你知道嗎?目前世界上90%以上的數(shù)據(jù)都是最近幾年才產(chǎn)生的,而互聯(lián)網(wǎng)上的數(shù)據(jù)則正在以每年50%的速度高速增長(zhǎng)著,即每?jī)赡昃蛯⒎环T?ldquo;大數(shù)據(jù)”時(shí)代,數(shù)據(jù)具備量大、流速高、種類繁多、非結(jié)構(gòu)化強(qiáng)等一系列特點(diǎn),這也使得承載“大數(shù)據(jù)”的數(shù)據(jù)中心面臨著前所未有的挑戰(zhàn)——除了要提升處理、分析海量且多樣的數(shù)據(jù)的能力外,更要滿足網(wǎng)絡(luò)帶寬爆炸性增長(zhǎng)的需求,同時(shí)全面保證數(shù)據(jù)的安全。因此,為了更好地適應(yīng)“大數(shù)據(jù)”時(shí)代的變化,數(shù)據(jù)中心也亟需跨入一個(gè)全新的時(shí)代——T級(jí)安全防護(hù)時(shí)代,為“大數(shù)據(jù)”的安全保駕護(hù)航。
而提到T級(jí)安全防護(hù),就不得不提華為發(fā)布的業(yè)界首款T級(jí)高性能數(shù)據(jù)中心防火墻——USG9500系列。作為一款“跨時(shí)代”的防火墻產(chǎn)品,華為USG9500系列自問世以來就備受業(yè)界的關(guān)注,并在2014年業(yè)界權(quán)威第三方安全測(cè)評(píng)機(jī)構(gòu)美國(guó)NSS實(shí)驗(yàn)室公組織的業(yè)界首個(gè)數(shù)據(jù)中心防火墻的公測(cè)中,成功通過了基于“數(shù)據(jù)中心防火墻測(cè)試方法學(xué)”的測(cè)試,成為了業(yè)界“最快的防火墻”;同時(shí)正式“加冕”為業(yè)界首款經(jīng)過第三方認(rèn)證的T級(jí)數(shù)據(jù)中心防火墻。那么這款“業(yè)界最快的防火墻”究竟是如何煉成的呢?現(xiàn)在就為你揭曉答案!
· “NP+多核+分布式”創(chuàng)新架構(gòu),使性能達(dá)到
華為USG9580是華為USG9500系列數(shù)據(jù)中心防火墻產(chǎn)品的最高型號(hào)產(chǎn)品,擁有16個(gè)擴(kuò)展槽位;支持GE、10GE、40GE、100GE等接口類型(支持高密度接口板,單板可支持48個(gè)GE或10個(gè)10GE接口;同時(shí)可支持單口40G/100G板卡);理論吞吐量性能可達(dá)960Gbps(即T級(jí)水準(zhǔn))。而為了驗(yàn)證其T級(jí)性能,NSS實(shí)驗(yàn)室在實(shí)測(cè)時(shí)為USG9580數(shù)據(jù)中心防火墻配備了多達(dá)100個(gè)10GE接口和6個(gè)下一代高性能安全業(yè)務(wù)模塊。測(cè)試結(jié)果顯示,在報(bào)文大小分別為達(dá)到512、1024和1514字節(jié)的UDP測(cè)試中,華為USG9580防火墻可實(shí)現(xiàn)96個(gè)10GE接口的線速吞吐量,即真正達(dá)到了960Gbps的理論性能。
而華為USG9580數(shù)據(jù)中心防火墻能擁有如此出色的性能,正是得益于其采用的革命性的“NP+多核+分布式”架構(gòu)。相比目前業(yè)界主流防火墻所采用的傳統(tǒng)架構(gòu)(即采用單顆CPU支撐業(yè)務(wù)轉(zhuǎn)發(fā)的方式),USG9500系列的‘NP+多核+分布式’創(chuàng)新架構(gòu)將多顆多核CPU集成在一塊業(yè)務(wù)板卡上,優(yōu)化了業(yè)務(wù)流量在分布式多CPU平臺(tái)上的分流哈希算法,并憑借創(chuàng)新的風(fēng)道設(shè)計(jì)解決了如此高密度處理下的功耗和散熱的問題,從而將USG9500系列防火墻的處理性能提升到了T級(jí)。
USG9500系列的‘NP+多核+分布式’創(chuàng)新架構(gòu)不僅使其具備T級(jí)吞吐能力,更使其在真實(shí)環(huán)境(即在在處理L4-7層的復(fù)雜流量時(shí))應(yīng)用中的表現(xiàn),相比“傳統(tǒng)架構(gòu)”的優(yōu)勢(shì)更加明顯。NSS實(shí)驗(yàn)室針對(duì)USG9580防火墻的“Real-World真實(shí)流量組合”測(cè)試就很好的印證了這一點(diǎn)!
