精选文章

SSL 性能结果: F5 BIG-IP iSeries 与 Citrix 和 A10

我们进行了测试,结果如下:新的 F5 BIG-IP iSeries应用交付平台的 SSL ECC TPS 性能比竞争对手的同类设备快五倍。

随着世界逐渐采用更广泛的密码套件,F5 拥有独特的优势来保持其 SSL/TLS 领导地位。 具有老一代 SSL 硬件加速器的 ADC 通过用软件处理加密连接来弥补这些缺陷。 这会给系统带来额外的负载,从而降低应用程序的性能并限制容量。 F5 的全新 iSeries 包含最新一代加密加速硬件,可卸载 Diffie-Hellman 椭圆曲线加密 (ECDHE),从而能够快速采用 ECC 和 ECDHE 密码套件——即使在高负载 TLS 环境中也是如此。

为了确定 iSeries 的性能与市场上其他设备相比如何,我们使用 ECDH-ECDSA-AES128-SHA256 SSL 密码以及 A10 Networks 和 Citrix 的同类设备在该平台上进行了严格的性能测试。

在我们的测试中,客户端通过客户端 SSL 连接到虚拟服务器,该服务器支持 ECDH-ECDSA-AES128-SHA256 SSL 密码。 一旦建立连接,客户端就发送一个文件请求;服务器以文件作为响应,并返回 200 OK。 然后客户端向该连接发送了四向关闭消息。 所有测试中均禁止重复使用。

从下面的数字可以看出,我们测试的 Citrix 和 A10 Networks 设备(均使用商用硅片来卸载 SSL)无法与 F5 的 iSeries 加密卸载硬件提供的性能相匹配。

每秒交易次数

 

 

 

 

 文件大小

128B

5KB

16 千字节

512 千字节

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 A10 网络 4440S

3976

3910

3891

2135

         

吞吐量(Mbps)

       

 文件大小

128B

5KB

16 千字节

512 千字节

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 A10 网络 4440S

15

171

521

8955

测试流程与环境

每种产品都经过了 F5 在之前的报告中使用的相同多阶段测试流程。 该过程包括以下阶段:

  1. 初步测试: 创建并验证每个被测设备 (DUT) 的配置,以便所有 DUT 以相同的方式管理网络流量。
  2. 探索性测试: 这确定了每台设备的最佳测试设置,并揭示了它在每种类型的测试中的表现。 在此阶段,DUT 的配置已完成。 

  3. 最终测试: 每种类型的测试都会运行多次。 重复测试,直到至少有三次良好的运行并始终产生最佳结果。 可能需要进行多次测试才能达到此一致性标准。
  4. 确定最佳结果: 详细检查每种测试类型的三次最佳测试运行,以确定哪一次测试产生了最佳的整体性能。 本报告使用的是每种测试类型的最佳运行结果。 


为了得到这些结果,我们总共进行了 50 多次测试。

测试产品

我们测试的产品价格相近,包括:

  • Citrix 14080(113,069美元)
  • A10 4440S(94,240美元)
  • F5 BIG-IP i7800(85,000 美元)

SSL 处理测试

安全套接字层 (SSL) 加密在世界各地用于保护用户和应用之间的通信。 SSL 是所有主流操作系统、网络浏览器、智能手机等都可用的标准加密协议。 SSL 技术有助于确保网上购物的安全、实现安全远程访问(SSL VPN) 等等 - SSL 在商业和消费者网络安全解决方案中无处不在。 SSL 使用公钥加密技术来共享加密密钥,并对称加密(通常是 RC4、3DES 或 AES)来实际加密流量,从而提供安全性。 密钥交换和各种加密算法都是计算密集型的,并且需要服务器端的专门硬件才能在几乎所有 SSL 商业用途中实现可接受的性能或大规模。

SSL 每秒交易量 (TPS) 性能主要衡量设备的密钥交换/握手容量。 通常使用小文件大小来测量,这可以测量每个新的 SSL 会话开始时发生的握手操作。 此操作计算量巨大,所有主要的 SSL 卸载供应商都使用专门的硬件来加速此任务。 对于更大的服务器响应和文件大小,握手操作的计算成本不太重要。 因为该操作仅在会话开始时发生一次,所以开销要少得多。 用于比较性能的更平衡的指标是加密流量的吞吐量,也称为对称加密或批量加密。 批量加密是衡量在给定秒内可以加密和传输的数据量的标准。

处理 SSL 流量有不同的方法。 一些设备将仅使用专门的硬件进行 SSL 握手/密钥交换,然后使用 CPU 进行持续的“批量”加密。 其他设备的优势在于使用专门的硬件来实现这两种功能。 F5 iSeries 采用独特设计,能够最佳地处理 SSL 连接设置和批量吞吐量。 通过充分利用先进的加密硬件,F5 iSeries 平台具有出色的交易性能,同时提供大量加密的批量吞吐量。 这使得客户和系统管理员可以保留 CPU 周期以获得额外的性能或功能。

与往常一样,测试针对各种文件大小(128B、5KB、16KB 和 512KB)进行,以展示各种情况下的性能。

测试使用 384 位密钥大小进行,这是所有知名安全机构推荐的大小,使用 ECDH-ECDSA-AES128-SHA256 密码,这是最常见的密码算法之一。

结论

iSeries 平台延续了 F5 在为客户提供全面 SSL 解决方案方面的领导地位,包括成为第一个支持 ECDHE 专用硬件卸载的 ADC。 随着越来越多的企业转向 ECC 密码套件以实现完美的前向保密性,对于确保应用程序性能的解决方案的需求将持续增长。 我们的性能测试表明,F5 的 iSeries 平台保持最高的性能水平,同时支持最广泛的密码套件。