（三） 100G安全产品的衡量标准

　　对于高端防火墙和IPS入侵防御等产品而言，其超高的性能、出色的可靠性和稳定性，灵活的组网能力和扩展性、以及设备的绿色环保等方面，无疑是衡量其是否出色的重要指标；而基础的性能指标参数，以及关键特性的实现程度，无疑是对高端安全产品实现程度的最直接反映，

　　1） 系统关键性能指标

　　系统的性能是对安全产品能力和网络定位的最直接的反映。

　　对于防火墙产品而言，常见的性能指标包括网络的处理时延，不同字节情况下设备的吞吐量指标，以及单板或设备的应用层性能指标典型如每秒新建连接数和最大并发连接数等等。对于IPS产品而言，除了上述参数之外，还应该包括特征库的容量以及定期更新特征库的能力。基于现有的经验数据，性能出色的防火墙和IPS等设备，其网络处理的延时平均值要控制在30us以内，以保证快速处理诸如视频语音等时延敏感型业务。

　　对于新一代防火墙产品，根据RFC的测试规范，在64bytes字节长度时，每单板的处理性能要求达到20Gbps吞吐量的水平。对于那些宣称大包20Gbps性能的产品，由于实际网络中的流量不可能是全部由大包构成，因此其在实际部署时会大打折扣，并不能真正做到对20G实际流量的处理；对于IPS产品而言，在模拟真实环境、保证对攻击特征的高识别率的情况下的系统性能是否可以达到10Gbps的设计要求；在系统部署了多块业务模块的情况下，整机的性能要求做到线性的增长，以实现对性能的平滑扩容。同时，对于并发连接数/每秒新建连接数，应用层吞吐量（HTTP、FTP、SMTP等业务）以及混合业务吞吐量等应用层信息指标，应该也有明确的要求，这些应用层的性能指标可以作为系统在真实情况下的处理能力的最直接的参考。

　　2） 关键特性的实现程度

　　除了性能指标之外，高端防火墙和IPS等安全产品的关键特性的处理能力和实现程度，也是衡量设备是否成功的重要标准。

　　如虚拟化的实现，根据其典型的应用场合，在数据中心多租户共享的情况下，防火墙和IPS等安全设备的虚拟化能力是非常重要的指标。要想做到真正的虚拟化并实现对设备资源的灵活分配和调整，需要从以下几个方面来进行衡量：设备可以支持的虚拟化数目，每个虚拟化实例的CPU的资源任意分配指定、内存资源划分定义、设备新建连接数目和并发连接数可以根据用户的需求配置、以及在每个虚拟实例下，各种安全策略的数目分配、安全域的数目分配、NAT资源的分配等等；对于IPS产品，各虚拟实例的license特征库可以单独激活或升级。同时，还需要考虑到针对各个虚拟设备进行独立的配置管理的需要，需要考虑对各个虚拟设备的安全事件独立分析和监控的需要。如果设备的虚拟化实现非常完整，才可以真正实现对设备资源的灵活调整；

　　现阶段的高端安全产品如防火墙和IPS走向100G,应该还是在初期的阶段，市场的用户需求还需要继续挖掘和培育，产品的功能、性能和稳定性等方面也还需要继续完善和提升，尤其是对IPS产品而言，因为其本身在深度报文处理环节上的复杂性，相对防火墙还有更长的路要走。随着用户需求的逐步成熟，产品技术的不断进步，安全产品的100G时代终将到来。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。