中心議題：

• 防火牆性能描述指標
• 並發連接數的測試

解決方案：

• 吞吐量評估
• 連接數評估

隨sui著zhe信xin息xi安an全quan要yao求qiu越yue來lai越yue高gao

，防fang火huo牆qiang成cheng為wei必bi不bu可ke少shao的de網wang絡luo元yuan素su。但dan防fang火huo牆qiang設she備bei在zai網wang絡luo中zhong的de主zhu要yao作zuo用yong不bu是shi報bao文wen轉zhuan發fa
，而er是shi進jin行xing報bao文wen檢jian測ce和he訪fang問wen控kong製zhi，防fang火huo牆qiang的de存cun在zai必bi然ran會hui對dui安an全quan用yong戶hu正zheng常chang使shi用yong網wang絡luo帶dai來lai一yi定ding影ying響xiang。因yin此ci在zai滿man足zu安an全quan功gong能neng的de前qian提ti下xia，選xuan擇ze一yi款kuan高gao性xing能neng
、滿足網絡要求
、符合預算的產品是非常重要的。
　　
防火牆性能描述指標
　　
衡量防火牆的性能指標主要包括吞吐量、報文轉發率、最大並發連接數、每秒新建連接數、轉發時延
、抖動等。


圖1防火牆主要性能指標
　　
防火牆吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：zaiceshizhongyiyidingsulvfasongyidingshuliangdezhen，bingjisuandaiceshebeichuanshudezhen，ruguofasongdezhenyujieshoudezhenshuliangxiangdeng
，namejiujiangfasongsulvtigaobingzhongxinceshi；如果接收幀少於發送幀則降低發送速率重新測試

，直至滿足沒有幀丟失時的最大發送速率，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

防火牆TCP並發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP聯接總數。防火牆TCPbingfalianjieshudeceshicaiyongyizhongfanfusousuojizhijinxing

，zaimeicifanfuguochengzhong，yidiyubeiceshebeisuonengchengshoudelianjiesulvfasongbutongshuliangdebingfalianjie，zhizhidechubeiceshebeidezuidaTCP並發連接數。
　　
防火牆最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下
，所能承受的最大TCP連接建立速度。其測試采用反複搜索過程，每次反複過程中，以低於被測設備所能承受的最大並發連接數發起速率不同的TCP連接請求，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/秒表示。
　　
防火牆性能測試方法
　　
對一款防火牆產品進行性能評估，分為兩個步驟。首先要進行防火牆基線性能測試

，其次是進行模擬實際應用環境下的性能測試。
　　
基線性能是防火牆在理想狀態下表現出來的性能指標，具有測試結果比較穩定、流liu量liang模mo型xing可ke控kong的de優you點dian。但dan是shi在zai實shi際ji應ying用yong中zhong，往wang往wang達da不bu到dao防fang火huo牆qiang產chan品pin實shi際ji標biao稱cheng的de基ji線xian性xing能neng。原yuan因yin是shi實shi際ji應ying用yong中zhong經jing過guo防fang火huo牆qiang的de流liu量liang要yao比bi測ce試shi基ji線xian性xing能neng時shi的de流liu量liang複fu雜za得de多duo，因yin此ci評ping估gu防fang火huo牆qiang性xing能neng時shi

，不bu僅jin需xu要yao對dui基ji線xian性xing能neng進jin行xing評ping估gu
，更geng重zhong要yao的de是shi模mo擬ni實shi際ji應ying用yong環huan境jing進jin行xing評ping估gu。
　　
基線性能指標測試
　　
1)吞吐量評估
　　
防(fang)火(huo)牆(qiang)的(de)吞(tun)吐(tu)量(liang)實(shi)際(ji)上(shang)是(shi)一(yi)個(ge)靜(jing)態(tai)指(zhi)標(biao)

