信息技术的高速发展，正在驱动着全球互联网的创新与变革——宽带化、移动化、社交化等已经成为当前互联网的显著特征。而随着互联网的发展变化，各种新安全威胁层出不穷，这也使得安全防护解决方案也必须随之而变——移动化和社交化的大趋势使得基于Web开发的应用数量大大增加，而传统的防火墙基于端口的应用识别方法已经无法对其进行准确识别；与此同时，移动化（BYOD）还使得内网安全威胁日益凸显，而传统的边界防护设备（包括部分下一代防火墙产品）通常对此无能为力；此外，为应对APT（高级持续性威胁）等新威胁，建立立体的安全防护系统已经成为必须，而复杂的设备管理与操作，让网管员常常疲于奔命；当然，在互联网流量激增（宽带化）的今天，最令人头疼的还是自UTM时代就遗留下来的安全功能与性能不可兼得的难题。由此不难看出，用户已迫切需要一种能够解决这些关键痛点的全新一代安全防护解决方案，而绿盟下一代防火墙（NSFOCUS NF）正是为此而生！

绿盟下一代防火墙是基于新一代64位多核硬件平台，采用最新的应用层安全防护理念，同时结合先进的多核高速数据包并发处理技术，研发而成的企业级下一代边界安全产品。其核心理念是立足于用户网络边界，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。

绿盟下一代防火墙（NSFOCUS NF）七大优势：

1、全面的应用和用户识别能力

应用识别是下一代防火墙技术的关键特征之一（解决Web时代痛点），NSFOCUS NF可识别1400+种应用和控制（至少支持5大类，比如：商业系统、协作应用、一般网络应用、媒体等及28子类），并可辅助用户对这些应用进行高效管理和筛查，包括5维度分类组织、基于特性查询应用、自定义特殊应用等；同时，借助由资深安全专家组成的安全研究团队对市场的实时“追踪”，保证了NSFOCUS NF对新应用的快速响应；而凭借智能应用协议识别、高层应用特征匹配、动态流量及行为分析等多种技术，还保证了NSFOCUS NF对应用精准识别的技术优势。

在用户识别方面，NSFOCUS NF通过多种会话身份验证技术，实现了用户身份的精准识别。例如其可从域控服务器实时获取身份账号与IP地址的对应关系，从而免打扰的实现身份识别；也可通过Web认证页面来完成身份识别，提供多种认证方式（包括本地认证、Radius、AD、LDAP等），全面提升了用户接入验证的灵活性、安全性和准确性。

2、细致的应用层控制手段

传统防火墙的访问控制或流量管理粒度通常较为粗放，只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。而NSFOCUS NF基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。

3、专业的应用层安全防护能力

在充分考虑到现在及未来安全业务情景的前提下，NSFOCUS NF核心安全功能采用了高度一体化的架构设计方案，将所有的安全特性纳入到一体化的引擎中去（集入侵防护、防病毒、URL过滤、内容过滤为一体），从而实现对应用流量进行2-7层一体化、全方位、多层面的安全过滤，一次解码即可发现并拦截全部威胁攻击和安全风险，保障用户网络环境的应用安全；而这也从根本上解决UTM等传统设备在多个安全模块开启时，安全性能指数直线下降的传统顽疾。

4、卓越的应用层安全处理性能

NSFOCUS NF构筑在新一代64位多核并发、高速硬件平台之上，拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上，各司其职，不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。

5、首创的内网资产风险管理

NSFOCUS NF在保护边界网络安全的同时，还首创性的提供了内网资产风险识别功能，让用户对内网易受攻击资产进行风险提前评估和预警，双向安全，双向保障。即作为事中安全拦截设备，又作为事前风险防范设备，为用户在安全投资不变的情况下提供一举两得的加强安全效应。

6、先进的云端安全管理模式

借助NSFOCUS NF业界首创的云端安全管理模式（平台），让用户在便捷、高效安全管理上有了全新的体验，极大减免了用户的安全运维投入——用户可以7*24小时在线监控安全服务，除基础的设备状态及资源使用情况监控，保障设备健康运行以外，对网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。

7、完全涵盖传统防火墙功能特性

在传统防护方面，NSFOCUS NF同样做到了面面俱到——兼容了传统防火墙的所有功能特性，包括路由、交换、访问控制、流量管理、SNAT/DNAT、ISP负载均衡、DDoS防护、VPN、HA、日志报表等，使用户原有成熟的安全解决方案可以无更改，平滑的过渡到NSFOCUS NF下一代防火墙安全解决方案上来。

