IPS时延引入问题与推荐部署

问题描述 【问题描述】 银行客户数据中心网络，客户要求防火墙使能安全策略，使能IPS，AV,URL Filtering等内容安全的功能，东西向流量过防火墙处理。使能IPS功能以后，现网业务时延明显增大，银行部分转账业务出现失败，业务体验质量下降。 如何确保网络安全前提下，端到端业务体验不下降？   【版本信息】 USG12004 V600R022C00SPC100   【组网概述】 东西向互访都过防火墙 告警信息 【告警信息】 端到端的时延增大明显，时延从3-5 ms增长xx ms，转账业务失败。   处理过程 【问题定位】 现网峰值流量10Gbps, 平均报文长度570bytes。现网使能IPS检查端到端时延增大到50+ms；去使能IPS时延回到3-5ms，转账等业务功能恢复正常。IPS影响网络时延     实验室简化拓扑，进行模拟测试，流量增大20-30Gbps，IPS开启前平均时延3ms以内，IPS开启后平均时延100ms。   IPS Patch Test Throughtput (GB) Packet Size (Bytes) Test Throughtput (GB)  Session Rate   Concurrent Session  CPU Usage (%) Latency(ms) Average DNS FTP HTTP HTTPS No IPS NO 20 512 19.89          43,372        974,731 vCPU1,3&4: 23,0,0 1 0.13 0.85 5 1.4 No IPS NO 30 512 30.08          61,318      1,455,083 vCPU1,3&4: 24,0,0 1.1 0.13 0.85 5 1.4 No IPS NO 20 256 21.84          36,335        864,163 vCPU1,3&4: 15,0,0 2.75 0.27 1.75 16 3.8 No IPS NO 30 256 30.29          53,629      1,273,264 vCPU1,3&4: 26,0,0 2.5 0.25 1.6 15.5 3.75 IPS NO 20 512 20.16          43,185      1,024,088 vCPU1,3&4: 25,42,44 70 1.85 1000 6 4.5 IPS NO 30 512 30.2          59,713      1,479,210 vCPU1,3&4: 84,58,58 100 1.75 1000 6 4……