隨著信息安全要求越來越高，防火墻" title="防火墻">防火墻成為必不可少的網絡元素。但防火墻設備在網絡中的主要作用不是報文轉發，而是進行報文檢測和訪問控制，防火墻的存在必然會對安全用戶正常使用網絡帶來一定影響。因此在滿足安全功能的前提下，選擇一款高性能、滿足網絡要求、符合預算的產品是非常重要的。

　　防火墻性能描述指標

　　衡量防火墻的性能指標主要包括吞吐量" title="吞吐量">吞吐量、報文轉發率、最大并發連接數、每秒新建連接數、轉發時延、抖動等。

圖1 防火墻主要性能指標

　　l 防火墻吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發送一定數量的幀，并計算待測設備傳輸的幀，如果發送的幀與接收的幀數量相等，那么就將發送速率提高并重新測試；如果接收幀少于發送幀則降低發送速率重新測試，直至滿足沒有幀丟失時的最大發送速率，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

　　l 防火墻TCP并發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP聯接總數。防火墻TCP并發連接數的測試采用一種反復搜索機制進行，在每次反復過程中，以低于被測設備所能承受的連接速率發送不同數量的并發連接，直至得出被測設備的最大TCP并發連接數。

　　l 防火墻最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下，所能承受的最大TCP連接建立速度。其測試采用反復搜索過程，每次反復過程中，以低于被測設備所能承受的最大并發連接數發起速率不同的TCP連接請求，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/ 秒表示。

　　防火墻性能測試方法

　　對一款防火墻產品進行性能評估" title="性能評估">性能評估，分為兩個步驟。首先要進行防火墻基線性能測試，其次是進行模擬實際應用環境下的性能測試。

　　基線性能是防火墻在理想狀態下表現出來的性能指標，具有測試結果比較穩定、流量模型可控的優點。但是在實際應用中，往往達不到防火墻產品實際標稱的基線性能。原因是實際應用中經過防火墻的流量要比測試基線性能時的流量復雜得多，因此評估防火墻性能時，不僅需要對基線性能進行評估，更重要的是模擬實際應用環境進行評估。

　　1. 基線性能指標測試

　　1) 吞吐量評估

　　防火墻的吞吐量實際上是一個靜態指標，反映在理想情況下設備的轉發能力。在實際應用中吞吐量這個指標一般是達不到的，而且對于用戶而言，實際感受到的是他的應用處理能力，因此單純的吞吐量指標不能說明防火墻的轉發性能。

　　一般情況下，防火墻的轉發性能可以用throughput和goodput兩個指標來衡量。而對于防火墻設備來說，goodput這個指標比throughput更具有實際意義。因此在測試防火墻吞吐量時，更多采用goodput指標。

　　goodput 有時候也叫應用層的吞吐量。在一定連接新建和并發的情況下，單個報文的應用層數據承載量很大程度決定了應用層報文轉發的能力。所以測試防火墻轉發性能時，需要明確測試載荷的大小。為了測試得到較全面的吞吐量性能數據，需要測試在不同載荷大小情況下的轉發性能。

　　在進行吞吐量基線測試中，一般以HTTP作為應用層協議，為了得到最理想的測試效果，通過會選擇HTTP1.1，每個TCP連接處理盡量多的HTTP事務（transaction），并且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。

圖2 IxLoad設置

　　2) 連接數評估

　　連接在狀態防火墻中是一個很重要的概念，與連接相關的性能指標對評估防火墻非常重要。這些指標包括并發連接數、新建連接速率。

　　l 并發連接數的測試

　　并發連接是一個很重要的指標，它主要反映了被測設備維持多個會話的能力。關于此指標的爭論也有很多。一般來說，它是和測試條件緊密聯系的，但是這方面的考慮有時會被人們忽略。比如，測試時采用的傳輸文件大小就會對測試結果有影響。例如，如果在傳輸中應用層流量很大的話, 被測設備將會占用很大的系統資源去處理包檢查，導致無法處理新請求的連接，引起測試結果偏小；反之測試結果會大一些。所以沒有測試條件而只談并發連接數是難以定斷的。從宏觀上來看，這個測試的最終目的是比較不同設備的“資源”，也就是說處理器資源和存儲資源的綜合表現。

 　　目前市場上出現了大家盲目攀比并發連接數的情況。事實上，并發幾十萬的連接數應該完全可以滿足一個電信級數據中心的網絡服務需求了，對于一般的企業來講, 甚至幾千個并發連接數還綽綽有余。并發連接總數能由儀表自動測試得出結果，減少了測試所用的時間和人力，這類儀表目前很多，常見的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。

　　l 新建連接速率

　　這個指標主要體現了被測設備對于連接請求的實時反應能力。對于中小用戶來講，這個指標顯得更為重要?？梢栽O想一下，當被測設備可以更快的處理連接請求，而且可以更快傳輸數據的話,網絡中的并發連接數就會傾向于偏小，從而設備壓力也會減小，用戶感受到的防火墻性能也就越好。Avalanche、IXLOAD以及BPS等測試工具都可以測試新建連接速率，幫助使用者搜索到被測設備能夠處理的峰值，測試原理基本都是相同的。

