F5数2020欧洲杯预赛据中心防火墙aces性能测试

巨大的数据2020欧洲杯预赛中心。多个10G以太网管道，检查。负载平衡器,检查。防火墙?真的吗?网络架构师是否需要再买一台机器，并可能会导致性能下降?

根据F5 Networks的说法，情况并非如此。该公司表示，其拥有先进防火墙管理器(AFM)的BIG-IP 10200v能够以每秒80 gbps的速度处理流量，同时能够屏蔽和保护数千万个连接，并同时实现服务器流量的负载平衡。

在这个独家明确的选择测试中，我们把这些主张进行测试。F5防火墙出现ace，最大限度地提高网络容量，同时还提供复杂的过滤和攻击保护功能。在某些情况下，有防火墙的通信量比没有防火墙的通信量要高，这可能是因为F5设备管理的服务器加载效率更高。

[也:思科令人印象深刻的第一裂纹在下一代防火墙]

尽管F5主要是著名的BIG-IP应用交付控制器（ADC），该公司持续不断地被添加到它的安全套件，特别是对数据中心。2020欧洲杯预赛在BIG-IP 10200v，今年年初推出，是家庭的第二大成员，16万兆以太网接口和两个40G以太网接口的2RU机箱。唯一的较大的单位是基于机箱的Vipiron 4800。

虽然下一代防火墙的大部分注意力集中在客户端保护上，但F5针对的是BIG-IP 10200v，主要用于数据中心，保护服务器。以非常高的速率添加有状态防火墙功能是该策略的一部分。

另一部分是的iRules，现有的功能，允许用户检查，修改，和基于HTTP和HTTPS标头重新路由流量。的iRules使用类似于许多脚本语言语法。For network managers without scripting skills, the F5 appliance includes some canned iRules for common tasks, such as redirecting HTTP requests to HTTPS, or preventing Windows Mobile users from being locked out when they’ve changed their passwords in Active Directory but not on their mobile devices.

防火墙和iRules都可以通过命令行或Web接口进行配置。任何使用过F5负载平衡器的人都会觉得这个Web界面很熟悉。我们对F5 gear没有太多的经验，但是我们发现Web UI通常很容易导航。

另一台服务器保护功能是内置的阻断服务攻击（DoS）攻击保护。该设备包括近40 DoS过滤，所有启用的默认。这些过滤器在2-4层的工作，并覆盖IPv4和IPv6。（防火墙还与IPv6流量，但时间约束的限制我们与IPv4流量测试。）

更多的DoS保护来自于IP- intelligence特性，它可以识别和阻止各种类型的威胁的IP地址。利用来自全球传感器网络的信息，ip智能可以阻止来自僵尸网络、Windows漏洞、钓鱼漏洞和其他类型威胁的流量。IP-Intelligence在默认情况下是不启用的，我们也没有在性能测试中使用它。

这些功能包括为F5的高级防火墙管理（AFM）软件包的一部分。F5单独销售的应用安全管理器（ASM）包，其中包括应用程序检测和入侵检测，但我们并没有对此进行测试。因此，BIG-IP 10200v是最适合到底是谁想要防火墙合并用户和负载均衡在一个设备中。不过，如果你正在寻找一个集所有功能于一身的安全设备，你需要购买额外的ASM包。

多快？

我们测试了防火墙在速度和可伸缩性方面的性能(参见下面的“我们是如何做到的”)。在一些测试中，Spirent雪崩流量生成器/分析器提供了固定的对象大小，这在确定绝对最大速度时很有用。我们还配置了雪崩，以提供Web对象大小和内容类型的混合，就像生产网络中的网络管理器一样。

在固定对象的测试之一，思博伦雪崩独家提供10字节的对象。大量研究显示，所有的Web事务的平均对象大小是这个数字附近的某个地方。如果有的话，将平均值下降趋势，由AJAX重型Web应用程序驱动。并确定尽可能高的价格，我们也进行了使用512字节的对象测试。在这种规模和起来，开销参与HTTP交易是可以忽略不计。

