防火墙的性能测试

1、防火墙的性能测试包括以下内容：吞吐量( Throughput )( RFC2544)丢包率( FrameLossRate)( RFC2544 )延迟( Latency )( RFC2544)最大并发连接数( ConcurrentSessions)( RFC2647)每秒新连接的建立能力( NewSessions)( RFC2647)1) 吞吐量测试防火墙在各种帧长的满负载( 100M 或 1000M )双向( BidirectionalTraffic )UDP 数据包 情况下的稳定性表现。 这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最 大数据传输速率， 是测试防火墙在正常工作时

2、的数据传输处理能力， 是其它指标的基础。 它 反映的是防火墙的数据包转发能力。 因为数据流中一帧的丢失会导致由于高层协议等待超时 而产生重大延迟， 所以知道防火墙实际的最大数据传输速率是非常有用的。 同时该项指标还 能用于判断防火墙设备在超过自身负载的情况下稳定性问题。这项测试与防火墙本身的 CPU 速率、 DRAM 内存的大小等基本配置有着直接的关系。测试单位：fps (framepersecond),每秒钟传输的帧个数。【测试条件】测试仪配置100M 速率,单工( 100Mbit/shalf-duplex )；1000M 速率,单工( 1000Mbit/shalf-duplex )；单向(

3、 UnidirectionalTraffic ) /双向( BidirectionalTraffic ) 、 IXIA 或 Smatbit 生成的数据 流, UDP 数据包；测试 Trial 数： 2；测试时长： 120 秒；允许的丢包率( LossTolerance)： 0( Zero-loss)；测试帧长( FrameSize)：64、 128、 256、 512、 1518bytes。【测试项目】1. 防火墙在 1 条规则情况下关闭 NAT 时的各种帧长的数据包转发能力(双向) 。2. 防火墙在 1 条规则情况下打开 NAT 时的各种帧长的数据包转发能力(单向) 。3. 防火墙在 100

4、 条规则情况下各种帧长的数据包转发能力(双向) 。2) 丢包率这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数， 目的在于测试防火墙 在超负载情况下的性能。以特定速率发送特定数量的数据包通过防火墙，然后计算被防火墙转发的数据包数量。 丢包率用以下公式计算：(input_count-output_count)*100%)/input_count测试单位：被丢弃的帧占所有应转发的帧的百分比【测试条件】100M 速率，单工( 100Mbit/sHalf-duplex )；1000M 速率，单工( 1000Mbit/sHalf-duplex )；双向( BidirectionalTraffic

5、 )、 IXIA 或 Smatbit 生成的数据流， UDP 数据包；测试 Trial 数： 2；测试时长： 120 秒；测试帧长( FrameSize)：64、 128、 256、 512、 1518bytes【测试项目】防火墙在 1 条规则情况下各种帧长的数据包转发能力下的丢包率3) 延迟这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始至测试数 据包的第一个比特从被测设备另一端口离开的时间间隔。 它的表现也同样取决于防火墙的基 本配置。首先确定在各种帧大小 (同上) 下防火墙的吞吐量， 然后以指定帧大小发送数据流穿过 防火墙到指定的目标地址。测试单位： ns( 10-9

6、秒)。【测试条件】测试仪配置£ 100M 速率，全双工(100Mbit/sFull-duplex );£ 1000M 速率，全双工(1OOOMbit/sFull-duplex );单向(UnidirectionalTraffic ) /双向( BidirectionalTraffic )；适用于 NAT 测试、 IXIA 或 Smatbit 生成的数据流， UDP 数据包；测试 Trial 数： 2；测试时长： 120 秒；允许的丢包率（ LossTolerance）： 0（ Zero-loss）；测试帧长（ FrameSize）：64、 128、 256、 512、 15

7、18bytes。【测试项目】1. 防火墙在 1 条规则情况下关闭 NAT 时的数据包转发（通过）能力情况下的各种帧长 的延迟（双向）2. 防火墙在 1 条规则情况下打开 NAT 时的数据包转发（通过）能力情况下的各种帧长 的延迟（单向）3. 防火墙在 100 条规则情况下吞吐量为极限吞吐量双向工作情况下各种帧长的相应延迟4. 防火墙在吞吐量为 20M 全双工情况下各个帧长情况下的延迟4）防火墙在有一定背景流量下支持的连接数测试【测试目的】测试目的在于得出一定流量下防火墙所能顺利建立和保持的并发连接数及一定数量的 连接情况下防火墙的吞吐量变化。【测试条件】测试仪配置£ 1000M 速率

8、，全双工(1000Mbit/sFull-duplex );双向( BidirectionalTraffic )、IXIA 或 Smatbit 生成的数据流， UDP 数据包；连接数的生成可以使用 IXIA 或 Smatbit测试 Trial 数： 2；允许的丢包率( LossTolerance)：0( Zero-loss) ；测试帧长( FrameSize)：64、512、1518bytes。流量分别设置为一对 100Mbps 以太网接口全双工线速转发；两对 100Mbps 以太网接口全双工线速转发；连接数设置为每秒建立 2000 个连接保持 200000 个会话连接【测试项目】防火墙在 1

9、条规则情况下，保持一定数量的会话连接时的数据包转发(通过)能力5) 防火墙支持的连接数测试【测试目的】在此项测试中，分别测试防火墙的每秒所能建立起的 TCP/HTTP 连接数及防火墙所能 保持的最大 TCP/HTTP 连接数。测试在 1 条安全规则下打开和关闭 NAT (静态)对 TCP 连 接的新建能力和保持能力。测试条件】测试仪配置£ 100M 速率，全双工(100Mbit/sFull-duplex );£ 1000M 速率，全双工(1OOOMbit/sFull-duplex );双向( BidirectionalTraffic ) 、IXIA 或 Smatbit 生成

10、的 HTTP 数据流；每个端口设置发送 10000 个，使用交换机连接1 2 个端口为一组。连接数的生成可以使用 IXIA 或 Smatbit。测试 Trial 数： 2；【测试项目】1. 防火墙在一条规则情况下每秒TCP 新连接的建立能力。2. 防火墙在一条规则情况下对TCP 连接的保持能力。6) 背靠背缓存能力【测试目的】背靠背是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。 该指标用于测 试防火墙的数据缓存能力 ,描述了网络设备承受突发数据的能力， 即对突发数据的缓冲能力。【测试条件】测试仪配置£ 1000M 速率，全双工( 1000Mbit/sFull-duplex

11、 )；£ 100M 速率，全双工( 100Mbit/sFull-duplex )；双向( BidirectionalTraffic )、 IXIA 或 Smatbit 生成的数据流， UDP 数据包；连接数的生成可以使用 IXIA 或 Smatbit。【测试项目】以最小帧间隔发送一定数量 (测试时间尽可能长， 一般选择 120s，40M )的突发帧至被 测设备的输入口， 记录被测设备正确转发的帧数， 如果全部正确转发， 增加发送帧数再测试， 否则减少发送帧数再测试，直到找到极限值。此项性能与帧长度可能有关，所以需对不同帧长度的数据流分别测试。7) 有效通过率根据 RFC2647 对防火墙测试的规范中定义的一个重要的指标： goodput( 防火墙的真实有 效通过率 )因