|
Web安全(服務器租用找:51033397)網關是Gartner在其2008年的報告中所重點提及的邊界應用安全(服務器租用找:51033397)網關。其主要功能包括防病毒�、URL過濾����、Internet應用控制和帶寬管理等�。下面,我們將對web安全(服務器租用找:51033397)網關的相關性能指標進行一一分析解讀,希望能對廣大消費者選購web安全(服務器租用找:51033397)網關提供一個幫助���。
一、防病毒處理能力
網關防病毒主要針對HTTP/HTTPS、FTP、SMTP��、POP3等協議流量進行雙向的過濾掃描�,來達到對企業內網用戶和億恩科技服務器的保護����,并防止內網已感染病毒的客戶端和億恩科技服務器對外擴散病毒�����。隨著Internet����,尤其是Http應用的日益普及發展�,使得越來越多的企業應用轉為了B/S構架��,借助HTTP協議的方便和易用提高企業效率����。同時Internet上無窮無盡的各類資源��、虛擬社區���、Web游戲等等使得內網用戶訪問Internet 的需求在不斷增加��,Web應用已經成為客戶的最主要流量;而安全(服務器租用找:51033397)網關作為內外網之間的唯一數據通道��,如果吞吐量太小,就會成為網絡瓶頸�,給整個網絡的傳輸效率帶來負面影響����。因此��,考察網關的HTTP吞吐能力將有助于我們更好的評價其性能,這里需要注意的是網關防病毒關鍵性能是HTTP的吞吐量����,而不是 UDP的吞吐量,企業在選購產品時一定要搞清楚這兩個吞吐量的差別�。UDP吞吐量代表的是整個設備的包轉發能力,而網關防病毒針對的是具體應用協議和數據內容的掃描與檢測性能�,因此對于網關防病毒產品來說UDP的吞吐量參考意義不大,UDP的吞吐量高�����,并不一定內容檢測性能就高。在企業的 internet應用協議流量中通常http流量所占的比重最大����,因此HTTP協議的檢測性能才是網關防病毒的關鍵性能指標。為了提升病毒檢測的性能��,目前主流解決方案主要有兩種:一種是串流掃描技術;一種是借助ASIC加速卡將由代理緩存下來的整個文件做深度內容掃描檢測與特征匹配�������?陀^的講,這兩種掃描技術各有所長���,但是對于企業而言,找尋性能和檢測率、漏判之間的平衡���,將成為企業防病毒成敗的關鍵�����。串流掃描方案由于優先考慮用戶的網絡使用體驗,不得不簡化病毒掃描流程,對一些較復雜的文件不能進行深入的檢測,會造成病毒的漏判;另外當網絡流量較大時��,很多掃描不能在文件傳輸之前完成�����,這就造成實際上的病毒掃描功能失效����。2005年市面上采用串流病毒掃描技術的網關產品較多���,但很快發現漏判漏查的問題無法避免,所以為了解決漏判漏查問題,web安全(服務器租用找:51033397)網關廠商 Anchiva(安啟華)在2006毅然拋開串流掃描的做法����,堅持要用深度內容檢測的方式提高病毒檢測率��,于是Anchiva(安啟華)利用1年多的時間開發了基于ASIC芯片的深度內容檢測與特征匹配引擎,成功的解決了掃描性能問題,并且提高了病毒檢測率����。Anchiva(安啟華)通過測試對比發現�����,ASIC硬件掃描引擎在相同測試條件下的Http吞吐量是純軟件掃描引擎的4-5倍��。當然�,網絡流量中需要掃描殺毒的文件類型很多����,有txt文本文件,有二進制文件����,有可執行的pe文件等���,因此企業在選購產品時還需要重點考察防病毒網關產品對這三類主要文件類型進行掃描殺毒的http吞吐量����。
除了http吞吐量外�����,http的并發連接數也是網關防病毒的關鍵性能指標����,這里同樣需要注意的是http的并發連接數���,并不是TCP并發連接數。TCP并發連接數是指設備能夠同時處理的點對點TCP連接的最大數目����,主要反映的是防火墻����、路由器等設備對多個TCP連接的訪問控制能力和連接狀態跟蹤能力。對網關防病毒來說���,因為需要針對某個具體的應用協議進行掃描過濾�����,TCP并發連接數并不能完全反映設備的訪問控制能力和連接狀態跟蹤能力,http并發連接數才是真正反映網關防病毒能支持的最大信息點數的性能指標�。一般廠家會通過增加內存的方式來提高http并發連接數����,但是Anchiva(安啟華)公司總架構師賀先生說:“http并發連接數跟內存大小有直接的關系��,但是沒有很好的掃描處理算法來降低每一個連接的開銷���,即使內存大小一樣���,http并發連接數也是有明顯差別的;另外還有關鍵的一點是傳統的TCP協議棧在透明代理情況下會受限于端口數目65535的限制��,”。從這一點可以看出如果是傳統的TCP協議棧��,即使內存再大���,HTTP并發連接數也不可能超過65535�,否則就是欺騙。除非像 Anchiva(安啟華)公司那樣經過優化改寫過的TCP協議棧才有可能并發連接數突破65535個���。
二、Internet應用控制和帶寬管理處理能力
Internet應用控制和帶寬管理�,通常是通過對應用數據包進行分析����,通過識別匹配協議或應用特征進行的4-7層的應用管控。僅僅靠識別端口是不行的���,因為當前網絡上的大部分應用會采用隱藏或假冒端口號的方式躲避檢測和管控,也常常通過動態協商端口等方式仿冒合法應用的數據流來侵蝕著網絡����,因此對于應用管控還需要識別出協議或應用中特定的字符串以便更準確地進行應用的識別與管控。當然,對于應用管控不需要對所有的應用數據包進行一一的檢測過濾,僅僅需要對應用流量中開始的1個或幾個數據包進行特征分析與匹配��。因此���,對于Internet應用控管�����,其性能的關鍵在于網關的包轉發能力����。用戶在選購產品時�����,需要考察的是設備對數據包的吞吐量。為了提高吞吐量��,市面上有ASIC加速技術也有多核技術����,二者的目的一致,都是為了提高性能。支持多核并不難�����,普通的Linux就可以支持��,但如果沒有良好的并行多核控制技術,既使再多的核也不能完全發揮出多核的硬件優勢��。因此,這就需要具備并行多核優化控制技術來保證多核CPU快速均衡的響應不同的網絡應用��。Anchiva(安啟華)并行多核控制技術采用數據包動態均衡分發處理機制����,實現流量在多核間的負載均衡��,極大的提升了系統的運算效率。并且一般的多核控制技術是通過CPU的其中一個核來完成流量的均衡分發��,而Anchiva(安啟華)為了充分利用硬件資源���,使性能達到最優��,不是占用CPU的一個核來完成流量的均衡分發����,而是通過專門編寫的控制技術利用網卡中的芯片完成流量在不同CPU間的均衡分發,這樣使相同的多核CPU的處理能力更進一步發
本文出自:億恩科技【www.vbseamall.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商��!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