，反(fan)映(ying)在(zai)理(li)想(xiang)情(qing)況(kuang)下(xia)設(she)備(bei)的(de)轉(zhuan)發(fa)能(neng)力(li)。在(zai)實(shi)際(ji)應(ying)用(yong)中(zhong)吞(tun)吐(tu)量(liang)這(zhe)個(ge)指(zhi)標(biao)一(yi)般(ban)是(shi)達(da)不(bu)到(dao)的(de)，而(er)且(qie)對(dui)於(yu)用(yong)戶(hu)而(er)言(yan)，實(shi)際(ji)感(gan)受(shou)到(dao)的(de)是(shi)他(ta)的(de)應(ying)用(yong)處(chu)理(li)能(neng)力(li)，因(yin)此(ci)單(dan)純(chun)的(de)吞(tun)吐(tu)量(liang)指(zhi)標(biao)不(bu)能(neng)說(shuo)明(ming)防(fang)火(huo)牆(qiang)的(de)轉(zhuan)發(fa)性(xing)能(neng)。
　　
一般情況下，防火牆的轉發性能可以用throughput和goodput兩個指標來衡量。而對於防火牆設備來說
，goodput這個指標比throughput更具有實際意義。因此在測試防火牆吞吐量時，更多采用goodput指標。
　　
goodput有you時shi候hou也ye叫jiao應ying用yong層ceng的de吞tun吐tu量liang。在zai一yi定ding連lian接jie新xin建jian和he並bing發fa的de情qing況kuang下xia，單dan個ge報bao文wen的de應ying用yong層ceng數shu據ju承cheng載zai量liang很hen大da程cheng度du決jue定ding了le應ying用yong層ceng報bao文wen轉zhuan發fa的de能neng力li。所suo以yi測ce試shi防fang火huo牆qiang轉zhuan發fa性xing能neng時shi，需xu要yao明ming確que測ce試shi載zai荷he的de大da小xiao。為wei了le測ce試shi得de到dao較jiao全quan麵mian的de吞tun吐tu量liang性xing能neng數shu據ju，需xu要yao測ce試shi在zai不bu同tong載zai荷he大da小xiao情qing況kuang下xia的de轉zhuan發fa性xing能neng。
　　
在進行吞吐量基線測試中，一般以HTTP作為應用層協議，為了得到最理想的測試效果，通過會選擇HTTP1.1，每個TCP連接處理盡量多的HTTP事務（transacTIon），並且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。



圖2IxLoad設置
　　
2)連接數評估
　　
連接在狀態防火牆中是一個很重要的概念，與連接相關的性能指標對評估防火牆非常重要。這些指標包括並發連接數、新建連接速率。

並發連接數的測試
　　
並bing發fa連lian接jie是shi一yi個ge很hen重zhong要yao的de指zhi標biao
，它ta主zhu要yao反fan映ying了le被bei測ce設she備bei維wei持chi多duo個ge會hui話hua的de能neng力li。關guan於yu此ci指zhi標biao的de爭zheng論lun也ye有you很hen多duo。一yi般ban來lai說shuo，它ta是shi和he測ce試shi條tiao件jian緊jin密mi聯lian係xi的de，但dan是shi這zhe方fang麵mian的de考kao慮lv有you時shi會hui被bei人ren們men忽hu略lve。比bi如ru，測ce試shi時shi采cai用yong的de傳chuan輸shu文wen件jian大da小xiao就jiu會hui對dui測ce試shi結jie果guo有you影ying響xiang。例li如ru，如ru果guo在zai傳chuan輸shu中zhong應ying用yong層ceng流liu量liang很hen大da的de話hua,被測設備將會占用很大的係統資源去處理包檢查
，導致無法處理新請求的連接，引起測試結果偏小；反之測試結果會大一些。所以沒有測試條件而隻談並發連接數是難以定斷的。從宏觀上來看
，這個測試的最終目的是比較不同設備的“資源”
，也就是說處理器資源和存儲資源的綜合表現。