F5数据中心防火墙在性能测试中表现出色

www.net130.com     日期:2013-8-26    浏览次数:
出处:CNW.com.cn

在拥有大型数据中心、多个10G以太网管道、负载均衡器的情况下,网络架构师真的需要防火墙吗?还需要购买另一件设备,并承受可能的性能冲击吗?

在 F5 Networks 看来并不需要。该公司称其 BIG-IP 10200v 平台具备高级防火墙管理器 (AFM),能够以 80-Gbps 的速率处理流量,屏蔽并保护数以千万计的连接,同时对服务器流量进行负载均衡。

在此次测试中,我们对此进行了测试。F5 防火墙性能出色,拥有最高的网络容量,同时可提供成熟的过滤和攻击保护功能。在某些情况下,安装防火墙后流量速率将高于未安装时,这也许是因为 F5 设备能更高效地管理服务器负载。

虽然 F5 以其 BIG-IP 应用交付控制器 (ADC) 而闻名,它也在稳步地丰富其安全性套件,尤其是面向数据中心。BIG-IP 10200v于今年上半年在全球市场推出,是该系列中的第二大平台,其2RU的外形中包含16个10G以太网接口和2个40G以太网接口。唯一一个比其更大的装置是基于机箱的 Vipiron 4800。

 

虽然对于下一代防火墙的关注主要放在提供出色的客户端保护上,但F5却着眼于BIG-IP 10200v在数据中心的应用,为服务器提供保护。以极高的速率添加状态防火墙功能是该战略的一部分。

另一部分是 iRules,这一现有特性支持用户根据 HTTP 和 HTTPS 标头来检查、修改并重新路由流量。IRules 使用的语法类似于许多脚本语言。对缺乏编写脚本技能的网络管理员而言,F5 设备包括一些面向普通任务的模版iRule,如将 HTTP 请求重定向到 HTTPS 或在 Windows Mobile 用户更改 Active Directory 密码但未更改移动设备密码时防止其被屏蔽。

防火墙和 iRules 都可通过命令行或 Web 界面进行配置。F5 负载均衡器的用户可能会觉得 Web 界面似曾相识。没有 F5 设备使用经验的用户也会发现 Web 用户界面十分易于导航。

另一项服务器保护特性是内建的拒绝服务攻击 (DoS) 保护。该设备包含将近40 个 DoS 过滤器,并全部默认为启动。这些过滤器运行于第 2-4 层上,同时覆盖 IPv4 和 IPv6。(该防火墙也能处理 IPv6 流量,但由于时间限制,我们只能用 IPv4 流量进行测试。)

更多 DoS 保护依赖于IP 智能特性,它可识别并拦截不同种类威胁的 IP 地址。使用来自全球传感器网络的信息,IP 智能还能拦截僵尸网络、Windows 漏洞、钓鱼漏洞及其他种类威胁的流量。IP 智能不是默认启动,在性能测试中我们不使用这一特性。

这些特性都是 F5 高级防火墙管理器 (AFM) 软件包的一部分。F5 单独销售一款应用安全管理器 (ASM) 软件包,其中包括应用检查和入侵检测,但我们不对其进行测试。因此,对希望一台设备同时包含防火墙和负载均衡器的最终用户而言,BIG-IP 10200v 是最合适的方案。但是,如果您正寻找一体式的安全设备,您需要购买其他的 ASM 软件包。

本新闻共3页,当前在第1页  1  2  3  

分享道
相关新闻