向作者提问标签：防火墙

[page]

基于创新架构打造的绿盟下一代防火墙

通过前面的介绍我们不难看出，绿盟下一代防火墙（NSFOCUS NF）已经实现了全方位立体安全防护，无论是面对新安全挑战，还是解决传统安全威胁，其都能应付自如。然而这样的“集大成者”也不禁让人产生疑问，其性能能否支撑整套安全防护体系？对于此问题，用户大可放心，因为绿盟已经为其下一代防火墙产品打造了创新的产品架构，除了刚刚提到的新一代64位多核并发、高速硬件平台和双引擎设计模式之外，其还采用了绿盟自主研发的并行操作系统，将管理、数通、安全平面并行部署在多核平台上，借助于多平面并发处理，紧密协作，可显著提升网络数据包的安全处理性能。

　　绿盟下一代防火墙的创新架构

而双引擎设计（数通引擎和一体化安全引擎）则是NSFOCUS NF创新架构的最大亮点。其中，数通引擎实现基础防火墙功能，并作为整个系统运转的核心，将底层数通处理和高层应用安全处理，高度整合和驱动起来。与此同时，一体化安全引擎对网络数据包只需进行一次解码，即可完成4-7层全部安全扫描和过滤，从根本上解决了传统UTM设备各安全模块彼此分离、解码重复的问题，同时保证了安全模块开启后安全性能不明显下降。

那么该新架构究竟能为绿盟下一代防火墙带来怎样的性能提升呢？NSFOCUS NF在实际应用中的性能表现真有说的这么好吗？我们决定通过实测来验证一下！

首先介绍一下此次实测的绿盟下一代防火墙——NX3系列G4000M。G4000M采用模块化设计，最高支持14个GE电口和8个SFP接口；其标称三层吞吐能力为8Gbps，应用层吞吐能力为4Gbps；而最大并发会话数和每秒新增会话数分别为400万和8万。

不可否认，上述绿盟NX3系列G4000M下一代防火墙的标称性能数据确实很不错，但笔者认为，防火墙的测试，除了三层吞吐这种基础性能测试之外，最大并发测试、每秒新增会话测试、以及应用层性能测试等，都必须考虑到实际场景。举例来说，在实际场景中，不可能在没有基础流量的情况下产生新建连接请求；因此，想要测试防火墙在真实场景下的新建连接速率，就必须在已有大量背景流量的情况下进行测试，如果其仍能达到很高的每秒新增连接表现，就说明该防火墙真正具备很高的实际场景处理能力。

　　背景流量（企业标准应用流量模型）由IXIA Breaking Point来提供

综上所述，我们选择了思博伦TestCenter和Avalance，以及IXIA Breaking Point三款专业测试设备对绿盟NX3系列G4000M下一代防火墙进行实测。为了使测试结果更具参考价值，此次测试是在开启应用识别、IPS等功能，并且有一定背景流量（Breaking Point提供的企业标准应用流量模型）的情况下进行的。

测试内容：最大并发会话数，每秒新增会话数，以及应用层吞吐性能。

好啦，关于此次测试的基本介绍就到这里，马上开始绿盟NX3系列G4000M下一代防火墙的实际测试！

正如前文所说，宽带化、移动化、社交化已经成为当前互联网的显著特征，特别是随着移动互联网的兴起和电商活动的层出不穷，企业、服务提供商等的网络中的峰值流量屡屡突破记录。因此，无论是企业、MSSP，还是私有云数据中心，其防火墙必须具备较高的最大并发会话和每秒新建会话能力，才能满足当前，甚至未来几年的发展需求。那么绿盟NX3系列G4000M下一代防火墙的实测表现如何呢？一起来看测试结果！（PS：此次测试在有背景流量，且应用识别、IPS等功能全部开启的情况下进行的！）

最大并发会话数测试：

　　绿盟NX3系列G4000M最大并发会话数测试结果图

　　绿盟NX3系列G4000M最大并发会话数：400万

每秒新增会话数测试：

　　绿盟NX3系列G4000M每秒新建会话数测试结果图

　　绿盟NX3系列G4000M每秒新建会话数：约9万

通过实际测试结果我们不难看出，在考虑到实际场景已有基础流量且部分功能开启的前提下，绿盟NX3系列G4000M的实际测试结果（其中，最大并发会话数的测试结果为400万，而每秒新建会话数的测试结果则约为9万）与绿盟所公布的标称数据基本一致，甚至还有所超越（可见，绿盟给出的标称数据还是相对保守了些），表现相当抢眼！而能够取得这样的测试成绩，正是得益于绿盟下一代防火墙的创新架构，这也使其在对比同类型时更具竞争优势！

