 禁止访问:无法在该应用程序池中为客户端执行CGI。 403.20 禁止访问:Passport 登录失败。 404 找不到文件或目录。 404.1 文件或目录未找到:网站无法在所请求的端口访问。 需要注意的是404.1错误只会出现在具有多个IP地址的计算机上。如果在特定IP地址/端口组合上收到客户端请求,而且没有将IP地址配置为在该特定的端口上侦听,则IIS返回404.1 HTTP错误。例如,如果一台计算机有两个IP地址,而只将其中一个IP地址配置为在端口80上侦听,则另一个IP地址从端口80收到的任何请求都将导致IIS返回404.1错误。只应在此服务级别设置该错误,因为只有当服务器上使用多个IP地址时才会将它返回给客户端。404.2 文件或目录无法找到:锁定策略禁止该请求。 404.3 文件或目录无法找到:MIME 映射策略禁止该请求。

性能测试人员面试经典技术问题

1.请问什么是性能测试、负载测试、压力测试? 性能测试:对一个软件系统而言,包括执行效率、资源占用、系统稳定性、安全性兼容性、可扩展性等。 负载测试:通过逐步加压的方式来确定系统的处理能力,确定系统能承受的各项阀值。 压力测试:逐步增加负载,使系统某些资源达到饱和甚至失效的测试。 2.请分别针对性能测试、负载测试和压力测试试举一个简单的例子? 性能测试例子:公司开发了一个小型项目管理系统,上线前需要做负载、压力、大数据量、强度测试等。 负载测试:逐步加压,从而得到“响应时间不超过10秒”,“服务器平均CPU利用率低于85%”等指标阀值。 “服务器平均CPU利用率高于90%” 压力测试:逐步加压,从而使“响应时间超过10秒”, 等指标来确定系统能承受的最大负载量。 3.请例举出常用的性能测试工具,并指出这些工具的优缺点? LoadRunner,录制脚本快捷操作简便,需要一定的学习时间,有采购成本。 4.请问您是如何得到性能测试需求?怎样针对需求设计、分析是否达到需求? 在查看需求文档,从中提取性能测试需求,与用户交流,了解实际使用情况。 结合业务信息设计操作场景总结出需测试的性能关键指标。 执行用例后根据提取关键性能指标来分析是否满足性能需求。 5.什么时候可以开始执行性能测试? 在产品相对比较稳定,功能测试结束后。灵活性比较强。 6.什么是集合点?设置集合点有什么意义?LoadRunner中设置集合点的函数是哪个? 集合点可以控制各个Vuser以便在同一时刻执行任务。 借助集合点,可以再LoadRunner中实现真正意义上的并发。 lr_rendezvous()

7.性能测试时,是不是必须进行参数化?为什么要创建参数?LoadRunner中如何创建参数? 8是。 模拟用户真实的业务操作。 创建参数列表,用参数替换固定的文本。 8.您了解关联吗?如何找出哪里需要关联?请给一些您所在项目的实例。 了解。 使用LoadRunner自动关联功能。手动关联:录制两份相同操作步骤的脚本,找出不同的部分进行判断。 一个项目管理系统,每次登录后服务器都自动分配一个sessionID以便之后每次表单提交后验证。 9.您如何调试LoadRunner脚本? 设置断点、增加log。 10.在LoadRunner中如何编写自定义函数?请给出一个您在以前项目中编写的函数。 11.请问您是如何理解LoadRunner中集合点、事务以及检查点等概念? 集合点:可以控制各个Vuser以便在同一时刻执行任务,可实现真正意义上的并发。 事务:事务是用来度量服务器响应时间的操作集。 检查点:在回放脚本期间搜索特定内容,从而验证服务器响应内容的正确性。 12.如何应用LoadRunner进行性能测试? 使用虚拟用户生成器创建脚本,使用控制器设定场景、运行脚本,使用分析器分析运行后得到的数据。 13.LoadRunner中思考时间有什么作用? 用户执行两个连续操作期间等待的时间。模拟用户真实的使用情况。 14.LoadRunner中如何实现多用户并发操作,需要进行哪些设置? 设置集合点来实现,在脚本中加入lr_rendezvous(),然后可以在控制器中设定集结百分

