文/PConline

互联网的急剧发展，，，，，，，在为我们提供便捷的同时，，，，，，，也带来了更多更为复杂的安全问题。。。。。。若要把守网络咽喉，，，，，，，传统防火墙产品，，，，，，，显然已经力不从心，，，，，，，因而，，，，，，，下一代防火墙应势而生。。。。。。我们说，，，，，，，下一代防火墙并不是单一的职能堆砌和机能叠加，，，，，，，而要做到真正的集成，，，，，，，贴切网络环境与用户需要。。。。。。

另一方面，，，，，，，随着带宽与网速的提升，，，，，，，出口网络规模也由百兆、千兆升级到了万兆，，，，，，，网络在升级，，，，，，，但大无数的防火墙虽也进行了迭代更新，，，，，，，实则却是止步不前，，，，，，，官宣参数与现实成效相差甚远。。。。。。究其原因，，，，，，，在现实网络环境中，，，，，，，64-256字节数据包最多，，，，，，，因而幼包数据处置能力才是衡量防火墙产品机能的关键地点。。。。。。

本期，，，，，，，我们收到的送测产品是全发国际的RG-WALL 1600-X9850全新下一代防火墙，，，，，，，不仅幼包机能强劲，，，，，，，此表还选取了整体设计，，，，，，，一次交付，，，，，，，更能轻松满足10万人得到出口需要，，，，，，，让我们连忙一路来相识一下吧！

让我们先来大体相识一下该款产品。。。。。。全发国际RG-WALL 1600-X9850选取CPU+ASIC硬件架构，，，，，，，突破了X86及mips架构的机能瓶颈，，，，，，，融合全发国际安全多年来的技术堆集，，，，，，，机能轻松满足10万人的出口需要。。。。。。对于业务和接口，，，，，，，摒弃了复杂的？？？？？？？榛杓，，，，，，，全数集成于主机上，，，，，，，无需额表的硬件配置即可享受高机能、多业务，，，，，，，丰硕的接口。。。。。。同时，，，，，，，固化硬件配置、冗余电源、冗余电扇，，，，，，，实现99.999%的电信级靠得住性。。。。。。

1、全发国际RG-WALL 1600-X9850下一代防火墙的价值地点？？？？？？？

首先，，，，，，，全发国际X9850选取 X86CPU+ASIC硬件架构，，，，，，，幼包机能可达整机机能的70%左右，，，，，，，幼包机能强劲，，，，，，，还能为用户提供更靠得住的安整个验。。。。。。

其次，，，，，，，全发国际X9850的利用层安全机能由多个ASIC芯片协助CPU处置，，，，，，，各职能基于ASIC芯片硬件加快，，，，，，，单颗ASIC芯片就能提供高达40Gbps的IPv4和IPv6防火墙机能。。。。。。针对利用层安全，，，，，，，全发国际X9850的硬件架构同时宣称可能确保用户开启SSL深度检测，，，，，，，入侵检测、病毒防护等安全？？？？？？？楹笠廊豢赡鼙Ｏ兆愎坏幕，，，，，，，保险利用层安全。。。。。。

最后，，，，，，，由于主机状态为尺度的3U设备，，，，，，，占地幼更节俭机房空间，，，，，，，且操作方便，，，，，，，机能比更高；；；；；；；此表，，，，，，，全发国际X9850为用户提供了4个40 GE QSFP接口，，，，，，，20个10 GE SFP+/GE SFP接口，，，，，，，以及8个10 GE SFP+接口，，，，，，，接口丰硕，，，，，，，可满足多链路场景，，，，，，，还可为将来的扩大预留接口。。。。。。整机功耗均匀725W，，，，，，，节能的同时提高投资收益。。。。。。

好了，，，，，，，此刻我们对全发国际X9850已有了大体的相识，，，，，，，到底机能若何，，，，，，，口说无凭，，，，，，，顿时进入下一帕——尝试室评测。。。。。。

2、尝试室评测

本次评测地址，，，，，，，我们选在了中国威尔克通讯尝试室。。。。。。中国威尔克通讯尝试室是公正权威的国度第三方信息通讯尝试室，，，，，，，从事网络信息安全服务、软件及信息系统评测、第三方委托检考试收、工业和信息化部电信设备进网认证检测、泰尔认证检测、行业/企业尺度造订、新领域项目课题合作钻研等检测评估和技术服务。。。。。。

