| 1 吞吐量测试 这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。 更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。 2 延迟测试 延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。 延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。 所有帧长的延迟测试在50%和100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转发延迟(一条规则,2个GE口,双向2Gbps流量,分别在50%和100%吞吐率下测试) 3 丢包率测试 丢包率测试用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。 对于金融、证券、电子商务等涉及在线交易的行业,对数据传输的丢包率要求非常苛刻,即便系统结构内部存在纠错、校对机制,但大量的丢包率会导致频繁的roll-back动作,耽误重要交易的及时进行, 影响交易人对系统的信心以至于导致客户的流失。因此丢包率指标对于银行系统网络至关重要。 对于64~1518 byte的帧长,分别采用40%、70%、100%线速进行测试。单机丢包率(一条规则,2个GE口,双向2Gbps流量,分别在40%,70%和100%线速下的丢包率) 4 并发连接测试 本项测试用于测试防火墙能建立的TCP并发连接数的最大值 问答:1、我们测试或者选择一个防火墙最主要因素是: 吞吐量(其他项目的以后谈) 吞吐量的决定了一个防火墙的级别。。 64字节小包的线速问题实际是这样的: 标准的以太网帧尺寸在64字节到1518字节之间。 由于大多数网络设备和安全设备只是对以太网帧的帧头和IP报头等进行分析和处理,相同传送速度时单位时间内要处理小尺寸帧的数量比大尺寸帧的数量更多,在衡量这些设备的包转发能力时应当采用最小尺寸的包进行评价。以太网支持最小尺寸的帧大小为64个字节。因此,一个百兆以太网端口理论上最多要处理100Mbits / (84bytes*8bit/byte) = 0.1488Mpps。 所以,考察一个设备的性能,一般都要考察64字节小包在设备中的处理性能。也就是说,对于64字节的小包,如果一个100M的端口想要达到线速处理的话,其处理引擎每秒钟必须处理0.1488M个数据包,如果能满足这个技术指标,则说明这个防火墙的端口是线速的。处理过程不会发生丢包,延迟等现象。 所以,对于防火墙等安全设备,由于其工作原理是必须串接在网络中,因此,当我们对网络带宽的要求比较高时,必须选择线速指标比较高的产品,这样,在实际运用当中才不会发生拥塞等现象。 但是,目前很多厂商所宣称的性能指标都很高,实际运用中是否能够达到这么高的指标还需要仔细的考察,最好是能够实际测试一下。因为,某些厂商所提供的测试指标是在没有加载任何ACL规则的情况下测出来的,而实际应用中我们需要在防火墙上设置规则。 最好还是能够实际的测试一下。补充一句: 有些特殊地点:对小包通过率要求的非常非常高! 如:电信的DNS服务器。 客户DNS的请求、响应数据报文都是64字节,DNS域名解析对广大的互联网用户来讲是很重要的网络功能 再如:发生病毒攻击时(典型的要数 sql 蠕虫) 几乎全是小包导致防火墙性能急剧下降,严重则导致瘫痪。当然,我说的都是极端情况。 2、说实在地!64字节其实没有太多太多现实的作用,主要用来在厂家之间比拼性能参数。Internet上的本文平均包长大约在200多字节,所以200多字节时能做到线速(百分百通过),就一般就没有问题了。也不能光说不练,下面这一些测试,是我通过Smartbit6000B 跑出来的。 在这里,我不题这两款产品的具体厂家和型号,只为大家做学习和参考. 3、防火墙的硬件结构,对防火墙的性能起非常决定性的因素.X86 , NP , ASCI 架构不同,速度也不相同 .