信息技術的高速發展，正在驅動著全球互聯網的創新與變革——寬帶化、移動化、社交化等已經成為當前互聯網的顯著特征。而隨著互聯網的發展變化，各種新安全威脅層出不窮，這也使得安全防護解決方案也必須隨之而變——移動化和社交化的大趨勢使得基于Web開發的應用數量大大增加，而傳統的防火墻基于端口的應用識別方法已經無法對其進行準確識別；與此同時，移動化（BYOD）還使得內網安全威脅日益凸顯，而傳統的邊界防護設備（包括部分下一代防火墻產品）通常對此無能為力；此外，為應對APT（高級持續性威脅）等新威脅，建立立體的安全防護系統已經成為必須，而復雜的設備管理與操作，讓網管員常常疲于奔命；當然，在互聯網流量激增（寬帶化）的今天，最令人頭疼的還是自UTM時代就遺留下來的安全功能與性能不可兼得的難題。由此不難看出，用戶已迫切需要一種能夠解決這些關鍵痛點的全新一代安全防護解決方案，而綠盟下一代防火墻（NSFOCUS NF）正是為此而生！

綠盟下一代防火墻是基于新一代64位多核硬件平臺，采用最新的應用層安全防護理念，同時結合先進的多核高速數據包并發處理技術，研發而成的企業級下一代邊界安全產品。其核心理念是立足于用戶網絡邊界，建立起以應用為核心的網絡安全策略和以內網資產風險識別、云端安全管理為顯著特征的全方位的安全防護體系。

綠盟下一代防火墻（NSFOCUS NF）七大優勢：

1、全面的應用和用戶識別能力

應用識別是下一代防火墻技術的關鍵特征之一（解決Web時代痛點），NSFOCUS NF可識別1400+種應用和控制（至少支持5大類，比如：商業系統、協作應用、一般網絡應用、媒體等及28子類），并可輔助用戶對這些應用進行高效管理和篩查，包括5維度分類組織、基于特性查詢應用、自定義特殊應用等；同時，借助由資深安全專家組成的安全研究團隊對市場的實時“追蹤”，保證了NSFOCUS NF對新應用的快速響應；而憑借智能應用協議識別、高層應用特征匹配、動態流量及行為分析等多種技術，還保證了NSFOCUS NF對應用精準識別的技術優勢。

在用戶識別方面，NSFOCUS NF通過多種會話身份驗證技術，實現了用戶身份的精準識別。例如其可從域控服務器實時獲取身份賬號與IP地址的對應關系，從而免打擾的實現身份識別；也可通過Web認證頁面來完成身份識別，提供多種認證方式（包括本地認證、Radius、AD、LDAP等），全面提升了用戶接入驗證的靈活性、安全性和準確性。

2、細致的應用層控制手段

傳統防火墻的訪問控制或流量管理粒度通常較為粗放，只能基于IP/端口號對數據流量進行一刀切式的禁止或允許。而NSFOCUS NF基于卓越的應用和用戶識別能力，對數據流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協議的數據流量中辨識出任意多種不同的應用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應用和用戶施加細粒度、有區別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶最直接、準確、精細的管理愿望和控制訴求。

3、專業的應用層安全防護能力

在充分考慮到現在及未來安全業務情景的前提下，NSFOCUS NF核心安全功能采用了高度一體化的架構設計方案，將所有的安全特性納入到一體化的引擎中去（集入侵防護、防病毒、URL過濾、內容過濾為一體），從而實現對應用流量進行2-7層一體化、全方位、多層面的安全過濾，一次解碼即可發現并攔截全部威脅攻擊和安全風險，保障用戶網絡環境的應用安全；而這也從根本上解決UTM等傳統設備在多個安全模塊開啟時，安全性能指數直線下降的傳統頑疾。

4、卓越的應用層安全處理性能

NSFOCUS NF構筑在新一代64位多核并發、高速硬件平臺之上，擁有業界獨有的數通、安全雙引擎設計模式。雙引擎多核并發的高速運行在多個CPU核心之上，各司其職，不僅保證了基礎網絡數據包的高速轉發，更加確保了應用層安全處理的高性能。

