防火墻的性能測試方案設計

隨著(zhù)信息安全要求越來(lái)越高，防火墻成為必不可少的網(wǎng)絡(luò )元素。但防火墻設備在網(wǎng)絡(luò )中的主要作用不是報文轉發(fā)，而是進(jìn)行報文檢測和訪(fǎng)問(wèn)控制，防火墻的存在必然會(huì )對安全用戶(hù)正常使用網(wǎng)絡(luò )帶來(lái)一定影響。因此在滿(mǎn)足安全功能的前提下，選擇一款高性能、滿(mǎn)足網(wǎng)絡(luò )要求、符合預算的產(chǎn)品是非常重要的。

　　防火墻性能描述指標

　　衡量防火墻的性能指標主要包括吞吐量、報文轉發(fā)率、最大并發(fā)連接數、每秒新建連接數、轉發(fā)時(shí)延、抖動(dòng)等。

　　圖1 防火墻主要性能指標

　　l 防火墻吞吐量是指在沒(méi)有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發(fā)送一定數量的幀，并計算待測設備傳輸的幀，如果發(fā)送的幀與接收的幀數量相等，那么就將發(fā)送速率提高并重新測試;如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測試，直至滿(mǎn)足沒(méi)有幀丟失時(shí)的最大發(fā)送速率，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

　　l 防火墻TCP并發(fā)連接數是指穿過(guò)被測設備的主機之間或主機與被測設備之間能夠同時(shí)維持的最大TCP聯(lián)接總數。防火墻TCP并發(fā)連接數的測試采用一種反復搜索機制進(jìn)行，在每次反復過(guò)程中，以低于被測設備所能承受的連接速率發(fā)送不同數量的并發(fā)連接，直至得出被測設備的最大TCP并發(fā)連接數。

　　l 防火墻最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下，所能承受的最大TCP連接建立速度。其測試采用反復搜索過(guò)程，每次反復過(guò)程中，以低于被測設備所能承受的最大并發(fā)連接數發(fā)起速率不同的TCP連接請求，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/ 秒表示。

　　防火墻性能測試方法

　　對一款防火墻產(chǎn)品進(jìn)行性能評估，分為兩個(gè)步驟。首先要進(jìn)行防火墻基線(xiàn)性能測試，其次是進(jìn)行模擬實(shí)際應用環(huán)境下的性能測試。

　　基線(xiàn)性能是防火墻在理想狀態(tài)下表現出來(lái)的性能指標，具有測試結果比較穩定、流量模型可控的優(yōu)點(diǎn)。但是在實(shí)際應用中，往往達不到防火墻產(chǎn)品實(shí)際標稱(chēng)的基線(xiàn)性能。原因是實(shí)際應用中經(jīng)過(guò)防火墻的流量要比測試基線(xiàn)性能時(shí)的流量復雜得多，因此評估防火墻性能時(shí)，不僅需要對基線(xiàn)性能進(jìn)行評估，更重要的是模擬實(shí)際應用環(huán)境進(jìn)行評估。

　　1. 基線(xiàn)性能指標測試

　　1) 吞吐量評估

　　防火墻的吞吐量實(shí)際上是一個(gè)靜態(tài)指標，反映在理想情況下設備的轉發(fā)能力。在實(shí)際應用中吞吐量這個(gè)指標一般是達不到的，而且對于用戶(hù)而言，實(shí)際感受到的是他的應用處理能力，因此單純的吞吐量指標不能說(shuō)明防火墻的轉發(fā)性能。

　　一般情況下，防火墻的轉發(fā)性能可以用throughput和goodput兩個(gè)指標來(lái)衡量。而對于防火墻設備來(lái)說(shuō)，goodput這個(gè)指標比throughput更具有實(shí)際意義。因此在測試防火墻吞吐量時(shí)，更多采用goodput指標。

　　goodput 有時(shí)候也叫應用層的吞吐量。在一定連接新建和并發(fā)的情況下，單個(gè)報文的應用層數據承載量很大程度決定了應用層報文轉發(fā)的能力。所以測試防火墻轉發(fā)性能時(shí)，需要明確測試載荷的大小。為了測試得到較全面的吞吐量性能數據，需要測試在不同載荷大小情況下的轉發(fā)性能。

　　在進(jìn)行吞吐量基線(xiàn)測試中，一般以HTTP作為應用層協(xié)議，為了得到最理想的測試效果，通過(guò)會(huì )選擇HTTP1.1，每個(gè)TCP連接處理盡量多的HTTP事務(wù)(transacTIon)，并且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。

　　圖2 IxLoad設置