防火墻的性能測(cè)試方案設(shè)計(jì)
2) 連接數(shù)評(píng)估本文引用地址:http://www.ex-cimer.com/article/194420.htm
連接在狀態(tài)防火墻中是一個(gè)很重要的概念,與連接相關(guān)的性能指標(biāo)對(duì)評(píng)估防火墻非常重要。這些指標(biāo)包括并發(fā)連接數(shù)、新建連接速率。
l 并發(fā)連接數(shù)的測(cè)試
并發(fā)連接是一個(gè)很重要的指標(biāo),它主要反映了被測(cè)設(shè)備維持多個(gè)會(huì)話的能力。關(guān)于此指標(biāo)的爭(zhēng)論也有很多。一般來(lái)說(shuō),它是和測(cè)試條件緊密聯(lián)系的,但是這方面的考慮有時(shí)會(huì)被人們忽略。比如,測(cè)試時(shí)采用的傳輸文件大小就會(huì)對(duì)測(cè)試結(jié)果有影響。例如,如果在傳輸中應(yīng)用層流量很大的話, 被測(cè)設(shè)備將會(huì)占用很大的系統(tǒng)資源去處理包檢查,導(dǎo)致無(wú)法處理新請(qǐng)求的連接,引起測(cè)試結(jié)果偏小;反之測(cè)試結(jié)果會(huì)大一些。所以沒(méi)有測(cè)試條件而只談并發(fā)連接數(shù)是難以定斷的。從宏觀上來(lái)看,這個(gè)測(cè)試的最終目的是比較不同設(shè)備的“資源”,也就是說(shuō)處理器資源和存儲(chǔ)資源的綜合表現(xiàn)。
目前市場(chǎng)上出現(xiàn)了大家盲目攀比并發(fā)連接數(shù)的情況。事實(shí)上,并發(fā)幾十萬(wàn)的連接數(shù)應(yīng)該完全可以滿足一個(gè)電信級(jí)數(shù)據(jù)中心的網(wǎng)絡(luò)服務(wù)需求了,對(duì)于一般的企業(yè)來(lái)講, 甚至幾千個(gè)并發(fā)連接數(shù)還綽綽有余。并發(fā)連接總數(shù)能由儀表自動(dòng)測(cè)試得出結(jié)果,減少了測(cè)試所用的時(shí)間和人力,這類儀表目前很多,常見(jiàn)的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。
l 新建連接速率
這個(gè)指標(biāo)主要體現(xiàn)了被測(cè)設(shè)備對(duì)于連接請(qǐng)求的實(shí)時(shí)反應(yīng)能力。對(duì)于中小用戶來(lái)講,這個(gè)指標(biāo)顯得更為重要。可以設(shè)想一下,當(dāng)被測(cè)設(shè)備可以更快的處理連接請(qǐng)求,而且可以更快傳輸數(shù)據(jù)的話,網(wǎng)絡(luò)中的并發(fā)連接數(shù)就會(huì)傾向于偏小,從而設(shè)備壓力也會(huì)減小,用戶感受到的防火墻性能也就越好。Avalanche、IXLOAD以及BPS等測(cè)試工具都可以測(cè)試新建連接速率,幫助使用者搜索到被測(cè)設(shè)備能夠處理的峰值,測(cè)試原理基本都是相同的。
2. 模擬真實(shí)應(yīng)用環(huán)境進(jìn)行性能指標(biāo)測(cè)試
如果能夠100%模擬用戶的實(shí)際應(yīng)用環(huán)境對(duì)防火墻性能進(jìn)行測(cè)試,那么防火墻選型這類活動(dòng)將變得非常簡(jiǎn)單,而且防火墻性能指標(biāo)將變得更加有意義。但是模擬真實(shí)應(yīng)用環(huán)境并不是簡(jiǎn)單的事情。主要是因?yàn)橛脩舡h(huán)境的復(fù)雜性和多變性導(dǎo)致真實(shí)環(huán)境的模擬幾乎不可能實(shí)現(xiàn)。這里討論的模擬真實(shí)應(yīng)用環(huán)境測(cè)試,只是將用戶環(huán)境進(jìn)行抽象,使得模擬環(huán)境在滿足測(cè)試條件的情況下最大限度的貼近真實(shí)應(yīng)用環(huán)境。
1) 多應(yīng)用協(xié)議吞吐量測(cè)試
前面提到goodput是衡量防火墻吞吐量的重要指標(biāo),基線測(cè)試中,一般采用HTTP協(xié)議作為應(yīng)用層協(xié)議進(jìn)行測(cè)試。而在實(shí)際應(yīng)用環(huán)境中,應(yīng)用層的流量并不是純粹的HTTP,還有其他協(xié)議。如果用HTTP協(xié)議代替其他應(yīng)用層協(xié)議測(cè)試應(yīng)用層吞吐量,顯然是不合適的。因此需要針對(duì)不同的應(yīng)用場(chǎng)景,設(shè)計(jì)典型的應(yīng)用層流量分布模型,按照不同的比例分配帶寬。如圖3所示,是一個(gè)典型的某場(chǎng)景應(yīng)用帶寬分布。
圖3 典型應(yīng)用帶寬分布
模擬多協(xié)議測(cè)試,需要測(cè)試工具支持模擬多協(xié)議流量混合功能,并且能夠做基于協(xié)議的測(cè)試結(jié)果分析。包括不同協(xié)議的吞吐量、轉(zhuǎn)發(fā)延遲等。在多協(xié)議模擬測(cè)試中,BPS支持豐富的應(yīng)用層協(xié)議,并且具有良好的流量混合功能。
2) DDoS攻擊條件下的轉(zhuǎn)發(fā)性能測(cè)試
目前大部分防火墻常常遭到試圖闖入用戶網(wǎng)絡(luò)的黑客的攻擊。DDoS攻擊是黑客常用的攻擊手段,該攻擊使用虛假I(mǎi)P地址進(jìn)行攻擊并且持續(xù)不斷的更換形式。因此在模擬真實(shí)環(huán)境的測(cè)試中,將DDoS攻擊作為測(cè)試輸入條件是很有必要的。
評(píng)論