5、首創的內網資產風險管理

NSFOCUS NF在保護邊界網絡安全的同時，還首創性的提供了內網資產風險識別功能，讓用戶對內網易受攻擊資產進行風險提前評估和預警，雙向安全，雙向保障。即作為事中安全攔截設備，又作為事前風險防范設備，為用戶在安全投資不變的情況下提供一舉兩得的加強安全效應。

6、先進的云端安全管理模式

借助NSFOCUS NF業界首創的云端安全管理模式（平臺），讓用戶在便捷、高效安全管理上有了全新的體驗，極大減免了用戶的安全運維投入——用戶可以7*24小時在線監控安全服務，除基礎的設備狀態及資源使用情況監控，保障設備健康運行以外，對網絡中發生的入侵嗅探、漏洞攻擊、惡意軟件侵入、遠程越權操作竊取機密信息等攻擊行為第一時間進行云端捕獲并記錄。

7、完全涵蓋傳統防火墻功能特性

在傳統防護方面，NSFOCUS NF同樣做到了面面俱到——兼容了傳統防火墻的所有功能特性，包括路由、交換、訪問控制、流量管理、SNAT/DNAT、ISP負載均衡、DDoS防護、VPN、HA、日志報表等，使用戶原有成熟的安全解決方案可以無更改，平滑的過渡到NSFOCUS NF下一代防火墻安全解決方案上來。

向作者提問標簽：防火墻

[page]

基于創新架構打造的綠盟下一代防火墻

通過前面的介紹我們不難看出，綠盟下一代防火墻（NSFOCUS NF）已經實現了全方位立體安全防護，無論是面對新安全挑戰，還是解決傳統安全威脅，其都能應付自如。然而這樣的“集大成者”也不禁讓人產生疑問，其性能能否支撐整套安全防護體系？對于此問題，用戶大可放心，因為綠盟已經為其下一代防火墻產品打造了創新的產品架構，除了剛剛提到的新一代64位多核并發、高速硬件平臺和雙引擎設計模式之外，其還采用了綠盟自主研發的并行操作系統，將管理、數通、安全平面并行部署在多核平臺上，借助于多平面并發處理，緊密協作，可顯著提升網絡數據包的安全處理性能。

　　綠盟下一代防火墻的創新架構

而雙引擎設計（數通引擎和一體化安全引擎）則是NSFOCUS NF創新架構的最大亮點。其中，數通引擎實現基礎防火墻功能，并作為整個系統運轉的核心，將底層數通處理和高層應用安全處理，高度整合和驅動起來。與此同時，一體化安全引擎對網絡數據包只需進行一次解碼，即可完成4-7層全部安全掃描和過濾，從根本上解決了傳統UTM設備各安全模塊彼此分離、解碼重復的問題，同時保證了安全模塊開啟后安全性能不明顯下降。

那么該新架構究竟能為綠盟下一代防火墻帶來怎樣的性能提升呢？NSFOCUS NF在實際應用中的性能表現真有說的這么好嗎？我們決定通過實測來驗證一下！

首先介紹一下此次實測的綠盟下一代防火墻——NX3系列G4000M。G4000M采用模塊化設計，最高支持14個GE電口和8個SFP接口；其標稱三層吞吐能力為8Gbps，應用層吞吐能力為4Gbps；而最大并發會話數和每秒新增會話數分別為400萬和8萬。

不可否認，上述綠盟NX3系列G4000M下一代防火墻的標稱性能數據確實很不錯，但筆者認為，防火墻的測試，除了三層吞吐這種基礎性能測試之外，最大并發測試、每秒新增會話測試、以及應用層性能測試等，都必須考慮到實際場景。舉例來說，在實際場景中，不可能在沒有基礎流量的情況下產生新建連接請求；因此，想要測試防火墻在真實場景下的新建連接速率，就必須在已有大量背景流量的情況下進行測試，如果其仍能達到很高的每秒新增連接表現，就說明該防火墻真正具備很高的實際場景處理能力。

　　背景流量（企業標準應用流量模型）由IXIA Breaking Point來提供

綜上所述，我們選擇了思博倫TestCenter和Avalance，以及IXIA Breaking Point三款專業測試設備對綠盟NX3系列G4000M下一代防火墻進行實測。為了使測試結果更具參考價值，此次測試是在開啟應用識別、IPS等功能，并且有一定背景流量（Breaking Point提供的企業標準應用流量模型）的情況下進行的。

