中心議題：

• 防火墻性能描述指標
• 并發連接數的測試

解決方案：

• 吞吐量評估
• 連接數評估

隨著信息安全要求越來越高，防火墻成為必不可少的網絡元素。但防火墻設備在網絡中的主要作用不是報文轉發，而是進行報文檢測和訪問控制，防火墻的存在必然會對安全用戶正常使用網絡帶來一定影響。因此在滿足安全功能的前提下，選擇一款高性能、滿足網絡要求、符合預算的產品是非常重要的。
　　
防火墻性能描述指標
　　
衡量防火墻的性能指標主要包括吞吐量、報文轉發率、最大并發連接數、每秒新建連接數、轉發時延、抖動等。


圖1防火墻主要性能指標
　　
防火墻吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發送一定數量的幀，并計算待測設備傳輸的幀，如果發送的幀與接收的幀數量相等，那么就將發送速率提高并重新測試；如果接收幀少于發送幀則降低發送速率重新測試，直至滿足沒有幀丟失時的最大發送速率，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

防火墻TCP并發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP聯接總數。防火墻TCP并發連接數的測試采用一種反復搜索機制進行，在每次反復過程中，以低于被測設備所能承受的連接速率發送不同數量的并發連接，直至得出被測設備的最大TCP并發連接數。
　　
防火墻最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下，所能承受的最大TCP連接建立速度。其測試采用反復搜索過程，每次反復過程中，以低于被測設備所能承受的最大并發連接數發起速率不同的TCP連接請求，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/秒表示。
　　
防火墻性能測試方法
　　
對一款防火墻產品進行性能評估，分為兩個步驟。首先要進行防火墻基線性能測試，其次是進行模擬實際應用環境下的性能測試。
　　
基線性能是防火墻在理想狀態下表現出來的性能指標，具有測試結果比較穩定、流量模型可控的優點。但是在實際應用中，往往達不到防火墻產品實際標稱的基線性能。原因是實際應用中經過防火墻的流量要比測試基線性能時的流量復雜得多，因此評估防火墻性能時，不僅需要對基線性能進行評估，更重要的是模擬實際應用環境進行評估。
　　
基線性能指標測試
　　
1)吞吐量評估
　　
防火墻的吞吐量實際上是一個靜態指標，反映在理想情況下設備的轉發能力。在實際應用中吞吐量這個指標一般是達不到的，而且對于用戶而言，實際感受到的是他的應用處理能力，因此單純的吞吐量指標不能說明防火墻的轉發性能。
　　
一般情況下，防火墻的轉發性能可以用throughput和goodput兩個指標來衡量。而對于防火墻設備來說，goodput這個指標比throughput更具有實際意義。因此在測試防火墻吞吐量時，更多采用goodput指標。
　　
goodput有時候也叫應用層的吞吐量。在一定連接新建和并發的情況下，單個報文的應用層數據承載量很大程度決定了應用層報文轉發的能力。所以測試防火墻轉發性能時，需要明確測試載荷的大小。為了測試得到較全面的吞吐量性能數據，需要測試在不同載荷大小情況下的轉發性能。
　　
在進行吞吐量基線測試中，一般以HTTP作為應用層協議，為了得到最理想的測試效果，通過會選擇HTTP1.1，每個TCP連接處理盡量多的HTTP事務（transacTIon），并且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。



圖2IxLoad設置
　　
2)連接數評估
　　
連接在狀態防火墻中是一個很重要的概念，與連接相關的性能指標對評估防火墻非常重要。這些指標包括并發連接數、新建連接速率。

并發連接數的測試
　　
并發連接是一個很重要的指標，它主要反映了被測設備維持多個會話的能力。關于此指標的爭論也有很多。一般來說，它是和測試條件緊密聯系的，但是這方面的考慮有時會被人們忽略。比如，測試時采用的傳輸文件大小就會對測試結果有影響。例如，如果在傳輸中應用層流量很大的話,被測設備將會占用很大的系統資源去處理包檢查，導致無法處理新請求的連接，引起測試結果偏??；反之測試結果會大一些。所以沒有測試條件而只談并發連接數是難以定斷的。從宏觀上來看，這個測試的最終目的是比較不同設備的“資源”，也就是說處理器資源和存儲資源的綜合表現。