ESG Lab 리뷰 Juniper SRX5400 성능 확장성...ESG Lab 리뷰 Juniper SRX5400의 성능 및 확장성 날짜: 2015년 3월 작성자: ESG Lab 애널리스트 Mike Leone 및 ESG

© 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved.

과제

대규모 데이터 유출 사태가 끊임 없이 발생함에 따라 네트워크 보안은 유동적으로 변화하고 있습니다. 공격이

갈수록 지능적으로 변하고 있기 때문에 원하지 않는 공격으로부터 보호하기 위한 기술도 나날이 발전하고

있습니다. 이러한 이유로 전략 및 기술의 변화는 필수적 사안입니다. 최근 실시된 ESG 조사 결과에서도 응답자의

절반 이상이 앞으로 12개월 내에 조직에서 진행할 최상위 네트워크 인프라 투자 영역 중 하나로 네트워크 보안을

선택한 것으로 나타나, 이러한 변화의 필연성이 그대로 드러났습니다.1 이로 인해 IT 보안과 관련된 흥미로운

역설이 발생하게 됩니다. 정책, 프로세스 및 기술이 지속적으로 변화하는 상황에서 어떤 방법으로 이러한

요소들을 올바르게 확립하여 이상적인 네트워크 보안 전략을 세울 수 있을까요?

네트워크 보안의 핵심 역할은 원하지 않는 공격을 차단하는 첫 번째 방어선(네트워크 방화벽)입니다. 방화벽 시장

자체에서 일어나고 있는 혁신의 흐름 속에서, OSI 계층 3부터 7까지 네트워킹 스택의 향상된 유연성을 제공하는

방어 계층으로 차세대 방화벽(NGFW) 기술이 등장했습니다. 실제로 ESG 조사에서 거의 대부분의 조직이 NGFW

구축 프로세스의 특정 단계를 진행 중이거나(63%) 앞으로 24개월 내에 일정 수준에 도달할 것으로(23%)

밝혀졌습니다. 2

차세대 방화벽이 단일 시스템에 대한 통합 보안 서비스(침입 감지 및 방지 서비스, 애플리케이션 식별, 신원 정보

관리 등), 고급 네트워크 보안 분석 및 맬웨어 감지와 같은 주목할 만한 기능을 제공한다고 하더라도 현대적

데이터 센터 방화벽의 다양한 요구 사항을 간과하지 않는 것이 중요합니다. ESG 조사에 따르면 데이터 센터

방화벽의 가장 중요한 요구 사항을 물어보는 질문에 설문조사 응답자의 42%가 성능 및 확장성이라고

답했습니다(그림 1 참조). 3

1 출처: ESG 조사 보고서, 2015 IT 지출 의향 설문조사, 2015년 2월. 2 출처: ESG 조사 보고서, 클라우드 및 모바일 컴퓨팅 영역의 네트워크 보안 경향, 2014년 8월. 3 Ibid.

ESG Lab 리뷰

Juniper SRX5400의 성능 및 확장성

날짜: 2015년 3월 작성자: ESG Lab 애널리스트 Mike Leone 및 ESG 수석 애널리스트 Jon Oltsik

초록: 본 ESG Lab 리뷰는 새로운 Express Path 기능을 갖춘 차세대 I/O 카드(IOC-II)의 성능 및 확장성 이점에

초점을 맞추어 실시한 Juniper SRX5400의 실제 테스트에 대해 설명합니다.

http://www.esg-global.com/research-reports/network-security-trends-in-the-era-of-cloud-and-mobile-computing/

ESG Lab 리뷰: Juniper SRX5400의 성능 및 확장성 2


그림 1. 데이터 센터 방화벽의 가장 중요한 요구 사항

출처: Enterprise Strategy Group, 2014.

