UTM性能受到影响

大多数企业都希望加入时UTM功能，如入侵防御系统和防病毒扫描，其外围防火墙盒子，因为对整个系统的性能不可预测的影响，谨慎行事。

我们通过使用思博伦通信雪崩和反射器的负载测试产品的防火墙跑基线流量（见在这个图表的原始速度列）。我们建立了1Gbps的传播的负载分散到四个端口，与反射服务了网页上模拟20个Web服务器上的两个端口，和雪崩在另外两个模拟500个Web客户端。

在所有的防火墙上，我们设置了一个适中的策略，允许HTTP在启用了网络地址转换(NAT)的段之间通过。我们并不是要找出每一种产品的最高速度;我们测试的大多数机器的容量都比我们的1Gbps测试台快。我们的目标是确定当我们启用UTM特性时，我们会发现多少下降。

这安全我们测试的许多防火墙的特性包含一系列选项。例如，Secure Computing将允许您使用包过滤器或通用代理运行Sidewinder，这两种代理与它支持的完全应用程序感知代理具有相同的安全模型。有了包过滤器，响尾蛇就使我们的测试平台达到了最大值;使用普通代理，它几乎达到1Gbps。然而，任何支付8万美元的企业都将购买完整的代理功能。当我们打开这些开关时，原始性能下降到令人满意的826Mbps。

部署问题

在我们面临部署选项问题的每一种情况下，我们都优化安全性而不是速度。然而，一个人的安全可能是另一个人的杀手锏，特别是当这些安全特性的性能损失非常大的时候。

启用HTTP检测功能(提供了一些入侵防御功能)，在我们的Cisco ASA5540中几乎没有造成性能损失，将吞吐量从660Mbps降低到大约640Mbps。启用HTTP检查并选择高级特性(例如阻止ActiveX内容)会导致总吞吐量下降80%。

当我们在启用了UTM特性的情况下进行测试时，为性能度量选择配置变得更加复杂。检查点软件公司的IPS技术，称为安全防御，就是一个很好的例子。针对不同类型的应用程序和不同的攻击，有几百个IPS选项，没有办法只启用IPS。您必须决定要使用哪个签名。当您打开任何高于默认设置的设置时，性能影响是巨大的。

当我们测试的诺基亚IP290运行Check Point的禁用安全防御，然后用默认设置中启用了防火墙软件，我们看到了一个微小的性能损失（从1003M到993Mbps）。当我们跟着Check Point的推荐设置为提供IPS服务器（该扫描更多的攻击），我们看到了业绩85％的降幅。

为了得到IPS的性能结果，我们使用了两个场景——一个要求防火墙保护服务器，另一个要求防火墙保护客户端系统。对于服务器保护的IPS，有更多的潜在攻击，但IPS不必查看那么多的流量。例如，在我们的HTTP测试中，向服务器发送大约20Mbps的流量才能产生1000Mbps的流量。服务器保护的IPS只能查看到服务器的流量。

客户端保护IPS

随着客户端保护IPS，有较少的攻击，但你必须看完整的数据流，以找到他们。例如，如果你正在寻找一个图像缓冲区溢出攻击，可能是在前面，中间或图像的结束。

我们发现，除了一个显著的例外，每台设备在开启IPS时的运行速度有很大的差异。IBM/ISS Proventia MX5010的速度异常快得令人吃惊，它在唯一的配置——“开启”中处理IPS的速度仅略低于1Gbps。

然而，对于其他所有人来说，侧面的选择有很大的不同。运行Check Point防火墙的IBM System x3650在服务器保护场景中突破了所有(除了Proventia)，达到了惊人的816Mbps。但当我们把所有人都放到客户端保护配置中时，Fortinet的FortiGate 3600A和Secure Computing的Sidewinder 2150D分别以624Mbps和581Mbps的性能领先于Proventia。

这是需要注意的重要检查点要求我们配置UTM-1 2050设备和诺基亚IP290家电主动/主动模式。所有其他设备是在有源/无源模式下配置。这意味着，性能数据报告，这些设备是高于他们本来在一个更传统的主动/被动配置。

因为Check Point及其合作伙伴提交了四个运行本质上相同软件的独立平台，所以我们允许这种稍微不规则的配置来帮助显示Check Point的合作伙伴提供的不同选项。

安全与速度

如果你不关心它阻止了多少攻击或抛出了多少误报，你可以轻松构建一个运行非常快的IPS。我们使用Mu Security来帮助IPS性能的归一化。使用Mu-4000设备，我们可以非常粗略地比较每个IPS阻挡攻击的能力(见图)“追踪IPS捕获率”）。

要生成我们的记分卡值，我们采用了IPS的速度和缩放它IPS如何有效阻止攻击。因此，IPS跑在750Mbps但受阻的攻击10％给予较低的得分比IPS跑在达到250Mbps但受阻的攻击50％。去快是好的，但我们的得分会倾向于搭上攻击数量更多的设备。

同样，普罗MX5010在这样惊人的好成绩转身，我们捕捉到一些包的痕迹，以验证的东西是没有错与我们的配置。当标准化的性能跨客户端和服务器的配置文件考虑到了MX5010的得分明显高于下一个平台的高出三倍（Juniper网络公司的ISG-1000）。作为超高速，superaccurate IPS，没有在我们的测试就接近普罗MX5010。

整体的测试表明，当启用时，IPS可以有性能上的显著下跌，其中交通应扫描和特征都已经启用慎重的选择 - 用正确的硬件一起 - 让一个IPS和防火墙并置。

这里卓越绩效企业包括Fortinet公司的FortiGate 3610A，在IBM System X3650与Check Point VPN-1运行，Juniper网络公司的ISG-1000凭借其集成的IPS刀片，IBM / ISS”的Proventia MX-5010，Secure Computing的响尾蛇和SonicWALL公司的Pro 5060。此外，还要检查分别Point的UTM-1 2050和Juniper的SSG-520M双双创下200Mbps的400Mbps的和，只要我们使用的服务器保护IPS签名。

杀毒效果

在反病毒和反病毒+ ips速度竞赛中，有一个明显的赢家。以524Mbps的防病毒吞吐量，Fortinet FortiGate 3610A击败了竞争对手。Secure Computing的“响尾蛇2150D”远远排在第二，每秒396Mbps，慢了约20%。在那之后，IBM/ISS的Proventia MX5010以298Mbps排名第三，仅略高于FortiGate速度的一半。如果你想在外围或核心防火墙之上进行快速的反病毒扫描，Fortinet似乎有速度的秘诀。

在运行了数百个性能测试之后，我们确认了几个供应商在我们开始之前告诉我们的:不要在企业UTM设备中进行反病毒扫描。除了FortiGate 3610A，它能以520Mbps的速度处理防火墙、反病毒和IPS，我们测试的所有千兆防火墙在相同的条件下都不能超过300Mbps。

总结

请阅读我们的性能测试结果的确认，无论是IPS也不属于杀毒软件在企业的防火墙，至少不是如果你正在寻找可以预测，千兆性能。在少数情况下，我们能够通过在错误的道路，强调他们采取其他方式，能够系统，以自己的膝盖。在另一方面，我们的测试表明，与精心配置，你可以在一个高速防火墙额外的保护。性能测试是至关重要的，不只是当系统初始安装，但任何时候新的保护措施都落实到位。

了解有关此主题的更多信息

采购指南：统一威胁管理

如何选择企业UTM防火墙

08/30/07

Check Point的提供了期待已久的家电07年2月5日