|
中国移动防火墙产品(1000M)
测试总结报告
中国移动通信集团公司研发中心
2002 年 12 月
目 录
1概述 1
2 测试环境 1
3 参测产品 3
4 功能特性测试结果比较 4
4.1测试项目: 4
4.2测试结果 4
4.2.1 网络管理 4
4.2.2 网络功能: 5
4.2.3 状态检测 5
4.2.4 应用代理 5
4.2.5 支持服务的类型 6
4.2.6 VoIP的支持 6
4.2.7 地址翻译 6
4.2.8 认证 7
4.2.9 可靠性 7
4.2.10 日志和报警 7
4.2.11 与IDS的联动 8
4.2.12 带宽管理(选项) 8
4.2.13 入侵检测(选项) 8
4.2.14 内容安全(选项) 9
5.防火墙性能指标评测 9
5.1防火墙吞吐量 9
5.2防火墙丢包率测试 12
5.3延迟 13
5.4背靠背缓存能力 15
5.5防火墙支持的连接数测试 16
5.6有效通过率 17
6 安全特性测试结果比较 18
7 防火墙产品测试基本评述 19
附件 A 防火墙功能及安全测试比较表 20
附件B 防火墙测试结果汇总 27
1概述
1.中国移动2002年中国移动防火墙产品测试由中国移动集团公司安排,由北京邮电大学进行整个测试工作,各被测公司配合。测试于2002年10月8日~11月31日在北京邮电大学程控交换与通信网国家重点实验室测试机房进行。
2.1000M防火墙参加测试的有CISCO、NOKIA、北电网络、 Netscreen、Servgate通五个厂家的产品。
3.本测试功能和性能的测试参考《中国移动防火墙产品测试规范》
4.测试结果与设备的具体配置相关,本测试只对配置相关的设备和系统有效。
5.本报告的解释权为中国移动集团公司和北京邮电大学。
2 测试环境
参考《中国移动防火墙产品测试规范》,测试平台分别模拟内部网络(Intranet、trust network)、中立区网络(DMZ)和公共网络(Internet、untrust network)。测试采用以下的拓扑配置:
测试拓扑结构图1
其中,可靠性系统测试参考测试拓扑结构图3,其他功能测试及安全性测试参照测试拓扑结构图1与图2。
测试拓扑结构图2
测试拓扑结构图 3
3 参测产品
序号 公司名称 产品名称 产品型号 版本号
1 CISCO FWSM FWSM PIX OS 6.2
2 北电网络 Alteon交换式防火墙(Alteon switched firewall) 加速器:SFA-185, 控制器:SFD-i310 Ver 2.0.2.0
3 NOKIA NOKIA IP740 740 IPSO 3.6FCS3,Checkpoinst Firewall-1 NG FP2
4 Netscreen Netscreen-5200 5200 Screen OS4.0r
5 Servgate SG 2000 SG 2000 2.40
4 功能特性测试结果比较
4.1测试项目:
根据《中国移动防火墙产品测试规范》,我们对被测防火墙产品的功能进行了测试,测试项目包括网络管理、网络功能、状态检测的粒度、应用代理、支持服务的种类、VoIP的支持、地址翻译、认证、可靠性、日志和报警、与IDS的联动,另外包括带宽管理、入侵检测、内容安全,总计14个测试项目。测试过程中,可靠性测试采用图2的网络拓扑,其他测试采用图1的网络拓扑。
测试结果报表中,● 表示测试结果满足要求,〇 表示测试结果不满足要求,W 表示没有数据,★ 表示对该项功能的总体评价,得到的 ★ 越多,表示测试的结果越好。如果该产品不支持该项功能,不对其进行总体评价。
4.2测试结果
4.2.1 网络管理
网络管理功能主要测试防火墙产品的管理方面的功能:用户界面支持,测试用户界面的多样性,应该支持命令行管理和至少一种图形管理界面;多级用户管理,测试防火墙的分级分权管理功能;策略创建,主要测试防火墙策略创建的灵活性,应该能够基于用户、组、IP地址和端口创建策略,并且可以对策略进行校验;远程管理,主要测试防火墙产品对远程管理功能的支持,最主要测试远程管理的安全性,应该支持加密的远程管理方式;在线升级,主要测试软件升级的方便性和安全性;系统配置的备份和恢复,主要测试配置的远程备份和自动备份能力;管理密码丢失的恢复,测试防火墙是否支持本地的密码恢复方式。
见附件A 表一 网络管理
4.2.2 网络功能:
