防火墙性能指标测试方案防火墙性能指标测试方案
防火墙在我们的生活中扮演者愈来愈重要的角色,它能帮助用户安全的联入互联网,而不必担心遭受病毒的攻
击。由此可见,防火墙的性能是其核心竞争力,用户在选择时也会考虑到这一点。因此,如何对防火墙的性能
测试是一个很重要的方面。 防火墙的分类 关于防火墙的分类方式有很多种: 例如按体系结构可分为纯
软件,软硬结合和 纯硬件防火墙; 按逻辑功能可分为静态包过滤、动态包过滤和应用代理型防火墙等。 本文所
讨论的测试内容适合绝大部分上述防火墙。 有关各种类型防火墙的信息, 读者可从各大国际信息安全实验室的
网站中获得, 这里将不再赘述。 防火墙的性能指标 图1 防火墙主要性能指标 衡
防火墙在我们的生活中扮演者愈来愈重要的角色,它能帮助用户安全的联入互联网,而不必担心遭受病毒的攻击。由此可
见,防火墙的性能是其核心竞争力,用户在选择时也会考虑到这一点。因此,如何对防火墙的性能测试是一个很重要的方面。
防火墙的分类 防火墙的分类
关于防火墙的分类方式有很多种: 例如按体系结构可分为纯软件,软硬结合和 纯硬件防火墙; 按逻辑功能可分为静态包
过滤、动态包过滤和应用代理型防火墙等。 本文所讨论的测试内容适合绝大部分上述防火墙。 有关各种类型防火墙的信息,
读者可从各大国际信息安全实验室的网站中获得, 这里将不再赘述。
防火墙的性能指标 防火墙的性能指标
图1 防火墙主要性能指标
衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动等。
1、吞吐量指标定义、吞吐量指标定义
网络中的数据是由一个个数据帧组成,防火墙/VPN网关对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢
失的情况下,防火墙/VPN网关能够接受并转发的最大速率。IETF RFC 1242中对吞吐量做了标准的定义:“The Maximum
Rate at Which None of the Offered Frames are Dropped by the Device”,明确提出了吞吐量是指在没有丢包时的最大数据帧
转发速率。吞吐量的大小主要由防火墙/VPN网关内网卡及程序算法的效率决定,尤其是程序算法,会使防火墙/VPN网关系统
进行大量运算,通信量大打折扣。
2、防火墙、防火墙TCP并发连接数并发连接数
防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP联接总数。防火墙
TCP并发连接数的测试采用一种反复搜索机制进行,在每次反复过程中,以低于被测设备所能承受的连接速率发送不同数量的
并发连接,直至得出被测设备的最大TCP并发连接数。
3、最大、最大TCP连接建立速率连接建立速率
该项指标是防火墙/VPN网关维持的最大TCP连接建立速度,本测试用以体现防火墙/VPN网关更新状态表的最大速率,考
察CPU的资源调度状况。这个指标主要体现了防火墙/VPN网关对于连接请求的实时反应能力。对于中小用户来讲,这个指标
就显得更为重要。可以设想一下,当被测防火墙/VPN网关每秒可以更快地处理连接请求,而且可以更快地传输数据的话,网
络中的并发连接数就会倾向于偏小,防火墙/VPN网关的压力也会减小,用户看到的防火墙/VPN网关性能也就越好,所以TCP
连接建立速率是极其重要的指标。 防火墙性能测试方法
对一款防火墙产品进行性能评估,分为两个步骤。首先要进行防火墙基线性能测试,其次是进行模拟实际应用环境下的性
能测试。
基线性能是防火墙在理想状态下表现出来的性能指标,具有测试结果比较稳定、流量模型可控的优点。但是在实际应用
中,往往达不到防火墙产品实际标称的基线性能。原因是实际应用中经过防火墙的流量要比测试基线性能时的流量复杂得多,