防火墙性能测试浅析

防火墙是如今网络安全领域普遍使用的设备。 其主要目的就是确保对合法流量的保护和对非法流量的抵御。众所周知, 在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级, 然而从网络的总体结构上看, 防火墙恰处于网络的末端。显而易见,防火墙的性能将对最终网络 用户获得的实际带宽有决定性的影响。因此如今防火墙的性能指标日益为人们所重视,地位也愈来愈重要。

防火墙的分类

关于防火墙的分类方式有不少种: 例如按体系结构可分为纯软件,软硬结合和 纯硬件防火墙; 按逻辑功能可分为静态包过滤、动态包过滤和 应用代理型防火墙等。 本文所讨论的测试内容适合绝大部分上述防火墙。 有关各类类型防火墙的信息, 读者可从各大国际信息安全实验室的网站中得到, 这里将再也不赘述。

防火墙的二层和三层测试

通常说来, 对于一个没有配置规则的防火墙设备, 咱们可以近似的看成一个普通的网络互联设备来进行性能测试。 虽然对于少数设备来讲这样的近似并不许确。 RFC1242和RFC2544是在进行这种测试的主要标准。 RFC1242是对于通常的网络设备的测试术语的定义, 而RFC2544则是对于测试方法的定义。 对大多数在中国从事网络工做的技术人员来讲, 这两个RFC并不陌生。 这里对个别要点作以简单的介绍。

首先将防火墙配置为“透明模式”。 假如其支持“网桥透明模式”和“路由透明模式”, 则在两种状况下建议都进行测试比对。 广泛的测试 帧封装格式为UDP, 测试帧的大小为64,128,256,512,1024,1280、1518。 在时间紧迫的状况下, 也可抽取6四、5十二、1518这几种帧长作为选择。 测试的指标包括吞吐量(Throughput)、发送延迟(Latency)、丢包率(Packet Loss)、背对背 缓冲(Back to Back)。 这几个指标实际上侧重在相同的测试条件下对不一样的网络设备之间作性能比较, 而不针对仿真实际流量。 咱们也称其为“基准测试”(Base Line Testing)。 基准测试是个很重要的概念, 贯穿于各类不一样的数据设备的评测之中。在四个指标里面, 吞吐量 是应该先被测试的,而后用测出的数值做为发送速率上限,来进行延迟指标的测试。从经验上来说,纯软件和软硬结合的防火墙在测试的时候有可能表现不太稳定,常出现测试结果有上下波动的状况。 这是个在测试防火墙时候的现实问题。要解决他, 通常建议将防火墙在每次测试之间上电重启动, 以确保测试的可重复性。 另一个办法就是测屡次, 取平均值。 后者考虑到了防火墙稳定性的因素,相对来说反映了更贴近实际使用的方面, 因此也不失为一个好选择。

这个二层和三层的测试可以提供哪些有用的信息呢? 他可以帮助肯定性能瓶颈是存在于下层的交换转发机制, 仍是在上层协议的处理。 换句 话说,他有利于故障的定位。 即便对于一些不作交换转发的厂商,他们也可以发现所采用的网卡及所改写的驱动程式是否知足性能须要,同时也可以获得一些功能上的验证(如双工/速率状态是否正常等等)。对不少用户来说, 除非他们想把这个防火墙只看成一个普通的路由器来用, 不然不配置任何的安全规则是比较少 见的。 而在有规则的条件下进行的性能测试显然更有意义一些。 咱们将这部分的讨论放到后面的四层到七层的测试部分中。 由于有不少的规则都是既涉及到三层的信息也有四层的信息。