防火墙的性能测试方案设计

发布者:omicron25最新更新时间:2012-12-03 来源: 21IC 关键字:防火墙  网络安全  DDoS 手机看文章 扫描二维码
随时随地手机看文章

随着信息安全要求越来越高,防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发,而是进行报文检测和访问控制,防火墙的存在必然会对安全用户正常使用网络带来一定影响。因此在满足安全功能的前提下,选择一款高性能、满足网络要求、符合预算的产品是非常重要的。

防火墙性能描述指标

衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动等。

 


图1 防火墙主要性能指标

l 防火墙吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至满足没有帧丢失时的最大发送速率,得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

l 防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP联接总数。防火墙TCP并发连接数的测试采用一种反复搜索机制进行,在每次反复过程中,以低于被测设备所能承受的连接速率发送不同数量的并发连接,直至得出被测设备的最大TCP并发连接数。

l 防火墙最大TCP连接建立速率是指在被测设备能够成功建立所有请求连接的条件下,所能承受的最大TCP连接建立速度。其测试采用反复搜索过程,每次反复过程中,以低于被测设备所能承受的最大并发连接数发起速率不同的TCP连接请求,直到得到所有连接被成功建立的最大速率。最大TCP连接建立速率以连接数/ 秒表示。

防火墙性能测试方法

对一款防火墙产品进行性能评估,分为两个步骤。首先要进行防火墙基线性能测试,其次是进行模拟实际应用环境下的性能测试。

基线性能是防火墙在理想状态下表现出来的性能指标,具有测试结果比较稳定、流量模型可控的优点。但是在实际应用中,往往达不到防火墙产品实际标称的基线性能。原因是实际应用中经过防火墙的流量要比测试基线性能时的流量复杂得多,因此评估防火墙性能时,不仅需要对基线性能进行评估,更重要的是模拟实际应用环境进行评估。

1. 基线性能指标测试

1) 吞吐量评估

防火墙的吞吐量实际上是一个静态指标,反映在理想情况下设备的转发能力。在实际应用中吞吐量这个指标一般是达不到的,而且对于用户而言,实际感受到的是他的应用处理能力,因此单纯的吞吐量指标不能说明防火墙的转发性能。[page]

一般情况下,防火墙的转发性能可以用throughput和goodput两个指标来衡量。而对于防火墙设备来说,goodput这个指标比throughput更具有实际意义。因此在测试防火墙吞吐量时,更多采用goodput指标。

goodput 有时候也叫应用层的吞吐量。在一定连接新建和并发的情况下,单个报文的应用层数据承载量很大程度决定了应用层报文转发的能力。所以测试防火墙转发性能时,需要明确测试载荷的大小。为了测试得到较全面的吞吐量性能数据,需要测试在不同载荷大小情况下的转发性能。

在进行吞吐量基线测试中,一般以HTTP作为应用层协议,为了得到最理想的测试效果,通过会选择HTTP1.1,每个TCP连接处理尽量多的HTTP事务(transacTIon),并且将HTTP载荷设置较大。图2是使用IxLoad设置的例子。

 


图2 IxLoad设置

2) 连接数评估

连接在状态防火墙中是一个很重要的概念,与连接相关的性能指标对评估防火墙非常重要。这些指标包括并发连接数、新建连接速率。

l 并发连接数的测试

并发连接是一个很重要的指标,它主要反映了被测设备维持多个会话的能力。关于此指标的争论也有很多。一般来说,它是和测试条件紧密联系的,但是这方面的考虑有时会被人们忽略。比如,测试时采用的传输文件大小就会对测试结果有影响。例如,如果在传输中应用层流量很大的话, 被测设备将会占用很大的系统资源去处理包检查,导致无法处理新请求的连接,引起测试结果偏小;反之测试结果会大一些。所以没有测试条件而只谈并发连接数是难以定断的。从宏观上来看,这个测试的最终目的是比较不同设备的“资源”,也就是说处理器资源和存储资源的综合表现。

