防火墻的性能測(cè)試方案

　　這個(gè)測(cè)試的目的是將DDoS攻擊作為流量的一部分通過(guò)防火墻，模擬現(xiàn)實(shí)網(wǎng)絡(luò)在DDoS攻擊條件下，被測(cè)試設(shè)備轉(zhuǎn)發(fā)性能的下降程度。其中DDoS流量對(duì)于正常流量的影響，可通過(guò)變化混合的流量比例來(lái)實(shí)現(xiàn)。測(cè)試步驟如下：

　　l 保持DDoS流量不變(例如DDoS流量占接口帶寬的5%)，改變多協(xié)議正常流量的比例關(guān)系，例如SMTP:FTP:HTTP:HTTPS以 45:15:30:10的比例混合，與DDoS攻擊流量經(jīng)過(guò)防火墻轉(zhuǎn)發(fā)后，查看測(cè)試結(jié)果，查看轉(zhuǎn)發(fā)性能與沒(méi)有DDoS攻擊流量的情況下相比變化幅度是否滿足實(shí)際需求，同時(shí)也可以測(cè)試通過(guò)防火墻的傳輸延遲是否也保持在一個(gè)可接受的水平;

　　l 變化DDoS流量占接口帶寬的比例(例如從3%、5%到8%)，保持正常流量不變，測(cè)試轉(zhuǎn)發(fā)性能在不同DDoS攻擊強(qiáng)度下的變化情況，以及傳輸延遲在不同攻擊強(qiáng)度下的變化是否滿足實(shí)際應(yīng)用需求;

　　l 兩者都變化的情況，即在修改DDoS流量的同時(shí)也修改正常流量的比例，記錄不同組合情況下的轉(zhuǎn)發(fā)性能與延遲狀況。

　　3) 在一定負(fù)載條件下的新建連接測(cè)試

　　新建連接體現(xiàn)了新用戶能否快速接入網(wǎng)絡(luò)。一般理想情況下測(cè)試新建連接速率的時(shí)候都是在打開(kāi)一個(gè)連接后立即關(guān)閉，這種情況下測(cè)試出來(lái)的結(jié)果一般是比較好的。但是在實(shí)際應(yīng)用場(chǎng)景中，情況并非如此，一般新建一個(gè)連接的時(shí)候會(huì)已經(jīng)存在一定的連接，也就是在有一定負(fù)載(并發(fā)連接)的條件下測(cè)試新建連接速率。測(cè)試步驟為：

　　l 首先測(cè)試出基線新建速率，也就是在沒(méi)有負(fù)載條件下的理想新建速率;

　　l 逐步增加負(fù)載，可以按照基線并發(fā)的百分比設(shè)定負(fù)載值，例如20%，30%，50%，70%，90%等。但是在測(cè)試的時(shí)候需要注意，在一定負(fù)載條件下測(cè)試不要超過(guò)最大并發(fā)連接數(shù)，否則測(cè)試結(jié)果是不準(zhǔn)確的;

　　l 測(cè)試中測(cè)試時(shí)間需要根據(jù)情況確定。如果采用打開(kāi)/關(guān)閉TCP連接的方式，理想情況下在設(shè)備上看到的并發(fā)連接數(shù)應(yīng)該是測(cè)試負(fù)載的大小，但是由于在一定負(fù)載條件下，設(shè)備處理連接關(guān)閉的速率會(huì)受到一定影響，導(dǎo)致并發(fā)隨著新建速率的增大而不斷增大，如果測(cè)試時(shí)間足夠長(zhǎng)，并且處理速度較慢的話，可能導(dǎo)致并發(fā)連接數(shù)超過(guò)基線連接數(shù)限制。因此在一定負(fù)載條件下，需要測(cè)試足夠長(zhǎng)的時(shí)間，如果新建連接總是成功的，那么說(shuō)明該設(shè)備的性能比較好的。

　　結(jié)束語(yǔ)

　　防火墻在保障網(wǎng)絡(luò)安全的同時(shí)，必然會(huì)引入一定的網(wǎng)絡(luò)性能損耗。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境選擇一款性能合適的防火墻對(duì)于用戶來(lái)說(shuō)是至關(guān)重要的。本文從防火墻評(píng)估的角度介紹了防火墻基線性能測(cè)試和模擬實(shí)際環(huán)境性能測(cè)試的一般方法。在實(shí)際防火墻評(píng)估中，還應(yīng)該根據(jù)實(shí)際應(yīng)用場(chǎng)景，最大限度的提取應(yīng)用的關(guān)鍵流量特征，并對(duì)流量特征進(jìn)行抽象建模，利用測(cè)試儀器對(duì)流量進(jìn)行模擬，從而得到與實(shí)際應(yīng)用較符合的性能指標(biāo)。