防火墙性能测试的研究.docVIP

防火墙性能测试的研究 【 摘 要 】 防火墙作为应用最广泛的网络安全产品，其本身的性能如何将对最终网络用户得到的实际带宽有决定性的影响，因此对防火墙性能的要求越来越高，性能测试也成为防火墙测试的最重要的一部分。本文结合防火墙性能指标探讨了性能测试指标、常用测试工具，并研究提出了使用测量不确定度评定测试指标值的方法。【 关键词 】 防火墙；性能指标；测试工具；测量不确定度Research on Firewall Performence TestingHu Wei-na Gu Jian Song Hao-hao（The Third Research Institute of Ministry of Public Security Shanghai 200231）【 Abstract 】 The firewall is one of the most widely used network security products， its performance will have a decisive impact on the actual bandwidth of the users. Therefore， there’s an increasing demands on the high performance of firewall； the performance testing has also become the most important part in the testing on firewall. In this paper， we discuss the firewall performance criterion， the general testing tools， and also study the usage of measurement uncertainty in evaluating the test criterion.【 Keywords 】 firewall；performance criterion；testing tool；measurement uncertainty1 引言防火墙是目前网络安全领域中广泛使用的设备，其主要目的就是保证对合法流量的保护和对非法流量的抵御。从网络的整体结构上看，防火墙处于网络的边界处，对于大型网络的骨干关键节点的攻击又更具破坏性和针对性，显而易见，防火墙的网络性能将对最终的网络用户有决定性的影响，性能的高低直接影响着网络的正常应用。目前防火墙的网络性能指标日益为人们所重视，地位也越来越重要。因此，在防火墙测试工作中性能测试是极其重要的一部分。近年来，测量不确定度评定逐渐在测量领域内被广泛应用。但是，在信息安全产品性能测评领域中，测量不确定评定的研究和应用都较少。2 性能测试指标体系结合网络互联设备基准方法（RFC2544）、防火墙性能基准术语（RFC2647）、防火墙性能基准方法（RFC3511）三种RFC所述，防火墙在实际应用中的性能指标主要有并发TCP连接数、每秒TCP新建连接数、吞吐量、延迟、防火墙对拒绝服务攻击的防范能力和HTTP转发率六大类。GB/T 20281-2006《信息安全技术 防火墙技术要求和测试评价方法》[4]中对防火墙产品应达到的性能指标作出了规定。1） 吞吐量：防火墙在不丢包情况下转发数据的能力，一般所能达到的线速的百分比（或称通过速率）来表示。2） 延迟：数据帧的最后一个位的末尾达到防火墙内部网络输入端口至数据帧的第一个位的首部到达防火墙外部网络输出端口之间的时间间隔。3） 最大并发连接数：防火墙所能保持的最大TCP并发连接数量。它表示防火墙对其业务信息流的处理能力，反映出防火墙对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。4） 最大连接速率：防火墙在单位时间内所能建立的最大TCP连接数，一般是每秒的连接数。这个指标主要体现了被测防火墙对于连接请求的实时反应能力。3 性能指标测试3.1 防火墙性能测试仪防火墙性能测试中的主要测试仪表有Spirent公司的Smartbits、Avalanche和IXIA公司的Ixload、Breaking Point公司的BPS等工具。性能指标有TCP/IP 2-3层和4-7层测试之分，各公司分别有相应的组件模块与之相对应。3.2 防火墙性能测试方法针对每种性能指标会有多个测试用例，下面给出在实际测试过程中的测试方法。测试环境如图1所示，将专用性能测试仪器与防火墙直接相连，进行测试。性能测试工具主要是专用性能测试设备。1） 吞吐量：测试仪表的发送端口以一定速率发送一定数量的帧，并计算所发送的字节数和分组数，在接收端口也计算所接收的字节数