目前市场上出现了大家盲目攀比并发连接数的情况。事实上,并发几十万的连接数应该完全可以满足一个电信级数据中心的网络服务需求了,对于一般的企业来讲, 甚至几千个并发连接数还绰绰有余。并发连接总数能由仪表自动测试得出结果,减少了测试所用的时间和人力,这类仪表目前很多,常见的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。

l 新建连接速率

这个指标主要体现了被测设备对于连接请求的实时反应能力。对于中小用户来讲,这个指标显得更为重要。可以设想一下,当被测设备可以更快的处理连接请求,而且可以更快传输数据的话,网络中的并发连接数就会倾向于偏小,从而设备压力也会减小,用户感受到的防火墙性能也就越好。Avalanche、IXLOAD以及BPS等测试工具都可以测试新建连接速率,帮助使用者搜索到被测设备能够处理的峰值,测试原理基本都是相同的。

2. 模拟真实应用环境进行性能指标测试

如果能够100%模拟用户的实际应用环境对防火墙性能进行测试,那么防火墙选型这类活动将变得非常简单,而且防火墙性能指标将变得更加有意义。但是模拟真实应用环境并不是简单的事情。主要是因为用户环境的复杂性和多变性导致真实环境的模拟几乎不可能实现。这里讨论的模拟真实应用环境测试,只是将用户环境进行抽象,使得模拟环境在满足测试条件的情况下最大限度的贴近真实应用环境。[page]

1) 多应用协议吞吐量测试

前面提到goodput是衡量防火墙吞吐量的重要指标,基线测试中,一般采用HTTP协议作为应用层协议进行测试。而在实际应用环境中,应用层的流量并不是纯粹的HTTP,还有其他协议。如果用HTTP协议代替其他应用层协议测试应用层吞吐量,显然是不合适的。因此需要针对不同的应用场景,设计典型的应用层流量分布模型,按照不同的比例分配带宽。如图3所示,是一个典型的某场景应用带宽分布。

 


图3 典型应用带宽分布

模拟多协议测试,需要测试工具支持模拟多协议流量混合功能,并且能够做基于协议的测试结果分析。包括不同协议的吞吐量、转发延迟等。在多协议模拟测试中,BPS支持丰富的应用层协议,并且具有良好的流量混合功能。

2) DDoS攻击条件下的转发性能测试

目前大部分防火墙常常遭到试图闯入用户网络的黑客的攻击。DDoS攻击是黑客常用的攻击手段,该攻击使用虚假IP地址进行攻击并且持续不断的更换形式。因此在模拟真实环境的测试中,将DDoS攻击作为测试输入条件是很有必要的。

这个测试的目的是将DDoS攻击作为流量的一部分通过防火墙,模拟现实网络在DDoS攻击条件下,被测试设备转发性能的下降程度。其中DDoS流量对于正常流量的影响,可通过变化混合的流量比例来实现。测试步骤如下:

l 保持DDoS流量不变(例如DDoS流量占接口带宽的5%),改变多协议正常流量的比例关系,例如SMTP:FTP:HTTP:HTTPS以 45:15:30:10的比例混合,与DDoS攻击流量经过防火墙转发后,查看测试结果,查看转发性能与没有DDoS攻击流量的情况下相比变化幅度是否满足实际需求,同时也可以测试通过防火墙的传输延迟是否也保持在一个可接受的水平;

l 变化DDoS流量占接口带宽的比例(例如从3%、5%到8%),保持正常流量不变,测试转发性能在不同DDoS攻击强度下的变化情况,以及传输延迟在不同攻击强度下的变化是否满足实际应用需求;

l 两者都变化的情况,即在修改DDoS流量的同时也修改正常流量的比例,记录不同组合情况下的转发性能与延迟状况。

3) 在一定负载条件下的新建连接测试

新建连接体现了新用户能否快速接入网络。一般理想情况下测试新建连接速率的时候都是在打开一个连接后立即关闭,这种情况下测试出来的结果一般是比较好的。但是在实际应用场景中,情况并非如此,一般新建一个连接的时候会已经存在一定的连接,也就是在有一定负载(并发连接)的条件下测试新建连接速率。测试步骤为:

l 首先测试出基线新建速率,也就是在没有负载条件下的理想新建速率;

l 逐步增加负载,可以按照基线并发的百分比设定负载值,例如20%,30%,50%,70%,90%等。但是在测试的时候需要注意,在一定负载条件下测试不要超过最大并发连接数,否则测试结果是不准确的;

l 测试中测试时间需要根据情况确定。如果采用打开/关闭TCP连接的方式,理想情况下在设备上看到的并发连接数应该是测试负载的大小,但是由于在一定负载条件下,设备处理连接关闭的速率会受到一定影响,导致并发随着新建速率的增大而不断增大,如果测试时间足够长,并且处理速度较慢的话,可能导致并发连接数超过基线连接数限制。因此在一定负载条件下,需要测试足够长的时间,如果新建连接总是成功的,那么说明该设备的性能比较好的。