在本文的开头我们就谈到——自UTM时代遗留下来的安全功能与性能不可兼得的难题，即使到了下一代防火墙时代已然没有得到很好解决。下一代防火墙的应用层性能表现往往相比标称的性能表现有较大差距（通常降幅在50%左右，部分产品降幅甚至超过50%）。那么绿盟NX3系列G4000M的表现能否令我们满意呢？真正考验绿盟创新架构的时候到了！

应用层吞吐性能测试：

　　应用层吞吐性能测试结果：5Gbps-5.5Gbps

经过实测，绿盟NX3系列G4000M应用层实测成绩达到了超过了5Gbps，这一结果相比绿盟给出的4Gbps的标称应用层吞吐性能还要高出不少（看来绿盟的标称数据很有参考价值啊！），表现相当不错！而这也再度证明了绿盟下一代防火墙的创新架构确实有着独到的优势（双引擎多核并发的高速运行在多个CPU核心之上，各司其职），真正突破了安全设备的性能瓶颈——不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。

测试总结：不止突破了性能瓶颈！

通过对绿盟下一代防火墙（NX3系列G4000M）的全面测试，其出色的性能表现（测试结果领先于同类产品）验证了其创新架构的独特优势，同时也给我们留下了深刻的印象；而更加难能可贵的是，其每一项实测结果均达到或超过了绿盟给出的标称数值，可谓是良心企业的典范。当然，绿盟下一代防火墙给我们带来的惊喜不止是突破了性能瓶颈，其基于云（云端日志管理）、管（应用流量防护）、端（内网资产识别）三个维度打造的立体防护解决方案，不仅有效解决了应用识别、内网安全及运维的难题，还提供了事前预警、事中防护、事后分析这样一条完整、循环的防护链条，为用户提供了全面的安全防护。这一切，都让我们有理由相信，绿盟下一代防火墙（NSFOCUS NF）在下一代网络及需求发展中必将成为众多用户的理想之选！

1全面解读绿盟下一代防火墙七大优势

信息技术的高速发展，正在驱动着全球互联网的创新与变革——宽带化、移动化、社交化等已经成为当前互联网的显著特征。而随着互联网的发展变化，各种新安全威胁层出不穷，这也使得安全防护解决方案也必须随之而变——移动化和社交化的大趋势使得基于Web开发的应用数量大大增加，而传统的防火墙基于端口的应用识别方法已经无法对其进行准确识别；与此同时，移动化（BYOD）还使得内网安全威胁日益凸显，而传统的边界防护设备（包括部分下一代防火墙产品）通常对此无能为力；此外，为应对APT（高级持续性威胁）等新威胁，建立立体的安全防护系统已经成为必须，而复杂的设备管理与操作，让网管员常常疲于奔命；当然，在互联网流量激增（宽带化）的今天，最令人头疼的还是自UTM时代就遗留下来的安全功能与性能不可兼得的难题。由此不难看出，用户已迫切需要一种能够解决这些关键痛点的全新一代安全防护解决方案，而绿盟下一代防火墙（NSFOCUS NF）正是为此而生！

绿盟下一代防火墙是基于新一代64位多核硬件平台，采用最新的应用层安全防护理念，同时结合先进的多核高速数据包并发处理技术，研发而成的企业级下一代边界安全产品。其核心理念是立足于用户网络边界，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。

绿盟下一代防火墙（NSFOCUS NF）七大优势：

1、全面的应用和用户识别能力

应用识别是下一代防火墙技术的关键特征之一（解决Web时代痛点），NSFOCUS NF可识别1400+种应用和控制（至少支持5大类，比如：商业系统、协作应用、一般网络应用、媒体等及28子类），并可辅助用户对这些应用进行高效管理和筛查，包括5维度分类组织、基于特性查询应用、自定义特殊应用等；同时，借助由资深安全专家组成的安全研究团队对市场的实时“追踪”，保证了NSFOCUS NF对新应用的快速响应；而凭借智能应用协议识别、高层应用特征匹配、动态流量及行为分析等多种技术，还保证了NSFOCUS NF对应用精准识别的技术优势。

在用户识别方面，NSFOCUS NF通过多种会话身份验证技术，实现了用户身份的精准识别。例如其可从域控服务器实时获取身份账号与IP地址的对应关系，从而免打扰的实现身份识别；也可通过Web认证页面来完成身份识别，提供多种认证方式（包括本地认证、Radius、AD、LDAP等），全面提升了用户接入验证的灵活性、安全性和准确性。

