1、基本转发性能 测试工程师:这是一项测试交换机时经常采用的测试手段。它采用UDP对每种包长逐一进行测试。虽然这项测试很难和用户的实际应用吻合起来,但也从一个侧面反映出防火墙对数据包的处理能力。 测试实况:我们使用IXIA 1600T的配套软件ScriptMate对防火墙进行吞吐量测试。测试拓扑如图6所示。测试仪在与防火墙内网和外网相连的接口上分别模拟了200台主机,它们进行双向UDP通信,采用的包长依次为64、512和1518字节,每种测试包长的通信持续时间为120秒。允许的丢包率为零。在所有的性能相关测试中,我们都是测试三次取平均值。在防火墙上,关闭可以关闭的所有安全过滤措施,仅设置了一条“p
2、ermit any”的策略,内、外网接口间采用路由模式。 基本转发性能测试拓扑图 经过测试,联想网御Super V和首信CF 2000-EP500拿出了超强的表现,即便是容易丢包的64字节,也达到了线速。Check Point i-SECURITY SP-5500也有不错表现。如图7所示。 基本转发性能测试结果:单规则 安全规则下的性能 测试工程师:任何一台防火墙都会添加若干条过滤规则,它们是实现安全的基本元素之一。经我们调查,用户在防火墙上设置数十条规则很常见,但较少有超过200条的场合。我们测试中在防火墙上设置了100条规则。 测试实况:除了在每一台防火墙上设置了完全相同的100条规则外,
3、其他所有设置都和基本转发性能测试相同。 结果如图8所示。我们可以发现,添加100条规则前后,对防火墙的UDP数据包的吞吐能力大多没有什么影响。 基本转发性能测试结果:100条规则 启动NAT时的Web性能 测试工程师:NAT是每个边界网关产品都要面对的问题,到底防火墙在启动NAT后对应用会产生什么样的影响呢? 测试实况:我们借助IXIA 1600T的应用测试软件IxLoad来模拟Web服务器和客户端。我们先后在防火墙上关闭和启动了NAT,两种情况下都采用了前面测试中使用的的100条规则。测试仪模拟了250台Web服务器,模拟了1000个用户端,每个用户创建3个并发TCP连接,在每个连接上最多允
4、许传送10笔交易,下载的文件为1K字节的静态网页。测试时间为5分钟。 启动NAT后,我们在正式测试前先考察了NAT是否已经生效,通过架设服务器并抓包,确认防火墙已经进行了地址转换后才进行Web性能测试。 通过测试,我们发现,多数参测防火墙在启动了NAT后,用户访问Web的性能并没有明显变化。Web页面响应延迟除了Symantec比较大以外其他都控制在13至20毫秒之间,穿越防火墙的TCP连接建立的时延大都保持在微秒级,如表三所示。Symantec Gateway Security 5460体现出的差异是因为它使用NAT需要启动应用代理模块。 表三:添加NAT前后TCP连接建立延迟 TCP连接建
5、立延迟(毫秒)(无NAT/NAT) Check Point 0/2.6667 Fortinet0/0 联想网御0/0 首信0/0 Symantec0/177 添加NAT前后TCP连接建立延迟 通过监视防火墙的流量统计,此时内、外网接口之间的负载达到了200Mbps左右。 防御攻击时的Web性能 测试工程师:防火墙所处的位置决定了它会经受非常多恶意行为的挑战。当它和攻击做斗争时,在其翼护下的用户上网感受将会怎样? 测试实况:我们首先创建了Web背景流,测试仪模拟的用户规模和上面的测试相同,只不过服务器端的网页变为由1K字节到256K字节不等的多种静态页面。 然后,防火墙启动攻击防御,测试仪开始通
6、过内网向处于DMZ的服务器进行Ping_Flood攻击,攻击参数设置参见防DoS攻击部分。当确认防御成功后,重新传输Web背景流。我们对攻击前后Web应用背景流的数值表现进行了比较。 结果发现,当不启动攻击时,Web应用穿越各个防火墙时的性能差异非常细微。在攻击防御过程中,穿过参测设备建立的TCP连接的延迟大多有了明显的变化,而连接建立后开始响应页面的延迟多半没有剧烈变化。参见表四和图9。 表四:添加攻击前后TCP连接建立延迟 TCP建立延迟(毫秒)(无攻击/攻击) Check Point0/68 Fortinet0/61 联想网御0/0 首信0/931 Symantec0/1867 添加攻击
7、前后TCP连接建立延迟 攻击前后Web页面响应延迟通过在防火墙上监视流量,负载最大时达到了350Mbps左右。 可贵的是,即使防火墙忙于抗DoS攻击,联想网御Super V在Web应用方面的性能也没有任何降低。Check Point i-SECURITY SP-5500和FortiGate 3600的表现也不错,它们将TCP连接建立的延迟控制在70ms以下。 后记 通过测试我们发现,以前防火墙传统的内、外和DMZ三个接口的固定模式已经不存在了,这些防火墙都提供了六个以上的端口。而且,这些端口任由用户自己指定哪个是外网或DMZ接口。接口数目的提高使得用户可以借此提高多个内网之间的安全防范。而且,
8、像Check Point、FortiNet和Symantec参测产品所支持的虚拟防火墙技术可以使不同的用户享用不同的安全策略,方便了诸如像主机托管等环境的使用。Check Point i-SECURITY SP-5500能够响应DNS请求,并以此来实现多种拓扑环境下的链路负载均衡,特别适合申请了两条ISP专线的用户。 在这5款参测产品中,除了联想Super V之外,其他的所有参测产品都支持VPN,而且,在有些防火墙中VPN已经成为固定组件。 VPN正逐渐得到国内用户的认可,我们的网上读者调查的结果也与此相吻合,有94.02%的读者表示希望防火墙集成VPN功能。而且,据大部分厂商称,它们的VPN功能都具有良好的兼容性,都有过和其他厂商VPN网关互联的成功案例。我们对各个防火墙VPN网关之间的互通性和与第三方客户端软件的互通性进行了尝试,结果发现,在不同厂商的防火墙之间建立VPN隧道不是件容易的事,我们没有成功。由于在较短时间内向每个厂商征集两台产品存在较大困难,这次测试我们没有对防火墙VPN的性能进行测试,还请读者见谅。