网络功能主要测试防火墙产品的路由功能和支持的网络接口类型,支持较多的路由协议和接口类型,意味着更有利于灵活的组建业务网络。所有的产品都支持100M接口和静态路由协议,少数产品还支持RIP、OSPF、BGP等路由协议,支持E1等广域网接口。
见附件A 表二 网络功能
4.2.3 状态检测
状态检测是根据安全策略实施对通过防火墙的数据流进行控制,允许通过或采取相应措施。防火墙系统的安全规则,每一条策略都包括条件域、动作域和选项域。状态检测的粒度主要测试防火墙在进行状态检测时可控制的选项的多少,可控制的选项越多,安全策略的定义越灵活,对数据流的安全性检测越好。
见附件A 表三 状态检测
4.2.4 应用代理
测试防火墙对应用代理功能的支持情况。防火墙可以通过代理(Proxy)技术参与到一个TCP连接的全过程,控制合法数据和应用程序命令能从一个网络传入另一个网络。所支持的应用代理协议越多,对应用代理功能的支持越好。测试中,首先关掉相应应用代理功能,要求内网的客户端与外网的服务器建立连接,应该无法建立,然后再打开应用代理功能,可以成功建立连接。
见附件A 表四 应用代理
4.2.5 支持服务的类型
本测试项目测试防火墙系统所能支持的服务类型,支持的类型多少影响了网络设备同其它系统的兼容性,重点考察对移动目前业务网络系统及将来需要扩展的业务协议支持能力。
见附件A 表五 支持服务的类型
4.2.6 VoIP的支持
H.323标准和SIP(Session Initiation Protocol)是目前网络上使用较多的多媒体通信协议,可以实现实时的语音、视频和数据通信。因此,本项目主要测试防火墙对H.323协议和SIP协议支持的情况。本次对透明模式、路由模式、地址转换模式下的支持能力进行了测试,测试当中,发现有些产品对协议的支持不完整,例如支持视频通信,但是不支持语音通信,这种情况在网络上是无法应用的,因此我们一律认为测试失败。
测试中我们采用了OpenMCU、OpenGK软件分别作为多点控制单元和关守进行测试,客户端采用Netmeeting软件。
见附件A 表六 H.323和SIP的测试
4.2.7 地址翻译
网络地址转换可以实现从保留IP地址到合法IP地址的翻译,可以解决合法IP地址不足的问题。本次测试,主要测试了1:1、1:N、N:M、PAT几种地址翻译模式,并且测试了用作转换的合法地址是否要绑定外网口网段,不需要绑定外网口更好,有利于灵活地组建业务网络。
见附件A 表七 NAT功能
4.2.8 认证
防火墙要求支持用户认证功能,支持多种认证方法(只允许授权的用户/系统通过防火墙),可以确保防火墙与网络中现有的储存库的兼容性,不必再复制用户数据库。本次测试主要测试了静态用户认证、Radius认证和Windows NT域认证,并区分事前认证和每Session认证方式。
见附件A 表八 认证功能
4.2.9 可靠性
对于重要的网络应用,支持可靠性工作模式至关重要,可以确保网络持续提供服务。本次测试主要测试了Hot-standby、Active-Active、Cluster三种工作模式,并且实际测试了20%、40%、60%负载情况下,系统故障切换的时间。切换的时间越短,对业务的影响越小。
测试中,采用Smartbits6000测试仪和Smartwindow软件产生UDP的流量。然后,分别模拟网线故障、设备故障、设备断电等情况,通过观察发送和接收数据包的统计数字,计算出主备防火墙切换过程中的丢包数量,再根据发送端口的发包速率计算出切换时间。
见附件A 表九 可靠性测试
4.2.10 日志和报警
防火墙的日志和报警功能可以为网络的维护提供重要的参考数据,可以真实地反映防火墙的日常运行情况,并且能够在异常时进行报警。本次主要测试了日志项、日志功能和报警功能。完整的日志功能有利于网络的维护。
见附件A 表十 日志和报警
4.2.11 与IDS的联动
本项目主要测试防火墙系统是否支持与入侵检测系统协同工作,当入侵检测系统发现非法入侵后是否可以动态修改防火墙策略对攻击进行阻断。在这里,重点测试防火墙域入侵检测系统之间的同时是否加密、防火墙是否能够根据入侵检测系统的告警动态修改安全策略、对攻击封堵的控制细度、对已经建立的会话能否阻断、是否具备流量镜像功能。
见附件A 表十一 IDS联动
4.2.12 带宽管理(选项)
