우리의 테스트 계획은 간단했으며, 겉보기엔 쉬워 보였다. 즉, 중복 유형으로 방화벽 쌍들을 배치하고, HA 스테이트풀 오류복구(stateful failover)가 되도록 이들을 구성한 다음, 여기에 수천 개의 진짜 TCP 세션들을 내보내 통과시키고, 어떤 한 장비의 플러그를 뺀 후 오류가 깔끔하게 복구되는지를 확인한다는 것이었다. 불행히도, 이것은 말보다는 훨씬 어려운 작업이었으며, 단순해 보였던 우리 계획은 불가능한 일임이 판명되었다. 석 달이 지난 후, 우리는 몸무게는 훨씬 줄어들고 머리는 훨씬 현명해진 스스로의 모습을 볼 수 있었다.
왜 노련한 네트워크 관리자들이 특정 업체에 대해 흔들리지 않는 충성심을 갖고 있는 것처럼 보이는지 궁금하지 않은가? 그 대답은 간단하다. 즉 입증된 신뢰성 때문이다. 네트워크 관리자에게 있어 신뢰성이라는 것은 깨어 있는 상태를 유지하려는 장비의 고집만을 얘기하는 것이 아니다. 신뢰성이란 당신이 기대하는 방식으로 장비가 작동하는 것과 당신이 시키고 싶은 일을 하도록 장비에게 쉽게 지시할 수 있는 것을 의미한다. 또한 신뢰성이란 안전하고 오류없는 방식으로 장비로 액세스 할 수 있다는 것이며, 관리자가 문제를 해결하기 위해 사용할 수 있는 툴과 유틸리티의 액세스 능력을 의미한다.
신뢰성이란 보안 제품들이 단순히 성능뿐만 아니라 안전과도 확실한 관련이 있음을 알고 있다는 것을 의미한다. 신뢰성이란 HA 방화벽 솔루션이 당신을 미칠 지경으로 몰고 가지 않으며, 밤에 깨어있지 않도록 해주고, 피곤에 지쳐 쓰러지지 않게 해주며, 머리를 벽에 부딪치게 만드는 또다른 이유를 제공하지 않을 것임을 알고 있다는 것을 의미한다.
우리는 이러한 이상을 가슴에 품고 테스트에 임했으며, 그 기준에 따라 HA 방화벽 니즈용으로 시스코 PIX 535와 넷스크린-1000을 추천하는 바다.
| [REPORT CARD] 고 가용성 방화벽 제품 평가 | |||||||
| 비중 | 시스코 | 넷스크린 | 체크 포인트 | 루슨트 | 노키아 | 스톤 소프트 | |
| 오류복구 성능 | 30% | 4 | 5 | 3 | 5 | 2 | 1 |
| 방화벽 기능 및 디자인 | 20% | 5 | 4 | 4 | 2 | 3 | 1 |
| HA 관리 메커니즘 | 20% | 4 | 4 | 5 | 3 | 4 | 2 |
| HA 모니터링 | 15% | 5 | 3 | 3 | 4 | 2 | 4 |
| 가격 | 15% | 4 | 3 | 4 | 2 | 3 | 5 |
| 총 평균 | 4.35 | 4.00 | 3.75 | 3.40 | 2.75 | 2.25 | |
| A- | B+ | B | C+ | C | D | ||
| A≥4.3, B≥3.5, C≥2.5, D≥1.5, F<1.5 A~C등급은 범위 내에 +,- 포함 총 평균과 비중 점수는 0~5 범위 기준 | |||||||
카우 제품 이용해 테스트
방화벽 산업은 급속한 성장을 거듭하고 있지만, 공개적인 방화벽 테스팅 현황은 그렇지가 못하다. 이상한 패킷 크기, 알 수 없는 트래픽 혼합들, 토막나거나 불완전한 TCP 세션들, 그리고 기타 현실 세계에서는 찾지 못할 다른 것들을 기반으로 한 방화벽 성능 테스트들을 인터넷 여기저기서 찾을 수 있을 것이다. 이러한 혼란의 일부는 테스트 주최측에서 많은 생각을 하고 테스트베드를 만들지 않은 까닭이며, 일부는 또 제대로 설계된 테스팅 툴의 결핍 때문이다. 라이브 네트워크 트래픽을 대체할 수 있는 것은 없지만, 실세계 환경을 기반으로 테스트를 설계함으로써 대용 트래픽이 실세계 조건에서의 그것에 가깝도록 할 수 있는 방법은 있다.
