回顾:谁的防火墙最快?

大梁，IBM赢得原始性能测试;Juniper和Watchguard在价格/性能方面得分

足球竞猜app软件 |

作为Network World前几轮足球竞猜app软件基线统一威胁管理测试的后续，我们对UTM盒内的防火墙进行了第二次高速测试。这些随后的防火墙测试表明，当速度超过2 Gbps时，最好的原始性能表现是Crossbeam和IBM，但如果考虑成本，Juniper的低端盒和Watchguard的FireBox提供了最好的防火墙价格性能

当我们测试防火墙表演是我们的一部分UTM防火墙测试我们关注的是这些产品在启动其他UTM特性(特别是入侵预防系统和防病毒系统)时如何有效地推动被检查的数据包。然而，许多企业管理人员将主要使用这些设备作为防火墙，他们可能会好奇如果没有UTM减慢他们的运行速度会有多快。

我们最初的测试平台被调优为1Gbps吞吐量，我们测试的13个防火墙中有8个在没有打开UTM的情况下超过了1Gbps标记。因此，在Network Test的David Newman的帮助下，我们为测试台配备了2.8Gbps的容量，并以更高的速度重新运行了防火墙。

我们是怎么做到的

网络世界测试档案足球竞猜app软件

订阅网络产品测试结果通讯

第二轮测试使用了与1Gbps UTM测试相同的产品配置，但有两个例外。沃奇卫士和安全计算长期提供基于代理的防火墙，声称更高安全比简单的包过滤器，尽管在性能上有成本。WatchGuard的Firebox和Secure Computing的Sidewinder可以灵活地使用简单的包过滤器、通用代理或HTTP流量的特定于HTTP的代理。由于我们的测试是使用HTTP流量进行的，因此我们测试了所有三种场景，并报告了每种产品的所有三个数字。

跟踪高速防火墙性能后续的防火墙测试表明，当速度超过2Gbps时，最优秀的原始执行者是Crossbeam Systems和IBM。如果把成本考虑在内，Juniper Networks的低端机箱和WatchGuard Technologies的Firebox Peak提供了最好的防火墙价格/性能。

供应商	产品	价格测试	原始速度(Mbps)	性能调优的笔记
Astaro	ASG 425	30600美元	243
检查	UTM-1 2050	50800美元	754
思科	ASA5540与SSM-20 IPS模块	53500美元	662
横梁	运行检查点安全平台	99000美元	2800	试验台的最大速率
Fortinet	FortiGate 3600	122000美元	1240
IBM	系统x3650运行检查点安全平台	68200美元	2800	试验台的最大速率
IBM国际空间站	Proventia MX5010	60000美元	1403
瞻博网络	研究小组- 1000	60000美元	987
瞻博网络	ssg - 520 m	24600美元	1420
诺基亚	IP290运行检查点安全平台	56000美元	994 750	NAT禁用;使用诺基亚的集群 NAT启用;使用诺基亚的集群
安全计算	响尾蛇2150D, IPS加速	87500美元	18101030826	为HTTP使用包过滤器为HTTP流量使用通用代理为HTTP流量使用HTTP代理
SonicWall	Pro 5060	24000美元	587
沃奇卫士价格包括高可用性设备对、系统和管理软件、管理和一年UTM支持订阅的成本。	燃烧室X8500e峰值	20600美元	1340 471 385	为HTTP使用包过滤器为HTTP流量使用HTTP代理为HTTP流量使用通用代理

总的来说，我们发现，如果你不想启用任何UTM特性，你可以通过我们测试的几乎一半的机器以超过千兆的速度运行来获得出色的性能。更好的消息是，一些高性能盒子(即Juniper SSG-520M和WatchGuard的Firebox Peak X8500e)提供了(我们说几乎)一个伟大的价格。(你可以比较UTM买家指南中数十种UTM产品的定价。)

有趣的是，在这个测试中表现最好的测试者并不是在我们较慢的测试台上表现最好的一对一匹配。例如，在我们的UTM测试中得分最高的设备是瞻博网络研究小组- 1000。然而，从第二轮的测试中我们可以看出，ISG-1000在吞吐量的价格上只是处于中间位置。相反,它组织寻找原始带宽处理千兆与能力闲置也想看看沃奇卫士燃烧室X8500e峰值(成本超过20000美元,收益1340 mbps的吞吐量)和Juniper ssg - 520 m(售价24600美元,收益率1420 mbps吞吐量),要么是四分之一一样昂贵的伊拉克研究小组- 1000 price-for-bandwidth基础上。

我们仍然发现两个防火墙，从IBM和横梁比我们的测试平台更快(2800Mbps)。但这也是我们测试的价格较高的产品之一，价格分别不到7万美元和10万美元。

在某些情况下，我们的数据低于我们测试的防火墙的宣传规格。发生这种情况的原因有很多。例如，我们与公司的工程师讨论了FortiGate 3600A的性能(成本为121,790美元，吞吐量为1240Mbps)，因为它远低于宣传的规格。他们帮助我们调优了防火墙，并解释说他们的规范是基于在单个连接上以最大包大小运行的UDP数据包流——这个测试肯定会给防火墙带来最高的性能。

使用这些类型的测试没有什么问题，但是这种做法(在安全产品规范表中很常见)意味着在您自己的网络中使用这些产品时需要格外小心。因为防火墙(以及ip和反病毒扫描器)对通过它们发送的流量类型非常敏感，所以在两页精美的小册子上找到的常规规范不会告诉您该产品在您自己的网络中如何运行。对于此类高速产品，一个关键策略是使用您自己的流量测试它们，以确定您将获得什么样的性能。大多数供应商还可以提供其他性能测试，通常是在保密协议下提供的，这些测试可以显示更多类型的测试和流量负载。

我们的测试结果可能低于已发布的规范的另一个原因是，我们仍然为每台设备打开了许多“附加”特性。我们的测试使用高可用性对完成，通常采用主动/被动配置。高可用性有它自己的开销。我们还打开了网络地址转换、动态路由和日志记录功能。启用日志记录与我们10年前的测试方法完全不同。现在，出于取证和遵从性的原因，可以合理地假设任何企业防火墙将日志发送到某种安全信息管理器或日志服务器。

斯奈德是亚利桑那州图森市咨询公司Opus One的高级合伙人。请联系他Joel.Snyder@opus1.com。

斯奈德和纽曼也是网络世界实验室联盟(Network World Lab Allian足球竞猜app软件ce)的成员，该联盟由网络行业顶尖的评论家组成，他们在每次评论中都有多年的实践经验。欲了解更多实验室联盟信息，包括成为会员需要什么条件，请访问m.banksfrench.com/alliance。

了解有关此主题的更多信息

一体机防火墙是不够的

11/12/07

UTM买方指南:比较超过40个UTM产品的详细规格。

加入网络世界社区足球竞猜app软件脸谱网和LinkedIn对最重要的话题发表评论。

工资调查:结果在