在擁有大型數據中心、多個10G以太網管道、負載均衡器的情況下,網絡架構師真的需要防火牆嗎?還需要購買另一件設備,並承受可能的性能沖擊嗎?
在 F5 Networks 看來並不需要。該公司稱其 BIG-IP 10200v 平台具備高級防火牆管理器 (AFM),能夠以 80-Gbps 的速率處理流量,屏蔽並保護數以千萬計的連接,同時對服務器流量進行負載均衡。
在此次測試中,我們對此進行了測試。F5 防火牆性能出色,擁有最高的網絡容量,同時可提供成熟的過濾和攻擊保護功能。在某些情況下,安裝防火牆後流量速率將高於未安裝時,這也許是因為 F5 設備能更高效地管理服務器負載。
雖然 F5 以其 BIG-IP 應用交付控制器 (ADC) 而聞名,它也在穩步地豐富其安全性套件,尤其是面向數據中心。BIG-IP 10200v於今年上半年在全球市場推出,是該系列中的第二大平台,其2RU的外形中包含16個10G以太網接口和2個40G以太網接口。唯一一個比其更大的裝置是基於機箱的 Vipiron 4800。
雖然對於下一代防火牆的關注主要放在提供出色的客戶端保護上,但F5卻著眼於BIG-IP 10200v在數據中心的應用,為服務器提供保護。以極高的速率添加狀態防火牆功能是該戰略的一部分。
另一部分是 iRules,這一現有特性支持用戶根據 HTTP 和 HTTPS 標頭來檢查、修改並重新路由流量。IRules 使用的語法類似於許多腳本語言。對缺乏編寫腳本技能的網絡管理員而言,F5 設備包括一些面向普通任務的模版iRule,如將 HTTP 請求重定向到 HTTPS 或在 Windows Mobile 用戶更改 Active Directory 密碼但未更改移動設備密碼時防止其被屏蔽。
防火牆和 iRules 都可通過命令行或 Web 界面進行配置。F5 負載均衡器的用戶可能會覺得 Web 界面似曾相識。沒有 F5 設備使用經驗的用戶也會發現 Web 用戶界面十分易於導航。
另一項服務器保護特性是內建的拒絕服務攻擊 (DoS) 保護。該設備包含將近40 個 DoS 過濾器,並全部默認為啟動。這些過濾器運行於第 2-4 層上,同時覆蓋 IPv4 和 IPv6。(該防火牆也能處理 IPv6 流量,但由於時間限制,我們只能用 IPv4 流量進行測試。)
更多 DoS 保護依賴於IP 智能特性,它可識別並攔截不同種類威脅的 IP 地址。使用來自全球傳感器網絡的信息,IP 智能還能攔截僵屍網絡、Windows 漏洞、釣魚漏洞及其他種類威脅的流量。IP 智能不是默認啟動,在性能測試中我們不使用這一特性。
這些特性都是 F5 高級防火牆管理器 (AFM) 軟件包的一部分。F5 單獨銷售一款應用安全管理器 (ASM) 軟件包,其中包括應用檢查和入侵檢測,但我們不對其進行測試。因此,對希望一台設備同時包含防火牆和負載均衡器的最終用戶而言,BIG-IP 10200v 是最合適的方案。但是,如果您正尋找一體式的安全設備,您需要購買其他的 ASM 軟件包。
速度如何?
