在拥有大型数据中心、多个10G以太网管道、负载均衡器的情况下，网络架构师真的需要防火墙吗?还需要购买另一件设备，并承受可能的性能冲击吗?

　　在 F5 Networks 看来并不需要。该公司称其 BIG-IP 10200v 平台具备高级防火墙管理器 (AFM)，能够以 80-Gbps 的速率处理流量，屏蔽并保护数以千万计的连接，同时对服务器流量进行负载均衡。

　　在此次测试中，我们对此进行了测试。F5 防火墙性能出色，拥有最高的网络容量，同时可提供成熟的过滤和攻击保护功能。在某些情况下，安装防火墙后流量速率将高于未安装时，这也许是因为 F5 设备能更高效地管理服务器负载。

　　虽然 F5 以其 BIG-IP 应用交付控制器 (ADC) 而闻名，它也在稳步地丰富其安全性套件，尤其是面向数据中心。BIG-IP 10200v于今年上半年在全球市场推出，是该系列中的第二大平台，其2RU的外形中包含16个10G以太网接口和2个40G以太网接口。唯一一个比其更大的装置是基于机箱的 Vipiron 4800。

　　虽然对于下一代防火墙的关注主要放在提供出色的客户端保护上，但F5却着眼于BIG-IP 10200v在数据中心的应用，为服务器提供保护。以极高的速率添加状态防火墙功能是该战略的一部分。

　　另一部分是 iRules，这一现有特性支持用户根据 HTTP 和 HTTPS 标头来检查、修改并重新路由流量。IRules 使用的语法类似于许多脚本语言。对缺乏编写脚本技能的网络管理员而言，F5 设备包括一些面向普通任务的模版iRule，如将 HTTP 请求重定向到 HTTPS 或在 Windows Mobile 用户更改 Active Directory 密码但未更改移动设备密码时防止其被屏蔽。

　　防火墙和 iRules 都可通过命令行或 Web 界面进行配置。F5 负载均衡器的用户可能会觉得 Web 界面似曾相识。没有 F5 设备使用经验的用户也会发现 Web 用户界面十分易于导航。

　　另一项服务器保护特性是内建的拒绝服务攻击 (DoS) 保护。该设备包含将近40 个 DoS 过滤器，并全部默认为启动。这些过滤器运行于第 2-4 层上，同时覆盖 IPv4 和 IPv6。(该防火墙也能处理 IPv6 流量，但由于时间限制，我们只能用 IPv4 流量进行测试。)

　　更多 DoS 保护依赖于IP 智能特性，它可识别并拦截不同种类威胁的 IP 地址。使用来自全球传感器网络的信息，IP 智能还能拦截僵尸网络、Windows 漏洞、钓鱼漏洞及其他种类威胁的流量。IP 智能不是默认启动，在性能测试中我们不使用这一特性。

　　这些特性都是 F5 高级防火墙管理器 (AFM) 软件包的一部分。F5 单独销售一款应用安全管理器 (ASM) 软件包，其中包括应用检查和入侵检测，但我们不对其进行测试。因此，对希望一台设备同时包含防火墙和负载均衡器的最终用户而言，BIG-IP 10200v 是最合适的方案。但是，如果您正寻找一体式的安全设备，您需要购买其他的 ASM 软件包。

　　速度如何?

　　我们在速度和可扩展性两方面对防火墙性能进行了测试(请参见下文“测试条件和方法”部分)。在一些测试中，Spirent Avalanche 流量生成器/分析器提供了固定对象大小，以用于确定绝对最高速度。我们还使用 Avalanche，由它提供各种 Web 对象大小和内容类型(正如网络管理员在生产网络所发现的一样)。

　　在一个固定对象测试中，仅由Spirent Avalanche 提供了10KB 的对象。大量研究显示，所有 Web 事务的平均对象大小都基本在 10KB 上下。如果有什么区别的话，那就是受 AJAX-heavy Web 应用的影响，该平均数值是趋于降低的。为确定最高的速率，我们使用 512KB 对象进行了测试。在 512KB 及以上大小， HTTP 中的事务开销微不足道。

　　由于越来越多的 Web 流量都实行加密，我们采用明文流量进行所有速度测试，并采用 HTTPS 安全套接字层/传输层安全特性 (SSL/TLS) 进行了加密。然后我们在解密状态下重复了 SSL/TLS 测试。

