- 防火墻性能描述指標(biāo)
- 并發(fā)連接數(shù)的測(cè)試
- 吞吐量評(píng)估
- 連接數(shù)評(píng)估
防火墻性能描述指標(biāo)
衡量防火墻的性能指標(biāo)主要包括吞吐量、報(bào)文轉(zhuǎn)發(fā)率、最大并發(fā)連接數(shù)、每秒新建連接數(shù)、轉(zhuǎn)發(fā)時(shí)延、抖動(dòng)等。
圖1防火墻主要性能指標(biāo)
防火墻吞吐量是指在沒(méi)有幀丟失的情況下,設(shè)備能夠接受的最大速率。其測(cè)試方法是:在測(cè)試中以一定速率發(fā)送一定數(shù)量的幀,并計(jì)算待測(cè)設(shè)備傳輸?shù)膸?,如果發(fā)送的幀與接收的幀數(shù)量相等,那么就將發(fā)送速率提高并重新測(cè)試;如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測(cè)試,直至滿足沒(méi)有幀丟失時(shí)的最大發(fā)送速率,得出最終結(jié)果。吞吐量測(cè)試結(jié)果以比特/秒或字節(jié)/秒表示。
防火墻TCP并發(fā)連接數(shù)是指穿過(guò)被測(cè)設(shè)備的主機(jī)之間或主機(jī)與被測(cè)設(shè)備之間能夠同時(shí)維持的最大TCP聯(lián)接總數(shù)。防火墻TCP并發(fā)連接數(shù)的測(cè)試采用一種反復(fù)搜索機(jī)制進(jìn)行,在每次反復(fù)過(guò)程中,以低于被測(cè)設(shè)備所能承受的連接速率發(fā)送不同數(shù)量的并發(fā)連接,直至得出被測(cè)設(shè)備的最大TCP并發(fā)連接數(shù)。
防火墻最大TCP連接建立速率是指在被測(cè)設(shè)備能夠成功建立所有請(qǐng)求連接的條件下,所能承受的最大TCP連接建立速度。其測(cè)試采用反復(fù)搜索過(guò)程,每次反復(fù)過(guò)程中,以低于被測(cè)設(shè)備所能承受的最大并發(fā)連接數(shù)發(fā)起速率不同的TCP連接請(qǐng)求,直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數(shù)/秒表示。
防火墻性能測(cè)試方法
對(duì)一款防火墻產(chǎn)品進(jìn)行性能評(píng)估,分為兩個(gè)步驟。首先要進(jìn)行防火墻基線性能測(cè)試,其次是進(jìn)行模擬實(shí)際應(yīng)用環(huán)境下的性能測(cè)試。
基線性能是防火墻在理想狀態(tài)下表現(xiàn)出來(lái)的性能指標(biāo),具有測(cè)試結(jié)果比較穩(wěn)定、流量模型可控的優(yōu)點(diǎn)。但是在實(shí)際應(yīng)用中,往往達(dá)不到防火墻產(chǎn)品實(shí)際標(biāo)稱的基線性能。原因是實(shí)際應(yīng)用中經(jīng)過(guò)防火墻的流量要比測(cè)試基線性能時(shí)的流量復(fù)雜得多,因此評(píng)估防火墻性能時(shí),不僅需要對(duì)基線性能進(jìn)行評(píng)估,更重要的是模擬實(shí)際應(yīng)用環(huán)境進(jìn)行評(píng)估。
基線性能指標(biāo)測(cè)試
1)吞吐量評(píng)估
防火墻的吞吐量實(shí)際上是一個(gè)靜態(tài)指標(biāo),反映在理想情況下設(shè)備的轉(zhuǎn)發(fā)能力。在實(shí)際應(yīng)用中吞吐量這個(gè)指標(biāo)一般是達(dá)不到的,而且對(duì)于用戶而言,實(shí)際感受到的是他的應(yīng)用處理能力,因此單純的吞吐量指標(biāo)不能說(shuō)明防火墻的轉(zhuǎn)發(fā)性能。
一般情況下,防火墻的轉(zhuǎn)發(fā)性能可以用throughput和goodput兩個(gè)指標(biāo)來(lái)衡量。而對(duì)于防火墻設(shè)備來(lái)說(shuō),goodput這個(gè)指標(biāo)比throughput更具有實(shí)際意義。因此在測(cè)試防火墻吞吐量時(shí),更多采用goodput指標(biāo)。
goodput有時(shí)候也叫應(yīng)用層的吞吐量。在一定連接新建和并發(fā)的情況下,單個(gè)報(bào)文的應(yīng)用層數(shù)據(jù)承載量很大程度決定了應(yīng)用層報(bào)文轉(zhuǎn)發(fā)的能力。所以測(cè)試防火墻轉(zhuǎn)發(fā)性能時(shí),需要明確測(cè)試載荷的大小。為了測(cè)試得到較全面的吞吐量性能數(shù)據(jù),需要測(cè)試在不同載荷大小情況下的轉(zhuǎn)發(fā)性能。
在進(jìn)行吞吐量基線測(cè)試中,一般以HTTP作為應(yīng)用層協(xié)議,為了得到最理想的測(cè)試效果,通過(guò)會(huì)選擇HTTP1.1,每個(gè)TCP連接處理盡量多的HTTP事務(wù)(transacTIon),并且將HTTP載荷設(shè)置較大。圖2是使用IxLoad設(shè)置的例子。
圖2IxLoad設(shè)置
2)連接數(shù)評(píng)估
連接在狀態(tài)防火墻中是一個(gè)很重要的概念,與連接相關(guān)的性能指標(biāo)對(duì)評(píng)估防火墻非常重要。這些指標(biāo)包括并發(fā)連接數(shù)、新建連接速率。
并發(fā)連接數(shù)的測(cè)試
并發(fā)連接是一個(gè)很重要的指標(biāo),它主要反映了被測(cè)設(shè)備維持多個(gè)會(huì)話的能力。關(guān)于此指標(biāo)的爭(zhēng)論也有很多。一般來(lái)說(shuō),它是和測(cè)試條件緊密聯(lián)系的,但是這方面的考慮有時(shí)會(huì)被人們忽略。比如,測(cè)試時(shí)采用的傳輸文件大小就會(huì)對(duì)測(cè)試結(jié)果有影響。例如,如果在傳輸中應(yīng)用層流量很大的話,被測(cè)設(shè)備將會(huì)占用很大的系統(tǒng)資源去處理包檢查,導(dǎo)致無(wú)法處理新請(qǐng)求的連接,引起測(cè)試結(jié)果偏??;反之測(cè)試結(jié)果會(huì)大一些。所以沒(méi)有測(cè)試條件而只談并發(fā)連接數(shù)是難以定斷的。從宏觀上來(lái)看,這個(gè)測(cè)試的最終目的是比較不同設(shè)備的“資源”,也就是說(shuō)處理器資源和存儲(chǔ)資源的綜合表現(xiàn)。