并且尝试室作为国际电信同盟ITU-T第17钻研组（安全）中国对口组组长、中国通讯尺度化协会（CCSA）的全权会员和理事单元、北京软件和信息服务业协会理事单元、电信终端测试技术协会(TAF)的主题成员，，，，，，，积极参加覆盖全信息通讯领域的各项尺度造订、技术钻研等工作。。。。。。

本次测试，，，，，，，蕴含了机能测试和安全职能机能测试两项。。。。。。

1、机能测试

目前市面所见防火墙，，，，，，，其吞吐机能在测试过程中重要以1518大包测试机能为主，，，，，，，重要是市面上防火墙选取的硬件架构在1518字节上机能越发凸起，，，，，，，防火墙作为出口设备，，，，，，，现实网络环境中，，，，，，，64-256字节数据包最多，，，，，，，尤其是DDOS洪水攻击，，，，，，，为了攻击效能都选取大量幼包提议攻击，，，，，，，所以对于防火墙来讲幼包数据处置能力才是衡量防火墙产品机能的关键。。。。。。

1.1 IPv4环境下机能测试

先来看下第一个测试，，，，，，，即设备的16个万兆口整体的机能吞吐。。。。。。凭据拓扑搭建环境，，，，，，，将被测试设备的16个10G接口别离与Testcenter逐一相连，，，，，，，配置设备用测试仪测试防火墙的最大吞吐量，，，，，，，测试数据包为UDP，，，，，，，功夫30秒。。。。。。通过仪表验证，，，，，，，基于全发国际独有的ASIC芯片处置，，，，，，，产品的大包1518字节吞吐机能跟中报512字节吞吐机能及极限的幼包64字节吞吐测试到底能够达到几多呢？？？？？？？

如上图所示，，，，，，，我们预设了160G的吞吐，，，，，，，经测试得到的了局是，，，，，，，大包1518字节数据包吞吐量字节测试了局达到158G，，，，，，，现实测试达到了宣传值的99%；；；；；；；中包512字节的测试了局与1518字节一样，，，，，，，也是跑出了99%的成就。。。。。。幼包64字节测试了局达到108G,现实测试达到了宣传值的68%，，，，，，，证明全发国际X9850在大包中包吞吐测试中数据包没有衰减；；；；；；；而幼包的衰减也可能节造在30%左右，，，，，，，成就相当傲人。。。。。。

1.2 IPv6环境下机能测试

将来会有越来越多的IPv6网络建设，，，，，，，所以IPv6的机能也是防火墙的一大挑战，，，，，，，在测试过程中我们还对全发国际防火墙的IPv6吞吐机能做了测试。。。。。。

全发国际网络所提供的防火墙宣称硬件为CPU+ASIC架构，，，，，，，AISC处置数据转发和利用安全，，，，，，，转发机能能够和互换机媲美，，，，，，，针对IPv6报文长度和字段的的变动做了特定硬件级优化，，，，，，，与同类产品相比，，，，，，，做到IPv6机能零衰减。。。。。。到底能够达到几多呢？？？？？？？我们一测变知。。。。。。

 选取与IPv4同样的测试步骤，，，，，，，我们将数据包流量改为IPv6数据包，，，，，，，经测试得到的了局是，，，，，，，大包1518字节数据包吞吐量字节测试了局达到158G，，，，，，，中包512字节的测试了局与1518字节一样。。。。。。幼包64字节测试了局达到108G,证明全发国际X9850在IPv6环境下可能提供与IPv4齐全一致的成效，，，，，，，与宣称的硬件架构相符。。。。。。

2、安全机能测试

下一代防火墙与传统防火墙最大的区别就在因而否做到了多安全融合，，，，，，，好比融合IPS入侵防御、AV防病毒、SSL深度解密等高层安全机能，，，，，，，而目前世面上的防火墙在开启高级安全职能后城市出现分歧水平的机能衰减，，，，，，，更有甚者，，，，，，，在仅仅开启IPS机能后整机衰减高达95%以上，，，，，，，所以高级安全职能开启后防火墙真实机能若何也是衡量一款下一代防火墙的关键成分。。。。。。

我们在威尔克尝试室别离对全发国际防火墙的IPS、 AV、 SSL三大机能进行测试。。。。。。

2.1 SSL深度检测测试

如今大型网站都选取https方式（SSL加密）与消费者交互数据用于；；；；；；；び没б衷，，，，，，，好比国内的淘宝、百度，，，，，，，国表的Google、Twitter和Facebook等等，，，，，，，当前，，，，，，，约莫有三分之一的Internet流量进行了加密传输，，，，，，，将来几年会增长到三分之二。。。。。。并且随着《网络安全法》对于幼我隐衷的保密要求，，，，，，，中国网站城市逐步选取SSL加密方式。。。。。。

