防火墙/VPN网关指标分析

network

防火墙/VPN网关指标分析


期待大家补充：


1、传输层性能



传输层性能指的是与防火墙/VPN网关状态相关的性能和扩展性，它主要包括:



TCP并发连接数（Concurrent TCP Connection Capacity）
最大TCP连接建立速率（Max TCP Connection Establishment Rate）(每秒新建连接数)






1.1、TCP并发连接数



并发连接数是衡量防火墙/VPN网关性能的一个重要指标。在IETF RFC2647中给出了并发连接数（Concurrent Connections）的定义，它是指穿越防火墙/VPN网关的主机之间或主机与防火墙/VPN网关之间能同时建立的最大连接数。它表示防火墙/VPN网关对其业务信息流的处理能力，反映出防火墙/VPN网关对多个连接的访问控制能力和连接状态跟踪能力，这个参数直接影响到防火墙/VPN网关所能支持的最大信息点数。







1.2、最大TCP连接建立速率



该项指标是防火墙/VPN网关维持的最大TCP连接建立速度，本测试用以体现防火墙/VPN网关更新状态表的最大速率，考察CPU的资源调度状况。这个指标主要体现了防火墙/VPN网关对于连接请求的实时反应能力。对于中小用户来讲，这个指标就显得更为重要。可以设想一下，当被测防火墙/VPN网关每秒可以更快地处理连接请求，而且可以更快地传输数据的话，网络中的并发连接数就会倾向于偏小，防火墙/VPN网关的压力也会减小，用户看到的防火墙/VPN网关性能也就越好，所以TCP连接建立速率是极其重要的指标。










2、网络层性能测试



网络层性能指的是防火墙/VPN网关转发引擎对数据包的转发性能，RFC1242/2544是进行这种性能测试的主要参考标准，吞吐量、时延、丢包率和背对背缓冲4项指标是其基本指标。这几个指标实际上侧重在相同的测试条件下对不同的网络设备之间作性能比较，而不针对仿真实际流量，我们也称其为“基准测试”（Base Line Testing）。(可以看出，这个层面的指标，都是对性能的参考)







2.1、吞吐量指标定义



网络中的数据是由一个个数据帧组成，防火墙/VPN网关对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢失的情况下，防火墙/VPN网关能够接受并转发的最大速率。IETF RFC 1242中对吞吐量做了标准的定义：“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device”，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由防火墙/VPN网关内网卡及程序算法的效率决定，尤其是程序算法，会使防火墙/VPN网关系统进行大量运算，通信量大打折扣。









2.2、时延



网络的应用种类非常复杂，许多应用对时延非常敏感（例如音频、视频等），而网络中加入防火墙/VPN网关必然会增加传输时延，所以较低的时延对防火墙/VPN网关来说是不可或缺的。测试时延是指测试仪表发送端口发出数据包经过防火墙/VPN网关后到接收端口收到该数据包的时间间隔，时延有存储转发时延和直通转发时延两种。







2.3、丢包率



在IETF RFC1242中对丢包率作出了定义，是指在正常稳定的网络状态下，应该被转发，但由于缺少资源而没有被转发的数据包占全部数据包的百分比。较低的丢包率，意味着防火墙/VPN网关在强大的负载压力下，能够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。







2。4、背靠背缓冲



背靠背缓冲是测试防火墙/VPN网关设备在接收到以最小帧间隔传输的网络流量时，在不丢包条件下所能处理的最大包数。该项指标是考察防火墙/VPN网关为保证连续不丢包所具备的缓冲能力，因为当网络流量突增而防火墙/VPN网关一时无法处理时，它可以把数据包先缓存起来再发送。单从防火墙/VPN网关的转发能力上来说，如果防火墙/VPN网关具备线速能力，则该项测试没有意义。因为当数据包来得太快而防火墙/VPN网关处理不过来时，才需要缓存一下。如果防火墙/VPN网关处理能力很快，那么缓存能力就没有什么用，因此当防火墙/VPN网关的吞吐量和新建连接速率指标都很高时，无论防火墙/VPN网关缓存能力如何，背靠背指标都可以测到很高，因此在这种情况下这个指标就不太重要了。但是，由于以太网最小传输单元的存在，导致许多分片数据包的转发。由于只有当所有的分片包都被接受到后才会进行分片包的重组，防火墙/VPN网关如果缓存能力不够将导致处理这种分片包时发生错误，丢失一个分片都会导致重组错误。可见，背靠背缓冲这一性能指标还是有具体意义的。







3、应用层性能



参照IETF RFC2647/3511，应用层指的是获得处理HTTP应用层流量的防火墙/VPN网关基准性能，主要包括HTTP传输速率（HTTP Transfer Rate）和最大HTTP事务处理速率（Max HTTP Transaction Rate）。







3.1、HTTP传输速率



该指标主要是测试防火墙/VPN网关在应用层的平均传输速率，是被请求的目标数据通过防火墙/VPN网关的平均传输速率。



该算法是从所传输目标数据首个数据包的第一个比特到最末数据包的最后一个比特来进行计算，



平均传输速率的计算公式为：传输速率（bit/s）=目标数据包数×目标数据包大小×8bit/测试时长



其中，目标数据包数是指在所有连接中成功传输的数据包总数，目标数据包大小是指以字节为单位的数据包大小。



统计时只能计算协议的有效负载，不包括任何协议头部分。同样，也必须将与连接建立、释放，以及安全相关或维持连接所相关的比特排除在统计之外。



由于面向连接的协议要求对数据进行确认，传输负载会因此有所波动，则应该取测试中转发的平均速率。







3.2、最大HTTP事务处理速率



该项指标是防火墙/VPN网关所能维持的最大事务处理速率，即用户在访问目标时，所能达到的最大速率。



在测试此指标时，测试过程通过多轮测试，二分法定位来获得防火墙/VPN网关能维持的最大事务处理速率。对于不同轮次的测试，模拟的HTTP客户端对模拟HTTP服务器的GET请求速率是不同的，但在同一轮次的测试中客户端必须维持以恒定速率来发起请求。如果模拟的客户端每个连接中有多个GET请求，则每个GET请求中的数据包大小必须相同。当然在不同测试过程中则可采用不同大小的数据包







4、总结



以上各项指标是目前我们常用的防火墙/VPN网关性能测试衡量参数。除以上三部分的测试外，由于越来越多的防火墙/VPN网关集成了IPSec VPN的功能，数据包经过VPN隧道进行传输需要经过加密、解密，对性能所造成的影响很显著。



因此，对IPSec VPN性能的研究也很重要，它主要包括协议一致性，隧道容量，隧道建立速率以及隧道内网络性能等。



同时，防火墙/VPN网关的安全性测试也是不容忽视的内容。因为对于防火墙/VPN网关来说，最能体现其安全性和保护功能的便是它的防攻击能力。性能优良的防火墙/VPN网关能够阻拦外部的恶意攻击，同时还能够使内网正常地与外界通信，对外提供服务。因此，我们还应该考察防火墙/VPN网关在建立正常连接的情况下防攻击的能力。这些攻击包括IP地址欺骗攻击、ICMP攻击、IP碎片攻击、拒绝服务攻击、特洛伊木马攻击、网络安全性分析攻击、口令字探询攻击、邮件诈骗攻击等。