소개

ESG Lab은 자사의 차세대 IOC-II 하드웨어에서 새로운 Express Path 기능을 활용하여 얻을 수 있는 이점에 초점을

맞추어 Juniper SRX5400의 성능을 테스트했습니다. SRX5400이 엔터프라이즈 데이터 센터에서 높은 수준의 성능을

제공하는 동시에 엄격한 보안 요구 사항을 유지 관리할 수 있도록 지원하는 방법을 이해하기 위한 목적으로 두

가지 사용 사례 시나리오인 금융 서비스 및 빅 데이터 플로우에 대해 Express Path 기능을 사용하는 경우와

사용하지 않는 경우의 처리량, 초당 패킷 수, 지연 시간 및 사용량을 모니터링했습니다.

Juniper SRX Series

고사양 SRX Series는 데이터 센터용으로 제작된 고급 위협 방지 방화벽입니다. 차세대 보안 플랫폼은 서비스

제공업체, 대형 엔터프라이즈 및 공공 네트워크 분야의 고객을 위해 보호, 성능, 확장성, 신뢰성, 가용성 및 통합

서비스를 제공하도록 설계되어 있습니다. SRX Series는 애플리케이션 보안, 통합 위협 관리(UTM), 침입 방지

시스템(IPS) 및 통합 위협 인텔리전스와 같은 주요 보안 서비스를 포함하는 차세대 방화벽으로 OSI 계층 3부터

계층 7까지 뛰어난 보호 기능을 제공합니다.

특히 SRX Series는 통합 위협 인텔리전스를 제공하기 위해 주니퍼의 클라우드 기반 위협 인텔리전스 플랫폼인

Spotlight Secure를 활용합니다. 고객은 Spotlight Secure를 통해 명령 및 제어(C&C) 관련 봇넷 및 웹 애플리케이션에

대한 위협으로부터 네트워크를 보호하고 GeoIP 데이터를 기반으로 보안 정책을 적용할 수 있습니다. 이 기능은

보안 인텔리전스를 SRX Series에 직접 전달하여 구현됩니다. 주니퍼에서 제공하는 이런 종류의 보안 피드는

사용자 지정 피드 및 타사 보안 피드와 함께 활용되어 최신 맬웨어의 위협까지도 완벽하게 차단할 수 있습니다.

위협 인텔리전스 서비스는 Junos Space/Security Director에서 관리되고 클라우드에서 온-프레미스 SRX Series로

전달됩니다. 고사양 SRX Series는 방화벽 정책 변경을 커밋할 필요 없이 몇 초 내에 SRX 정책에 통합할 수 있는 위협

피드를 최대 백만 개까지 지원하여 데이터 센터 에지에서 실시간 보안을 제공합니다.



차세대 아키텍처

Juniper SRX5000 Series의 기초는 성능 및 확장성 이점을 제공하는 모듈형 아키텍처입니다. 이 아키텍처의 핵심

특징은 데이터 플레인과 컨트롤 플레인의 분리입니다. 공유 컨트롤 플레인과 주니퍼의 분리된 컨트롤 플레인

간의 비교 내용은 그림 2에 표시되어 있습니다. 과잉 트래픽, 대규모 트래픽 필터링 규칙 또는 공격(DoS/DDoS)으로

인해 공유 플레인 아키텍처의 수요가 폭증하면 관리 플레인이 영향을 받게 되고 장치에 대한 액세스가 유실될 수

있습니다. 주니퍼의 아키텍처 접근법은 과도한 사용량(예: 최고 트래픽)이 발생하는 동안 데이터 플레인과 컨트롤

플레인을 분리함으로써 관리자가 관리 액세스를 유지 관리하고 정책을 수정하거나 불량 트래픽을 허용하지

않도록 하는 것입니다. 이 구조를 통해 네트워크의 원활한 작동을 유지할 수 있습니다.

그림 2. 주니퍼 아키텍처 - 데이터 플레인과 컨트롤 플레인 분리

하드웨어 구성 요소 관점에서 SRX5000 Series는 네트워킹 인프라 요구 사항을 기반으로 확장할 수 있는 다음과

같은 2개의 기본 구성 요소로 구성됩니다.