一体化安全网关选购指南

一体化安全网关选购指南 2010年4月

目录 前言、构建安全、可管理的内部网络 (3) 一、一体化安全网关----企业边界管理的利器 (4) 二、一体化安全网关应用效果 (6) 2.1.规范员工上网行为、提升工作效率 (6) 2.2.保护内部信息资产安全、防止机密信息泄漏 (6) 2.3.强化带宽管理,提升带宽利用率 (6) 2.4.降低组织机构的法律风险 (7) 2.5.多种安全增强功能,全方位保障内网安全 (7) 三、一体化安全网关设备功能介绍 (8) 四、一体化安全网关设备技术优势 (12) 4.1.深度内容检测技术—彻底封堵QQ、炒股、常见P2P软件 (12) 4.2.P2P智能识别(专利技术)--管控加密的、不常见和版本泛滥的P2P行为 (12) 4.3.SSL加密网站识别和过滤(专利技术)--反钓鱼网站等 (12) 4.4.邮件的延迟审计(专利技术)--敏感邮件先延迟、审计后再发送 (13) 4.5.免审计Key--从设备底层免除对高层领导的行为记录与审计 (13) 4.6.强大的内容检索工具--方便对海量日志的检索、查询、审计 (13) 4.7.细致的流量管理系统--优化带宽资源,提升带宽使用效率 (14) 4.8.特有的网络准入规则(专利技术)--修补内网安全短板 (14) 五、一体化安全网关设备部署模式 (14) 5.1.网关模式(路由模式) (15) 5.2.网桥模式(透明模式) (15)

前言、构建安全、可管理的内部网络 互联网接入的普及和带宽的增加,改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制,给组织机构带来更多的安全威胁,互联网滥用等问题日益严重。 IDC对全球企业网络使用情况调查后发现,员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍。调查结果表明:员工在上班时间发生的网络活动,30%-40%都与工作无关。 那么国内组织机构的互联网应用情况又如何呢?据有关机构调查统计,中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐,严重影响了工作效率和带宽使用效率。在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题,在中国的情况远比其它地区更为严峻! 另外,由于内部网络缺乏有效的管控技术措施,员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件,已逐渐成为内部网络安全的最大威胁。 据美国CSI/FBI的调查结果显示,政府、企业等机构因重要信息被窃所造成的损失,已远远超过病毒感染和黑客攻击所造成的损失,80%以上的安全威胁来自内部。而据中国公安部最新统计,70%的泄密犯罪来自于机构内部,电脑应用单位80%未设立相应的安全管理系统、技术措施和制度。 如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题,已经成为组织机构管理者和信息技术部门的首要问题之一。但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂,借助组织现有的防火墙等传统网络安全设备,基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足一体化安全网关的具体要求。 一、一体化安全网关----企业边界管理的利器 一体化安全网关系列产品,凭借其应用识别率最高、平台性能最强的核心优势,以及丰富的用户认证手段、多种安全防护能力和独立的数据中心功能,提供了涵盖防火墙、网关杀

安全网关业务常见问题

安全网关业务常见问题 Q:安全网关支持哪些网络接入模式? A:安全网关支持两种网络接入模式:一种是网桥模式,一种是网关模式。网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。 Q:网桥模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网桥模式,通常情况下应该部署在企业接入设备(防火墙或者路由器)的后面。安全网关的两个网口(内网口和外网口)连接的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP地址,不需要改变网络拓扑以及其它配置,透明接入网络。 Q:网关模式下安全网关应该部署在网络中的什么位置? A:如果安全网关采用网关模式,通常情况下应该部署在企业网络出口处,做为宽带网络接入设备,保护整个内部网络。 Q:无法通过浏览器登录安全网关的管理页面? A:出现这种情况有以下几个原因: 未将登陆pc加入安全网关的管理客户端 网络无法连通(该登陆PC到安全网关的链路) Q:为什么在外网ping不通安全网关的外网口地址? A:安全网关出于安全考虑对外网口是禁ping的,因此是ping不通外网口地址的。不过从内网PC能ping通安全网关的外网口地址。 Q:安全网关支持哪些方式的VPN? A:对于企业连接不同地域网络的需求,安全网关提供了VPN功能,企业可以通过Internet连接不同地域的网络。 安全网关提供IPSEC和PPTP VPN接入方法。安全网关的VPN功能适用于网关接入模式下。 Q:安全网关安装完毕后,为什么能ping通外网,而无法浏览网页? A:出现这种情况有以下的原因 如果安全网关作为网桥模式部署在防火墙的后面,并且做了访问控制的策略,由于安全网关对于扫描的协议采取的是非透明的方式,所以需要增加安全网关的地址到策略中; 未在安全网关中设置本地区的DNS服务器,或pc客户端的DNS设置有误。 Q:安全网关支持DHCP服务器功能吗? A:安全网关可以做为一个单一DHCP 服务器使用,也可以成为其他DHCP服务器的代理。网关模式支持DHCP服务器功能,网桥模式下不支持DHCP服务器功能。 Q:如果忘记安全登录密码,怎么办?