· 多種業(yè)務(wù)場(chǎng)景表現(xiàn)穩(wěn)定出色
該測(cè)試?yán)貌煌膮f(xié)議組合基于被測(cè)設(shè)備的預(yù)定位置(網(wǎng)絡(luò)核心或邊界)來反映真實(shí)的用戶使用場(chǎng)景。NSS實(shí)驗(yàn)室選擇了常見的5種數(shù)據(jù)中心業(yè)務(wù)場(chǎng)景(金融、虛擬化、移動(dòng)APP、WEBAPP、ISP)進(jìn)行了驗(yàn)證,華為USG9580在這些業(yè)務(wù)模型下均測(cè)試出了390Gbps左右的高性能表現(xiàn)。而需要特別說明的是,根據(jù)NSS實(shí)驗(yàn)室測(cè)試方法學(xué)的規(guī)定,TCP測(cè)試流量只在單方向發(fā)送,因此測(cè)試時(shí)每對(duì)端口的吞吐量限制在了10Gbps(96個(gè)萬兆端口變?yōu)?8對(duì)萬兆端口),即最高理論吞吐量應(yīng)為480Gbps。也就是說,華為USG9580的實(shí)測(cè)表現(xiàn)已經(jīng)非常接近理論性能!
對(duì)于華為USG9580數(shù)據(jù)中心防火墻在測(cè)試中的優(yōu)異表現(xiàn),NSS實(shí)驗(yàn)室CEO,Vikram Phatak這樣評(píng)價(jià)道:“華為USG9580數(shù)據(jù)中心防火墻是目前我們所測(cè)試過的業(yè)界最快的防火墻。我們相信,安全領(lǐng)域?qū)<液腿魏螘?huì)考慮華為解決方案的客戶將對(duì)我們的測(cè)試結(jié)果非常感興趣。”
的確,通過NSS實(shí)驗(yàn)室的性能實(shí)測(cè),華為USG9580數(shù)據(jù)中心防火墻的T級(jí)吞吐性能得到了完美展示。在全球數(shù)據(jù)中心流量急速上升的今天(年復(fù)合增長(zhǎng)率達(dá)31%),華為USG9580作為數(shù)據(jù)中心的安全“防護(hù)者”,以T級(jí)性能應(yīng)對(duì)大數(shù)據(jù)流量和網(wǎng)絡(luò)帶寬爆炸性的增長(zhǎng),全面消除了業(yè)務(wù)互聯(lián)互通的瓶頸,成為了T級(jí)安全防護(hù)時(shí)代的性能標(biāo)桿!
· 安全有效性、穩(wěn)定與可靠性、可管理性、TCO多項(xiàng)指標(biāo)同樣出色
除了T級(jí)性能的驗(yàn)證外,NSS實(shí)驗(yàn)室“數(shù)據(jù)中心測(cè)試方法學(xué)”還考察了華為USG9580防火墻的多方面指標(biāo):包括安全有效性、穩(wěn)定性與可靠性、可管理性以及TCO(總體擁有成本)等等。其中在安全有效性測(cè)試中,NSS實(shí)驗(yàn)室對(duì)華為USG9580進(jìn)行了基線配置測(cè)試、復(fù)雜真實(shí)業(yè)務(wù)下多域配置測(cè)試、策略測(cè)試、應(yīng)用協(xié)議和檢測(cè)引擎測(cè)試等。得益于USG9580全面的安全防護(hù)能力(支持NAT及URL溯源、虛擬化、VPN、IPS、Anti-DDoS、應(yīng)用識(shí)別、智能選路、負(fù)載均衡等功能),特別是基于數(shù)據(jù)包協(xié)議分析和特征匹配技術(shù)的應(yīng)用識(shí)別能力,其順利的通過了全部測(cè)試項(xiàng)目。NSS實(shí)驗(yàn)室的測(cè)試結(jié)果顯示,指定流量成功通過,其余流量均被拒絕,日志系統(tǒng)記錄了適當(dāng)?shù)娜罩颈眄?xiàng)。也就是說,USG9580實(shí)現(xiàn)了數(shù)據(jù)中心的網(wǎng)絡(luò)數(shù)據(jù)的透明可視化,為應(yīng)用安全的防護(hù)提供了可靠保證!