本项测试防火墙是否支持带宽管理,是否能够对数据包进行合理的排队,并对其按预定的规则(带宽策略)进行调度,对不同的服务或特定的网络流量进行带宽限制或保证。测试的项目包括透明模式、路由模式、地址转换模式下的带宽管理,应该能够基于端口、地址、队列对上行、下行流量进行带宽管理。测试中,使用SmartBits6000测试仪及SmartWindow软件进行测试,测试64k、512k、2M、30M四种条件下带宽管理的精度,如果测试结果不超过测试带宽的10%,表明控制精度较高。另外,带宽管理还应该具备统计信息,统计的字段越详细越好。
见附件A 表十二 带宽管理(选项)
4.2.13 入侵检测(选项)
入侵检测能力作为一个功能块运行在防火墙的内部,与防火墙紧密结合在一起,所以相对于标准的网络入侵检测系统NIDS,有一些不同的特点,但是可以满足在一些没有部署IDS地方与防火墙一起部署提供一个更高安全性。本项测试系统是否支持内嵌的入侵检测功能、能够检测的攻击特征的数量以及是否能够按照用户的配置来基于防火墙的访问策略来选择是否进行入侵检测,并考察是否提供日志、报警、特征库升级和阻断攻击session的能力。防火墙应该提供IDS模块全局开关,攻击特征库的数量较大,能够自定义对每个特征是否阻断,能够提供日志及方便进行特征库升级。
见附件A 表十三 入侵检测(选项)
4.2.14 内容安全(选项)
内容安全主要测试外部网络连接内部网络时,要求符合Http安全服务器、防病毒服务器的安全要求等,实现更高级别的应用安全。防火墙能够过滤的内容越多,网络的安全性越高。
见附件A 表十四 内容安全(选项)
5.防火墙性能指标评测
防火墙的性能是评测防火墙的一类重要指标项。防火墙在网络中部署,会对网络系统的整体性能有一定的影响。一种防火墙本身的性能也会影响其所部署的范围。本次测试参照RFC2544对所有参测的防火墙的各项性能指标进行测试。以下我们将逐项分析各项性能指标。
5.1防火墙吞吐量
防火墙吞吐量是衡量防火墙在各种帧长的满负载(100M或1000M)UDP数据包情况下的稳定性表现。本项测试采用双向(Bidirectional Traffic)UDP数据流测试。这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。这项测试与防火墙本身的CPU速率、DRAM内存的大小等基本体系结构和硬件配置有着直接的关系。
此项测设定了不同的测试背景,以检验防火墙在不同的背景下的吞吐量结果。
其目的是尽量模拟实际的防火墙工作环境和状态,建立性能和实际应用的关联性。
[指标的衡量标准] 吞吐量的主要比较指标设定为小帧长(64Bytes,128Bytes)的性能,此项指标体现防火墙性能,并接近实际的工作环境。
1)防火墙设置单条安全策略时吞吐量的测试结果:
吞吐量:单条规则,双向吞吐率
序号 64 128 256 512 1518
1 CISCO FWSM防火墙 89 100 100 100 100
2 SERVGATE SG2000防火墙 73 97 96 99 93
3 NETSCREEN5200防火墙 52.5 72.55 84.15 94.33 96.73
4 NOKIA IP740防火墙 10.29 16.45 26.54 43.27 70.37
5 NORTEL ASF185-GE 防火墙 4.5 7.49 14.23 27.65 67.52
表 1 单条策略64,128,256,512,1518Bytes吞吐量率
图 1 单条策略,64,128,256,512,1518 Bytes帧长,吞吐量率
2)防火墙设置100条安全策略时吞吐量的测试结果:
参测防火墙均设置100条安全策略,测试在一定安全策略数下的防火墙吞吐量。
吞吐量:百条规则,双向吞吐率
序号 64 128 256 512 1518
1 CISCO FWSM防火墙 80 100 100 100 100
2 SERVGATE SG2000防火墙 74 97 96 98 93
3 NETSCREEN5200防火墙 58.33 72.55 85.18 94.33 96.73
4 NOKIA IP740防火墙 10 13.39 24.98 41.37 70.29
5 NORTEL ASF185-GE 防火墙 4.5 8.24 14.97 28.03 65.79
表 2 100条策略64,128,256,512,1518Bytes吞吐量率
图 2 100条策略,64,128,256,512,1518 Bytes帧长,吞吐量率
3)防火墙设置单条安全策略,进行地址翻译时吞吐量(单向数据流)的测试结果:
参测防火墙均设置NAT策略,测试在进行网络地址转换时的防火墙吞吐量。
吞吐量:单条规则,单向吞吐率
序号 64 128 256 512 1518
1 CISCO FWSM防火墙 100 100 100 100 100
2 NETSCREEN5200防火墙 84 100 100 100 100
3 SERVGATE SG2000防火墙 74 100 100 100 99
4 NOKIA IP740防火墙 19.72 23.42 39.66 76.88 88.32
5 NORTEL ASF185-GE 防火墙 4.5 8.24 14.23 27.65 76.37
表 3 单条策略,地址翻译64,128,256,512,1518Bytes吞吐量率
图 3单条策略,地址翻译64,128,256,512,1518Bytes帧长,吞吐量率
5.2防火墙丢包率测试
这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。以特定速率发送特定数量的数据包通过防火墙,然后计算被防火墙转发的数据包数量。丢包率用以下公式计算:
( ( input_count - output_count ) *100 % ) / input_count
[测试单位]:被丢弃的帧占所有应转发的帧的百分比
此项测设定了不同的测试背景,以检验防火墙在不同的负载情况下的丢包率结果。
[指标的衡量标准] 在不同防火墙负载的情况下,保持较小的丢包率的防火墙产品为优。
包丢失率:单条规则,双向100%吞吐量包丢失率
序号 64 128 256 512 1518
1 CISCO FWSM防火墙 15.88 0 0 0 0
2 SERVGATE SG2000防火墙 26.927 1.578 2.075 0.004 4.089
3 NETSCREEN5200防火墙 39.845 26.339 14.222 3.675 0.116
4 NOKIA IP740防火墙 87.961 79.191 61.692 31.107 10.783
5 NORTEL ASF185-GE 防火墙 95.234 91.626 87.729 75.679 36.205
表 4 发送线速流量的100%的流量时的丢包率
图 4 双向流量100%负载下的丢包率
5.3延迟
这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。它的表现也同样取决于防火墙的基本配置。
首先确定在各种帧大小(同上)下防火墙的吞吐量,然后以指定帧大小发送数据流穿过防火墙到指定的目标地址。
[测试单位]:μs(10-6秒)。
[指标的衡量标准] 每个防火墙在相同的流量负载(20M,双向数据流)情况下,延迟越小,为较优指标。防火墙均设置单条策略。
延迟:单条规则,双向20%吞吐量延迟
序号 64 128 256 512 1518
1 NETSCREEN5200防火墙 4.3 6.2 6.8 8.2 13.1
2 NOKIA IP740防火墙 11.1 9.7 19.7 16.1 21.6
3 NORTEL ASF185-GE 防火墙 16.7 17.1 17.8 18.4 22.4
4 SERVGATE SG2000防火墙 17.52 14.41 18.62 23.66 43.37
5 CISCO FWSM防火墙 90.41 84.09 33.24 40.55 70.03
表 5 64,128,256,512,1518Bytes (1Rules)延迟表
图 5 64,128,256,512,1518Bytes帧长双向100%负载(1Rules)下的延迟
2、延迟:延迟:100条规则,双向峰值吞吐量延迟
序号 64 128 256 512 1518
1 SERVGATE SG2000防火墙 17.46 14.54 16.49 22.29 43.66
2 NORTEL ASF185-GE 防火墙 4.50 8.24 14.97 28.03 65.79
3 CISCO FWSM防火墙 33.06 77.03 37.21 45.18 80.78
4 NETSCREEN5200防火墙 5.0 6.4 9.7 10.4 17.9
5 NOKIA IP740防火墙 5522.6 32.2 28.9 41.1 70.2
表 6 64,128,256,512,1518Bytes(100Rules) 延迟表