서비스 처리 카드(SPC)는 플랫폼에서 사용 가능한 모든 서비스를 제어합니다. 이는 특정 서비스 또는

기능을 사용하기 위해 전용 하드웨어가 필요하지 않음을 의미합니다. SPC는 그룹으로 함께 구성되어

선형에 가까운 성능 확장성 및 기능을 제공할 수 있습니다. SRX5400의 경우 SPC-II 하드웨어를 통해 더 높은

수준의 성능 및 확장성을 제공하는 동시에 서비스 중단 없는 소프트웨어 및 하드웨어 업그레이드를

지원할 수 있기 때문에 항상 완벽한 보안 및 가용성이 보장됩니다.

입/출력 카드(IOC)는 인터페이스 및 처리 기능의 이상적인 조합을 지원하도록 여러 IOC를 갖출 수 있는

SPC와 동일한 방식으로 사용할 수 있습니다. SRX5400은 1GbE 및 10GbE부터 최대 100GbE까지 더 다양한

연결 옵션을 통해 IOC-II 카드를 지원합니다. 이런 유연성은 링크 집계에 대한 필요성을 줄여주어 높은

처리량을 가진 스위치를 방화벽에 연결할 때 발생할 수 있는 문제를 쉽게 해결하도록 도와줍니다.

IOC-II 및 SPC-II를 통해 SRX5400은 새로운 Express Path 기능을 갖춘 최대 240Gbps 방화벽을 지원하며 대형

엔터프라이즈, 서비스 제공업체 또는 모바일 운영업체 환경에서 이상적으로 사용할 수 있습니다. 또한 적은

공간을 차지하기 때문에 네트워크의 핵심 위치 또는 에지에 자유롭게 구축할 수 있습니다.

Express Path

SRX5000 Series의 새로운 Express Path 기능은 SRX 방화벽을 통해 이동되는 패킷 경로를 변경함으로써 패킷이

7마이크로초 속도로 방화벽을 통과할 수 있게 해주는 동시에 프로토콜 RFC 준수, 스테이트풀 검사, DoS 화면, NAT,

고가용성 및 보안 정책과 같은 주요 보안 메커니즘을 계속 제공합니다.



주니퍼의 아키텍처는 항상 빠른 경로 기술을 적용하고 있으며 IOC 및 SPC 하드웨어를 통해 이미 등록된 세션의

패킷을 효율적으로 처리함으로써 높은 수준의 성능을 제공합니다. IOC는 방화벽과의 트래픽 수신/발신을

담당하며 SPC는 세션 유지 관리, 새 세션 또는 기존 세션 식별, 더 높은 계층 관리 및 더 철저한 패킷 검사 작업을

담당합니다.

Express Path는 표준 빠른 경로 기술과 동일한 아키텍처 및 하드웨어 구성 요소를 활용하지만 사용하는 방식은

서로 다릅니다. 이 대기 시간이 짧은 프로세스는 SPU와 대조적으로 네트워크 프로세서에서 빠른 경로 패킷을

처리함으로써 이미 등록된 세션에서 패킷을 처리하고 보안을 유지합니다. 이 방식은 패킷 성능을 최대화하여

높은 초당 패킷 속도와 더 짧은 대기 시간을 제공합니다.

중요한 이유

차세대 방화벽은 전통적인 네트워크 방화벽보다 더 높은 패킷 처리 능력을 필요로 합니다. 이런 이유로

NGFW는 세션 및 애플리케이션에서 네트워크 대기 시간이 발생하지 않도록 하는 고성능 요구 사항을

충족해야 합니다. 보안 시스템이 트래픽을 따라가지 못하면 일반적으로 비활성화됩니다. 이렇게 하면

성능 문제를 해결하는 데 도움이 되지만 보안 취약성과 IT 위험이 증가합니다.

ESG Lab은 Juniper SRX5400이 확장 가능한 모듈형 아키텍처를 기반으로 차세대 데이터 센터 방화벽의

필수 성능 요구 사항을 충족한다는 사실을 확인했습니다. 조직은 데이터 플레인과 컨트롤 플레인을

분리하여 트래픽 양에 상관없이 관리 액세스를 보장할 수 있습니다. 최적화된 패킷 플로우를 제공하는

Express Path 기능을 결합함으로써 이제 조직은 더 낮으면서 예측 가능한 대기 시간으로 더 높은 수준의

성능을 얻을 수 있을 뿐만 아니라 안전성이 뛰어난 보안 환경을 유지할 수 있습니다.



