防火墙的性能评估
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
评价防火墙的功能、性能指标
(2011-06-03 23:47:16)
转载▼
标签:
分类:网络技术
防火墙
性能
参数
吞吐量
最大连接数
新建连接数
丢包率
it
一、功能指标
1、访问控制:根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。
2、地址转换:源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。
3、静态路由/策略路由:
静态路由:给予目的地址的路由选择。
策略路由:基于源地址和目的地址的策略路由选择。
4、工作模式:路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存)
5、接入支持:防火墙接口类型一般有GBIC、以太网接口等;接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。
6、VPN:分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道),支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法,支持MD5、SHA-1认证算法;VPN功能支持NAT穿越。
7、IP/MAC绑定:IP地址与MAC地址绑定,防止IP盗用,防止内网机器有意/无意抢占关键服务器IP。
8、DHCP:内置DHCP Server 为网络中计算机动态分配IP地址;DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。
9、虚拟防火墙:在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙,每个虚拟防火墙为一个特定的用户群提供安全服务。
10、应用代理:HTTP、FTP、SMTP等协议应用代理,大多数内容过滤通过应用代理实现。
11、流量控制:流量控制,流量优先级,带宽允许条件下的优先保障关键业务带宽。
12、防攻击:防止各类TCP、UDP端口扫描,源路由攻击,IP碎片包攻击,DOS、DDOS 攻击,蠕虫病毒以及其他网络攻击行为。
13、内置IDS:内置IDS模块,加强防火墙的防攻击能力。
14、内置防病毒模块:内置防病毒模块,在网关级进行病毒防护。
15、内置安全评估模块:内置安全评估模块,对网络中的计算机、网络设备等进行漏洞扫描,做出安全评估分析,提供安全建议,计时弥补网络中存在的安全隐患。
16、安全产品联动:防火墙与其他安全产品比如IDS、Scanner、防病毒等的联动功能。
17、链路备份/双机热备:在可靠性要求高的环境中,防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案。
18、配置文件上传/下载:配置文件的备份/恢复功能。
19、SNMP:支持SNMP协议,方便网络管理员对防火墙状态进行监控管理。
20、负载均衡:分为链路负载均衡和服务器负载均衡。
21、日志审计:日志存储、备份、查询、过滤、分析统计报表等。
22、入侵响应:日志记录、消息框报警、邮件报警、声音报警、发送SNMP Trap信息、手机短信报警。
二、性能指标
1、吞吐量:吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据处理能力越强。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。
2、并发连接数:并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
影响并发连接数条目的主要因素是内存容量,其次是CPU频率及其他硬件。
1) 以每个并发连接表项占用300B计算,1000个并发连接将占用300B×1000×8bit/B≈2.3Mb 内存空间,10000个并发连接将占用23Mb内存空间,100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并发连接的话那么,这个产品就需要提供2.24Gb 内存空间!
2) 并发连接数的增大应当充分考虑CPU的处理能力,CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。
3) 在实际中选型的时候要考虑终端用户的数量,以便计算出所需要的最大连接数。以每个用户需要10.5个并发连接来计算,一个中小型企业网络(1000个信息点以下,容纳4个C 类地址空间)大概需要10.5×1000=10500个并发连接,因此支持20000~30000最大并发连接的防火墙设备便可以满足需求;大型的企事业单位网络(比如信息点数在1000~10000之
间)大概会需要105000个并发连接,所以支持100000~120000最大并发连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和ISP来说,电信级的千兆防火墙(支持120000~200000个并发连接)则是恰当的选择。为较低需求而采用高端的防火墙设备将造成用户投资的浪费,同样为较高的客户需求而采用低端设备将无法达到预计的性能指标。 3、最大连接速率:即每秒新建连接数,是指在指定时间(比如1秒)内防火墙能成功建立的最大连接数目(主要和CPU的处理性能有直接关系,其他硬件其次)。
4、延迟:延迟是指防火墙转发数据包的延迟时间,延迟越低,防火墙数据处理速度越快。
5、丢包率:丢包率是指在正常稳定网络状态下,应该被转发由于缺少资源而没有被转发的数据包占全部数据包的百分比。较低的丢包率,意味着防火墙在强大的负载压力下,能够稳定地工作,以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。
6、平均无故障时间:平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间。