　　2. 模擬真實應用環境進行性能指標測試

　　如果能夠100%模擬用戶的實際應用環境對防火墻性能進行測試，那么防火墻選型這類活動將變得非常簡單，而且防火墻性能指標將變得更加有意義。但是模擬真實應用環境并不是簡單的事情。主要是因為用戶環境的復雜性和多變性導致真實環境的模擬幾乎不可能實現。這里討論的模擬真實應用環境測試，只是將用戶環境進行抽象，使得模擬環境在滿足測試條件的情況下最大限度的貼近真實應用環境。

　　1) 多應用協議吞吐量測試

　　前面提到goodput是衡量防火墻吞吐量的重要指標，基線測試中，一般采用HTTP協議作為應用層協議進行測試。而在實際應用環境中，應用層的流量并不是純粹的HTTP，還有其他協議。如果用HTTP協議代替其他應用層協議測試應用層吞吐量，顯然是不合適的。因此需要針對不同的應用場景，設計典型的應用層流量分布模型，按照不同的比例分配帶寬。如圖3所示，是一個典型的某場景應用帶寬分布。

圖3 典型應用帶寬分布

　　模擬多協議測試，需要測試工具支持模擬多協議流量混合功能，并且能夠做基于協議的測試結果分析。包括不同協議的吞吐量、轉發延遲等。在多協議模擬測試中，BPS支持豐富的應用層協議，并且具有良好的流量混合功能。

　　2) DDoS攻擊條件下的轉發性能測試

　　目前大部分防火墻常常遭到試圖闖入用戶網絡的黑客的攻擊。DDoS攻擊是黑客常用的攻擊手段，該攻擊使用虛假IP地址進行攻擊并且持續不斷的更換形式。因此在模擬真實環境的測試中，將DDoS攻擊作為測試輸入條件是很有必要的。

　　這個測試的目的是將DDoS攻擊作為流量的一部分通過防火墻，模擬現實網絡在DDoS攻擊條件下，被測試設備轉發性能的下降程度。其中DDoS流量對于正常流量的影響，可通過變化混合的流量比例來實現。測試步驟如下：

　　l 保持DDoS流量不變（例如DDoS流量占接口帶寬的5％），改變多協議正常流量的比例關系，例如SMTP:FTP:HTTP:HTTPS以 45:15:30:10的比例混合，與DDoS攻擊流量經過防火墻轉發后，查看測試結果，查看轉發性能與沒有DDoS攻擊流量的情況下相比變化幅度是否滿足實際需求，同時也可以測試通過防火墻的傳輸延遲是否也保持在一個可接受的水平；

　　l 變化DDoS流量占接口帶寬的比例(例如從3％、5％到8％)，保持正常流量不變，測試轉發性能在不同DDoS攻擊強度下的變化情況，以及傳輸延遲在不同攻擊強度下的變化是否滿足實際應用需求；

　　l 兩者都變化的情況，即在修改DDoS流量的同時也修改正常流量的比例，記錄不同組合情況下的轉發性能與延遲狀況。

　　3) 在一定負載條件下的新建連接測試

　　新建連接體現了新用戶能否快速接入網絡。一般理想情況下測試新建連接速率的時候都是在打開一個連接后立即關閉，這種情況下測試出來的結果一般是比較好的。但是在實際應用場景中，情況并非如此，一般新建一個連接的時候會已經存在一定的連接，也就是在有一定負載（并發連接）的條件下測試新建連接速率。測試步驟為：

　　l 首先測試出基線新建速率，也就是在沒有負載條件下的理想新建速率；

　　l 逐步增加負載，可以按照基線并發的百分比設定負載值，例如20％，30％，50％，70％，90％等。但是在測試的時候需要注意，在一定負載條件下測試不要超過最大并發連接數，否則測試結果是不準確的；

　　l 測試中測試時間需要根據情況確定。如果采用打開/關閉TCP連接的方式，理想情況下在設備上看到的并發連接數應該是測試負載的大小，但是由于在一定負載條件下，設備處理連接關閉的速率會受到一定影響，導致并發隨著新建速率的增大而不斷增大，如果測試時間足夠長，并且處理速度較慢的話，可能導致并發連接數超過基線連接數限制。因此在一定負載條件下，需要測試足夠長的時間，如果新建連接總是成功的，那么說明該設備的性能比較好的。

　　結束語

　　防火墻在保障網絡安全的同時，必然會引入一定的網絡性能損耗。根據實際網絡環境選擇一款性能合適的防火墻對于用戶來說是至關重要的。本文從防火墻評估的角度介紹了防火墻基線性能測試和模擬實際環境性能測試的一般方法。在實際防火墻評估中，還應該根據實際應用場景，最大限度的提取應用的關鍵流量特征，并對流量特征進行抽象建模，利用測試儀器對流量進行模擬，從而得到與實際應用較符合的性能指標。