国产硬件防火墙横向解析

国产硬件防火墙横向解析 防火墙从形式上可分为软件防火墙和硬件防火墙。此次,我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。目前,在这一层面我们主要介绍国内四家厂商:天融信、启明星辰、联想网御、华为。 此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。 一、厂商概述 国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。这类型厂商较多,如启明星辰、联想网御、华为等。一般而言,产品价格相对上一种较低。第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。 1. 天融信以ASIC平台产品为主国产份额第一 天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前,以安全操作系统TOS为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。 除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。 2.启明星辰采用高性能X86硬件架构一体化网关技术 1996年成立的启明星辰,承担国家级重点项目企业,拥有国家级网络安全技术研发基地。2003年,成为国内仅有的两家可以查看微软Windows操作系统源代码厂商之一。截至2007年,启明星辰共发布了59个windows、linux、unix操作系统的安全漏洞,居亚洲首位,

IPv4、IPv6转换网关性能测试方法研究

IPv4/IPv6 转换网关性能测试方法研究  孙红兵 蔡一兵 北京 100080) 摘 要 提出了系列转换网关性能测试方法在两台设备联测方法的基础上 关键词 性能测试方法 Research on Benchmarking Methods of IPv4/IPv6 Transition Gateway SUN Hongbing, CHEN Mo, CAI Yibing, LI Zhongcheng (Network Testing Lab, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100080) Key words 网络与通信 3428(2006)24 03 文献标识码 TP393.09 IPv6不仅可以解决IPv4地址短缺问题 即插即用的连网方式 从IPv4到IPv6的过渡已势在必行 一种网络协议 尤其是对于很好支撑着的基于IPv4 的Internet 而言 所以 共同运行 NATPT TRT 其中以NAT-PT 实现居多 IPv6两种网络的接口处 网络稳定性 以及 网络可 扩展 性 针对不同测试指标和测试条 件 按照统一的度量标准 丢包率等性能指标根据国际上通用网络设备性能指标的规定和IPv4/IPv6 转换网关的特性 (1)吞吐量 (Throughput) 一般以所 能达到的线速的百分比( 或称通过速率) 来表示 测试网络设备在吞吐量范围内从收到 包到转发出该包的时间间隔 测试网络设备在不同负荷下 丢弃包占收到包的比例 测试网络设备在接 收到以最小包间隔传输时不丢包条件下所能处 理的 最大 包数 测试网络设备在过 载后恢复正常工作的时间 测试网络设备从软件复位或关电重 启到正常工作的时间间隔 (7)MAC 表容量 测试转换网关用于记录IPv4 (9)最大并发连接数 参见 图1(a) 然后由DUT 的发送端口 连接到测试仪的接收端口 它很容易判断是否所有的数 据包都正确收 到 图1(a)要求测试仪表同时提供对 IPv4即提供对这两种协议的支持 参见图1(b) 一些旧版本的测试仪表通常不提供对IPv6协议的支持 孙红兵(1973女 下一代互联网 络 陈 沫博士生 2006-01-17 E-mail

防火墙的性能评估

评价防火墙的功能、性能指标 (2011-06-03 23:47:16) 转载▼ 标签: 分类:网络技术 防火墙 性能 参数 吞吐量 最大连接数 新建连接数 丢包率 it 一、功能指标 1、访问控制:根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。 2、地址转换:源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。 3、静态路由/策略路由: 静态路由:给予目的地址的路由选择。 策略路由:基于源地址和目的地址的策略路由选择。 4、工作模式:路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存) 5、接入支持:防火墙接口类型一般有GBIC、以太网接口等;接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。 6、VPN:分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道),支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法,支持MD5、SHA-1认证算法;VPN功能支持NAT穿越。 7、IP/MAC绑定:IP地址与MAC地址绑定,防止IP盗用,防止内网机器有意/无意抢占关键服务器IP。 8、DHCP:内置DHCP Server 为网络中计算机动态分配IP地址;DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 9、虚拟防火墙:在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙,每个虚拟防火墙为一个特定的用户群提供安全服务。 10、应用代理:HTTP、FTP、SMTP等协议应用代理,大多数内容过滤通过应用代理实现。 11、流量控制:流量控制,流量优先级,带宽允许条件下的优先保障关键业务带宽。