由于越来越多的Web流量使用加密，我们跑了所有明文通信速度测试，并再次与安全套接字层/传输层安全（SSL / TLS）加密，使用HTTPS。然后，我们重复了SSL TLS测试与解密启用/。

在涉及静态对象大小的测试中，F5防火墙几乎耗尽了我们的测试平台的网络容量。对于10 kbyte明文Web对象，F5防火墙将流量移动到78.630Gbps，几乎饱和了客户端和服务器之间的80gbit /s管道。对于512 kbyte的明文Web对象，速率是80.519Gbps。(这些转发速率是两个方向的流量总和，因此有可能超过80Gbps，这是由于从客户端发回服务器的TCP确认信息造成的。)

F5的防火墙在能够满足或超过雪崩测试工具的能力，分别在移动和17.288G 10 20.919Gbps和512 KB的对象率移到SSL静态对象。这两个数字都至少1Gbps的比那些运行背靠背，没有防火墙内嵌了雪崩工具更快。

对这种差异最合理的解释是，与所有大ip设备一样，10200v是一个负载均衡器。通过执行web服务器健康状况检查并相应地分发请求，F5防火墙能够比客户端和服务器本身更有效地分发工作负载。

在混合对象测试中，BIG-IP 10200v的明文传输速度为37.486Gbps。当以背靠背的配置运行相同的测试时，这几乎是Spirent雪崩流量生成器的99.5%的容量。

当使用SSL流量运行相同的测试时，F5防火墙将流量移动到12.874Gbps，约为雪崩测试工具连续运行的能力的99.8%。因此，在两次测试中，10200v的传输速度几乎和它提供的传输速度一样快。

查看一下SSL

与所有有关政府窃听和企业间谍活动的最新消息，人们很容易认为解密SSL流量自动是一件坏事。这种假设是错误的。

组织希望解密SSL通信有几个很好的理由。有些行业有规定要求交通检查。其他人可能想混淆流量中的某些字符串(例如，信用卡或社会保险号)。其他人可能只想分解应用程序百分比，或者对服务器或网络问题进行故障排除。不管是什么原因，组织终止SSL连接都有合法的理由;解密数据流并将其传递给外部设备进行进一步分析;然后重新加密，然后发送。

正如过去的测试结果所显示的，问题在于SSL解密可能会带来巨大的性能损失。在过去的测试中，我们看到在启用解密时，速率从几十千兆急剧下降到兆位范围。考虑到解密和加密的计算密集型本质，对性能的关注只会随着通信量的增加而增加。

在F5防火墙的情况下，SSL解密会有性能成本，但它远没有我们在过去的测试中看到的那么高。例如，10 kbyte的Web对象测试运行在稍微超过17Gbps的SSL通信流量;通过解密，这个速率降到了11.188Gbps。因此，SSL解密肯定会对性能造成影响，但它很难像我们在以前的测试中看到的那样，一头栽进超大容量的领域。

多高？

防火墙性能的另一个关键指标是可伸缩性，它有两个方面:容量和速率。我们测试了F5防火墙的最大TCP并发连接和最大连接设置速率。

连接能力很重要，因为一个用户请求可能涉及多个TCP连接。例如，由于web设计趋势、广告服务器、流媒体服务器和其他因素，对许多新闻站点的主页的单个请求可能涉及100个或更多TCP连接。

连接速率很重要，因为web站点可能会受到大量流量的冲击。一个常见的例子是快闪族，其中一些事件(例如，新产品或音乐会门票的可用性)导致连接请求率大幅上升。另一个常见的用例是灾难恢复，其中一组服务器的丢失导致流量迁移到一组新的服务器。

在容量测试中，我们将Spirent Avalanche配置为从不为每个连接请求一个web对象，然后在其余测试中什么也不做。由于Avalanche在默认情况下不会老化TCP连接，因此我们能够逐步建立更大的连接数，甚至达到数千万个。