測試內容：最大并發會話數，每秒新增會話數，以及應用層吞吐性能。

好啦，關于此次測試的基本介紹就到這里，馬上開始綠盟NX3系列G4000M下一代防火墻的實際測試！

正如前文所說，寬帶化、移動化、社交化已經成為當前互聯網的顯著特征，特別是隨著移動互聯網的興起和電商活動的層出不窮，企業、服務提供商等的網絡中的峰值流量屢屢突破記錄。因此，無論是企業、MSSP，還是私有云數據中心，其防火墻必須具備較高的最大并發會話和每秒新建會話能力，才能滿足當前，甚至未來幾年的發展需求。那么綠盟NX3系列G4000M下一代防火墻的實測表現如何呢？一起來看測試結果?。≒S：此次測試在有背景流量，且應用識別、IPS等功能全部開啟的情況下進行的！）

最大并發會話數測試：

　　綠盟NX3系列G4000M最大并發會話數測試結果圖

　　綠盟NX3系列G4000M最大并發會話數：400萬

每秒新增會話數測試：

　　綠盟NX3系列G4000M每秒新建會話數測試結果圖

　　綠盟NX3系列G4000M每秒新建會話數：約9萬

通過實際測試結果我們不難看出，在考慮到實際場景已有基礎流量且部分功能開啟的前提下，綠盟NX3系列G4000M的實際測試結果（其中，最大并發會話數的測試結果為400萬，而每秒新建會話數的測試結果則約為9萬）與綠盟所公布的標稱數據基本一致，甚至還有所超越（可見，綠盟給出的標稱數據還是相對保守了些），表現相當搶眼！而能夠取得這樣的測試成績，正是得益于綠盟下一代防火墻的創新架構，這也使其在對比同類型時更具競爭優勢！

在本文的開頭我們就談到——自UTM時代遺留下來的安全功能與性能不可兼得的難題，即使到了下一代防火墻時代已然沒有得到很好解決。下一代防火墻的應用層性能表現往往相比標稱的性能表現有較大差距（通常降幅在50%左右，部分產品降幅甚至超過50%）。那么綠盟NX3系列G4000M的表現能否令我們滿意呢？真正考驗綠盟創新架構的時候到了！

應用層吞吐性能測試：

　　應用層吞吐性能測試結果：5Gbps-5.5Gbps

經過實測，綠盟NX3系列G4000M應用層實測成績達到了超過了5Gbps，這一結果相比綠盟給出的4Gbps的標稱應用層吞吐性能還要高出不少（看來綠盟的標稱數據很有參考價值?。。?，表現相當不錯！而這也再度證明了綠盟下一代防火墻的創新架構確實有著獨到的優勢（雙引擎多核并發的高速運行在多個CPU核心之上，各司其職），真正突破了安全設備的性能瓶頸——不僅保證了基礎網絡數據包的高速轉發，更加確保了應用層安全處理的高性能。

測試總結：不止突破了性能瓶頸！

通過對綠盟下一代防火墻（NX3系列G4000M）的全面測試，其出色的性能表現（測試結果領先于同類產品）驗證了其創新架構的獨特優勢，同時也給我們留下了深刻的印象；而更加難能可貴的是，其每一項實測結果均達到或超過了綠盟給出的標稱數值，可謂是良心企業的典范。當然，綠盟下一代防火墻給我們帶來的驚喜不止是突破了性能瓶頸，其基于云（云端日志管理）、管（應用流量防護）、端（內網資產識別）三個維度打造的立體防護解決方案，不僅有效解決了應用識別、內網安全及運維的難題，還提供了事前預警、事中防護、事后分析這樣一條完整、循環的防護鏈條，為用戶提供了全面的安全防護。這一切，都讓我們有理由相信，綠盟下一代防火墻（NSFOCUS NF）在下一代網絡及需求發展中必將成為眾多用戶的理想之選！