结束语

防火墙在保障网络安全的同时,必然会引入一定的网络性能损耗。根据实际网络环境选择一款性能合适的防火墙对于用户来说是至关重要的。本文从防火墙评估的角度介绍了防火墙基线性能测试和模拟实际环境性能测试的一般方法。在实际防火墙评估中,还应该根据实际应用场景,最大限度的提取应用的关键流量特征,并对流量特征进行抽象建模,利用测试仪器对流量进行模拟,从而得到与实际应用较符合的性能指标。

关键字:防火墙  网络安全  DDoS 引用地址:防火墙的性能测试方案设计

上一篇:一种高可靠性的频率测量系统
下一篇:接触电阻的多种测量方法

推荐阅读最新更新时间:2024-03-30 22:32

英飞凌OPTIGA™ Trust M安全芯片率先获得新加坡网络安全局CLS-Ready认证
【2022年8月9日,德国慕尼黑讯】 英飞凌科技股份公司的OPTIGA™ Trust M安全芯片成为首个获得新加坡网络安全局(CSA)CLS-Ready认证的安全平台。 随着物联网设备数量的增加,网络攻击事件的数量也在上升。但物联网(IoT)和智联网(IoTT)设备的安全问题却经常被忽视,人们往往是在黑客设法破坏了设备之后才意识到问题的严重性,但为时已晚。为了应对日益增长的网络安全威胁,新加坡网络安全局(CSA)在2020年启动了网络安全标签计划(CLS)。 OPTIGA™ Trust M安全芯片 CLS根据消费级物联网设备抵御网络攻击的能力对其进行评级,总共划分为四个安全等级。该标签让终端用户能够清楚地看到设备的安全
[物联网]
英飞凌OPTIGA™ Trust M安全芯片率先获得新加坡<font color='red'>网络安全</font>局CLS-Ready认证
大众成立网络安全合资公司,应对联网汽车安全挑战
大众将会拥有新合资公司 40% 的股份,新公司名为 CyMotive,目前尚不清楚大众的具体投资金额。 问一下曾经点击过电子邮件里病毒链接的人,你就会知道网络安全是多么重要的一件事。而当你驾驶一辆互联汽车的时候网络安全变得尤为重要,因为这关系到你的人身安全。随着互联汽车时代的到来,大众通过成立安全合资公司的方式来保护联网汽车的安全。 据  Detroit Bureau  报道,大众和前以色列情报局主管 Yuval Diskin 成立了一家合资公司,目标是下一代的互联汽车的网络安全保护。大众将会拥有新合资公司 40% 的股份,新公司名为 CyMotive,目前尚不清楚大众的具体投资金额。 前以色列情报局主管 Yuval
[汽车电子]
UltraSoC的Bus Sentinel硬件网络安全硅知识产权(IP)荣获安全技术奖项
UltraSoC 在不久前于德国慕尼黑举办的Embedded World 2020大会上,荣获了由行业门户Embedded Computing颁发的安全产品类别的最佳展示奖。此项“安全类别的最佳展示奖”特别颁发给了 UltraSoC 的基于硬件的网络安全产品 Bus Sentine l,以表彰该解决方案能够通过监测、检测和防御攻击的扩散,从而保护各种消费类设备。 继推出 Bus Sentine l解决方案之后, UltraSoC 还在Embedded World 2020上发布了其第二款网络安全硬件产品——CAN Sentinel。作为一种专为汽车行业提高网络安全性的解决方案,CAN Sentinel为所有现代车辆中使用的CA
[汽车电子]
人工智能发展的背后 网络安全该如何保障?
随着万物互联时代的来临,互联网以“开放”“包容”的姿态接纳各类型设备的接入,在带来更加便捷生活的同时,各类意想不到的网络安全隐患便悄悄的潜伏在我们周围。进入2017年,WannaCry 病毒与Petya 病毒席卷全球,在短短几小时内袭击100多个国家和组织机构,对于人们的心理、财产和隐私信息产生了严重影响。 如今,网络安全的边界愈发模糊,如何利用人工智能更好地结合与提升网络安全产业将会成为行业领域的研究热点。未来十几年,人工智能将无处不在,其强大的计算能力、深度学习的能力与“天生自带”的自动化属性相结合,将为人工智能装上前进的发动机,在不断完善解决问题的同时,也在不断与更多的领域相结合。 值得关注的是,由于网络病毒数量与类型的逐