성능 및 확장성

ESG Lab은 매사추세츠주 웨스트포드에 위치한 Juniper World Wide Proof of Concept Lab에서 SRX5400의 성능을

테스트했습니다. 테스트 구성 다이어그램은 그림 3에 표시되어 있습니다. Juniper SRX5400 섀시 2개는 고가용성

활성/수동 클러스터로 연결되었습니다. 각 섀시에는 패브릭 카드(SCB) 1개, 라우팅 엔진(RE) 1개, IOC-II 1개와 SPC-II

1개가 포함되었습니다. IOC-II에는 10x10GbE 미디어 인터페이스 카드(MIC) 1개와 2x40GbE MIC 1개가

포함되었습니다. Junos 소프트웨어 버전은 테스트 시점에 이미 출시된 제품이 사용되었습니다. 장치는 주소 개체

5,000개, 보안 정책 2,502개, 소스 네트워크 주소 변환(NAT) 풀 2개, 소스 NAT 정책 3개, 가상 라우터 1개, 보안 영역

및 고가용성(HA) 인터페이스로 구성되었습니다. Spirent TestCenter는 로드 생성기로 사용되었으며 소프트웨어

인스턴스 2개가 기본 SRX5400에 직접 연결되었습니다. 또한 Ixia XGS12 2개가 TCP 테스트를 위해 사용되었으며

기본 장치에 직접 연결되었습니다.

그림 3. 테스트 구성

Spirent TestCenter를 사용한 테스트는 다양한 크기의 UDP/IP 패킷을 기본 노드를 통해 일률적인 속도로 전송하는

방식으로 진행되었습니다. Sig 패킷이라고 하는 각 패킷은 타임스탬프 서명과 함께 전송되며 성능 및 대기 시간을

정확하게 측정하는 데 사용됩니다. 트래픽은 특정 기간 동안 생성되었으며 Generator Sig Rate 및 Rx Sig Rate는 각

테스트 동안 패킷 손실이 발생했는지 여부를 확인하기 위해 모니터링되었습니다. 두 Sig 속도가 동일한 경우의

분석 예제가 그림 4에 표시되어 있습니다.

활성

수동

Juniper SRX5400

고가용성클러스터

Spirent TestCenterIxia XGS12



그림 4. 테스트 동안 패킷 손실이 없었음이 확인됨

금융 서비스 사용 사례

첫 번째 테스트 단계는 대기 시간에 민감한 거래 애플리케이션부터 암호화된 웹 애플리케이션까지 다양한

애플리케이션 조합을 안전하게 보호해야 하는 조직에서 네트워크 인프라 요구 사항이 복잡할 수 있는 경우의

금융 서비스 시나리오의 시뮬레이션에 초점을 맞추었습니다. 또한 보안상 결함과 사이버 공격이 너무 자주

발생함에 따라 이전에 가용성이 보안보다 우선시된 위치에서 보호 메커니즘을 구현하는 과정이 필요했습니다.

사용 빈도가 높은 거래 플랫폼과 같은 애플리케이션의 경우 데이터 센터 방화벽에서 높은 수준의 처리량을

전달하고 고가용성 요구 사항을 충족하는 동시에 HTTPS 요구 사항이 있는 웹 애플리케이션은 철저한 패킷 검사와

맬웨어로부터 위협 차단을 통해 이점을 얻어야 합니다. Express Path 기능은 철저한 검사(계층 4 - 7)와 대기 시간

민감도 측면에서 네트워크를 최적화하여 SRX 솔루션의 동일한 라인 카드 내에서 정책별로 높은 패킷 성능을

제공할 수 있는 구성 유연성을 고객에게 제공합니다.

