防火墙的性能评估

《防火墙的性能评估》由会员分享，可在线阅读，更多相关《防火墙的性能评估（3页珍藏版）》请在金锄头文库上搜索。

1、评价防火墙的功能、性能指标(2011-06-03 23:47:16)转 载标签： 防火墙性能参数吞吐量最大连接数新建连接数丢包率it分类： 网络技术一、一、 功能指标功能指标1、访问控制：根据数据包的源/目的 IP 地址、源/目的端口、协议、流量、时间等参数对 数据包进行访问控制。2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP 映射)。3、静态路由/策略路由：静态路由：给予目的地址的路由选择。策略路由：基于源地址和目的地址的策略路由选择。4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存)5、接入支持：防火墙接口类型一般有 GB

2、IC、以太网接口等；接入支持静态 IP 设置、 DHCP、PPOE(比如 ADSL 接入)等。6、VPN：分为点到端传输模式(PPTP 协议)和端到端隧道模式(IPSec、IPIP、GRE 隧道)， 支持 DES、3DE、Blowfish、AES、Cast128、Twofish 等加密算法，支持 MD5、SHA-1 认证算 法；VPN 功能支持 NAT 穿越。7、IP/MAC 绑定：IP 地址与 MAC 地址绑定，防止 IP 盗用，防止内网机器有意/无意抢占关 键服务器 IP。8、DHCP：内置 DHCP Server 为网络中计算机动态分配 IP 地址；DHCP Relay 的支持能为 防火

3、墙不同端口的 DHCP Server 和计算机之间动态分配 IP 地址。9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个 虚拟防火墙为一个特定的用户群提供安全服务。10、应用代理：HTTP、FTP、SMTP 等协议应用代理，大多数内容过滤通过应用代理实现。11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。12、防攻击：防止各类 TCP、UDP 端口扫描，源路由攻击，IP 碎片包攻击，DOS、DDOS 攻 击，蠕虫病毒以及其他网络攻击行为。13、内置 IDS：内置 IDS 模块，加强防火墙的防攻击能力。14、内置防病毒模块：内置防病毒模块，

4、在网关级进行病毒防护。15、内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫 描，做出安全评估分析，提供安全建议，计时弥补网络中存在的安全隐患。16、安全产品联动：防火墙与其他安全产品比如 IDS、Scanner、防病毒等的联动功能。17、链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双 机热备功能提供了一个较好的解决方案。18、配置文件上传/下载：配置文件的备份/恢复功能。19、SNMP：支持 SNMP 协议，方便网络管理员对防火墙状态进行监控管理。20、负载均衡：分为链路负载均衡和服务器负载均衡。21、日志审计：日志存储、备份、查询、过滤

5、、分析统计报表等。22、入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送 SNMP Trap 信息、手 机短信报警。二、性能指标二、性能指标1、吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越 大，说明防火墙数据处理能力越强。其测试方法是：在测试中以一定速率发送一定数量的 帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提 高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞 吐量测试结果以比特/秒或字节/秒表示。2、并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出 防火墙设备对多

6、个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。影响并发连接数条目的主要因素是内存容量，其次是影响并发连接数条目的主要因素是内存容量，其次是 CPUCPU 频率及其他硬件。频率及其他硬件。1) 以每个并发连接表项占用 300B 计算，1000 个并发连接将占用 300B10008bit/B2.3Mb 内存空间，10000 个并发连接将占用 23Mb 内存空间，100000 个并发连接将占用 230Mb 内存空间，而如果真的试图实现 1000000 个并发连接的话那么， 这个产品就需要提供 2.24Gb 内存空间！2) 并发连接数的增大应当充分考虑

7、CPU 的处理能力 ，CPU 的主要任务是把网络上的流量 从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的 访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表 中的相应表项进行不断的更新读写操作。如果不顾 CPU 的实际处理能力而贸然增大系统的 并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接 报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。3) 在实际中选型的时候要考虑终端用户的数量，以便计算出所需要的最大连接数。以每个 用户需要 10.5 个并发连接来计算，一个中小型企业网

8、络（1000 个信息点以下，容纳 4 个 C 类地址空间）大概需要 10.51000=10500 个并发连接，因此支持 2000030000 最大并 发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在100010000 之间）大概会需要 105000 个并发连接，所以支持 100000120000 最大并发 连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和 ISP 来说，电信级的 千兆防火墙（支持 120000200000 个并发连接）则是恰当的选择。为较低需求而采用高端 的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采用低端设备将无法达到 预计的性能指标。3、最大连接速率：即每秒新建连接数，是指在指定时间(比如 1 秒)内防火墙能成功建立 的最大连接数目(主要和 CPU 的处理性能有直接关系，其他硬件其次)。4、延迟：延迟是指防火墙转发数据包的延迟时间，延迟越低，防火墙数据处理速度越快。5、丢包率：丢包率是指在正常稳定网络状态下，应该被转发由于缺少资源而没有被转发 的数据包占全部数据包的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能 够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。6、平均无故障时间：平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间。