国内的产品,早期多半是OEM国外的品牌,最近两年,大家才有了自己的东西.而过外,有代表性的,走ASCI路线的最典型的是:netscreen、坚持走X86的,有Nokia..等等..(纠正楼主一个小小的错误.坚持走X86的,有Nokia..等等 Nokia不作防火墙的,它提供的只是一个安全平台,这个所谓的安全平台就是一个X86的PC server +BSD,防火墙是用的CheckPoint.) 4、并发连接数仅仅和内存有关。和性能没有太大关系(对于ASIC架构),主 要还是看 新建连接数..这个指标比较更重要. 防火墙这个是一项技术,而相对安全才是一个最终目标!安全方面―三分技术,七分管理.管理要不跟的上,再好的设备也没有用。 5、UTM是这个概念现在似乎越来越火,统一威胁管理,名声够大,代表产品,fortigate,sonicwall.以及现在CISCO也推出了ASA UTM设备。但个人感觉,UTM设备似乎只能适应于中小企业的应用,在ISP或骨干网上,似乎作用不大,其稳定性还得经过市场来检验。 至于国内的产品,绝大多数都是OEM国外产品,包括以前的联想防火墙,现在叫什么网御神州,好象听说是O韩国的一个名气不错的产品,其它的像易尚,启明星辰等等厂商,也不过是改改LOG而已,似乎国人也太急功近利了,防火墙市场被打开,大家一哄而上,一下出现成百上千的防火墙厂商。不过,市场到一定的程度下,就会进行重新洗牌,到时候也只能是适者生存了。 6、这位老兄,看来你要么真的什么都不懂,要么就是哪家公司的枪手,我来告诉你防火墙公司的一些基本情况: 天融信:自主产品,NGFW1000和NGFW2000是天融信自己开发的,但由于当年技术水平有限,所以NGFW3000是委托华中理工大学开发的,主要目的是在NGFW4000没有开发成功并且上市前,填补2000功能不做所带来的市场空白。05年,天融信和南山之桥合作,推出了所谓的ASIC防火墙,实际上是南山之桥提供硬件平台,天融信出软件系统,组合而成,目的是为了赶硬件防火墙的潮流,但此次合作非常失败,所推出的几款防火墙超级垃圾,问题极多,很快便退市了。中间,天融信还推出了基于INTEL IXP2400芯片的NP防火墙,但产品很不成熟,基本上买到客户那里都需要作很长时间的调试。现在天融信主推的还是基于X86架构的NGFW4000软件的防火墙。最近,好像在百兆产品线上努力推新的TopAsic自有芯片的硬件防火墙——猎豹,市场动作很大,但还不知道是否成熟,反正防火墙这东西,没有1-2年的市场适应期,是成熟不了的。 方正:在04年6月前,方正防火墙由两家公司来作,方正数码和方正科技软件。说来这两家公司的故事很有趣。方正数码是方正控股投资的公司,防火墙技术来源于方正研究院,是自主开发的产品,防火墙品牌叫方正方御,简称FG。方正科技软件在城里的时候,是熊猫杀毒的中国总代理,是方正科技的子公司,开始的时候还是方正方御防火墙的全国总代理。后来两家方正公司闹翻,方正科技软件就从一家韩国公司那里OEM来了一个VPN网关产品当作防火墙卖,就是方正方通防火墙,简称FS。04年6月,方正集团把两家公司合并,成立了方正信息安全技术有限公司,总部在上海。实际上,是方正科技软件把方正数码的信息安全事业部给吞并了,所以现在的方正防火墙由两个系列,FG和FS,渊源来自于此。方正FG的防火墙曾经技术在国内很先进,第一个支持H.323流媒体协议,但这几年由于方正集团对研发投入很少,所以技术已经严重落后,很多新的功能都不支持,仅仅能用而已。FS防火墙不提了,垃圾一个。 联想网御:2000年,随着联想多元化的号角,联想开始进入信息安全领域。这一年,联想研究院成立了一个信息安全研究室,进行防火墙的研发,当年便推出了网御2000 V1.0防火墙。这个版本很烂,基本不能用。01年,联想成立了一个基础平台事业部,开始卖防火墙,这时候的防火墙好像短暂的OEM了一个国内厂家的,是哪一个记不清了,卖得不怎么样。01年,研究院推出了网御2000 V2.0版本,才成为一个能用的防火墙,由于联想强大的市场销售能力,联想网御防火墙当年便中了几个大单。