Hillstone SA-5050安全网关性能评测报告

核心提示： SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议，可以对CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤，Hillstone SA-5050安全网关性能评测报告(2)，对于现实中大量存在的压缩文

SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五种协议，可以对CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等类型的文件进行过滤。对于现实中大量存在的压缩文件，防病毒引擎也可以做到最多5层还原检测，避免病毒从这种途径混入内部网络。为保证测试结果的时效性，我们在测试开始前将SA-5050的防病毒引擎与病毒库升级至11月6日的最新版本。

本次测试采用的测试仪表为思博伦通信的Avalanche2900，采用双向共8个千兆电口的配置。SA-5050采用8个端口进行对接，分为Trust（4口）与Untrust（4口）两个安全域，分别连接测试仪模拟的客户端与服务端。为避免性能受到影响，在测试时关闭了所涉及模块外的一切功能选项，并采用带外管理的方式监控被测设备。

需求主导的测试方案

在制订测试方案时，我们进行了一系列用户需求调查。从反馈信息中了解到，电信运营商对性能有着特殊的要求，通常会采用独立的设备构建完整的安全防护体系。而企业与高校则是最关注安全网关应用层防护能力的两类用户，它们的需求十分复杂，甚至拓展到防病毒以外的其他领域。我们根据这些信息制订了两个测试用例，着重模拟企业与高校用户的使用环境，对SA-5050的应用层安全性能进行测试。

图片看不清楚？请点击这里查看原图（大图）。　

第一个测试用例是关于防病毒性能的基准测试，考察设备在1000条防火墙策略、源端口地址转换模式下，模拟每秒40000个用户访问Web页面时SA-5050实际能够达到的性能。测试的事务流程取自大多数用户通过浏览器访问网站的完整过程：使用客户端发起HTTP 1.1访问请求，从服务端获取一个64KB大小的页面文件，完成后即拆除连接。为防止防火墙模块对安全策略进行合并等预处理，我们制定了与模拟客户端、服务端处于同一广播域内的跳跃式策略，以保证访问请求在最后命中。在这项测试中，SA-5050的吞吐量接近1.9Gbps，表现非常强劲。