1全面解讀綠盟下一代防火墻七大優勢

信息技術的高速發展，正在驅動著全球互聯網的創新與變革——寬帶化、移動化、社交化等已經成為當前互聯網的顯著特征。而隨著互聯網的發展變化，各種新安全威脅層出不窮，這也使得安全防護解決方案也必須隨之而變——移動化和社交化的大趨勢使得基于Web開發的應用數量大大增加，而傳統的防火墻基于端口的應用識別方法已經無法對其進行準確識別；與此同時，移動化（BYOD）還使得內網安全威脅日益凸顯，而傳統的邊界防護設備（包括部分下一代防火墻產品）通常對此無能為力；此外，為應對APT（高級持續性威脅）等新威脅，建立立體的安全防護系統已經成為必須，而復雜的設備管理與操作，讓網管員常常疲于奔命；當然，在互聯網流量激增（寬帶化）的今天，最令人頭疼的還是自UTM時代就遺留下來的安全功能與性能不可兼得的難題。由此不難看出，用戶已迫切需要一種能夠解決這些關鍵痛點的全新一代安全防護解決方案，而綠盟下一代防火墻（NSFOCUS NF）正是為此而生！

綠盟下一代防火墻是基于新一代64位多核硬件平臺，采用最新的應用層安全防護理念，同時結合先進的多核高速數據包并發處理技術，研發而成的企業級下一代邊界安全產品。其核心理念是立足于用戶網絡邊界，建立起以應用為核心的網絡安全策略和以內網資產風險識別、云端安全管理為顯著特征的全方位的安全防護體系。

綠盟下一代防火墻（NSFOCUS NF）七大優勢：

1、全面的應用和用戶識別能力

應用識別是下一代防火墻技術的關鍵特征之一（解決Web時代痛點），NSFOCUS NF可識別1400+種應用和控制（至少支持5大類，比如：商業系統、協作應用、一般網絡應用、媒體等及28子類），并可輔助用戶對這些應用進行高效管理和篩查，包括5維度分類組織、基于特性查詢應用、自定義特殊應用等；同時，借助由資深安全專家組成的安全研究團隊對市場的實時“追蹤”，保證了NSFOCUS NF對新應用的快速響應；而憑借智能應用協議識別、高層應用特征匹配、動態流量及行為分析等多種技術，還保證了NSFOCUS NF對應用精準識別的技術優勢。

在用戶識別方面，NSFOCUS NF通過多種會話身份驗證技術，實現了用戶身份的精準識別。例如其可從域控服務器實時獲取身份賬號與IP地址的對應關系，從而免打擾的實現身份識別；也可通過Web認證頁面來完成身份識別，提供多種認證方式（包括本地認證、Radius、AD、LDAP等），全面提升了用戶接入驗證的靈活性、安全性和準確性。

2、細致的應用層控制手段

傳統防火墻的訪問控制或流量管理粒度通常較為粗放，只能基于IP/端口號對數據流量進行一刀切式的禁止或允許。而NSFOCUS NF基于卓越的應用和用戶識別能力，對數據流量和訪問來源進行精細化辨識和分類，使得用戶可以輕易從同一個端口協議的數據流量中辨識出任意多種不同的應用，或從無意無序的IP地址中辨識出有意義的用戶身份信息，從而針對識別出的應用和用戶施加細粒度、有區別的訪問控制策略、流量管理策略和安全掃描策略，保障了用戶最直接、準確、精細的管理愿望和控制訴求。

3、專業的應用層安全防護能力

在充分考慮到現在及未來安全業務情景的前提下，NSFOCUS NF核心安全功能采用了高度一體化的架構設計方案，將所有的安全特性納入到一體化的引擎中去（集入侵防護、防病毒、URL過濾、內容過濾為一體），從而實現對應用流量進行2-7層一體化、全方位、多層面的安全過濾，一次解碼即可發現并攔截全部威脅攻擊和安全風險，保障用戶網絡環境的應用安全；而這也從根本上解決UTM等傳統設備在多個安全模塊開啟時，安全性能指數直線下降的傳統頑疾。

4、卓越的應用層安全處理性能

NSFOCUS NF構筑在新一代64位多核并發、高速硬件平臺之上，擁有業界獨有的數通、安全雙引擎設計模式。雙引擎多核并發的高速運行在多個CPU核心之上，各司其職，不僅保證了基礎網絡數據包的高速轉發，更加確保了應用層安全處理的高性能。

