防火墻性能測試淺析

防火墻性能php?name=%B2%E2%CA%D4">測試淺析
防火墻是現在網絡安全領域廣泛使用的設備。 其主要目的就是確保對合法流量的保護和對非法流量的抵御。眾所周知, 在世界范圍內網絡帶寬(包括核心網絡及企業邊緣網絡)總的趨勢是不斷的提速升級, 然而從網絡的整體結構上看, 防火墻恰處于網絡的末端。顯而易見,防火墻的性能將對最終網絡用戶得到的實際帶寬有決定性的影響。所以現在防火墻的性能指標日益為人們所重視,地位也越來越重要。

　　防火墻的分類

　　關于防火墻的分類方式有很多種: 例如按體系結構可分為純軟件,軟硬結合和 純硬件防火墻; 按邏輯功能可分為靜態包過濾、動態包過濾和應用代理型防火墻等。 本文所討論的測試內容適合絕大部分上述防火墻。 有關各種類型防火墻的信息, 讀者可從各大國際信息安全實驗室的網站中獲得, 這里將不再贅述。

　　防火墻的二層和三層測試

　　一般說來, 對于一個沒有配置規則的防火墻設備, 我們能夠近似的當作一個普通的網絡互聯設備來進行性能測試。雖然對于少數設備來說這樣的近似并不準確。 RFC1242和RFC2544是在進行這種測試的主要標準。 RFC1242是對于一般的網絡設備的測試術語的定義, 而RFC2544則是對于測試方法的定義。對大多數在中國從事網絡工作的技術人員來說, 這兩個RFC并不陌生。 這里對個別要點做以簡單的介紹。

　　首先將防火墻配置為“透明模式”。 假如其支持“網橋透明模式”和“路由透明模式”, 則在兩種情況下建議都進行測試比對。 普遍的測試幀封裝格式為UDP, 測試幀的大小為64,128,256,512,1024,1280、1518。 在時間緊迫的情況下, 也可抽取64、512、1518這幾種幀長做為選擇。測試的指標包括吞吐量(Throughput)、發送延遲(Latency)、丟包率(Packet Loss)、背對背 緩沖(Back to Back)。 這幾個指標實際上側重在相同的測試條件下對不同的網絡設備之間做性能比較, 而不針對仿真實際流量。我們也稱其為“基準測試”(Base Line Testing)。 基準測試是個很重要的概念, 貫穿于各種不同的數據設備的評測之中。在四個指標里面, 吞吐量是應該先被測試的,然后用測出的數值作為發送速率上限,來進行延遲指標的測試。從經驗上來講,純軟件和軟硬結合的防火墻在測試的時候有可能表現不太穩定,常出現測試結果有上下波動的情況。這是個在測試防火墻時候的現實問題。要解決他, 一般建議將防火墻在每次測試之間上電重啟動, 以確保測試的可重復性。另外一個辦法就是測多次, 取平均值。 后者考慮到了防火墻穩定性的因素,相對來講反映了更貼近實際使用的方面, 所以也不失為一個好選擇。

　　這個二層和三層的測試能夠提供哪些有用的信息呢? 他能夠幫助確定性能瓶頸是存在于下層的交換轉發機制, 還是在上層協議的處理。 換句話說,他有利于故障的定位。即使對于一些不做交換轉發的廠商,他們也能夠發現所采用的網卡及所改寫的驅動程式是否滿足性能需要,同時也能夠得到一些功能上的驗證(如雙工/速率狀態是否正常等等)。對很多用戶來講, 除非他們想把這個防火墻只當作一個普通的路由器來用, 否則不配置任何的安全規則是比較少 見的。而在有規則的條件下進行的性能測試顯然更有意義一些。 我們將這部分的討論放到后面的四層到七層的測試部分中。因為有很多的規則都是既涉及到三層的信息也有四層的信息。