02-03年,在网御2000 V2.0的基础上,陆续推出了2.1、2.2、2.3版本,并且销售形势很好,一度盖过了天融信。04年,由于网御2000防火墙的基础太差,已经跟不上市场的需求,联想推出了网御2.5版本的软件系统,就是后来的Power V系列防火墙,2.5版本。2.5和2.3版本看似都是2.0版本,但实际上两个是完全不同的软件核心。2.5版本已经是当时国内非常先进的防火墙软件了。在这里,必须着重提一下联想网御的超五防火墙。02年的时候,国内的防火墙基本上都是X86的工控机架构,性能上已经成为防火墙的瓶颈,尤其是千兆防火墙,性能非常低下。联想开始在国内首先投资预研基于NP架构的防火墙,经过比较,NP芯片采用了IBM的PowerNP,放弃了Intel的IXP1200和2400系列。因为Cisco和华为的高端路由器都采用这款芯片。03年联想网御拿出了原型机,经过近一年的测试,04年推出了销售机,成为当时市场上首家推出NP防火墙的厂商。而这时候,天融信和方正等其他厂商的NP防火墙都还在原型机或者研发阶段,这些厂家采用的是Intel的IXP芯片。04年10月,由于业务调整,联想网御跟随联想IT服务群组一起被卖给了亚信,新公司叫做联想亚信。但防火墙的研发还继续留在联想研究院,联想网御只保留了二级研发队伍,没有拿到软件的核心代码。05年底,由于众所周知的原因,联想网御发生分裂,大部分员工离职,创建了新的公司——网御神州。由于新公司是由原联想网御的员工和从联想研究院出来的防火墙研发人员组建的,因此联想网御的防火墙失去了技术基础,因而开始从Fotinet公司OEM了全系列的UTM产品,作为未来的主打产品。 网御神州:上面说到了,网御神州公司是从联想网御分离出来的原联想的员工组建的,在此之前,联想研究院防火墙研发组的员工,离开研究院后组建了一家纯技术公司——北京网诺,联想网御离职人员出来后,就和网诺公司合并,成立了新的网御神州公司。因此,可以说,原联想网御防火墙的技术全部在网御神州公司手中。现在网御神州公司推出的网神3600系列防火墙,是网御的最新一代版本3.0版,和2.5版本是完全不同的核心,是网御防火墙的第三代版本,也是目前国内最先进的防火墙软件。 东软:防火墙推出的也比较早,但主要是由东软的系统集成业务在推,其他市场上很少见到。曾经的流过滤概念,也算是比较先进的,但现在已经非常落后了。其研发投入不大,东软集团也不很重视防火墙业务,去年推出了全部基于Intel IXP芯片的NP防火墙,号称是工控机防火墙的终结者,但现在看来,效果非常一般,市场难以认同,大概也和东软防火墙的技术底子有关吧。 其他:网新易尚:全部OEM自Fotinet的Asic架构产品,现在很少见到 首信:号称国内第一款线速千兆防火墙,问题如上所述 交大捷普:地方公司,现在好像已经快倒了,东西超级烂,就是个便宜 清华得实:已经被清华同方收购了,技术上没什么发展,零敲碎打的卖点儿 紫光比威:曾经也风光一时,现在很难见到了 问:少了一个绿盟,这个目前在国内也推得挺火的。 答:不是我遗漏了,是绿盟压根儿就没有防火墙产品。绿盟可以算得上是国内网络安全厂商里技术最好的公司之一,也是技术文化最好的公司。他的主业在IDS,现在是IPS,目前应该是国内做好的产品了,还有漏洞扫描,安全评估等等,都做得不错。我和绿盟的一个副总聊过,他说绿盟不是不会做防火墙,技术上一点儿问题都没有,是他们看不上防火墙,呵呵,典型的技术性公司的心态。不过的确如此,现在国内的防火墙公司太滥了,真正有技术的公司没几个,绝大多数都是滥竽充数,搞个Linux就来充当防火墙,而用户也的确对于防火墙的认识不够,能用就行,所以卖得好不好,很多时候不是产品好不好,而是这个公司是否善于卖防火墙。因此绿盟不愿意来趟这潭浑水,绿盟的强项在于技术开发,不在于市场运作。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 13:24 , Processed in 0.151668 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
