趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
防火墻產品的主要參數有以下這些:
吞吐量 (Throughput):吞吐量是衡量一款防火墻或者路由交換設備的最重要的指標,它是指網絡設備在每一秒內處理數據包的最大能力。吞吐量意味這臺設備在每一秒以內所能夠處理的最大流量或者說每一秒內能處理的數據包個數。設備吞吐量越高,所能提供給用戶使用的帶寬越大,就像木桶原理所描述的,網絡的最大吞吐取決于網絡中的最低吞吐量設備,足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。舉一個形象的例子,一臺防火墻下面有 100 個用戶同時上網,每個用戶分配的是 10Mbps 的帶寬,那么這臺防火墻如果想要保證所有用戶全速的網絡體驗,必須要有至少 1Gbps 的吞吐量。吞吐量的計量單位有兩種方式:常見的就是帶寬計量,單位是 Mbps (Megabits per second) 或者 Gbps (Gigabits per second),另外一種是數據包處理量計量,單位是 pps (packets per second),兩種計量方式是可以相互換算的。在進行對一款設備進行吞吐性能測試時,通常會記錄一組從 64 字節到 1518 字節的測試數據,每一個測試結果均有相對應的 pps 數。64 字節的 pps 數最大,基本上可以反映出設備處理數據包的最大能力。所以從 64 字節的這個數,基本上可以推算出系統最大能處理的吞吐量是多少。
時延 (Latency):時延是系統處理數據包所需要的時間。防火墻時延測試指的就是計算它的存儲轉發 (Store and Forward) 時間,即從接收到數據包開始,處理完并轉發出去所用的全部時間。在一個網絡中,如果我們訪問某一臺服務器,通常不是直接到達,而是經過大量的路由交換設備。每經過一臺設備,就像我們在高速公路上經過收費站一樣都會耗費一定的時間,一旦在某一個點耗費的時間過長,就會對整個網絡的訪問造成影響。如果防火墻的延時很低,用戶就完全不會感覺到它的存在,提升了網絡訪問的效率。時延的單位通常是微秒,一臺高效率防火墻的時延通常會在一百微秒以內。時延通常是建立在測試完吞吐量的基礎上進行的測試。測試時延之前需要先測出每個包長下吞吐量的大小,然后使用每個包長的吞吐量結果的 90%-100% 作為時延測試的流量大小。一般時延的測試要求不能夠有任何的丟包。因為如果丟包,會造成時延非常大,結果不準確。我們測試一般使用最大吞吐量的 95% 或者 90% 進行測試。測試結果包括最大時延,最小時延,平均時延,一般記錄平均時延。
新建連接速率 (Maximum TCP Connection Establishment Rate):新建連接速率指的是在每一秒以內防火墻所能夠處理的 HTTP 新建連連接請求的數量。用戶每打開一個網頁,訪問一個服務器,在防火墻看來會是 1 個甚至多個新建連接。而一臺設備的新建連接速率越高,就可以同時給更多的用戶提供網絡訪問。比如設備的新建連接速率是 1 萬,那么如果有 1 萬人同時上網,那么所有的請求都可以在一秒以內完成,如果有 1 萬 1 千人上網的話,那么前 1 萬人可以在第一秒內完成,后 1 千個請求需要在下一秒才能完成。所以,新建連接速率高的設備可以提供給更多人同時上網,提升用戶的網絡體驗。新建連接速率雖然英文用的是 TCP,但是為了更接近實際用戶的情況,通常會采用 HTTP 來進行測試,測試結果以連接每秒 (connections per second) 作為單位。為什么針對防火墻要測試這個數據呢?因為我們知道防火墻是基于會話的機制來處理數據包的,每一個數據包經過防火墻都要有相應的會話來對應。會話的建立速度就是防火墻對于新建連接的處理速度。新建連接的測試采用 4-7 層測試儀來進行,模擬真實的用戶和服務器之間的 HTTP 教過過程:首先建立三次握手,然后用戶到 HTTP 服務器去 Get 一個頁面,最后采用三次握手或者四次握手關閉連接。測試儀通過持續地模擬每秒大量用戶連接去訪問服務器以測試防火墻的最大極限新建連接速率。
并發連接數 (Concurrent TCP Connection Capacity):并發連接數就是指防火墻最大能夠同時處理的連接會話個數。并發連接數指的是防火墻設備最大能夠維護的連接數的數量,這個指標越大,在一段時間內所能夠允許同時上網的用戶數越多。隨著 web 應用復雜化以及 P2P 類程序的廣泛應用,每個用戶所產生的連接越來越多,甚至一個用戶的連接數就有可能上千,更嚴重的是如果用戶中了木馬或者蠕蟲病毒,更會產生上萬個連接。所以顯而易見,幾十萬的并發連接數已經不能夠滿足網絡的需求了,目前主流的防火墻都要求能夠達到幾十萬甚至上千萬的并發連接以滿足一定規模的用戶需求。并發連接數雖然英文用的是 TCP,但是為了更接近實際用戶的情況,通常會采用 HTTP 來進行測試。它是個容量的單位,而不是速度。測試結果以連接 (connections) 作為單位。基本測試的方法和 HTTP 新建連接速率基本一致,主要的區別在于新建連接測試會立刻拆除建立的連接,而并發連接數測試不會拆除連接,所有已經建立的連接會保持住直到達到設備的極限。
推薦文章
