防火墻的性能測試方案

　　這個測試的目的是將DDoS攻擊作為流量的一部分通過防火墻，模擬現實網絡在DDoS攻擊條件下，被測試設備轉發性能的下降程度。其中DDoS流量對于正常流量的影響，可通過變化混合的流量比例來實現。測試步驟如下：

　　l 保持DDoS流量不變(例如DDoS流量占接口帶寬的5%)，改變多協議正常流量的比例關系，例如SMTP:FTP:HTTP:HTTPS以 45:15:30:10的比例混合，與DDoS攻擊流量經過防火墻轉發后，查看測試結果，查看轉發性能與沒有DDoS攻擊流量的情況下相比變化幅度是否滿足實際需求，同時也可以測試通過防火墻的傳輸延遲是否也保持在一個可接受的水平;

　　l 變化DDoS流量占接口帶寬的比例(例如從3%、5%到8%)，保持正常流量不變，測試轉發性能在不同DDoS攻擊強度下的變化情況，以及傳輸延遲在不同攻擊強度下的變化是否滿足實際應用需求;

　　l 兩者都變化的情況，即在修改DDoS流量的同時也修改正常流量的比例，記錄不同組合情況下的轉發性能與延遲狀況。

　　3) 在一定負載條件下的新建連接測試

　　新建連接體現了新用戶能否快速接入網絡。一般理想情況下測試新建連接速率的時候都是在打開一個連接后立即關閉，這種情況下測試出來的結果一般是比較好的。但是在實際應用場景中，情況并非如此，一般新建一個連接的時候會已經存在一定的連接，也就是在有一定負載(并發連接)的條件下測試新建連接速率。測試步驟為：

　　l 首先測試出基線新建速率，也就是在沒有負載條件下的理想新建速率;

　　l 逐步增加負載，可以按照基線并發的百分比設定負載值，例如20%，30%，50%，70%，90%等。但是在測試的時候需要注意，在一定負載條件下測試不要超過最大并發連接數，否則測試結果是不準確的;

　　l 測試中測試時間需要根據情況確定。如果采用打開/關閉TCP連接的方式，理想情況下在設備上看到的并發連接數應該是測試負載的大小，但是由于在一定負載條件下，設備處理連接關閉的速率會受到一定影響，導致并發隨著新建速率的增大而不斷增大，如果測試時間足夠長，并且處理速度較慢的話，可能導致并發連接數超過基線連接數限制。因此在一定負載條件下，需要測試足夠長的時間，如果新建連接總是成功的，那么說明該設備的性能比較好的。

　　結束語

　　防火墻在保障網絡安全的同時，必然會引入一定的網絡性能損耗。根據實際網絡環境選擇一款性能合適的防火墻對于用戶來說是至關重要的。本文從防火墻評估的角度介紹了防火墻基線性能測試和模擬實際環境性能測試的一般方法。在實際防火墻評估中，還應該根據實際應用場景，最大限度的提取應用的關鍵流量特征，并對流量特征進行抽象建模，利用測試儀器對流量進行模擬，從而得到與實際應用較符合的性能指標。