HA 방화벽 테스트를 위해, 우리는 카우 네트웍스(Caw Networks)의 웹애벌랜치(WebAvalanche)와 웹리플렉터(WebReflector) 제품을 선택했다. 웹애벌랜치는 수천 개의 클라이언트를 동시에 시뮬레이팅할 수 있는 HTTP 클라이언트 에뮬레이터며, 웹애벌랜치와 독립적으로 실행이 가능한 웹리플렉터는 HTTP 서버측이다. 웹리플렉터는 수 백 개의 HTTP 요청들을 지원할 수 있으며, 본질적으로는 스테로이드 상에 있는 하나의 웹 서버의 기능을 한다.
우리가 카우 제품을 선택한 데는 다섯 가지 주요 요인들이 있다. 첫째, 카우 장비에 의해 생성되는 트래픽은 진짜 TCP 트래픽이다. 즉, 이것은 진짜 TCP 시퀀스 숫자를 사용하며, 세션을 적절히 열고 닫고, 페이로드는 실질적인 HTTP 트래픽으로, 실제 네트워크에서와 마찬가지다. 둘째, 카우 제품은 우리가 엄청나게 많은 유효 트래픽을 만들어낼 수 있게 해준다. 비록 우리가 작업처리 성능 테스트에 역점을 둔 것은 아니지만, 카우 유닛을 이용해 수 천 개의 동시 TCP 세션을 만들어낼 수 있었다. 최고 20만개의 세션들을 테스트했지만, 카우 장비는 백만개 이상을 지원할 수 있는 능력이 있다. 셋째, 카우 유닛에는 강력한 보고 엔진이 있다. 우리는 모든 세션의 왕복 시간을 볼 수 있을 뿐만 아니라, TCP 에러, 성공하지 못한 HTTP 요청들, 그리고 기타 통계들까지도 볼 수 있었다.
넷째, 카우 유닛은 수 천 개의 독특한 IP 조합들을 에뮬레이팅할 수 있으며, 이것은 상태 테이블을 택싱(taxing)하는 데 있어 중요하다. 클래스 B 클라이언트 범위(6만5,000개의 고유 IP 소스 어드레스)는 대다수 방화벽을 뒤집어엎는다는 사실을 알았기 때문에, 우리는 6개의 클래스 C 범위(1,500개의 고유 소스 어드레스)로 접근했다.
마지막으로 카우 솔루션은 NAT(Network Address Translation) 접속 지원 능력이 있다. NAT는 많은 테스팅 스위트들을 중단시키기 때문에, 이 기능은 중요하다.
테스트 베드를 안정적으로 하는 일은 하나의 큰 도전이었으며, 체크포인트 솔라리스 머신, 노키아 유닛, 스톤게이트 서버 및 시스코 스위치들을 여러 차례 조정해야 했다. 또한 방화벽을 죽이지 않게 카우 유닛이 실행되도록 스크립트를 만들어야 했다. 모든 테스트는 초당 100MB 이하로 잘 유지시키면서 동시에 세션 수는 높도록 했다. 하지만, 기가비트가 장착된 방화벽이라 하더라도 카우로 무너뜨리는 일은 어렵지 않았다. 독자들이 조심해야 할 것은, 단지 기가비트 박스라고 해서 완전한 1기가비트어치의 트래픽을 다 처리할 수 있다는 뜻은 아니라는 사실이다.