새로운 Express Path 기능이 금융 서비스 사용 사례에서 성능에 어떤 영향을 주는지를 이해하는 것이 궁극적인

목표였지만 테스트 방식은 추가적인 네 가지 핵심 영역을 반복하는 것이었습니다. 이 방식은 전체 성능 영향을

이해하는 데 이상적인 방식이었지만 성능 결과가 이 테스트에만 한정된 인터페이스 구성을 통해 얻은 결과이며

SRX5400에서 얻을 수 있는 최대치를 나타내지 않음을 참고해야 합니다. 네 가지 영역에는 다음이 포함되었습니다.

패킷 크기 - 64, 1518 및 실제 세계를 모방한 인터넷 MIX(IMIX).

세션 수 - 10,000개와 900,000개.

정책 수 - 2개와 2,502개(마지막 정책 일치).

NAT 사용과 사용 안 함.

각 테스트 동안 대기 시간, 처리량 및 초당 패킷 수(PPS)는 Spirent 인터페이스를 통해 모니터링되었으며 SRX5400

CLI가 서비스 프로세스 유닛(SPU) 사용량을 측정하는 데 사용되었습니다. 결과를 통해 얻은 가장 중요한 내용이

그림 5에 표시되어 있으며 이 도표는 동시 세션 900,000개와 64바이트 패킷 크기로 테스트한 결과와 비교한

것입니다. ESG Lab은 기본 구성을 사용하여 48마이크로초의 평균 대기 시간을 얻었습니다. Express Path를 사용한

후에는 64바이트에서 거의 10Gbps에 가까운 회선 속도와 집계 처리량 19.54Gbps, 2천 8백 4십만 PPS 및

8.1마이크로초의 평균 대기 시간을 얻었습니다. 또한 SPU 사용량은 22%로 측정되었습니다. ESG Lab은 Express

Path를 활용하는 경우 기본 구성과 비교했을 때 10.9배의 처리량 증가, 10.5배의 PPS 향상, 6배의 대기 시간 감소 및

67%의 SPU 사용량 감소를 확인했으며 모든 회선 속도에서 패킷 손실이 전혀 일어나지 않았습니다.



그림 5. Express Path의 성능 이점

표 1. Express Path의 성능 이점

하드웨어 구성

(IOC-II에 10GbE 회선 속도 포트 2개)* 처리량

(Gbps) 초당 패킷 수

(PPS) 평균 대기 시간

(μs) SPU 사용량

(%)

Express Path 사용(보안 정책

2,502개 포함) 및 NAT 사용

19.54 2천 8백 4십만 8 22

* IOC-II는 MIC당 최대 10개의 10GbE 인터페이스를 지원함

추가적으로 발견한 내용

동시 세션 10,000개 또는 900,000개 사이에 성능 차이가 없었습니다.

보안 정책 2,500개를 추가한 후에는 평균 5%의 대기 시간이 증가했습니다.

ESG Lab은 Ixia XGS12 및 IxLoad 소프트웨어를 활용하여 초당 TCP 연결 수를 측정하는 성능 테스트를 실행했습니다.

두 10GbE 인터페이스가 이 테스트 단계 동안 모두 사용되었습니다. 첫 번째 인터페이스는 1바이트 HTTP “get”을

보내는 클라이언트 200개를 시뮬레이션했으며 두 번째 인터페이스는 HTML 페이지를 리턴하는 HTTP 서버 12대를

시뮬레이션했습니다. 두 가지 시나리오에서 테스트된 내용은 다음과 같습니다.

고가용성 제공 Express Path.

고가용성 제공 Express Path, 구성된 보안 정책 2,500개 및 NAT 사용.

성능 결과는 SPC-II 하나에 대해 IxLoad 콘솔에서 모니터링되었으며 그림 6에 표시되어 있습니다. 콘솔 성능 차트의

녹색 선은 연결 속도를 나타냅니다. Express Path, 보안 정책 2,500개 및 NAT를 사용하여 고가용성 클러스터는 초당

총 132,000개 연결에 도달했습니다. Express Path를 사용하면 방화벽 전용 트래픽이 초당 165,000개 연결로

증가되었습니다. 이 구성은 SRX5400의 최소 SPC 구성임을 참고하십시오.