但这项技术成为一把双刃剑，，，，，，，https方式（SSL加密）带来了幼我隐衷，，，，，，，但也带来了挑战，，，，，，，目前暗藏于SSL传输中的攻击已经超过基于明文的攻击，，，，，，，SSL已经成为攻击的有效防护。。。。。。不支持此职能的防火墙对用户是一个极大的“缝隙”，，，，，，，而支持但机能不够的防火墙，，，，，，，一样成了安整个系中的“陈设”。。。。。。

目前对SSL进行拆解检测的有两种伎俩，，，，，，，软件解密或者硬件解密，，，，，，，并且大无数只存在于Web防火墙上面，，，，，，，而全发国际防火墙宣称可能在出口上就提供SSL解密，，，，，，，并且可能提供不俗的机能，，，，，，，我们现实开启SSL检测对防火墙进行测试。。。。。。

SSL测试机能高达23G，，，，，，，这也是全发国际多年以来硬件架构创新带来的，，，，，，，此举大大提高了黑客的入侵难度，，，，，，，相当于设置了两路关卡，，，，，，，了局证实全发国际所提供的防火墙的确提供SSL硬件解密能力。。。。。。

2.2 IPS入侵检测机能

入侵防御系统IPS是一部可能监督网络或网络设备的网络资料传输行为的推算机网络安全设备，，，，，，，可能即时的中断、调整或隔离一些不正；；；；；；；蚴怯涤兄猩诵缘耐缱柿洗湫形。。。。。。我们在防火墙上开启IPS入侵防御？？？？？？？，，，，，，，再此对防火墙进行测试。。。。。。

IPS实测机能达到56G，，，，，，，IPS作为高层利用和谈，，，，，，，对设备的机能要求极度高，，，，，，，传统的基于路由器系统刷新的防火墙起头IPS后衰减都极度大，，，，，，，更有甚者，，，，，，，开启IPS后机能降落高达95%，，，，，，，让下一代防火墙作为陈设，，，，，，，无法阐扬其安全大闸的职能，，，，，，，全发国际防火墙的硬件架构选取专用的ASIC硬件分管CPU压力，，，，，，，所阐发出来的IPS机能与宣称值相符。。。。。。

 2.3 AV防病毒机能

勒索病毒无疑给我们敲响了警钟，，，，，，，病毒必要在出口就要遏造，，，，，，，传统的杀毒软件可能；；；；；；；さヒ恢斩，，，，，，，但是勒索病毒的舒展警示我们病毒最好可能遏造在出口，，，，，，，所以一款防火墙的防病毒能力也很沉要。。。。。。

 AV作为纯利用层机能，，，，，，，开启后对于硬件机能要求更高，，，，，，，大部门下一代防火墙鉴于羸弱的机能通常无法开启防病毒职能，，，，，，，而全发国际防火墙宣称能够开启防病毒，，，，，，，那么机能若何，，，，，，，我们再做最后的测试，，，，，，，在开启防病毒？？？？？？？楹，，，，，，，再此对防火墙机能进行测试。。。。。。

全发国际防火墙现实防病毒机能达到20G，，，，，，，想到这里笔者纪想起昔时还是酷睿双核的年代，，，，，，，均匀网速只有1M，，，，，，，现实均匀吞吐仅仅有几百k的年代，，，，，，，装一个卡巴斯基就会被冷笑，，，，，，，很容易死机，，，，，，，也就是说此刻防火墙的防病毒职能能够轻松包办昔时8万台PC实现防病毒，，，，，，，与全发国际所宣称的防病毒能力也是相一致的。。。。。。

3、评测总结

我们看到，，，，，，，全发国际X9850经过第三方评测室的专业科学的检测后，，，，，，，各项指标均切合要求甚至超出宣称值。。。。。。这里我们也建议各位，，，，，，，在选购防火墙时不能仅参考宣称的梦想环境下的测试成就，，，，，，，还要把稳产品的幼包处置机能，，，，，，，延时以及安全职能启动等多种参考前提。。。。。。最后，，，，，，，但愿我们本次的客观评测能对您将来的防火墙设备选型，，，，，，，起到援手意思。。。。。。

您思考使用100G以上的高机能下一代防火墙有哪些困扰？？？？？？？您想亲自测试一下高机能防火墙9850吗？？？？？？？连忙点击左下角“阅读原文”填写问卷吧！前3名测试者将获得乐扣乐扣保温杯1个。。。。。。

阅读原文