而在穩(wěn)定性與可靠性的測(cè)試中,華為USG9580能夠100%阻斷之前已經(jīng)阻斷的流量,并發(fā)送針對(duì)所有被阻斷流量的告警,順利的通過了阻斷長(zhǎng)時(shí)間攻擊、在長(zhǎng)時(shí)間攻擊情況下正常轉(zhuǎn)發(fā)合法流量、以及協(xié)議模糊和變異的測(cè)試。與此同時(shí),憑借HRP/HA/鏈路捆綁、關(guān)鍵部件冗余等技術(shù)保障,華為USG9580還順利通過了電源故障測(cè)試、冗余測(cè)試、以及數(shù)據(jù)持久性測(cè)試。防火墻作為數(shù)據(jù)中心中的直連設(shè)備,華為深知其穩(wěn)定性和可靠性的重要性,因此在華為USG9580在設(shè)計(jì)之初即參考了運(yùn)營(yíng)商級(jí)的高標(biāo)準(zhǔn),而NSS實(shí)驗(yàn)室的測(cè)試結(jié)果也很好的驗(yàn)證了其出眾的穩(wěn)定性與可靠性。
華為USG9580雖是一款定位高端的T級(jí)防火墻,但其在管理與配置方面的表現(xiàn)同樣出色——提供了CLI、WebUI、SNMP等多種手段操作,既可通過單臺(tái)設(shè)備自帶的sWEB系統(tǒng)登錄維護(hù),也可通過華為eSight專業(yè)網(wǎng)管軟件統(tǒng)一維護(hù),從而有效降低后期運(yùn)維的工作量;與此同時(shí),針對(duì)企業(yè)原有安全策略難以維護(hù)、簡(jiǎn)化的問題,USG9580還通過命中率分析,冗余分析等實(shí)現(xiàn)了策略精簡(jiǎn),至少可以幫助運(yùn)維人員減少30%的工作量;诖,華為USG9580也順利的通過了NSS實(shí)驗(yàn)室嚴(yán)格的管理與配置測(cè)試。
通過NSS實(shí)驗(yàn)室基于“數(shù)據(jù)中心測(cè)試方法學(xué)”的全方位測(cè)試,華為USG9580數(shù)據(jù)中心防火墻展現(xiàn)了領(lǐng)先業(yè)界的安全防護(hù)能力,同時(shí)也讓全球安全市場(chǎng)(特別是發(fā)達(dá)國(guó)家和地區(qū)的企業(yè))對(duì)于華為的品牌和安全產(chǎn)品有一個(gè)新的認(rèn)知。對(duì)此,華為美國(guó)CSO,Andy Purdy指出:“我們很高興與全球安全領(lǐng)域分享美國(guó)NSS實(shí)驗(yàn)室的獨(dú)立測(cè)評(píng)結(jié)果,我們堅(jiān)信,像NSS實(shí)驗(yàn)室這樣的擁有良好聲譽(yù)的權(quán)威獨(dú)立的第三方測(cè)評(píng)機(jī)構(gòu)對(duì)ICT產(chǎn)品所做的測(cè)評(píng)具有巨大的價(jià)值。這種獨(dú)立測(cè)評(píng)應(yīng)該在全球ICT產(chǎn)業(yè)內(nèi)得到更多的應(yīng)用,事實(shí)上,也應(yīng)該成為公認(rèn)的有效風(fēng)險(xiǎn)管理的基石,因?yàn)槠髽I(yè)在購(gòu)買平臺(tái)或產(chǎn)品時(shí)需要從業(yè)界獲得相關(guān)建議、建立對(duì)該平臺(tái)或產(chǎn)品的信心。”
當(dāng)然,作為數(shù)據(jù)中心建設(shè)的決策者,除了要關(guān)注產(chǎn)品的性能(能力)外,還要考慮到建設(shè)的成本,即希望投資價(jià)值回報(bào)率最大化。為此,NSS實(shí)驗(yàn)室還特別計(jì)算了華為USG9580的每Mbps總體擁有成本(TCO),計(jì)算公式如下:
3年TCO(含三年生命周期內(nèi)的初期采購(gòu)成本和后期維護(hù)成本)/NSS實(shí)驗(yàn)室所測(cè)吞吐量Mbps= 每Mbps總體擁有成本
通過計(jì)算,華為USG9580提供了極具競(jìng)爭(zhēng)力的性能與價(jià)格比,每Mbps總體擁有成本僅為1.74美元。試想一下,如果一款價(jià)格相對(duì)便宜的產(chǎn)品所提供的性能大大低于比其略微昂貴的產(chǎn)品提供的性能,這種便宜產(chǎn)品的投資價(jià)值回報(bào)率一定不高。特別是對(duì)于防火墻這種數(shù)據(jù)中心建設(shè)中的關(guān)鍵設(shè)備,其核心價(jià)值是實(shí)現(xiàn)低TCO的同時(shí)提供高吞吐量,就像華為USG9580數(shù)據(jù)中心防火墻一樣。所以說,華為USG9580不僅僅是T級(jí)安全防護(hù)時(shí)代引領(lǐng)者,更是全球下一代數(shù)據(jù)中心建設(shè)的理想之選!