防火牆性能測試淺析

防火牆是如今網絡安全領域普遍使用的設備。 其主要目的就是確保對合法流量的保護和對非法流量的抵禦。衆所周知, 在世界範圍內網絡帶寬(包括核心網絡及企業邊緣網絡)總的趨勢是不斷的提速升級, 然而從網絡的總體結構上看, 防火牆恰處於網絡的末端。顯而易見,防火牆的性能將對最終網絡 用戶獲得的實際帶寬有決定性的影響。因此如今防火牆的性能指標日益爲人們所重視,地位也愈來愈重要。

防火牆的分類

關於防火牆的分類方式有不少種: 例如按體系結構可分爲純軟件,軟硬結合和 純硬件防火牆; 按邏輯功能可分爲靜態包過濾、動態包過濾和 應用代理型防火牆等。 本文所討論的測試內容適合絕大部分上述防火牆。 有關各類類型防火牆的信息, 讀者可從各大國際信息安全實驗室的網站中得到, 這裏將再也不贅述。

防火牆的二層和三層測試

通常說來, 對於一個沒有配置規則的防火牆設備, 咱們可以近似的看成一個普通的網絡互聯設備來進行性能測試。 雖然對於少數設備來講這樣的近似並不許確。 RFC1242和RFC2544是在進行這種測試的主要標準。 RFC1242是對於通常的網絡設備的測試術語的定義, 而RFC2544則是對於測試方法的定義。 對大多數在中國從事網絡工做的技術人員來講, 這兩個RFC並不陌生。 這裏對個別要點作以簡單的介紹。

首先將防火牆配置爲「透明模式」。 假如其支持「網橋透明模式」和「路由透明模式」, 則在兩種狀況下建議都進行測試比對。 廣泛的測試 幀封裝格式爲UDP, 測試幀的大小爲64,128,256,512,1024,1280、1518。 在時間緊迫的狀況下, 也可抽取6四、5十二、1518這幾種幀長作爲選擇。 測試的指標包括吞吐量(Throughput)、發送延遲(Latency)、丟包率(Packet Loss)、背對背 緩衝(Back to Back)。 這幾個指標實際上側重在相同的測試條件下對不一樣的網絡設備之間作性能比較, 而不針對仿真實際流量。 咱們也稱其爲「基準測試」(Base Line Testing)。 基準測試是個很重要的概念, 貫穿於各類不一樣的數據設備的評測之中。在四個指標裏面, 吞吐量 是應該先被測試的,而後用測出的數值做爲發送速率上限,來進行延遲指標的測試。從經驗上來說,純軟件和軟硬結合的防火牆在測試的時候有可能表現不太穩定,常出現測試結果有上下波動的狀況。 這是個在測試防火牆時候的現實問題。要解決他, 通常建議將防火牆在每次測試之間上電重啓動, 以確保測試的可重複性。 另一個辦法就是測屢次, 取平均值。 後者考慮到了防火牆穩定性的因素,相對來說反映了更貼近實際使用的方面, 因此也不失爲一個好選擇。

這個二層和三層的測試可以提供哪些有用的信息呢? 他可以幫助肯定性能瓶頸是存在於下層的交換轉發機制, 仍是在上層協議的處理。 換句 話說,他有利於故障的定位。 即便對於一些不作交換轉發的廠商,他們也可以發現所採用的網卡及所改寫的驅動程式是否知足性能須要,同時也可以獲得一些功能上的驗證(如雙工/速率狀態是否正常等等)。對不少用戶來說, 除非他們想把這個防火牆只看成一個普通的路由器來用, 不然不配置任何的安全規則是比較少 見的。 而在有規則的條件下進行的性能測試顯然更有意義一些。 咱們將這部分的討論放到後面的四層到七層的測試部分中。 由於有不少的規則都是既涉及到三層的信息也有四層的信息。