Express Path를사용하지않는기본구성

Express Path 사용(보안정책2,502개포함)

및NAT 사용

Express Path의성능이점(64바이트패킷및동시세션 900,000개)

0

5

10

15

20

25

처리량

(Gb

ps)

10.9배

0

5

10

15

20

25

30

초당

패킷수

(PP

S)(백만개

)

10.5배

0

10

20

30

40

50

평균

대기

시간(마

이크로초)

6배

0

20

40

60

80

100

SP

U 사

용량

(%)

67%



그림 6. SPC-II 하나에서 Express Path를 사용하는 경우의 초당 TCP 연결 수

초당TCP 연결 132,000개(Express Path, HA, 보안정책 2,500개및 NAT 사용)

초당TCP 연결 165,000개(Express Path 및 HA 사용)



빅 데이터 플로우 사용 사례

공공 단체(예: 정부기관), 연구 협회 및 기타 고성능 컴퓨팅 환경과 같은 특정 업계에서는 빈번하게 발생하고 빠른

속도가 필요한 다운로드 및 데이터 전송용으로 대규모 고속 대역폭 플로우가 있는 적은 수의 세션을 지원해야

합니다. 일반적으로 방화벽은 다수의 작은 데이터 플로우를 지원하며 대규모 단일 플로우 성능에 대한 제한

사항을 가지고 있습니다. 고객들이 스테이트풀 방화벽을 구축하지 않고 네트워크 액세스 제어 목록(ACL)에만

의존하여 보안 수준을 타협하려고 할 수 있습니다. 그렇기 때문에 이는 비효율적 솔루션이 될 수 있습니다. 시장에

출시되어 성능 또는 높은 보안 효과 중 하나에 초점을 맞추고 있는 현재 방화벽 수준으로는 이러한 모든 요구

사항을 충족하는 차세대 방화벽을 찾아내기가 갈수록 어려울 수 밖에 없습니다.

마지막 테스트 단계는 100GbE 인터페이스 2개로 IOC-II를 지원하는 고유 기능이 있는 Express Path를 활용한 Science

DMZ 사용 사례 시뮬레이션에 초점을 맞추었습니다. Science DMZ는 대량 데이터 전송을 처리하도록 특별히

설계된 네트워크의 하위 섹션을 말합니다. 보안성을 계속 유지하지만 엔터프라이즈 데이터 센터에 공통적으로

구축되어 있는 전통적 네트워크보다 향상된 수준의 성능을 제공하도록 설계되었습니다.

두 테스트는 100GbE 포트 2개를 활용할 경우의 최대 처리량과 대기 시간을 표시하기 위한 목적으로

실행되었습니다. 두 테스트 사례 모두에서 프레임 크기 1512로 구성된 트래픽을 생성하는 데 IxAutomate가

사용되었습니다. 또한 테스트는 100GbE 인터페이스 2개, 보안 영역 2개(수신 영역 및 발신 영역), 보안 영역을 위한

보안 정책 2개로 구성되었습니다. 최대 처리량 테스트에서 ESG Lab은 양방향 트래픽의 회선 속도 성능이

197.4Gbps임을 확인했습니다. 대기 시간 테스트는 50%의 총 대역폭을 사용하도록 구성되었으며 예상 처리 속도

98.7Gbps와 함께 평균 대기 시간이 7.3마이크로초에 불과했습니다(그림 7 참조).

그림 7. Express Path를 사용하는 경우 100GbE 포트의 단일 플로우 성능

197.4Gbps 회선속도

7.3마이크로초



중요한 이유 성능 및 확장성은 네트워크 보안을 수용하고 향상시키려는 조직의 과제 목록에서 최상위 위치를

유지하고 있습니다. 모든 네트워크 활동을 파악하고 식별하는 데 필요한 네트워크 성능 요구 사항에

조직의 기존 워크플로우 및 프로세스에 영향을 주지 않으면서 수 백만 개의 패킷을 실시간으로 검사하는

과정이 수반되는 것이 원인입니다. 보안 프로세스가 계속 쌓이게 되면 성능에 영향을 주고 IT에 대한

보안과 성능의 접점을 찾기가 어려워집니다.