5、首創的內網資產風險管理

NSFOCUS NF在保護邊界網絡安全的同時，還首創性的提供了內網資產風險識別功能，讓用戶對內網易受攻擊資產進行風險提前評估和預警，雙向安全，雙向保障。即作為事中安全攔截設備，又作為事前風險防范設備，為用戶在安全投資不變的情況下提供一舉兩得的加強安全效應。

6、先進的云端安全管理模式

借助NSFOCUS NF業界首創的云端安全管理模式（平臺），讓用戶在便捷、高效安全管理上有了全新的體驗，極大減免了用戶的安全運維投入——用戶可以7*24小時在線監控安全服務，除基礎的設備狀態及資源使用情況監控，保障設備健康運行以外，對網絡中發生的入侵嗅探、漏洞攻擊、惡意軟件侵入、遠程越權操作竊取機密信息等攻擊行為第一時間進行云端捕獲并記錄。

7、完全涵蓋傳統防火墻功能特性

在傳統防護方面，NSFOCUS NF同樣做到了面面俱到——兼容了傳統防火墻的所有功能特性，包括路由、交換、訪問控制、流量管理、SNAT/DNAT、ISP負載均衡、DDoS防護、VPN、HA、日志報表等，使用戶原有成熟的安全解決方案可以無更改，平滑的過渡到NSFOCUS NF下一代防火墻安全解決方案上來。

2以創新產品架構 迎接多重實測考驗

基于創新架構打造的綠盟下一代防火墻

通過前面的介紹我們不難看出，綠盟下一代防火墻（NSFOCUS NF）已經實現了全方位立體安全防護，無論是面對新安全挑戰，還是解決傳統安全威脅，其都能應付自如。然而這樣的“集大成者”也不禁讓人產生疑問，其性能能否支撐整套安全防護體系？對于此問題，用戶大可放心，因為綠盟已經為其下一代防火墻產品打造了創新的產品架構，除了剛剛提到的新一代64位多核并發、高速硬件平臺和雙引擎設計模式之外，其還采用了綠盟自主研發的并行操作系統，將管理、數通、安全平面并行部署在多核平臺上，借助于多平面并發處理，緊密協作，可顯著提升網絡數據包的安全處理性能。

　　綠盟下一代防火墻的創新架構

而雙引擎設計（數通引擎和一體化安全引擎）則是NSFOCUS NF創新架構的最大亮點。其中，數通引擎實現基礎防火墻功能，并作為整個系統運轉的核心，將底層數通處理和高層應用安全處理，高度整合和驅動起來。與此同時，一體化安全引擎對網絡數據包只需進行一次解碼，即可完成4-7層全部安全掃描和過濾，從根本上解決了傳統UTM設備各安全模塊彼此分離、解碼重復的問題，同時保證了安全模塊開啟后安全性能不明顯下降。

那么該新架構究竟能為綠盟下一代防火墻帶來怎樣的性能提升呢？NSFOCUS NF在實際應用中的性能表現真有說的這么好嗎？我們決定通過實測來驗證一下！

首先介紹一下此次實測的綠盟下一代防火墻——NX3系列G4000M。G4000M采用模塊化設計，最高支持14個GE電口和8個SFP接口；其標稱三層吞吐能力為8Gbps，應用層吞吐能力為4Gbps；而最大并發會話數和每秒新增會話數分別為400萬和8萬。

不可否認，上述綠盟NX3系列G4000M下一代防火墻的標稱性能數據確實很不錯，但筆者認為，防火墻的測試，除了三層吞吐這種基礎性能測試之外，最大并發測試、每秒新增會話測試、以及應用層性能測試等，都必須考慮到實際場景。舉例來說，在實際場景中，不可能在沒有基礎流量的情況下產生新建連接請求；因此，想要測試防火墻在真實場景下的新建連接速率，就必須在已有大量背景流量的情況下進行測試，如果其仍能達到很高的每秒新增連接表現，就說明該防火墻真正具備很高的實際場景處理能力。

