论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 7 篇帖子 ] 
作者 内容
 文章标题 : CrossBeam UTM 产品的一些体会
帖子发表于 : 2007-12-01 00:10 
离线
初级用户

注册: 2005-12-22 13:01
最近: 2013-12-08 22:35
拥有: 18.80 安全币

奖励: 0 安全币
在线: 1124 点
帖子: 20
地址: 北京
刚才看到有位朋友关于CrossBeam和Checkpoint使用哪种产品实现负载均衡,呵呵所以谈点点个人体会:
一.CrossBeam NPM模块提供GB级别的吞吐率,可以支持光口。对大型满足接入环境的高吞吐率环境的需求是绰绰有余。

二.做负载均衡如果使用的是CrossBeam,其处理能力上其特殊之处不在于他的接口。主要还是看他的背板支持的总带宽,比如X80举例,能支持处理40GB的流量。因此CrossBeam处理网络流量的一个亮点应该是他背板的处理速度,是非常优秀的。应该比NOKIA或者CP UTM-1有优势的。之前,一业界牛人为某行测试完CBS后的感言,NOKIA CP平台上做压力测试时每秒新建并发连接数不过5k/per s,但是CBS却能达到1W以上,同时还有次cisco asa能达到1.5w。(呵呵,大家知道CBS上跑的CP,深度状态检测机制,cisco是数据转发机制,在但检测的细粒度方面应该不如CP),所以使用CBS 跑CP在性能上已经充分说明一点是aboslutely no problem .

三.使用负载均衡的方式,

checkpoint使用的是clusterXL,该模块时收费的,如果使用免费的,则只能实现热备(Active/Standby).Nokia 的负载均衡方式可以使用VRRP或者ip clusting,都是免费的,可以实现负载均衡实现(Active/Active)。CrossBeam使用的是open 的3rd cluster,当然也是免费实现(Active/Active)负载均衡。因此这里如果考虑Cluster时,需要结合性能,建议使用crossbeam。

四. 从配置和切换的角度来看

CrossBeam可以一次性将所有相关配置的命令写成脚本,一次全部执行,因此很适合网关设备等对failover要求很高的企业,能最大程度降低配置复杂的切换,特别是cluster之类的切换,比如nokia就需要先建立cluster 然后建立sic等等。(当然也会有简单的办法,但是每一步的操作还是要手动去调)crossbeam使用脚本,一次性搞定大多数配置,节省切换时间。曾经听某位同事说做过一个带custer的切换2分钟搞定,看来还是比较方便的。

五.从管理和配置的角度

CrossBeam是基于APM应用模块的,因此我们只需要针对不同的APM模块做操作就可以,CrossBeam的有自己的管理理念,把所有的安全应用使用一个管理网段,增强安全应用本身管理上的安全性。同时他的N+1备份机制不错,做过一个测试是把一对Cluster的APM 拔掉一块(冷切换),这个时候,跑在这个APM上的火墙模块,自动漂移到备用的APM上开始工作。
关于链路的切换,时间也是非常短的,手工拔掉其中一根网线,一般只丢一个包,遗憾的是没有看到不丢包的现象。所以他的备份机制还是非常优秀的。

最后,关于CrossBeam这些体会只是个人实际经验中的感觉,并不一定准确,也许还有一些亮点,因为自己了解的不够深入,没有讲出来,这里说这些就当抛砖引玉,给大家的讨论开个头吧。还有更多关于CrossBeam的交流,可以在一个CP中文网站看到:

http://www.cpuo.com.cn/read.php?tid=119&page=1&toread=1

呵呵,推荐一下~


--------本帖迄今已累计获得34安全币用户奖励--------


最后由 windows os 编辑于 2007-12-03 17:47,总共编辑了 2 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-12-03 15:29 
离线
新手

注册: 2007-11-30 08:39
最近: 2008-03-13 17:04
拥有: 19.10 安全币

奖励: 0 安全币
在线: 134 点
帖子: 3
NOKIA 和 Crossbeam都是很好的硬件平台,用于架构Checkpoint都是很好的platform,但就配置界面NOKIA要比crossbeam友好得多。备份和重新初始化,NOKIA都有成型的界面和功能。而Crossbeam,如果要想初始化,一定要把设备发回厂商。Crossbeam有系统还原功能,但只是在原有操作系统基础上的软件还原,如果在基础操作系统出现问题,就会出现无法还原,或者还原出来的系统不能正常工作的现象。两个产品都有web 界面,但crossbeam的web是用java做的,非常不友好,而且速度很慢。而NOKIA相对功能完善些。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-12-05 21:32 
离线
初级用户

注册: 2005-12-22 13:01
最近: 2013-12-08 22:35
拥有: 18.80 安全币

奖励: 0 安全币
在线: 1124 点
帖子: 20
地址: 北京
兄弟说的NOKIA支持WEB界面很友好,确实,因为NOKIA的底层配置在web上就能进行,用过nokia的人都了解,所以想配置接口、路由等配置时肯定得老老实实的一个一个的配。假如我们之前能把所有需要配置的这些信息做成像cisco一样的命令脚本,一次性全部执行,那是不是很方便和省事呢,而且这样出错的几率也比较小,因为之前我们有充足的时间来检查配置的正确性,确认没有问题了,ok ,一次性复制到CBS#下,全部执行完成。这样比起通过web来逐一配置要方便吧。
另外NOKIA使用的是x86的平台,拿ip390来讲,大家也知道它什么配置,相对于CrossBeam的NPM基于可编程门阵列( FPGA) 完成了三通道冲击信号处理芯片的设计与实现,芯片采用流水运算完成最大绝对冲击加速度响应谱计算。因此在性能上我觉得CrossBeam应该是很优秀的。比nokia好点。另外在crossbeam上根据当前我们测试的WEBSENSE,发现CrossBeam的性能非常好,WEBSENSE在一般服务器上的feltering service平均响应时间是10ms(毫秒),filtering service 峰值响应时间是100MS,但是在crossbeam上分别的0.1ms和1ms。


附件:
websense.JPG
websense.JPG [ 121.74 KiB | 被浏览 6796 次 ]


--------本帖迄今已累计获得28安全币用户奖励--------
回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-12-27 00:09 
离线
新手

注册: 2007-12-15 09:49
最近: 2008-01-16 15:53
拥有: 43.10 安全币

奖励: 0 安全币
在线: 182 点
帖子: 15
适合自己的才是最好的。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-01-09 01:05 
离线
高级用户

关注按钮

注册: 2004-01-24 17:13
最近: 2015-06-04 11:46
拥有: 2,646.20 安全币

奖励: 624 安全币
在线: 4224 点
帖子: 292
地址: 深圳
crossbeam的apm上跑的checkpoint软件对吧?
那apm上的CPU是什么类型的?


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-04-17 17:28 
离线
初级用户

注册: 2005-12-22 13:01
最近: 2013-12-08 22:35
拥有: 18.80 安全币

奖励: 0 安全币
在线: 1124 点
帖子: 20
地址: 北京
是的,应用和网络层面是分开的,所有应用均安装在APM上,因此APM 有自己的CPU\RAM\HardDisk ,是基于intel架构。


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-05-06 23:15 
离线
新手

注册: 2007-11-28 21:57
最近: 2011-05-26 02:41
拥有: 22.60 安全币

奖励: 0 安全币
在线: 252 点
帖子: 12
我桌子里现在就躺了二个NOKIAIP290, 到现在还没碰. 不知道咋用.


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 7 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012