ОБЗОРЫ
Роджер Хартджи
Мощное устройство NetScreen-500, сочетающее в себе брандмауэр, модуль VPN и волоконно-оптический гигабитный интерфейс, отличается исключительной пропускной способностью. Как показало проведенное в eWeek Labs тестирование, данные через брандмауэр проносятся со скоростью почти 750 Мбит/с, а при шифровании по протоколу Triple DES со 168-битным ключом передаются между узлами по тоннелю виртуальной частной сети на скорости 243 Мбит/с.
Однако высокая пропускная способность - не единственное достоинство этой старшей модели, выпущенной фирмой NetScreen Technologies в мае. Рассчитанная на поставщиков услуг Интернета и крупные предприятия, новинка транслирует сетевые адреса, отображая частные IP-адреса на общедоступные, оснащена инструментами предупреждения атак типа “отказ от обслуживания”, способна обеспечивать работу сразу нескольких виртуальных ЛВС и при всем этом предлагает пользователю практичный Web-интерфейс.
Кроме того, NetScreen-500 поддерживает протокол RADIUS (Remote Authentication Dial-In User Service - служба дистанционной аутентификации пользователей по коммутируемым линиям) и имеет собственную базу данных для аутентификации пользователей, подающих запрос на удаленный доступ. Правда, аутентификации удаленных пользователей через домены Windows NT новинка не производит.
Мы тестировали устройство с тремя гигабитными портами, рекомендуемая цена которого чуть-чуть не дотягивает до 39 500 долл. При желании можно приобрести и модель с портами 10/100 Мбит/с - она обойдется даже дешевле 25 000 долл., а впоследствии ее можно будет легко модернизировать.
Но как ни высока пропускная способность брандмауэра NetScreen-500, она все же уступает гигабайтовым показателям, заявленным фирмой Cisco Systems для своего нового устройства PIX 535. Его цена зависит от комплектации и начинается от 50 тыс. долл. Правда, судя по документации, брандмауэр Cisco сможет обеспечить шифрование по протоколу Triple DES лишь после установки дополнительного оборудования, да и то на скорости всего лишь 100 Мбит/с. Это намного ниже рубежа 243 Мбит/с, который мы отметили при тестировании NetScreen-500.
Хотя PIX отстает по скорости шифрования и не столь удобен в эксплуатации, как NetScreen-500, он не может не привлечь внимания организаций, уже работающих с аппаратурой Cisco.
Для проверки NetScreen-500 был использован тестовый инструментарий генерации трафика и измерения пропускной способности SmartBits 2000 фирмы Netcom Systems. А чтобы оценить качество обработки виртуальных IP-адресов и безопасность брандмауэра, мы развернули две небольшие сети и установили на их границах устройства NetScreen.
Измерение максимальной пропускной способности без шифрования производилось с помощью генератора трафика SmartBits, который подключался к доверяемым и недоверяемым портам NetScreen-500. В соответствии с заданными нами правилами трафик от IP-адресов SmartBits пропускался через брандмауэр в обоих направлениях. При такой схеме пропускная способность системы составила 750 Мбит/с. Конечно, этот показатель представляется несколько завышенным, поскольку тестирование производилось в лабораторных условиях без трансляции сетевых адресов, да и обработке подвергался трафик всего лишь по двум IP-адресам. Тем не менее полученные результаты впечатляют.
История с шифрованием
Чтобы проверить, как NetScreen-500 справляется с обработкой шифрованного трафика, мы соединили два таких устройства напрямую через недоверяемые порты их брандмауэров. Затем создали туннель VPN, назначив одно из устройств равноправным доверенным компонентом виртуальной сети. После этого был подан трафик SmartBits, который шифровался различными методами, включая DES, Triple DES, SHA (Secure Hash Algorithm - алгоритм аутентификации и проверки целостности информации) и MD5 (Message Digest - сжатие сообщений). Все тесты производились с использованием протокола ESP (Encapsulating Security Payload - безопасное закрытие содержания) и общих ключей.
Конечный результат рассчитывался путем усреднения данных по пяти тестам длительностью от 1 с до 2 мин. Наилучшие показатели были получены в случае алгоритма Triple DES в сочетании с MD5 - при такой комбинации средняя пропускная способность составила 243 Мбит/с. Шифрование по алгоритму SHA отличается большей стойкостью и надежностью аутентификации, но создает дополнительную нагрузку на систему. В этом режиме скорость работы NetScreen-500 снизилась до 222 Мбит/с.
К немалому нашему удивлению, шифрование по протоколам DES и SHA производилось лишь чуть быстрее, чем по протоколу Triple DES в комбинации с MD5, - его скорость составила всего 246 Мбит/с. Как пояснили представители NetScreen, это связано с особенностями NetScreen-500, который оптимизирован для работы с Triple DES. 4
С внештатным редактором Роджером Хартджи можно связаться по адресу: roger_hartje@hotmail.com.
Резюме ДЛЯ РУКОВОДИТЕЛЕЙ
NetScreen-500
Оснащенный гигабитным волоконно-оптическим интерфейсом, NetScreen-500, выпущенный фирмой NetScreen Technologies, сочетает в себе надежный брандмауэр и средства создания VPN. Это устройство хорошо подойдет тем организациям, которым не хватает производительности интерфейса 10/100 Мбит/с. Однако там, где активно используются продукты Cisco, лучше развернуть брандмауэр PIX 535, полностью совместимый с другими ее системами.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Развернув NetScreen-500, поставщики услуг Интернета и крупные предприятия смогут быстро повысить пропускную способность своих брандмауэров и VPN, выведя ее далеко за пределы наиболее распространенных сегодня подключений 10/100 Мбит/с.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Брандмауэр, способный работать на скорости свыше 700 Мбит/с, и VPN с пропускной способностью около 250 Мбит/с в обозримом будущем смогут удовлетворить запросы многих компаний.
+ Высокая пропускная способность брандмауэра и большая скорость пересылки шифрованного трафика через VPN; простота настройки.
- Отсутствие аутентификации удаленных пользователей в доменах NT.
Фирма NetScreen Technologies, Саннивейл, шт. Калифорния, www.netscreen.com.