Xalanz's 网络日志(Ethan's blog)

1、转发性能/质量 IPS/UTM 作为在线inline设备，最大的风险莫过于对网络原有性能的影响；这里的转发性能的衡量可以通过以下几个参数来衡量：
每秒转发报文数 从基本的64字节的报文到1500字节大报文，IPS/UTM 都应该能够在其声称的带宽范围内线速转发，否则将无法衡量所谓的吞吐率是针对网络中平均大小的报文来计算的，还是可以满足所有报文大小范围，而这两者代表的性能有着巨大的差异。
报文转发延迟 越小的延迟，意味着IPS/UTM的转发性能越好，越稳定的延迟意味着IPS/UTM 越优秀的转发质量。不稳定的延迟，一会儿大，一会儿小，将对严格依赖流量质量的实时流通讯服务造成严重的干扰，如IP电话，IP视频会议系统，在线的流媒体播放等。没有稳定和优秀的延迟控制能力的IPS/UTM设备是不可能部署在日渐流行的IP电话、视频、及其它类似服务网中的，更具体的说，无法保证RTP,H.323,RTSP等这些严格依赖于网络传输质量的协议的正常运作。多数的粗造烂制的IPS,UTM设备在这一点上不过关，即使是部署在普通的公司企业Internet出口处，其糟糕的转发质量，过于不稳定的延迟，也将极大地降低普通的Web、Email、FTP服务等基本Internet服务的使用感受，同时过于糟糕的延迟也将是网络震荡，通讯程序出错的主要因素。
____从技术实现来讲，对报文转发延迟的保证需要扎实的底层技术；无论是采用NP,还是ASIC/FPGA,X86架构的报文转发系统，无论是硬件转发，还是软件转发，稳定的低延迟的保证都是设计的难点和关键点，比如采用普通操作系统Linux/FreeBSD/Windows的X86架构的转发系统，由于上述系统的非实时性，操作系统本身就无法保证每个任务处理的时间确定性，谈稳定的转发延迟就是无本之源了；同样，对于使用了NP,ASIC/FPGA构成的转发系统，并不是你用了NP,FPGA你的转发质量就好了,这引出保证稳定延迟的另一个难点：
____内容过滤处理与报文转发的时序配合问题，由于内容过滤、协议解析的复杂性和运算量巨大，一般的系统都将这些深层次的检查交由单独的处理器配合ASIC/FPGA硬件来完成，而转发交由另一个单独NP或者ASIC/FPGA来完成，由于内容过滤机制的问题，比如病毒检查，需要完整解压缩，解析出文件，对文件进行扫描才能判定传输的流量是否有病毒，这里存在一个难题，是缓存这些报文不转发，等待检查完成，还是放行？即使假设内容处理足够的快，这个问题仍然存在。
____并不是说这些问题不能解决，这里要说明的是，有些厂商并没有花成本和心思去真正的解决非常细节的技术问题；所以对用户而言，就需要用心鉴别了。
并发连接数 本来对于端口过滤的无状态防火墙而言，并发连接数是个毫无干系的指标，因为这种防火墙根本不感知连接数，并进行任何并发连接的相关处理。对于状态防火墙，IPS,UTM 而言，需要做深层次应用层协议的检查，需要维持大量的连接的信息，这样就引出几个问题，一个是有限的内存资源所容纳的连接信息的多少，二是多长时间淘汰这些连接信息，三是分清不同类型连接，保证各自的服务质量。对于单纯的强调并发连接数，并不能代表它的性能就好。
---待续