XX科技Web安全网关实施方案

XX科技IWSA实施方案

XX科技(中国)有限公司 2013年3月

目录 1、项目概述 (5) 2、项目实施方案 (5) 2.1项目实施范围及内容 (5) 2.2项目实施人员 (7) 2.3项目实施计划 (8) 3、实施环境综述 (9) 4、项目阶段及内容 (10) 4.1 项目启动 (10) 4.2 需求调研 (11) 4.3 设备采购 (11) 4.4 设备安装 (11) 4.5 项目初验 (12) 4.6 系统试运行 (12) 4.7 项目终验 (12) 4.8 保修期 (13) 5、实施总结 (13)

文档信息: 版本记录: 文档说明:

1、项目概述 XX科技作为业界极具影响力的专业防病毒解决方案及服务提供商,对XXXX 防病毒网关项目给予高度重视,并将指派XXX作为项目经理进入项目小组,直接掌控项目的技术水平和质量。XX科技将根据XXXX防病毒网关项目的具体要求,结合自己的业界经验及项目管理经验,努力满足XXXX对本项目提出的目标。在项目管理、系统安装、工程实施、项目验收、技术服务、技术培训等项目环节中做到守时、保质,使此项目成为精品和典范。 为了保证XXXX防病毒网关项目实施的质量和进度,本项目将参考并遵守一些国际上最新的相关信息安全工程标准和最新的研究成果,如: ●PMI项目管理方法学 ●SSE-CMM信息安全工程成熟度模型 ●IATF信息系统安全工程(ISSE)过程模型 2、项目实施方案 2.1项目实施范围及内容 实施的位置、网络范围和产品描述 本次实施内容为XX科技WEB安全网关-IWSA,XX科技互联网安全网关设备(简称IWSA)是一套针对互联网常用协议HTTP/HTTPS、FTP、SMTP/POP3等五种协议进行安全防护和策略控制的综合性网关解决方案,实现如下八大安全控制: 1.防病毒 2.防间谍软件 3.防网络钓鱼 4.防垃圾邮件 5.防JaveApplet&ActiveX恶意插件 6.流量配额管理 7.恶意URL阻止

国产厂商硬件防火墙对比解析综述

国产厂商硬件防火墙对比解析综述 2009年01月04日星期日 20:57 防火墙从形式上可分为软件防火墙和硬件防火墙。此次,我们主要介绍硬件防火墙。防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。所谓“芯片”级硬件防火墙,是指在专门设计的硬件平台,其搭建的软件也是专门开发的,并非流行的操作系统,因此可以达到较好的安全性能保障。目前,在这一层面我们介绍国内几家厂商,天融信、启明星辰、联想网御、华为、安氏领信等厂商。 此次,我们将以100~500人的规模为应用对象,对各厂商的适应的“芯片”级硬件防火墙进行对比分析,分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。其实,选购和讨论硬件防火墙并不能单纯以规模来判断,还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。 一、厂商概述 国内硬件防火墙的品牌较多,但较早一批专注于信息安全的厂商却不多,尤其是“芯片”级的防火墙更少了。如果以架构划分,芯片级防火墙基于专门的硬件平台,专有的ASIC芯片使它们比其他种类的防火墙速度更快,处理能力更强,性能更高,因此漏洞相对比较少。不过价格相对较贵,做这类防火墙的国内厂商并不多,如天融信。另外一种方式是以X86平台为代表的通用CPU芯片,是目前使用较广泛的一种方式。这类型厂商较多,如启明星辰、联想网御、华为等。一般而言,产品价格相对上一种较低。第三类就是网络处理器(NP),一般只被用于低端路由器、交换机等数据通信产品,由于开发难度和开发成本低,开发周期短等原因,因此,进入这一门槛的标准相对较低,也拥有部分客户群体。 1. 天融信以ASIC平台产品为主国产份额第一 天融信的自主防火墙系统,首次提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。目前,以安全操作系统 TOS 为基础,开发了NGFW4000-UF及NGFW4000系列,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。其Top ASIC芯片,采用SoC (System on Chip) 技术,内置硬件防火墙单元、7层数据分析、VPN加密、硬件路由交换单元、快速报文缓存MAC等众多硬件模组。开发出了从第一代到第二代产品(内部称为猎豹I 、猎豹II),芯片转发容量从5Gbps到10Gbps,可达到全部千兆网口的全线速小包转发速率。 除了以ASIC平台为主的产品外,X86和NP平台的产品也面向不同需求用户。据IDC 2007年的报告显示,天融信防火墙产品以16.2%的市场份额,排名网络安全产品首位。 2.启明星辰采用高性能X86硬件架构一体化网关技术 1996年成立的启明星辰,承担国家级重点项目企业,拥有国家级网络安全

相关文档
最新文档