图 6 64,128,256,512,1518Bytes帧长双向100%负载(100Rules)的丢包率
注:千兆防火墙的实现技术存在差异,测试的方法有所不同,对于采用网络处理器技术的防火墙,本次的测试方法如下:
1、采用SmartFlow软件进行测试;
2、采用多个UDP Session进行测试,Cisco FWSM采用了10个UDP Session进行测试,Servgate采用了8个UDP Session进行测试;
3、其他厂家为宣称采用网络处理器技术,采用单个UDP Session进行测试。
5.4背靠背缓存能力
背靠背是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。该指标用于测试防火墙的数据缓存能力,描述了网络设备承受突发数据的能力,即对突发数据的缓冲能力。
以最小帧间隔发送一定数量(测试时间尽可能长,一般选择120s,40M)的突发帧至被测设备的输入口,记录被测设备正确转发的帧数,如果全部正确转发,增加发送帧数再测试,否则减少发送帧数再测试,直到找到极限值。此项性能与帧长度可能有关,所以需对不同帧长度的数据流分别测试。
[指标的衡量标准] 每个防火墙在相同的流量负载(40%,双向数据流)情况下, 正确转发的帧数越大,产品此项得性能指标就更优越。
背靠背:单条规则,双向40%吞吐量背靠背
序号 64 128 256 512 1518
1 SERVGATE SG2000防火墙 910 1246 3612720 1876880 650020
2 CISCO FWSM防火墙 1134 862 662 665 1950060
3 NETSCREEN5200防火墙,100% 400 284 369 998 4162
4 NOKIA IP740防火墙 262 1403 2348 22522560 7800240
5 NORTEL ASF185-GE 防火墙,100% 1070 1108 1009 597 465
表 7 64,128,256,512,1518Bytes 背靠背缓冲能力
图 7 64,128,256,512,1518Bytes帧长背靠背缓冲能力
5.5防火墙支持的连接数测试
在此项测试中,分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数。测试在1条安全规则下打开和关闭NAT(静态)对TCP连接的新建能力和保持能力。
1) 每秒最大建立连接数:防火墙每秒可以建立的最大连接数目,大的指标为优。
序号 每秒新建连接数
1 SERVGATE SG2000防火墙 19000
2 CISCO FWSM防火墙 18000
3 NETSCREEN5200防火墙 17100
4 NOKIA IP740防火墙 4800
5 NORTEL ASF185-GE 防火墙,1 SFD 4000
6 NORTEL ASF185-GE 防火墙,4 SFD 14950
表 8 每秒最大建立连接数
图 8 每秒最大建立连接数比较
2) 防火墙可以保持的最大连接数:
序号 最大并发连接数
1 SERVGATE SG2000防火墙 500000
2 NOKIA IP740防火墙 827697
3 CISCO FWSM防火墙 941422
4 NORTEL ASF185-GE 防火墙 996500
5 NETSCREEN5200防火墙 1000000
表 9 可以维持的最大连接数
图 9可以维持的最大连接数比较
5.6有效通过率
根据RFC2647对防火墙测试的规范中定义的一个重要的指标:goodput(防火墙的真实有效通过率)因为防火墙在测试过程中,总会有数据包的丢失和重发,所以简单的测试防火墙的通过率是片面的,goodput从应用层测试防火墙的真实有效的传输数据包速率。
防火墙端口的总转发数据量(bps)减去丢失的和重发的数据量(bps)。
测试方法:用smartbit模拟300个http的请求,看单位时间内最大传输的速率(bps)。
[指标的衡量标准] 在标准的300个http的请求下,单位时间内最大传输的速率(bps),指标大者为优。
序号 有效通过率
1 NETSCREEN5200防火墙,8FE 147371735
2 SERVGATE SG2000防火墙,8FE 123,613,723
3 CISCO FWSM防火墙,8FE 123,152,140
5 NOKIA IP740防火墙,8FE 73625909