2、细致的应用层控制手段

传统防火墙的访问控制或流量管理粒度通常较为粗放，只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。而NSFOCUS NF基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。

3、专业的应用层安全防护能力

在充分考虑到现在及未来安全业务情景的前提下，NSFOCUS NF核心安全功能采用了高度一体化的架构设计方案，将所有的安全特性纳入到一体化的引擎中去（集入侵防护、防病毒、URL过滤、内容过滤为一体），从而实现对应用流量进行2-7层一体化、全方位、多层面的安全过滤，一次解码即可发现并拦截全部威胁攻击和安全风险，保障用户网络环境的应用安全；而这也从根本上解决UTM等传统设备在多个安全模块开启时，安全性能指数直线下降的传统顽疾。

4、卓越的应用层安全处理性能

NSFOCUS NF构筑在新一代64位多核并发、高速硬件平台之上，拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上，各司其职，不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。

5、首创的内网资产风险管理

NSFOCUS NF在保护边界网络安全的同时，还首创性的提供了内网资产风险识别功能，让用户对内网易受攻击资产进行风险提前评估和预警，双向安全，双向保障。即作为事中安全拦截设备，又作为事前风险防范设备，为用户在安全投资不变的情况下提供一举两得的加强安全效应。

6、先进的云端安全管理模式

借助NSFOCUS NF业界首创的云端安全管理模式（平台），让用户在便捷、高效安全管理上有了全新的体验，极大减免了用户的安全运维投入——用户可以7*24小时在线监控安全服务，除基础的设备状态及资源使用情况监控，保障设备健康运行以外，对网络中发生的入侵嗅探、漏洞攻击、恶意软件侵入、远程越权操作窃取机密信息等攻击行为第一时间进行云端捕获并记录。

7、完全涵盖传统防火墙功能特性

在传统防护方面，NSFOCUS NF同样做到了面面俱到——兼容了传统防火墙的所有功能特性，包括路由、交换、访问控制、流量管理、SNAT/DNAT、ISP负载均衡、DDoS防护、VPN、HA、日志报表等，使用户原有成熟的安全解决方案可以无更改，平滑的过渡到NSFOCUS NF下一代防火墙安全解决方案上来。

2以创新产品架构 迎接多重实测考验

基于创新架构打造的绿盟下一代防火墙

通过前面的介绍我们不难看出，绿盟下一代防火墙（NSFOCUS NF）已经实现了全方位立体安全防护，无论是面对新安全挑战，还是解决传统安全威胁，其都能应付自如。然而这样的“集大成者”也不禁让人产生疑问，其性能能否支撑整套安全防护体系？对于此问题，用户大可放心，因为绿盟已经为其下一代防火墙产品打造了创新的产品架构，除了刚刚提到的新一代64位多核并发、高速硬件平台和双引擎设计模式之外，其还采用了绿盟自主研发的并行操作系统，将管理、数通、安全平面并行部署在多核平台上，借助于多平面并发处理，紧密协作，可显著提升网络数据包的安全处理性能。

　　绿盟下一代防火墙的创新架构

而双引擎设计（数通引擎和一体化安全引擎）则是NSFOCUS NF创新架构的最大亮点。其中，数通引擎实现基础防火墙功能，并作为整个系统运转的核心，将底层数通处理和高层应用安全处理，高度整合和驱动起来。与此同时，一体化安全引擎对网络数据包只需进行一次解码，即可完成4-7层全部安全扫描和过滤，从根本上解决了传统UTM设备各安全模块彼此分离、解码重复的问题，同时保证了安全模块开启后安全性能不明显下降。

那么该新架构究竟能为绿盟下一代防火墙带来怎样的性能提升呢？NSFOCUS NF在实际应用中的性能表现真有说的这么好吗？我们决定通过实测来验证一下！

首先介绍一下此次实测的绿盟下一代防火墙——NX3系列G4000M。G4000M采用模块化设计，最高支持14个GE电口和8个SFP接口；其标称三层吞吐能力为8Gbps，应用层吞吐能力为4Gbps；而最大并发会话数和每秒新增会话数分别为400万和8万。