ESG Lab은 새로운 Express Path 기능을 갖춘 차세대 Juniper SRX5400이 Express Path 기능이 없는 시스템의

성능과 비교할 때 향상된 처리량, 대기 시간 및 사용량을 제공한다는 사실을 확인했습니다. Express Path,

동시 세션 900,000개, 64바이트 패킷, 보안 정책 2,502개 및 NAT를 사용하는 고가용성 SRX5400

클러스터는 상당한 수준의 성능 이점을 제공했습니다. 처리량은 10.9배(19.54Gbps)로 증가되며, PPS는

10.5배(2천 8백 4십만 개)로 향상되고, 평균 대기 시간은 6배(8.1마이크로초)로 감소하고, SPU 사용량은

67%까지 감소했습니다. ESG Lab은 특히 이러한 성능 결과를 10Gbps 네트워크 회선 속도에서 패킷이 전혀

손실되지 않고 얻었다는 사실에 감명을 받았습니다. 또한 ESG Lab은 Express Path와 함께 100GbE를

사용할 경우의 성능도 확인했습니다. 그 결과 197.4Gbps의 회선 속도 처리량을 얻었으며 대기 시간

테스트에서는 평균 대기 시간이 7.3마이크로초였습니다. 이러한 성능 결과는 최소 구성을 통해 얻은

결과임을 참고하십시오. 인터페이스, IOC 또는 SPC 수를 늘리는 경우 조직은 데이터 센터 요구에 맞는 더

높은 수준의 성능을 기대할 수 있습니다.

거부할 수 없는 진실

오늘날의 IT 보안 상황은 상당히 복잡합니다. 데이터 유출의 양과 발생 빈도가 추세적으로 증가하면서 각 시장

분야에서 고민이 깊어지고 있습니다. 수많은 조직에서 향후 발생할 수 있는 정교한 공격에 대비하여 스스로

보호하는 능력을 향상시키려고 노력하고 있지만 이러한 공격을 효과적으로 차단하는 것은 감당하기 어려운

난제와 같습니다. 칩입자를 막기 위해 전통적 데이터 센터 방화벽을 구축하는 것은 더 이상 효과가 없습니다. 이에

따라 위협에 대한 실시간 가시성을 제공하고 다수의 기타 보안 서비스를 단일 솔루션에 결합할 수 있는 차세대

방화벽의 필요성이 제기되고 있습니다. 차세대 방화벽은 조직에서 자산을 보다 쉽고 안전하게 보호할 수 있도록

해주지만 해당 자산의 보호로 인해 성능, 확장성 및 고가용성과 같이 네트워킹 인프라와 관련된 다른 핵심

비즈니스 요구 사항이 희생되지 않는 것이 중요합니다.

Juniper SRX5400 서비스 게이트웨이는 엔터프라이즈 규모의 조직에 존재하는 보안, 성능 및 가용성 요구 사항을

충족하기 위해 현대적 데이터 센터용으로 제작된 차세대 방화벽입니다. SRX5400은 고급 위협 보호를 통한 제어

능력과 완벽한 애플리케이션 가시성을 구현하는 보안 기능 및 서비스를 제공하는 동시에 데이터 플레인과 컨트롤

플레인을 분리한 모듈형 아키텍처를 통해 침입 시점부터 공격을 차단하도록 도와주는 보안 환경을 제공합니다.

다중 처리 코어를 확장하는 능력과 Express Path 기능을 추가함으로써 성능과 보안을 서로 희생시키지 않으면서

두 가지 이점을 동시에 얻을 수 있습니다. 마지막으로 중복 구성 요소 및 링크 사용을 통해 최대 가동 시간과

서비스 중단 없는 업그레이드를 보장하기 때문에 고가용성을 쉽게 확보할 수 있습니다.

