2022年防火墙的性能测试 .pdf

《2022年防火墙的性能测试 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙的性能测试 .pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙的性能测试包括以下内容：吞吐量（ Throughput ） （RFC2544）丢包率（ FrameLossRate） （RFC2544）延迟（ Latency） （ RFC2544）最大并发连接数（ConcurrentSessions） （RFC2647）每秒新连接的建立能力（NewSessions） （RFC2647）1）吞吐量测试防火墙在各种帧长的满负载（100M 或 1000M）双向（ BidirectionalTraffic ）UDP 数据包情况下的稳定性表现。这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，

2、是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。这项测试与防火墙本身的CPU 速率、 DRAM 内存的大小等基本配置有着直接的关系。测试单位： fps（framepersecond） ，每秒钟传输的帧个数。【测试条件】测试仪配置100M 速率，单工（100Mbit/shalf-duplex ） ；1000M 速率，单工（ 1000Mbit/shalf-duplex ） ；单向（ UnidirectionalTr

3、affic）/双向（ BidirectionalTraffic ） 、 IXIA 或 Smatbit 生成的数据流， UDP 数据包；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 7 页 - - - - - - - - - 测试 Trial 数： 2；测试时长： 120 秒；允许的丢包率（LossTolerance） ：0（Zero-loss） ；测试帧长（ FrameSize） ：64、128、256、512、1518bytes。【测试项目】1.防火墙在 1 条规则情

4、况下关闭NAT 时的各种帧长的数据包转发能力（双向）。2.防火墙在 1 条规则情况下打开NAT 时的各种帧长的数据包转发能力（单向）。3.防火墙在 100 条规则情况下各种帧长的数据包转发能力（双向）。2）丢包率这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。以特定速率发送特定数量的数据包通过防火墙，然后计算被防火墙转发的数据包数量。丢包率用以下公式计算：(input_count-output_count)*100%)/input_count 测试单位：被丢弃的帧占所有应转发的帧的百分比【测试条件】100M 速率，单工（100Mbit/sHal

5、f-duplex ） ；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 7 页 - - - - - - - - - 1000M 速率，单工（ 1000Mbit/sHalf-duplex ） ；双向（ BidirectionalTraffic ） 、IXIA 或 Smatbit 生成的数据流，UDP 数据包；测试 Trial 数： 2；测试时长： 120 秒；测试帧长（ FrameSize） ：64、128、256、512、1518bytes 【测试项目】防火墙在1 条规则

6、情况下各种帧长的数据包转发能力下的丢包率3）延迟这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。它的表现也同样取决于防火墙的基本配置。首先确定在各种帧大小（同上） 下防火墙的吞吐量，然后以指定帧大小发送数据流穿过防火墙到指定的目标地址。测试单位： ns（10-9 秒） 。【测试条件】测试仪配置100M 速率，全双工（100Mbit/sFull-duplex ） ；1000M速率，全双工（1000Mbit/sFull-duplex ） ；单向（ UnidirectionalTraffic）/双向（Bidirectiona

7、lTraffic） ；适用于NAT 测试、 IXIA 或 Smatbit 生成的数据流，UDP 数据包；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 7 页 - - - - - - - - - 测试 Trial 数： 2；测试时长： 120 秒；允许的丢包率（LossTolerance） ：0（Zero-loss） ；测试帧长（ FrameSize） ：64、128、256、512、1518bytes。【测试项目】1.防火墙在1 条规则情况下关闭NAT 时的数据包转发（

8、通过）能力情况下的各种帧长的延迟（双向）2.防火墙在1 条规则情况下打开NAT 时的数据包转发（通过）能力情况下的各种帧长的延迟（单向）3.防火墙在 100条规则情况下吞吐量为极限吞吐量双向工作情况下各种帧长的相应延迟4.防火墙在吞吐量为20M 全双工情况下各个帧长情况下的延迟4）防火墙在有一定背景流量下支持的连接数测试【测试目的】测试目的在于得出一定流量下防火墙所能顺利建立和保持的并发连接数及一定数量的连接情况下防火墙的吞吐量变化。【测试条件】测试仪配置100M 速率，全双工（100Mbit/sFull-duplex ） ；名师资料总结 - - -精品资料欢迎下载 - - - - - - -

9、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 7 页 - - - - - - - - - 1000M 速率，全双工（1000Mbit/sFull-duplex ） ；双向（ BidirectionalTraffic ） 、IXIA 或 Smatbit 生成的数据流，UDP 数据包；连接数的生成可以使用IXIA或 Smatbit 测试 Trial 数： 2；允许的丢包率（LossTolerance） ：0（Zero-loss） ；测试帧长（ FrameSize） ：64、512、1518bytes。流量分别设置为一对100Mbps 以太网

10、接口全双工线速转发；两对 100Mbps 以太网接口全双工线速转发；连接数设置为每秒建立2000 个连接保持200000 个会话连接【测试项目】防火墙在1 条规则情况下，保持一定数量的会话连接时的数据包转发（通过）能力5）防火墙支持的连接数测试【测试目的】在此项测试中，分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP 连接数。测试在1 条安全规则下打开和关闭NAT（静态）对TCP 连接的新建能力和保持能力。【测试条件】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

11、 - - - - - 第 5 页，共 7 页 - - - - - - - - - 测试仪配置100M 速率，全双工（100Mbit/sFull-duplex ） ；1000M 速率，全双工（1000Mbit/sFull-duplex ） ；双向（ BidirectionalTraffic ） 、IXIA 或 Smatbit 生成的 HTTP 数据流；每个端口设置发送10000 个，使用交换机连接12 个端口为一组。连接数的生成可以使用IXIA或 Smatbit。测试 Trial 数： 2；【测试项目】1.防火墙在一条规则情况下每秒TCP 新连接的建立能力。2.防火墙在一条规则情况下对TCP 连

12、接的保持能力。6）背靠背缓存能力【测试目的】背靠背是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。该指标用于测试防火墙的数据缓存能力,描述了网络设备承受突发数据的能力，即对突发数据的缓冲能力。【测试条件】测试仪配置100M 速率，全双工（100Mbit/sFull-duplex ） ；1000M 速率，全双工（1000Mbit/sFull-duplex ） ；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 7 页 - - - - - - - - - 双向（ Bi

13、directionalTraffic ） 、IXIA 或 Smatbit 生成的数据流，UDP 数据包；连接数的生成可以使用IXIA或 Smatbit。【测试项目】以最小帧间隔发送一定数量（测试时间尽可能长，一般选择 120s，40M）的突发帧至被测设备的输入口， 记录被测设备正确转发的帧数，如果全部正确转发， 增加发送帧数再测试，否则减少发送帧数再测试，直到找到极限值。此项性能与帧长度可能有关，所以需对不同帧长度的数据流分别测试。7）有效通过率根据 RFC2647 对防火墙测试的规范中定义的一个重要的指标：goodput(防火墙的真实有效通过率 ) 因为防火墙在测试过程中，总会有数据包的丢失和重发，所以简单的测试防火墙的通过率是片面的， goodput 从应用层测试防火墙的真实有效的传输数据包速率。简单的说，就是防火墙端口的总转发数据量(bps)减去丢失的和重发的数据量(bps)。测试方法：用smartbit 模拟 300 个 http 的请求，看单位时间内最大传输的速率(bps)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 7 页 - - - - - - - - -