不可否认，上述绿盟NX3系列G4000M下一代防火墙的标称性能数据确实很不错，但笔者认为，防火墙的测试，除了三层吞吐这种基础性能测试之外，最大并发测试、每秒新增会话测试、以及应用层性能测试等，都必须考虑到实际场景。举例来说，在实际场景中，不可能在没有基础流量的情况下产生新建连接请求；因此，想要测试防火墙在真实场景下的新建连接速率，就必须在已有大量背景流量的情况下进行测试，如果其仍能达到很高的每秒新增连接表现，就说明该防火墙真正具备很高的实际场景处理能力。

　　背景流量（企业标准应用流量模型）由IXIA Breaking Point来提供

综上所述，我们选择了思博伦TestCenter和Avalance，以及IXIA Breaking Point三款专业测试设备对绿盟NX3系列G4000M下一代防火墙进行实测。为了使测试结果更具参考价值，此次测试是在开启应用识别、IPS等功能，并且有一定背景流量（Breaking Point提供的企业标准应用流量模型）的情况下进行的。

测试内容：最大并发会话数，每秒新增会话数，以及应用层吞吐性能。

好啦，关于此次测试的基本介绍就到这里，马上开始绿盟NX3系列G4000M下一代防火墙的实际测试！

3最大并发和每秒新增会话数测试

正如前文所说，宽带化、移动化、社交化已经成为当前互联网的显著特征，特别是随着移动互联网的兴起和电商活动的层出不穷，企业、服务提供商等的网络中的峰值流量屡屡突破记录。因此，无论是企业、MSSP，还是私有云数据中心，其防火墙必须具备较高的最大并发会话和每秒新建会话能力，才能满足当前，甚至未来几年的发展需求。那么绿盟NX3系列G4000M下一代防火墙的实测表现如何呢？一起来看测试结果！（PS：此次测试在有背景流量，且应用识别、IPS等功能全部开启的情况下进行的！）

最大并发会话数测试：

　　绿盟NX3系列G4000M最大并发会话数测试结果图

　　绿盟NX3系列G4000M最大并发会话数：400万

每秒新增会话数测试：

　　绿盟NX3系列G4000M每秒新建会话数测试结果图

　　绿盟NX3系列G4000M每秒新建会话数：约9万

通过实际测试结果我们不难看出，在考虑到实际场景已有基础流量且部分功能开启的前提下，绿盟NX3系列G4000M的实际测试结果（其中，最大并发会话数的测试结果为400万，而每秒新建会话数的测试结果则约为9万）与绿盟所公布的标称数据基本一致，甚至还有所超越（可见，绿盟给出的标称数据还是相对保守了些），表现相当抢眼！而能够取得这样的测试成绩，正是得益于绿盟下一代防火墙的创新架构，这也使其在对比同类型时更具竞争优势！

4真正考验：应用层吞吐性能测试 总结

在本文的开头我们就谈到——自UTM时代遗留下来的安全功能与性能不可兼得的难题，即使到了下一代防火墙时代已然没有得到很好解决。下一代防火墙的应用层性能表现往往相比标称的性能表现有较大差距（通常降幅在50%左右，部分产品降幅甚至超过50%）。那么绿盟NX3系列G4000M的表现能否令我们满意呢？真正考验绿盟创新架构的时候到了！

应用层吞吐性能测试：

　　应用层吞吐性能测试结果：5Gbps-5.5Gbps

经过实测，绿盟NX3系列G4000M应用层实测成绩达到了超过了5Gbps，这一结果相比绿盟给出的4Gbps的标称应用层吞吐性能还要高出不少（看来绿盟的标称数据很有参考价值啊！），表现相当不错！而这也再度证明了绿盟下一代防火墙的创新架构确实有着独到的优势（双引擎多核并发的高速运行在多个CPU核心之上，各司其职），真正突破了安全设备的性能瓶颈——不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。

测试总结：不止突破了性能瓶颈！

通过对绿盟下一代防火墙（NX3系列G4000M）的全面测试，其出色的性能表现（测试结果领先于同类产品）验证了其创新架构的独特优势，同时也给我们留下了深刻的印象；而更加难能可贵的是，其每一项实测结果均达到或超过了绿盟给出的标称数值，可谓是良心企业的典范。当然，绿盟下一代防火墙给我们带来的惊喜不止是突破了性能瓶颈，其基于云（云端日志管理）、管（应用流量防护）、端（内网资产识别）三个维度打造的立体防护解决方案，不仅有效解决了应用识别、内网安全及运维的难题，还提供了事前预警、事中防护、事后分析这样一条完整、循环的防护链条，为用户提供了全面的安全防护。这一切，都让我们有理由相信，绿盟下一代防火墙（NSFOCUS NF）在下一代网络及需求发展中必将成为众多用户的理想之选！