hillstone sa

《hillstone sa》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、HillstoneSA　　08年10月28日，Hillstone正式发布了电信级万兆安全网关SA-5180，完成了从桌面到万兆核心骨干网级别的产品布局。该公司同时宣布，将与业界知名的防病毒解决方案提供商卡巴斯基合作，利用其高效、完善的病毒库，为SA系列安全网关增加防病毒特性。与传统的纯软件解决方式不同，Hillstone自主研发的防病毒引擎在高性能多核平台的基础上，借助专用安全芯片StoneASIC，可实现更高的处理能力。计算机世界实验室第一时间从Hillstone征集到新版本的SA系列产品，对加入防病毒特性后的应用层安全性能进行了深入测试。　　图片看不清楚？请点击这里查看原图（

2、大图）。　　本次我们测试的产品是SA-5050，这也是SA系列千兆安全网关中最高端的型号。该产品采用了Hillstone所倡导的多核Plus硬件架构，将多核网络处理器、StoneASIC与高性能交换芯片进行合理搭配，减少了应用环境对性能带来的影响。虽然只是个标准的1U设备，SA-5050却提供了6个千兆电口与6组千兆光电互斥接口，网络接入能力较强。该产品还配备了互为冗余的两组电源，并支持主/备的双机冗余部署方式，为电信级应用做好准备。　　图片看不清楚？请点击这里查看原图（大图）。　　　SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议，可以对C

3、RYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤。对于现实中大量存在的压缩文件，防病毒引擎也可以做到最多5层还原检测，避免病毒从这种途径混入内部网络。为保证测试结果的时效性，我们在测试开始前将SA-5050的防病毒引擎与病毒库升级至11月6日的最新版本。　　本次测试采用的测试仪表为思博伦通信的Avalanche2900，采用双向共8个千兆电口的配置。SA-5050采用8个端口进行对接，分为Trust（4口）与Untrust（4口）两个安全域，分别连接测试仪模拟的客户端与服务端。为避免性能受到影响，在测试时关闭了所涉及模块外的

4、一切功能选项，并采用带外管理的方式监控被测设备。　　需求主导的测试方案　　在制订测试方案时，我们进行了一系列用户需求调查。从反馈信息中了解到，电信运营商对性能有着特殊的要求，通常会采用独立的设备构建完整的安全防护体系。而企业与高校则是最关注安全网关应用层防护能力的两类用户，它们的需求十分复杂，甚至拓展到防病毒以外的其他领域。我们根据这些信息制订了两个测试用例，着重模拟企业与高校用户的使用环境，对SA-5050的应用层安全性能进行测试。　　图片看不清楚？请点击这里查看原图（大图）。　　　第一个测试用例是关于防病毒性能的基准测试，考察设备在1000条防火墙策略、源端口地址转换模式下，

5、模拟每秒40000个用户访问控制与URL过滤模块，加载屏蔽BT、eMule、、MSN四种常见应用和10个URL关键字的策略，模拟每秒31000个用户访问产品做网关，对于设备的使用现状，这位老师并不是很满意。现在通过互联网下载的文件越来越大，我们发现UTM扫描大文件时，性能下降太明显。这个信息让我们很受启发，既然实际需求的变化暴露出安全网关的一些弱点，不妨再做一下有针对性的测试。　　我们沿用第二个测试用例的环境，将模拟服务端使用的64KB页面换成一个1.16MB大小的可执行文件，进行了多次测试。SA-5050此时最大吞吐量达到1.8Gbps左右，被扫描文件体积的增加并未对设备的防病

6、毒性能造成明显影响。通过与Hillstone工程师的交流，我们得知SA系列产品发挥了高性能硬件平台的优势，将文件接收、文件扫描、文件发送等环节同步地并行处理，减少了传统处理机制造成的低效率、高延迟等情况。　　虽然从测试数据看，SA-5050表现出来的应用层性能尚不及2-4层性能指标那样夺目，却已经可以满足多数企业、高校类用户的实际需要。这是对传统瓶颈的一次突破，在高性能硬件平台与新版系统软件的支持下，HillstoneSA-5050包括防病毒在内的应用层处理能力已大大超越了传统意义上的防毒墙或UTM产品，达到一个新的高度。友情提醒：，特别！