　　背景流量（企業標準應用流量模型）由IXIA Breaking Point來提供

綜上所述，我們選擇了思博倫TestCenter和Avalance，以及IXIA Breaking Point三款專業測試設備對綠盟NX3系列G4000M下一代防火墻進行實測。為了使測試結果更具參考價值，此次測試是在開啟應用識別、IPS等功能，并且有一定背景流量（Breaking Point提供的企業標準應用流量模型）的情況下進行的。

測試內容：最大并發會話數，每秒新增會話數，以及應用層吞吐性能。

好啦，關于此次測試的基本介紹就到這里，馬上開始綠盟NX3系列G4000M下一代防火墻的實際測試！

3最大并發和每秒新增會話數測試

正如前文所說，寬帶化、移動化、社交化已經成為當前互聯網的顯著特征，特別是隨著移動互聯網的興起和電商活動的層出不窮，企業、服務提供商等的網絡中的峰值流量屢屢突破記錄。因此，無論是企業、MSSP，還是私有云數據中心，其防火墻必須具備較高的最大并發會話和每秒新建會話能力，才能滿足當前，甚至未來幾年的發展需求。那么綠盟NX3系列G4000M下一代防火墻的實測表現如何呢？一起來看測試結果?。≒S：此次測試在有背景流量，且應用識別、IPS等功能全部開啟的情況下進行的！）

最大并發會話數測試：

　　綠盟NX3系列G4000M最大并發會話數測試結果圖

　　綠盟NX3系列G4000M最大并發會話數：400萬

每秒新增會話數測試：

　　綠盟NX3系列G4000M每秒新建會話數測試結果圖

　　綠盟NX3系列G4000M每秒新建會話數：約9萬

通過實際測試結果我們不難看出，在考慮到實際場景已有基礎流量且部分功能開啟的前提下，綠盟NX3系列G4000M的實際測試結果（其中，最大并發會話數的測試結果為400萬，而每秒新建會話數的測試結果則約為9萬）與綠盟所公布的標稱數據基本一致，甚至還有所超越（可見，綠盟給出的標稱數據還是相對保守了些），表現相當搶眼！而能夠取得這樣的測試成績，正是得益于綠盟下一代防火墻的創新架構，這也使其在對比同類型時更具競爭優勢！

4真正考驗：應用層吞吐性能測試 總結

在本文的開頭我們就談到——自UTM時代遺留下來的安全功能與性能不可兼得的難題，即使到了下一代防火墻時代已然沒有得到很好解決。下一代防火墻的應用層性能表現往往相比標稱的性能表現有較大差距（通常降幅在50%左右，部分產品降幅甚至超過50%）。那么綠盟NX3系列G4000M的表現能否令我們滿意呢？真正考驗綠盟創新架構的時候到了！

應用層吞吐性能測試：

　　應用層吞吐性能測試結果：5Gbps-5.5Gbps

經過實測，綠盟NX3系列G4000M應用層實測成績達到了超過了5Gbps，這一結果相比綠盟給出的4Gbps的標稱應用層吞吐性能還要高出不少（看來綠盟的標稱數據很有參考價值?。。?，表現相當不錯！而這也再度證明了綠盟下一代防火墻的創新架構確實有著獨到的優勢（雙引擎多核并發的高速運行在多個CPU核心之上，各司其職），真正突破了安全設備的性能瓶頸——不僅保證了基礎網絡數據包的高速轉發，更加確保了應用層安全處理的高性能。

測試總結：不止突破了性能瓶頸！

通過對綠盟下一代防火墻（NX3系列G4000M）的全面測試，其出色的性能表現（測試結果領先于同類產品）驗證了其創新架構的獨特優勢，同時也給我們留下了深刻的印象；而更加難能可貴的是，其每一項實測結果均達到或超過了綠盟給出的標稱數值，可謂是良心企業的典范。當然，綠盟下一代防火墻給我們帶來的驚喜不止是突破了性能瓶頸，其基于云（云端日志管理）、管（應用流量防護）、端（內網資產識別）三個維度打造的立體防護解決方案，不僅有效解決了應用識別、內網安全及運維的難題，還提供了事前預警、事中防護、事后分析這樣一條完整、循環的防護鏈條，為用戶提供了全面的安全防護。這一切，都讓我們有理由相信，綠盟下一代防火墻（NSFOCUS NF）在下一代網絡及需求發展中必將成為眾多用戶的理想之選！