衡量防火墻性能的指標有哪些

• 吞吐量（Throughput）

吞吐量是衡量一款防火墻設備的最重要的指標，它是指防火墻設備在不丟包情況下每秒內處理數據包的最大能力。

設備吞吐量越高，所能提供給用戶使用的帶寬越大，就像木桶原理所描述的，網絡的最大吞吐取決于網絡中的最低吞吐量設備，足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。

吞吐量的計量單位有兩種方式：常見的就是帶寬計量，單位是Mbps（Megabits per second）或者Gbps（Gigabits per second），另外一種是數據包處理量計量，單位是pps（packets per second），兩種計量方式是可以相互換算的。在進行對一款設備進行吞吐性能測試時，通常會記錄一組從64字節（最小包）到1518字節（最大包）的測試數據，每一個測試結果均有相對應的pps數。我們會以最小包64字節為基準，也就是64字節的pps，基本上可以反映出設備處理數據包的最大能力，所以從64字節的這個數，基本上可以推算出系統最大能處理的吞吐量是多少。

• 時延（Latency）

時延是系統處理數據包所需要的時間（防火墻入口處輸入幀的最后1個比特到底出口輸出幀的第一個比特輸出所用的時間間隔）。防火墻時延測試指的就是計算它的存儲轉發（Store and Forward）時間，即從接收到數據包開始，處理完并轉發出去所用的全部時間。在一個網絡中，如果我們訪問某一臺服務器，通常不是直接到達，而是經過大量的路由交換設備。每經過一臺設備，就像我們在高速公路上經過收費站一樣都會耗費一定的時間，一旦在某一個點耗費的時間過長，就會對整個網絡的訪問造成影響。如果防火墻的延時很低，用戶就完全不會感覺到它的存在，提升了網絡訪問的效率。

• 新建連接速率（Maximum TCP Connection Establishment Rate）

新建連接速率指的是在每一秒以內防火墻所能夠處理的HTTP新建連連接請求的數量。用戶每打開一個網頁，訪問一個服務器，在防火墻看來會是1個甚至多個新建連接。而一臺設備的新建連接速率越高，就可以同時給更多的用戶提供網絡訪問。比如設備的新建連接速率是1萬，那么如果有1萬人同時上網，那么所有的請求都可以在一秒以內完成，如果有1萬1千人上網的話，那么前1萬人可以在第一秒內完成，后1千個請求需要在下一秒才能完成。所以，新建連接速率高的設備可以提供給更多人同時上網，提升用戶的網絡體驗。

• 并發連接數（Concurrent TCP Connection Capacity）

并發連接數就是指防火墻最大能夠同時處理的連接會話個數。并發連接數指的是防火墻設備最大能夠維護的連接數的數量，這個指標越大，在一段時間內所能夠允許同時上網的用戶數越多。隨著web應用復雜化以及P2P類程序的廣泛應用，每個用戶所產生的連接越來越多，甚至一個用戶的連接數就有可能上千，更嚴重的是如果用戶中了木馬或者蠕蟲病毒，更會產生上萬個連接。所以顯而易見，幾十萬的并發連接數已經不能夠滿足網絡的需求了，目前主流的防火墻都要求能夠達到幾十萬甚至上千萬的并發連接以滿足一定規模的用戶需求。

• 丟包率（Packet loss rate）

丟包率指在連續負載的情況下，防火墻設備由于資源不足導致應該轉發的幀沒有被轉發出去的百分比，防火墻的丟包率對其穩定性、可靠性有很大的影響。

丟包率用于確定防火墻在不同傳輸速率下丟失數據的百分數，目的在于說明防火墻在超負載情況下的性能，以特定的速率發送特定數量的數據包通過防火墻，然后計算出被防火墻轉發數據包的數量，對于在線交易的行業（金融、證券等），對數據傳輸的丟包率要求非常苛刻，丟包率會耽誤重要交易的及時進行，影響交易人對系統的信息以至于導致客戶的流失，因此丟包率丟對于銀行往來至關重要。

• 背對背（back to back）

背對背的技術指標結果體現出了防火墻的緩存容量，網絡上經常有一些應用程序會產生大量的突發數據包（如：備份數據、路由更新等），而且這樣的數據包丟失可能會產生更多的數據包丟失，所以強大的緩存能力可以減小這種突發對網絡造成的影響，所以背靠背指標體現出防火墻的數據緩存能力，即：防火墻設備承受突發數據的能力。

• 有效通過率（goodput）

根據RFC2647對防火墻測試的規范中定義一個重要的指標：防火墻真實有效通過率（goodput），因為防火墻在使用過程中，總會有數據包的丟失和重發，所以簡單測試防火墻的通過率是片面的，goodput從應用層測試防火墻的真實有效的傳輸數據包速率，即：防火墻端口的總轉發數據量減去丟書和重發的數據量。

回答所涉及的環境：聯想天逸510S、Windows 10。