ESG Lab은 금융 서비스와 빅 데이터 플로우에 초점을 맞춘 두 가지 공통 사용 사례에서 Express Path 기능을

사용하거나 사용하지 않는 상태로 고가용성 SRX5400 클러스터를 테스트하여 이 기능의 성능 이점을

확인했습니다. 보안 정책 2,502개가 NAT와 함께 사용하도록 구성되었으며 동시 세션 900,000개가

시뮬레이션되었습니다. Express Path를 사용하고 마지막 보안 정책을 게이트웨이로 활용한 결과, 19.54Gbps의

집계 처리량 동안 패킷 손실 없이 10GbE 인터페이스에서 64바이트 패킷 크기로 10Gbps의 회선 속도 성능을

얻었습니다. 초당 2천 8백 4십만 개의 패킷이 8.1마이크로초의 대기 시간으로 전송되었으며 이 결과는 SPU

사용량이 67%까지 줄어든 상태에서 얻은 결과입니다. 빅 데이터 플로우 테스트의 경우 Express Path 기능을 갖춘

100GbE 포트 2개가 활용되었으며 197.4Gbps의 회선 속도 처리 성능을 얻었습니다. 평균 대기 시간은

7.3마이크로초였습니다.



주니퍼는 최대 성능 및 확장성을 얻을 수 있는 복합 보안 서비스를 제공하는 동시에 쉽고 안전한 액세스가

가능하며 중단 없이 작동하는 고가용성 클러스터의 생산성을 최적화하는 데 모든 역량을 집중하고 있습니다. ESG

Lab은 고유한 아키텍처 접근 방식, 차세대 IOC 및 SPC, Express Path 기능을 갖춘 Juniper SRX5400의 최신 릴리스가

모든 요구 사항을 충족한다는 사실을 확인했습니다. 차세대 데이터 센터 방화벽 도입을 고려 중이고 처리량 및

대기 시간에 대한 엄격한 성능 요구 사항을 가지고 있다면 Juniper SRX5400을 살펴보는 것이 가장 좋은

방법입니다.

모든 상표명은 해당 회사의 자산입니다. 본 문서에 포함된 정보는 Enterprise Strategy Group(ESG)에서 신뢰할 수 있다고 판단한 출처를 통해 얻은 자료이며

ESG에서 보증하지는 않습니다. 본 문서에는 시간이 지남에 따라 때때로 변경될 수 있는 ESG의 견해가 포함되어 있을 수 있습니다. 본 문서는 Enterprise

Strategy Group, Inc. 저작권의 보호를 받습니다. Enterprise Strategy Group, Inc.의 사전 동의 없이 본 문서의 내용 전체 또는 일부를 재생성하거나 온라인, 인쇄

형식 또는 기타 방식으로 수신할 권한이 없는 제3자에게 재배포하는 경우 미국 저작권법에 저촉되어 민사상 책임을 지게 되며 적용 가능한 경우 형사 고발

조치가 취해질 수도 있습니다. 이와 관련된 질문이 있는 경우 ESG 고객 지원 부서(ESG Client Relations, 전화번호: 508.482.0188)로 문의하십시오.

ESG Lab 보고서는 모든 규모 및 유형의 회사에 필요한 데이터 센터 기술 제품에 대한 내용을 IT 전문가에게 교육하기 위한 용도로 제작되었습니다. ESG Lab

보고서는 구매 의사결정을 내리기 전에 수행해야 하는 평가 프로세스를 대체하는 것이 아니라 이러한 최신 기술에 대한 통찰력을 제공하기 위한

목적으로 사용됩니다. ESG Lab의 목표는 보다 가치 있는 제품 기능을 연구 조사하여 고객의 실제 문제를 해결하는 데 사용할 수 있는 방법을 알려주고

개선이 필요한 영역을 식별하는 것입니다. ESG Lab의 전문적 제3자 관점은 실제 테스트뿐만 아니라 생산 환경에서 해당 제품을 사용하는 고객들과의

인터뷰를 기반으로 합니다. 본 ESG Lab 보고서는 주니퍼의 후원을 받았습니다.

Documents

ESG Lab 리뷰 Juniper SRX5400 성능 확장성...ESG Lab 리뷰 Juniper SRX5400의 성능 및 확장성 날짜: 2015년 3월 작성자: ESG Lab 애널리스트 Mike Leone 및 ESG