防火墙的性能评估.doc

评价防火墙的功能、性能指标 ?(2011-06-03 23:47:16) 转载▼ 标签：? 防火墙 ? 性能 ? 参数 ? 吞吐量 ? 最大连接数 ? 新建连接数 ? 丢包率 ? it 分类：?网络技术 一、?功能指标?1、访问控制：根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。 ?2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。 ?3、静态路由/策略路由： ????????静态路由：给予目的地址的路由选择。 ????????策略路由：基于源地址和目的地址的策略路由选择。 ?4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存) ?5、接入支持：防火墙接口类型一般有GBIC、以太网接口等；接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。 ?6、VPN：分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道)，支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越。 ?7、IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占关键服务器IP。 ?8、DHCP：内置DHCP Server 为网络中计算机动态分配IP地址；DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 ?9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务。 ?10、应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容过滤通过应用代理实现。 ?11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。 ?12、防攻击：防止各类TCP、UDP端口扫描，源路由攻击，IP碎片包攻击，DOS、DDOS攻击，蠕虫病毒以及其他网络攻击行为。 ?13、内置IDS：内置IDS模块，加强防火墙的防攻击能力。 ?14、内置防病毒模块：内置防病毒模块，在网关级进行病毒防护。 ?15、内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫描，做出安全评估分析，提供安全建议，计时弥补网络中存在的安全隐患。 ?16、安全产品联动：防火墙与其他安全产品比如IDS、Scanner、防病毒等的联动功能。 ?17、链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案。 ?18、配置文件上传/下载：配置文件的备份/恢复功能。 ?19、SNMP：支持SNMP协议，方便网络管理员对防火墙状态进行监控管理。 ?20、负载均衡：分为链路负载均衡和服务器负载均衡。 ?21、日志审计：日志存储、备份、查询、过滤、分析统计报表等。 ?22、入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送SNMP Trap信息、手机短信报警。 ? 二、性能指标 ?1、吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大，说明防火墙数据处理能力越强。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。 ?2、并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 影响并发连接数条目的主要因素是内存容量，其次是CPU频率及其他硬件。 1)?以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间！ 2)?并发连接数的增大应当充分考虑CPU的处理能力 ，CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CPU的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。