F5声称BIG-IP 10000v支持3600万个并发连接。我们验证了这个断言，将36000,291个TCP连接维持了60秒。

在速率测试中，我们使用HTTP 1.0来确保每个新的Web请求都会强制建立一个新的TCP连接。在这里，F5再次超过了每秒85万个连接的额定容量。在我们的测试中，BIG-IP在60秒内平均保持了每秒869,183个新连接。

我们确实在F5防火墙中发现了一些适合并完成的问题，都是次要的。防火墙无法处理TCP连接的极小百分比—在数百万到数千万的事务中出现数十到数百次故障。我们配置了Spirent雪崩来终止任何超过1秒的事务，这在10G以太网速率下是一个永恒。对于少量的尝试，TCP握手从未完成。(在两个雪崩C100设备之间运行的所有测试都没有错误。)

在更少的情况下，F5防火墙在连接关闭期间传输一个额外的TCP reset (RST)包。考虑到我们已经将Spirent雪崩配置为与TCP finished (FIN)而不是RST标志关闭连接，这很奇怪。F5的解释是，对于少量的连接，防火墙的客户端和服务器端之间的连接状态没有同步，在这些情况下，防火墙发送了一个免费的RST包。(Windows的旧版本——Windows XP和更早的版本，以及Windows Server 2003和更早的版本——使用RST而不是FIN包来破坏TCP连接。这在客户端上节省了一点内存，但是对于像防火墙这样的中间设备来说，这是一个糟糕的主意，因为它们将继续尝试跟踪连接状态)。不过，我们还是认为这两个问题都是小问题。

当速率攀升到几十千兆比特时2020欧洲杯预赛，保护数据中心的服务器是一个重大的挑战。凭借其高速速率、高可伸缩性和服务器保护特性，F5的BIG-IP 10200v和高级防火墙管理器(AFM)包可以应对这一挑战。

谢谢

足球竞猜app软件网络世界感谢Spirent Communications的帮助，该公司提供了Spirent雪崩C100流量设备。Spirent公司的米歇尔·莱因斯和杰夫·布朗也为该项目提供了工程支持。

纽曼是网络世界实验室联盟的成员，网络测试，一个独立的足球竞猜app软件测试实验室和工程服务咨询公司的总裁。他可以在到达dnewman@networktest.com。

我们是如何做到的

我们评估使用性能三套测试，涵盖混合HTTP内容转发速率;利率与静态HTTP内容，以及TCP连接的行为。两对思博伦雪崩C100流量发生器/分析仪，每个配备了个10G以太网接口，担任初级测试工具。

对于转发速率测试，我们将F5防火墙的16个10G以太网接口中的每一个配置为用作不同IP子网的网关。我们还在每个防火墙上安装了500多个访问规则。我们将Spirent Avalanche配置为模拟2048个客户端和多达80个服务器，分布在16个子网中。

在混合内容测试中，我们提供了与以前的下一代防火墙性能测试相同的HTTP对象类型和大小组合。足球竞猜app软件对象类型包括文本、图像和其他二进制内容，如PDF文件。对象大小从1 kbyte到1,536 kbyte不等，都是通过HTTP请求的。我们还使用带有RC4-MD5密码的SSL重新运行相同的测试。

静态内容测试也使用HTTP和SSL，但在这种情况下涉及10-和512k字节的文本对象单独的测试。对于这两种混合模式和静态内容的测试中，我们的平均转发率较没有失败的请求60秒的稳态时期。

为了确定TCP并发连接数，我们配置思博伦雪崩模拟请求一个对象，然后什么也不做，建立逐级放大连接数量每个新客户。最大并发连接数被确定为在该防火墙服务，没有失败的请求所有请求的最大数量。

为了确定连接设置速率，我们将客户机和服务器配置为使用HTTP版本1.0，这迫使每个HTTP请求使用一个新的TCP连接。通过使用二叉搜索，我们确定了防火墙在没有失败事务的情况下为请求提供60秒服务的最大速率。