防火墙的关键参数
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2) 连接数评估
连接在状态防火墙中是一个很重要的概念,与连接相关的性能指标对评估防火墙非常重要。这些指标包括并发连接数、新建连接速率。
l 并发连接数的测试
并发连接是一个很重要的指标,它主要反映了被测设备维持多个会话的能力。关于此指标的争论也有很多。一般来说,它是和测试条件紧密联系的,但是这方面的考虑有时会被人们忽略。比如,测试时采用的传输文件大小就会对测试结果有影响。例如,如果在传输中应用层流量很大的话, 被测设备将会占用很大的系统资源去处理包检查,导致无法处理新请求的连接,引起测试结果偏小;反之测试结果会大一些。所以没有测试条件而只谈并发连接数是难以定断的。从宏观上来看,这个测试的最终目的是比较不同设备的“资源”,也就是说处理器资源和存储资源的综合表现。
目前市场上出现了大家盲目攀比并发连接数的情况。事实上,并发几十万的连接数应该完全可以满足一个电信级数据中心的网络服务需求了,对于一般的企业来讲, 甚至几千个并发连接数还绰绰有余。并发连接总数能由仪表自动测试得出结果,减少了测试所用的时间和人力,这类仪表目前很多,常见的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。
l 新建连接速率
这个指标主要体现了被测设备对于连接请求的实时反应能力。对于中小用户来讲,这个指标显得更为重要。可以设想一下,当被测设备可以更快的处理连接请求,而且可以更快传输数据的话,网络中的并发连接数就会倾向于偏小,从而设备压力也会减小,用户感受到的防火墙性能也就越好。Avalanche、IXLOAD以及BPS等测试工具都可以测试新建连接速率,帮助使用者搜索到被测设备能够处理的峰值,测试原理基本都是相同的。
2. 模拟真实应用环境进行性能指标测试
如果能够100%模拟用户的实际应用环境对防火墙性能进行测试,那么防火墙选型这类活动将变得非常简单,而且防火墙性能指标将变得更加有意义。但是模拟真实应用环境并不是简单的事情。主要是因为用户环境的复杂性和多变性导致真实环境的模拟几乎不可能实现。这里讨论的模拟真实应用环境测试,只是将用户环境进行抽象,使得模拟环境在满足测试条件的情况下最大限度的贴近真实应用环境。
1) 多应用协议吞吐量测试
前面提到goodput是衡量防火墙吞吐量的重要指标,基线测试中,一般采用HTTP协议作为应用层协议进行测试。而在实际应用环境中,应用层的流量并不是纯粹的HTTP,还有其他协议。如果用HTTP协议代替其他应用层协议测试应用层吞吐量,显然是不合适的。因此需要针对不同的应用场景,设计典型的应用层流量分布模型,按照不同的比例分配带宽。如图3所示,是一个典型的某场景应用带宽分布。
模拟多协议测试,需要测试工具支持模拟多协议流量混合功能,并且能够做基于协议的测试结果分析。包括不同协议的吞吐量、转发延迟等。在多协议模拟测试中,BPS支持丰富的应用层协议,并且具有良好的流量混合功能。
2) DDoS攻击条件下的转发性能测试
目前大部分防火墙常常遭到试图闯入用户网络的黑客的攻击。DDoS攻击是黑客常用的攻击手段,该攻击使用虚假IP地址进行攻击并且持续不断的更换形式。因此在模拟真实环境的测试中,将DDoS攻击作为测试输入条件是很有必要的。
这个测试的目的是将DDoS攻击作为流量的一部分通过防火墙,模拟现实网络在DDoS攻击条件下,被测试设备转发性能的下降程度。其中DDoS流量对于正常流量的影响,可通过变化混合的流量比例来实现。测试步骤如下:
l 保持DDoS流量不变(例如DDoS流量占接口带宽的5%),改变多协议正常流量的比例关系,例如SMTP:FTP:HTTP:HTTPS以 45:15:30:10的比例混合,与DDoS攻击流量经过防火墙转发后,查看测试结果,查看转发性能与没有DDoS攻击流量的情况下相比变化幅度是否满足实际需求,同时也可以测试通过防火墙的传输延迟是否也保持在一个可接受的水平;
l 变化DDoS流量占接口带宽的比例(例如从3%、5%到8%),保持正常流量不变,测试转发性能在不同DDoS攻击强度下的变化情况,以及传输延迟在不同攻击强度下的变化是否满足实际应用需求;
l 两者都变化的情况,即在修改DDoS流量的同时也修改正常流量的比例,记录不同组合情况下的转发性能与延迟状况。
3) 在一定负载条件下的新建连接测试
新建连接体现了新用户能否快速接入网络。一般理想情况下测试新建连接速率的时候都是在打开一个连接后立即关闭,这种情况下测试出来的结果一般是比较好的。但是在实际应用场景中,情况并非如此,一般新建一个连接的时候会已经存在一定的连接,也就是在有一定负载(并发连接)的条件下测试新建连接速率。测试步骤为:
l 首先测试出基线新建速率,也就是在没有负载条件下的理想新建速率;
l 逐步增加负载,可以按照基线并发的百分比设定负载值,例如20%,30%,50%,70%,90%等。但是在测试的时候需要注意,在一定负载条件下测试不要超过最大并发连接数,否则测试结果是不准确的;
l 测试中测试时间需要根据情况确定。如果采用打开/关闭TCP连接的方式,理想情况下在设备上看到的并发连接数应该是测试负载的大小,但是由于在一定负载条件下,设备处理连接关闭的速率会受到一定影响,导致并发随着新建速率的增大而不断增大,如果测试时间足够长,并且处理速度较慢的话,可能导致并发连接数超过基线连接数限制。因此在一定负载条件下,需要测试足够长的时间,如果新建连接总是成功的,那么说明该设备的性能比较好的。
结束语
防火墙在保障网络安全的同时,必然会引入一定的网络性能损耗。根据实际网络环境选择一款性能合适的防火墙对于用户来说是至关重要的。本文从防火墙评估的角度介绍了防火墙基线性能测试和模拟实际环境性能测试的一般方法。在实际防火墙评估中,还应该根据实际应用场景,最大限度的提取应用的关键流量特征,并对流量特征进行抽象建模,利用测试仪器对流量进行模拟,从而得到与实际应用较符合的性能指标。