6 NORTEL ASF185-GE 防火墙,8FE 67,568,948
表 10 300HTTP连接的有效通过率
图 10 300HTTP连接的有效通过率比较
1、测试时间120秒,建立300个http连接;
2、本次测试Smartbits6000上的GE模块不支持Goodput测试,所以采用8个百兆模拟千兆测试;
6 安全特性测试结果比较
防火墙的安全特性测试包括防火墙抵御攻击的能力及防火墙*作系统自身的安全性两个方面的测试。其中,抵御攻击测试分为定性测试与定量测试两种,定性测试主要测试防火墙对拒绝服务攻击的抵御能力及对正常服务的影响,定量测试有力判断防火墙对拒绝服务的攻击包处理能力,测试中,我们选取了SYN Flood、Ping Flood、Ping of Death、Ping Sweep、Tear Drop、Land、Smurf七种拒绝服务攻击。定性测试采用这些攻击的工具实际进行测试,定量测试采用SmartBits6000测试仪及WebSuit软件进行测试,测试时,用一对100M端口建立背景流量,即TCP HTTP连接,另外一对100M端口发送攻击流量,观察成功穿过防火墙的攻击包,并用SnifferPro软件在接收端进行辅助分析。最后成功穿过防火墙的攻击流量越少,表明防火墙抵御该攻击的能力越强。
防火墙*作系统自身的安全性主要采用ISS Internet Scanner对防火墙*作系统进行扫描测试,如果发现漏洞,对漏洞进行攻击,评估漏洞的风险级别,如果发现漏洞并且漏洞的级别较高,表明防火墙*作系统的安全性越差。
见附件A 表十六 安全特性测试
7 防火墙产品测试基本评述
CISCO FWSM Servgate SG2000 NOKIA IP530 Netscreen-5200 Alteon交换式防火墙加速器:SFA-185, 控制器:SFD-i310
功能 各项功能支持较好,部分功能(如网络功能、带宽管理)需要CISCO交换机系统的支持来实现。 实现了防火墙主要功能,不支持SIP功能 提供很好的网络功能集成。其他各项功能支持较好。 各项功能支持较好,目前不支持SIP 各项功能支持较好。
性能 参见附件B 性能比较表二
附件 A 防火墙功能及安全测试比较表
表一 网络管理
表二网络功能
表三状态检测
表四 应用代理
表五 服务类型
表六 H.323和SIP测试
表七 NAT功能
表八认证功能
表九可靠性测试
表十日志和报警
表十一 IDS联动
表十二入侵检测(选项)
表十三带宽管理(选项)
表十四内容安全(选项)
表十五 安全特性测试
附件B 防火墙测试结果汇总
表一 功能及安全测试汇总
功能 诺基亚IP740 NORTEL ASF185FE CISCO FWSM NETSCREEN 5200 SERVGATE SG2000
网络管理 ★★★★ ★★★★ ★★★★ ★★★+ ★★★★
网络功能 ★★★★ ★★★+ ★★★★ ★★★+ ★★★
状态检测 ★★★★ ★★★★ ★★★+ ★★★★ ★★★★
应用代理 ★★★+ ★★★+
服务类型 ★★★★ ★★★★ ★★★★ ★★★+ ★★★★
H.323和SIP测试 ★★★★ ★★★★ ★★★★ ★★★+ ★★★
NAT功能 ★★★★ ★★★+ ★★★★ ★★★★ ★★★+
认证功能 ★★★★ ★★★★ ★★★+ ★★★+
可靠性测试 ★★★+ ★★★ ★★★+ ★★★★ ★★★
日志和报警 ★★★+ ★★★★ ★★★+ ★★★★ ★★★+
IDS联动 ★★★ ★★★+ ★★★ ★★★
入侵检测(选项) ★★★★ ★★★★ ★★★ ★★★ ★★★
带宽管理(选项) ★★★+ ★★★★
内容安全(选项) ★★★★ ★★★★ ★★★+ ★★★+
基本评价 ★★★★ ★★★★ ★★★+ ★★★+ ★★★
表二 性能测试汇总
性能 CISCO(FWSM) SERVGATE SG2000 NETSCREEN5200 诺基亚IP740 NORTEL ASF185FE
吞吐量 ★★★★ ★★★★ ★★★★ ★★★+ ★★★
丢包率 ★★★+ ★★★+ ★★★★ ★★★ ★★★
延迟 ★★★+ ★★★★ ★★★★ ★★★★ ★★★★
背靠背 ★★★+ ★★★★ ★★★+ ★★★+ ★★★+
连接数 ★★★★ ★★★★ ★★★★ ★★★ ★★★
有效通过率 ★★★★ ★★★★ ★★★★ ★★★+ ★★★
基本评价 ★★★★ ★★★★ ★★★★ ★★★+ ★★★ |
|