gtxyzz

从性能角度探讨上网行为管理产品采购时注意事项

gtxyzz 安全防护 2023-01-08 388浏览 0

由于行为管理产品在功能实现上的特殊性,比如上网行为管理产品需要深度识别数据包中的内容,导致性能会成为产品实现功能的瓶颈。在本文中,笔者将从性能角度探讨采购时应该注意的事项。

一 硬件架构

众所周知,网络产品的硬件架构主要分为3种:

1 X86架构:产品功能由软件实现,与硬件无关,灵活性高,可扩展性好,性能受CPU、内存等硬件影响较大。

2 NP架构:灵活性和性能介于X86架构和ASIC架构之间。

3 ASIC架构:产品功能在硬件上实现,灵活性不足,几乎没有可扩展性,性能较高,芯片设计前期研发成本很高。

对于防火墙等安全产品来讲,由于只涉及IP和端口等网络三、四层数据报文的处理,ASIC架构是比较好的选择,这样能极大提升产品处理数据的性能。

但是对于上网行为管理产品而言,情况发生了变化:

1、 行为管理产品是工作在网络第7层——应用层,其主要职责是识别流量的内容并进行相应地管理

2、 Web 2.0时代内容层的***特点是变化极快,无论是网站内容或者是迅雷等应用

3、 由于内容层管理的特殊性,使得上网行为管理产品在提升性能的路上困难重重

4、 由于不同硬件架构的局限性,X86架构的升级灵活性***,ASIC架构的升级灵活性***

5、 为了有效应对互联网内容的快速更新,上网行为管理领域的众多主流厂商(包括网康、深信服等厂商)已经选择X86作为产品的硬件架构,否则就会在日新月异的互联网内容后面疲于奔命

在选定硬件架构的基础之上,系统软件技术成为考查产品性能的关键因素。

二 系统软件技术

本文主要讨论X86架构下上网行为管理产品的性能。行为管理产品需要对每一个网络数据包进行接收、识别、分类、拆包、查看内容、匹配策略、处理、转发等一系列动作,同等硬件条件下会消耗比三、四层产品更多的性能。

业界在X86架构下提升性能的通用选择是使用性能更强劲的CPU(多核)、内存、硬盘等硬件,并进行优化搭配以获取更高的处理性能。

据北京网康互联网内容分析实验室的分析,在相同的硬件条件下,操作系统、软件设计对性能提升还有近40%的提升空间,这就对上网行为管理厂商提出了新的考验。

据了解,北京网康在性能提升方面具有多项专利技术。在诸多专利带来的高新技术合力打造下,网康的上网行为管理产品在众多大流量环境(尤其是高校、运营商等)下实现了高效的管理,如广东移动、辽宁联通、四川师范大学(吞吐量6G)、新疆大学等。

三 安全可靠性

性能提升固然是我们在设备选型时的主要目标,但就像使用PC一样,也不能一味追求超频带来的快感,在优化配置带来性能提升的同时,我们更应该关注产品本身的安全可靠性。当性能提升之后产品部署在大流量环境下之后,避免设备本身成为网络中的单点故障就是我们首先应该关心的问题。

以下为笔者根据过往经验总结的几个网络产品在安全性方面的几个要素:

1.Bypass功能

作为网络主干线路上的串行产品,Bypass功能是考查一款产品安全性最重要的因素。一般来说,一个合格的上网行为管理产品必备的要素包括设备掉电Bypass、软件故障自动Bypass、硬件故障Bypass、以及设备主动式Bypass按钮,以充分应对复杂的网络环境,保护网络不中断。在这方面,网康产品在Bypass保护方面是集大成者,具备所有的Bypass实现方式,其它厂商或多或少会有所欠缺

2.硬盘冗余

上网行为管理产品的功能实现依赖于安装在硬盘上的操作系统,而硬盘是易损件,一旦发生故障,容易导致产品失去作用,甚至造成网络单点故障。因此提供硬盘的冗余功能是必要的。个别厂商在这方面做得不错,除了硬盘之外的CF卡也内置操作系统,保障硬盘损坏情况下的网络通畅

3.HA功能

性能的提升使得上网行为管理产品在大吞吐量环境下的部属变得可能,与此同时,大吞吐量的网络环境在网络出口处很多都是HA的部属方式,因此,上网行为管理产品也需要支持HA热备功能

4.冗余电源

高端型号的上网行为管理产品需要具备冗余电源才能提供实现完整功能的必要保障

综上所述,上网行为管理设备作为内容层的产品,互联网内容的快速更新,对其性能不断提出挑战;并且因为内容才是这个应用为王时代的重中之重,作为IT建设者也应该关注这个领域内的发展动态,这样才能保证选购的产品是真正适合自己网络的产品。

继续浏览有关 安全 的文章
发表评论