　　在静态对象大小的测试中，F5 防火墙几乎能达到我们测试台的最高网络容量。10KB 明文 Web 对象的测试中，F5 防火墙的流量传输速率为 78.630Gbps，几乎充满了客户端和服务器间的 80-Gbit/s 管道。512KB 明文 Web 对象的测试中，传输速率达到 80.519Gbps。(这些转发速率是两个方向流量的总和，因此考虑到从客户端发送回服务器的 TCP 确认，该速率有可能超过 80Gbps。)

　　F5 防火墙在 SSL 上传输静态对象的速率满足或超过了 Avalanche 测试工具的容量，其传输 10KB 和 512KB 对象的速率分别 17.288Gbps 和 20.919Gbps。与使用 Avalanche 工具在无防火墙环境中背靠背地进行测试相比，这两个速率至少高出了 1Gbps。

　　对此差异最合理的解释是，10200v 同所有 BIG-IP 设备一样，是个负载均衡器。与客户端和服务器独立分配工作负载相比，F5 防火墙可通过检查 Web 服务器状态并相应地分配请求实现更高效的工作负载分配。。

　　在混合对象测试中，BIG-IP 10200v 传输明文流量的速率达到 37.486Gbps。以背靠背配置进行相同测试时，我们发现这几乎是 Spirent Avalanche 流量生成器容量的 99.5%。

　　对 SSL 流量进行相同测试时，F5 防火墙的传输流量速度达到 12.874Gbps，相当于背靠背进行测试的 Avalanche 测试工具容量的 99.8%。因此，在这两份测试中，10200v 传输流量的速率几乎等同于其提供流量的速率。

　　SSL 概览

　　企业有着各种需要解密 SSL 流量的充足理由。一些行业制定了要求进行流量检查的规章。其他行业则需要对流量中的某些字段做模糊处理(例如信用卡或社会保险号)。也有些人则只是希望获得应用流量明细比例，或者解决服务器或网络问题。无论出于何种原因，企业对终止 SSL 连接可以进行控制，同时也可以合理地解密流量并将之传输给外部设备以做进一步分析，然后重新加密，让流量恢复正常。

　　正如以往的测试所显示的，问题在于 SSL 解密会带来显著的性能冲击。在以往的测试中，曾出现过开始解密后速率从数万兆急剧下降到数兆的情况。考虑到解密和加密的计算密集型特性，随着流量速率的提升，有关性能的顾虑也随之增加。

　　就 F5 防火墙而言，SSL 解密也会造成一定的性能代价，但是性能冲击不会像以往测试中那么显著。例如，进行 10KB Web 对象测试时，SSL 流量速率比 17Gbps 高出一点;进行解密后，速率降低到 11.188Gbps。因此，SSL 解密肯定会带来一定的性能冲击，但是绝对不会再出现之前测试中速率急剧降低到数兆的情况。

　　速率多高?

　　防火墙性能的另一关键要素是可扩展性，这体现在两个方面：容量和速率。我们在最多并发 TCP 连接和最高连接设置速率两方面对 F5 防火墙进行了测试。

　　连接容量之所以重要，是因为单个用户请求可能需要多次 TCP 连接。例如，由于 Web 设计趋势、广告服务器、流媒体服务器和其他因素，用户对许多新站点主页的单一请求可能需要 100 次或更多次 TCP 连接。

　　连接速率之所以重要，是因为网站可能会因流量的大量爆发受到冲击。一个常见的例子是快闪，这是指某个事件(例如一款新产品上市或演唱会门票开卖)引起连接请求速率的急剧上升。另一个常见的用例是灾难恢复，在灾难恢复时，一组服务器出现故障会使流量传输到新的服务器组中。

　　在容量测试中，我们将 Spirent Avalanche 配置为在每次连接时从不提出 web 对象请求，在后面的测试中什么也不做。由于默认情况下 Avalanche 不会断开TCP 连接，因此我们能够逐渐积累起越来越多的连接，甚至达到数百万。

　　F5 称 BIG-IP 10000v 可支持 3,600 万条并发连接。我们的测试证实了这一点，BIG-IP 10000v 在 60 秒的时间内支持了 36,000,291 条TCP 连接。

　　在速率测试中，我们采用 HTTP 1.0 以确保每个