正在阅读：一次交付十万人专属 测锐捷RG-WALL 1600-X9850一次交付十万人专属 测锐捷RG-WALL 1600-X9850

实验室评测

　　本次评测地点，我们选在了中国威尔克通信实验室。中国威尔克通信实验室是公正权威的国家第三方信息通信实验室，从事网络信息安全服务、软件及信息系统评测、第三方委托检测验收、工业和信息化部电信设备进网认证检测、泰尔认证检测、行业/企业标准制定、新领域项目课题合作研究等检测评估和技术服务。

　　并且实验室作为国际电信联盟ITU-T第17研究组（安全）中国对口组组长、中国通信标准化协会（CCSA）的全权会员和理事单位、北京软件和信息服务业协会理事单位、电信终端测试技术协会(TAF)的核心成员，积极参与覆盖全信息通信领域的各项标准制定、技术研究等工作。

　　本次测试，包括了性能测试和安全功能性能测试两项。

1、性能测试

　　目前市面所见防火墙，其吞吐性能在测试过程中主要以1518大包测试性能为主，主要是市面上防火墙采用的硬件架构在1518字节上性能更加突出，防火墙作为出口设备，实际网络环境中，64-256字节数据包最多，尤其是DDOS洪水攻击，为了攻击效率都采用大量小包发起攻击，所以对于防火墙来讲小包数据处理能力才是衡量防火墙产品性能的关键。

•1.1 IPv4环境下性能测试

　　先来看下第一个测试，即设备的16个万兆口整体的性能吞吐。根据拓扑搭建环境，将被测试设备的16个10G接口分别与Testcenter一一相连，配置设备用测试仪测试防火墙的最大吞吐量，测试数据包为UDP，时间30秒。通过仪表验证，基于锐捷独有的ASIC芯片处理，产品的大包1518字节吞吐性能跟中报512字节吞吐性能及极限的小包64字节吞吐测试究竟可以达到多少呢？

　　 如上图所示，我们预设了160G的吞吐，经测试得到的结果是，大包1518字节数据包吞吐量字节测试结果达到158G，实际测试达到了宣传值的99%；中包512字节的测试结果与1518字节相同，也是跑出了99%的成绩。小包64字节测试结果达到108G,实际测试达到了宣传值的68%，证明锐捷X9850在大包中包吞吐测试中数据包没有衰减；而小包的衰减也能够控制在30%左右，成绩相当傲人。

•1.2 IPv6环境下性能测试

　　 未来会有越来越多的IPv6网络建设，所以IPv6的性能也是防火墙的一大挑战，在测试过程中我们还对锐捷防火墙的IPv6吞吐性能做了测试。

　　 锐捷网络所提供的防火墙宣称硬件为CPU+ASIC架构，AISC处理数据转发和应用安全，转发性能可以和交换机媲美，针对IPv6报文长度和字段的的变化做了特定硬件级优化，与同类产品相比，做到IPv6性能零衰减。究竟可以达到多少呢？我们一测变知。

　　 采用与IPv4同样的测试方法，我们将数据包流量改为IPv6数据包，经测试得到的结果是，大包1518字节数据包吞吐量字节测试结果达到158G，中包512字节的测试结果与1518字节相同。小包64字节测试结果达到108G,证明锐捷X9850在IPv6环境下能够提供与IPv4完全同等的效果，与宣称的硬件架构相符。

2、安全性能测试

　　 下一代防火墙与传统防火墙最大的区别就在于是否做到了多安全融合，比如融合IPS入侵防御、AV防病毒、SSL深度解密等高层安全性能，而目前世面上的防火墙在开启高级安全功能后都会出现不同程度的性能衰减，更有甚者，在仅仅开启IPS性能后整机衰减高达95%以上，所以高级安全功能开启后防火墙真实性能如何也是衡量一款下一代防火墙的关键因素，

　　 我们在威尔克实验室分别对锐捷防火墙的IPS、 AV、 SSL三大性能进行测试。

2.1 SSL深度检测测试

　　 如今大型网站都采用https方式（SSL加密）与消费者交互数据用于保护用户隐私，比如国内的淘宝、百度，国外的Google、Twitter和Facebook等等，当前，大约有三分之一的Internet流量进行了加密传输，未来几年会增长到三分之二。并且随着《网络安全法》对于个人隐私的保密要求，中国网站都会逐渐采用SSL加密方式。

　　 但这项技术成为一把双刃剑，https方式（SSL加密）带来了个人隐私，但也带来了挑战，目前隐藏于SSL传输中的攻击已经超过基于明文的攻击，SSL已经成为攻击的有效防护。不支持此功能的防火墙对用户是一个极大的“漏洞”，而支持但性能不够的防火墙，一样成了安全体系中的“摆设”

　　 目前对SSL进行拆解检测的有两种手段，软件解密或者硬件解密，而且大多数只存在于Web防火墙上面，而锐捷防火墙宣称能够在出口上就提供SSL解密，而且能够提供不俗的性能，我们实际开启SSL检测对防火墙进行测试。

　　 SSL测试性能高达23G，这也是锐捷多年以来硬件架构创新带来的，此举大大提高了黑客的入侵难度，相当于设置了两道关卡，结果证实锐捷所提供的防火墙确实提供SSL硬件解密能力。 

2.2 IPS入侵检测性能

　　 入侵防御系统IPS是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。我们在防火墙上开启IPS入侵防御模块，再此对防火墙进行测试。

　　 IPS实测性能达到56G，IPS作为高层应用协议，对设备的性能要求非常高，传统的基于路由器系统改造的防火墙开始IPS后衰减都非常大，更有甚者，开启IPS后性能下降高达95%，让下一代防火墙作为摆设，无法发挥其安全大闸的功能，锐捷防火墙的硬件架构采用专用的ASIC硬件分担CPU压力，所表现出来的IPS性能与宣称值相符。

2.3 AV防病毒性能

　　 勒索病毒无疑给我们敲响了警钟，病毒需要在出口就要遏制，传统的杀毒软件能够保护单一终端，但是勒索病毒的蔓延警示我们病毒最好能够遏制在出口，所以一款防火墙的防病毒能力也很重要

　　 AV作为纯应用层性能，开启后对于硬件性能要求更高，大部分下一代防火墙鉴于羸弱的性能一般无法开启防病毒功能，而锐捷防火墙宣称可以开启防病毒，究竟性能如何，我们再做最后的测试，在开启防病毒模块后，再此对防火墙性能进行测试。

　　 锐捷防火墙实际防病毒性能达到20G，想到这里笔者怀念起当年还是酷睿双核的年代，平均网速只有1M，实际平均吞吐仅仅有几百k的年代，装一个卡巴斯基就会被嘲笑，很容易死机，也就是说现在防火墙的防病毒功能可以轻松代替当年8万台PC实现防病毒，与锐捷所宣称的防病毒能力也是相一致的。

　　评测总结：我们看到，锐捷RG-WALL 1600-X9850全新下一代防火墙经过第三方评测室的专业科学的检测后，各项指标均符合要求甚至超出宣称值，这里我们也建议各位，在选购防火墙时不能仅参考宣称的理想环境下的测试成绩，还要注意产品的小包处理性能，延时以及安全功能启动等多种参考条件。最后，希望我们本次的客观评测能对您未来的防火墙设备选型，起到帮助意义。