商业化防火墙的性能参考指标！

network · 发表于 2008-5-25 15:56:44

商业化防火墙的性能参考指标！

1 吞吐量测试
这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。
更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。

2 延迟测试
延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。
延迟指标对于一些对实时敏感的应用，如网络电话、视频会议、数据库复制等应用影响很大，因此好的延时指标对于评价防火墙的性能表现非常重要。
所有帧长的延迟测试在50%和100%吞吐率下进行，横向比较的是存储转发的延迟结果。单机转发延迟（一条规则，2个GE口，双向2Gbps流量，分别在50%和100%吞吐率下测试）

3 丢包率测试
丢包率测试用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。
对于金融、证券、电子商务等涉及在线交易的行业，对数据传输的丢包率要求非常苛刻，即便系统结构内部存在纠错、校对机制，但大量的丢包率会导致频繁的roll-back动作，耽误重要交易的及时进行，影响交易人对系统的信心以至于导致客户的流失。因此丢包率指标对于银行系统网络至关重要。
对于64~1518 byte的帧长，分别采用40%、70%、100%线速进行测试。单机丢包率（一条规则，2个GE口，双向2Gbps流量，分别在40%，70%和100%线速下的丢包率）

4 并发连接测试
本项测试用于测试防火墙能建立的TCP并发连接数的最大值

network · 发表于 2008-5-25 15:57:07

--------------------------------------------------------------------------------
我们测试或者选择一个防火墙最主要因素是：

吞吐量（其他项目的以后谈）

吞吐量的决定了一个防火墙的级别。。

64字节小包的线速问题实际是这样的：
标准的以太网帧尺寸在64字节到1518字节之间。

由于大多数网络设备和安全设备只是对以太网帧的帧头和IP报头等进行分析和处理，相同传送速度时单位时间内要处理小尺寸帧的数量比大尺寸帧的数量更多，在衡量这些设备的包转发能力时应当采用最小尺寸的包进行评价。

以太网支持最小尺寸的帧大小为64个字节。

因此，一个百兆以太网端口理论上最多要处理

100Mbits / (84bytes*8bit/byte) = 0.1488Mpps。

所以，考察一个设备的性能，一般都要考察64字节小包在设备中的处理性能。也就是说，对于64字节的小包，如果一个100M的端口想要达到线速处理的话，其处理引擎每秒钟必须处理0.1488M个数据包，如果能满足这个技术指标，则说明这个防火墙的端口是线速的。处理过程不会发生丢包，延迟等现象。

所以，对于防火墙等安全设备，由于其工作原理是必须串接在网络中，因此，当我们对网络带宽的要求比较高时，必须选择线速指标比较高的产品，这样，在实际运用当中才不会发生拥塞等现象。

但是，目前很多厂商所宣称的性能指标都很高，实际运用中是否能够达到这么高的指标还需要仔细的考察，最好是能够实际测试一下。因为，某些厂商所提供的测试指标是在没有加载任何ACL规则的情况下测出来的，而实际应用中我们需要在防火墙上设置规则。

最好还是能够实际的测试一下。

rclijia · 发表于 2008-5-26 17:41:56

怎么没个测试结果呢？

wolf.wild · 发表于 2008-6-30 11:27:43

楼主:是不是忘记了个最重要的指标
防火墙的每秒新建连接数或者会话数

kentcui · 发表于 2008-7-10 09:07:58

这个简直就是路由器的包处理能力测试。。。

防火墙不能只测这些的。。。

kentcui · 发表于 2008-7-10 09:53:49

目前吞吐量测试其实针对防火墙有很大问题，
大家都知道，smartbit 做的吞吐量测试，打的都是UDP数据包，而且整个数据包在2层上就是64字节，
包括，帧开头以及帧间隙，总共84字节，所以100M线速就是14.8万个pps，但是需要明白的是，防火墙
真正处理TCP数据的时候消耗更大的资源，因为TCP毕竟有3次握手，以及握手释放等过程，所以我一直
对于只进行UDP数据吞吐测试的这种方式，持怀疑的态度，

另外并发会话，意义不大，每秒新建会话才是关键，有些厂家，号称每秒5万新建会话，但是真正测试的时候，要求
每秒新建会话设置为2000个，，，我要求提升到2万，，人家死活不同意，，后来结果是按照2000个测试，，最后
附上了我的每秒2万会话的结果。

国内的这种乱测试，结果就是客户对于什么性能测试都是不信任态度，必须在实际环境，或者行业内部有了成熟的
应用才同意的。。。

在中国连汽车碰撞的 C-NAP 都成为了商业利益下的假公正的前提下，当然不敢要求国家有部门规范，网络安全产品的
测试标准，但是这种过时的骗人的测试标准不要也罢。。。

network · 发表于 2008-7-10 22:15:47

jackx · 发表于 2008-9-6 03:00:29

顶,支持你,dddddddddddd

账号		自动登录	找回密码
密码			注册