我們在速度和可擴展性兩方面對防火牆性能進行了測試(請參見下文“測試條件和方法”部分)。在一些測試中,Spirent Avalanche 流量生成器/分析器提供了固定對象大小,以用於確定絕對最高速度。我們還使用 Avalanche,由它提供各種 Web 對象大小和內容類型(正如網絡管理員在生產網絡所發現的一樣)。
在一個固定對象測試中,僅由Spirent Avalanche 提供了10KB 的對象。大量研究顯示,所有 Web 事務的平均對象大小都基本在 10KB 上下。如果有什麼區別的話,那就是受 AJAX-heavy Web 應用的影響,該平均數值是趨於降低的。為確定最高的速率,我們使用 512KB 對象進行了測試。在 512KB 及以上大小, HTTP 中的事務開銷微不足道。
由於越來越多的 Web 流量都實行加密,我們采用明文流量進行所有速度測試,並采用 HTTPS 安全套接字層/傳輸層安全特性 (SSL/TLS) 進行了加密。然後我們在解密狀態下重復了 SSL/TLS 測試。
在靜態對象大小的測試中,F5 防火牆幾乎能達到我們測試台的最高網絡容量。10KB 明文 Web 對象的測試中,F5 防火牆的流量傳輸速率為 78.630Gbps,幾乎充滿了客戶端和服務器間的 80-Gbit/s 管道。512KB 明文 Web 對象的測試中,傳輸速率達到 80.519Gbps。(這些轉發速率是兩個方向流量的總和,因此考慮到從客戶端發送回服務器的 TCP 確認,該速率有可能超過 80Gbps。)
F5 防火牆在 SSL 上傳輸靜態對象的速率滿足或超過了 Avalanche 測試工具的容量,其傳輸 10KB 和 512KB 對象的速率分別 17.288Gbps 和 20.919Gbps。與使用 Avalanche 工具在無防火牆環境中背靠背地進行測試相比,這兩個速率至少高出了 1Gbps。
對此差異最合理的解釋是,10200v 同所有 BIG-IP 設備一樣,是個負載均衡器。與客戶端和服務器獨立分配工作負載相比,F5 防火牆可通過檢查 Web 服務器狀態並相應地分配請求實現更高效的工作負載分配。。
在混合對象測試中,BIG-IP 10200v 傳輸明文流量的速率達到 37.486Gbps。以背靠背配置進行相同測試時,我們發現這幾乎是 Spirent Avalanche 流量生成器容量的 99.5%。
對 SSL 流量進行相同測試時,F5 防火牆的傳輸流量速度達到 12.874Gbps,相當於背靠背進行測試的 Avalanche 測試工具容量的 99.8%。因此,在這兩份測試中,10200v 傳輸流量的速率幾乎等同於其提供流量的速率。
SSL 概覽
企業有著各種需要解密 SSL 流量的充足理由。一些行業制定了要求進行流量檢查的規章。其他行業則需要對流量中的某些字段做模糊處理(例如信用卡或社會保險號)。也有些人則只是希望獲得應用流量明細比例,或者解決服務器或網絡問題。無論出於何種原因,企業對終止 SSL 連接可以進行控制,同時也可以合理地解密流量並將之傳輸給外部設備以做進一步分析,然後重新加密,讓流量恢復正常。
正如以往的測試所顯示的,問題在於 SSL 解密會帶來顯著的性能沖擊。在以往的測試中,曾出現過開始解密後速率從數萬兆急劇下降到數兆的情況。考慮到解密和加密的計算密集型特性,隨著流量速率的提升,有關性能的顧慮也隨之增加。
就 F5 防火牆而言,SSL 解密也會造成一定的性能代價,但是性能沖擊不會像以往測試中那麼顯著。例如,進行 10KB Web 對象測試時,SSL 流量速率比 17Gbps 高出一點;進行解密後,速率降低到 11.188Gbps。因此,SSL 解密肯定會帶來一定的性能沖擊,但是絕對不會再出現之前測試中速率急劇降低到數兆的情況。
速率多高?
防火牆性能的另一關鍵要素是可擴展性,這體現在兩個方面:容量和速率。我們在最多並發 TCP 連接和最高連接設置速率兩方面對 F5 防火牆進行了測試。
連接容量之所以重要,是因為單個用戶請求可能需要多次 TCP 連接。例如,由於 Web 設計趨勢、廣告服務器、流媒體服務器和其他因素,用戶對許多新站點主頁的單一請求可能需要 100 次或更多次 TCP 連接。
連接速率之所以重要,是因為網站可能會因流量的大量爆發受到沖擊。一個常見的例子是快閃,這是指某個事件(例如一款新產品上市或演唱會門票開賣)引起連接請求速率的急劇上升。另一個常見的用例是災難恢復,在災難恢復時,一組服務器出現故障會使流量傳輸到新的服務器組中。
在容量測試中,我們將 Spirent Avalanche 配置為在每次連接時從不提出 web 對象請求,在後面的測試中什麼也不做。由於默認情況下 Avalanche 不會斷開TCP 連接,因此我們能夠逐漸積累起越來越多的連接,甚至達到數百萬。
F5 稱 BIG-IP 10000v 可支持 3,600 萬條並發連接。我們的測試證實了這一點,BIG-IP 10000v 在 60 秒的時間內支持了 36,000,291 條TCP 連接。
在速率測試中,我們采用 HTTP 1.0 以確保每個