防火墻的性能測試方案設計

　　連接在狀態防火墻中是一個很重要的概念，與連接相關的性能指標對評估防火墻非常重要。這些指標包括并發連接數、新建連接速率。

　　l 并發連接數的測試

　　并發連接是一個很重要的指標，它主要反映了被測設備維持多個會話的能力。關于此指標的爭論也有很多。一般來說，它是和測試條件緊密聯系的，但是這方面的考慮有時會被人們忽略。比如，測試時采用的傳輸文件大小就會對測試結果有影響。例如，如果在傳輸中應用層流量很大的話, 被測設備將會占用很大的系統資源去處理包檢查，導致無法處理新請求的連接，引起測試結果偏小;反之測試結果會大一些。所以沒有測試條件而只談并發連接數是難以定斷的。從宏觀上來看，這個測試的最終目的是比較不同設備的“資源”，也就是說處理器資源和存儲資源的綜合表現。

　　目前市場上出現了大家盲目攀比并發連接數的情況。事實上，并發幾十萬的連接數應該完全可以滿足一個電信級數據中心的網絡服務需求了，對于一般的企業來講, 甚至幾千個并發連接數還綽綽有余。并發連接總數能由儀表自動測試得出結果，減少了測試所用的時間和人力，這類儀表目前很多，常見的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。

　　l 新建連接速率

　　這個指標主要體現了被測設備對于連接請求的實時反應能力。對于中小用戶來講，這個指標顯得更為重要。可以設想一下，當被測設備可以更快的處理連接請求，而且可以更快傳輸數據的話,網絡中的并發連接數就會傾向于偏小，從而設備壓力也會減小，用戶感受到的防火墻性能也就越好。Avalanche、IXLOAD以及BPS等測試工具都可以測試新建連接速率，幫助使用者搜索到被測設備能夠處理的峰值，測試原理基本都是相同的。

　　2. 模擬真實應用環境進行性能指標測試

　　如果能夠100%模擬用戶的實際應用環境對防火墻性能進行測試，那么防火墻選型這類活動將變得非常簡單，而且防火墻性能指標將變得更加有意義。但是模擬真實應用環境并不是簡單的事情。主要是因為用戶環境的復雜性和多變性導致真實環境的模擬幾乎不可能實現。這里討論的模擬真實應用環境測試，只是將用戶環境進行抽象，使得模擬環境在滿足測試條件的情況下最大限度的貼近真實應用環境。

　　1) 多應用協議吞吐量測試

　　前面提到goodput是衡量防火墻吞吐量的重要指標，基線測試中，一般采用HTTP協議作為應用層協議進行測試。而在實際應用環境中，應用層的流量并不是純粹的HTTP，還有其他協議。如果用HTTP協議代替其他應用層協議測試應用層吞吐量，顯然是不合適的。因此需要針對不同的應用場景，設計典型的應用層流量分布模型，按照不同的比例分配帶寬。如圖3所示，是一個典型的某場景應用帶寬分布。

　　圖3 典型應用帶寬分布

　　模擬多協議測試，需要測試工具支持模擬多協議流量混合功能，并且能夠做基于協議的測試結果分析。包括不同協議的吞吐量、轉發延遲等。在多協議模擬測試中，BPS支持豐富的應用層協議，并且具有良好的流量混合功能。

　　2) DDoS攻擊條件下的轉發性能測試

　　目前大部分防火墻常常遭到試圖闖入用戶網絡的黑客的攻擊。DDoS攻擊是黑客常用的攻擊手段，該攻擊使用虛假IP地址進行攻擊并且持續不斷的更換形式。因此在模擬真實環境的測試中，將DDoS攻擊作為測試輸入條件是很有必要的。