[安防电子]
聊一聊自动驾驶中的网络安全
在《速度与激情8》中有这么一个片段,黑客找到汽车芯片漏洞,将停在路边及车库的汽车进行控制,驾驶员无论如何操作,都无法对车辆进行控制,所有的汽车都听从黑客命令“自动驾驶”。在第一次看到这个片段时,无比震惊,虽然是经过艺术渲染后的效果,但不禁会思考,这个场景在现实生活中真的会出现吗? 6月22日,上海嘉定创新港蔚来汽车冲出总部大楼,据蔚来汽车官方回应,这是一起(非车辆原因导致的)意外事故(蔚来汽车冲出上海总部大楼,2名试车员身亡)。但看到这个事件的相关报道后,感觉这与《速度与激情8》中的场景有些类似,自动驾驶普及后,真的会出现诸如《速度与激情8》中的场景吗? 自动驾驶汽车主要是通过加装的激光雷达、毫米波雷达、车载摄像头等硬件来
[嵌入式]
聊一聊自动驾驶中的<font color='red'>网络安全</font>
人类或将依靠人工智能加强网络安全保护
AI将成为网络安全防御神器    北京时间11月24日消息,据外媒报道,随着互联网的普及,人们的财产也在迅速数字化(私人照片、客户敏感数据、知识产权等),这时如何保护它们就成了企业和个人的重要一课。    虽然每年都有数十亿美元的资金投入该领域,但网络攻击事件仍然层出不穷,黑客借此也大发横财。不过,AI的出现可帮了大忙,它可以让安全厂商、企业以及我们个人在应对网络袭击中占据上风。下面,我们就来共同盘点眼下AI网络安全创新的六大关键领域。 侦测并阻止黑客入侵物联网设备 据思科预测,到2020年全球联网设备数量将从今天的150亿部上升到500亿部。可是,由于受到软硬件资源限制,许多
[安防电子]
南方电网召开网络安全和数字南网建设会议
4月29日,南方电网公司召开网络安全和数字南网建设领导小组会议,研究审议《公司数字化转型和数字电网建设行动方案(2020版)》和公司网络安全相关工作方案,部署下一阶段工作任务。公司董事长、党组书记、网络安全和数字南网建设领导小组组长孟振平主持会议并讲话,公司董事、总经理、党组副书记、网络安全和数字南网建设领导小组副组长曹志安出席会议。公司领导班子成员出席会议。 孟振平强调,加快推进公司数字化转型和数字电网建设是贯彻落实习近平总书记重要讲话精神和党中央决策部署的必然要求。在抗击新冠肺炎疫情的战役中,数字科技发挥了重要作用,数字经济新模式层出不穷。党中央、国务院在多个会议上对加快“新型基础设施建设”提出了要求、作出了部署。要准确
[新能源]
GuardKnox、科络达为汽车OEM提供OTA和网络安全解决方案
GuardKnox为下一代移动出行提供高性能安全解决方案的技术公司,科络达是全球一站式整车OTA升级和远程诊断解决方案提供商。今天科络达、GuardKnox正式宣布战略合作,为汽车制造商提供无缝的OTA更新和点对点通信安全解决方案 。 集成GuardKnox确定性车载网络安全的通信锁定方案,科络达将赋能车企OEM客户为下一代安全、互联和自动驾驶汽车保驾护航。 随着下一代移动技术的成熟,OTA 升级成为让汽车OEM 车辆软件和固件更新更有效率、更无缝的必要技术。借助科络达OTA升级,OEM 可以远程提供新的功能、增强性能和安全补丁,以提升驾驶体验和车辆安全。此外,科络达差分技术获得国家发明专利,可将更新包大幅减少高达95%,缩短
[汽车电子]
小广播
添点儿料...
无论热点新闻、行业分析、技术干货……
最新测试测量文章
换一换 更多 相关热搜器件
电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved