评价防火墙的功能、性能指标(2011-06-03 23:47:16)转 载标签： 防火墙性能参数吞吐量最大连接数新建连接数丢包率it分类： 网络技术一、一、 功能指标功能指标1、访问控制：根据数据包的源/目的 IP 地址、源/目的端口、协议、流量、时间等参数对 数据包进行访问控制。2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP 映射)。3、静态路由/策略路由：静态路由：给予目的地址的路由选择。策略路由：基于源地址和目的地址的策略路由选择。4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存)5、接入支持：防火墙接口类型一般有 GBIC、以太网接口等；接入支持静态 IP 设置、 DHCP、PPOE(比如 ADSL 接入)等。6、VPN：分为点到端传输模式(PPTP 协议)和端到端隧道模式(IPSec、IPIP、GRE 隧道)， 支持 DES、3DE、Blowfish、AES、Cast128、Twofish 等加密算法，支持 MD5、SHA-1 认证算 法；VPN 功能支持 NAT 穿越。7、IP/MAC 绑定：IP 地址与 MAC 地址绑定，防止 IP 盗用，防止内网机器有意/无意抢占关 键服务器 IP。8、DHCP：内置 DHCP Server 为网络中计算机动态分配 IP 地址；DHCP Relay 的支持能为 防火墙不同端口的 DHCP Server 和计算机之间动态分配 IP 地址。9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个 虚拟防火墙为一个特定的用户群提供安全服务。10、应用代理：HTTP、FTP、SMTP 等协议应用代理，大多数内容过滤通过应用代理实现。11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。12、防攻击：防止各类 TCP、UDP 端口扫描，源路由攻击，IP 碎片包攻击，DOS、DDOS 攻 击，蠕虫病毒以及其他网络攻击行为。13、内置 IDS：内置 IDS 模块，加强防火墙的防攻击能力。14、内置防病毒模块：内置防病毒模块，在网关级进行病毒防护。15、内置安全评估模块：内置安全评估模块，对网络中的计算机、网络设备等进行漏洞扫 描，做出安全评估分析，提供安全建议，计时弥补网络中存在的安全隐患。16、安全产品联动：防火墙与其他安全产品比如 IDS、Scanner、防病毒等的联动功能。17、链路备份/双机热备：在可靠性要求高的环境中，防火墙的多端口的链路备份以及双 机热备功能提供了一个较好的解决方案。18、配置文件上传/下载：配置文件的备份/恢复功能。19、SNMP：支持 SNMP 协议，方便网络管理员对防火墙状态进行监控管理。20、负载均衡：分为链路负载均衡和服务器负载均衡。21、日志审计：日志存储、备份、查询、过滤、分析统计报表等。22、入侵响应：日志记录、消息框报警、邮件报警、声音报警、发送 SNMP Trap 信息、手 机短信报警。二、性能指标二、性能指标1、吞吐量：吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越 大，说明防火墙数据处理能力越强。其测试方法是：在测试中以一定速率发送一定数量的 帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提 高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞 吐量测试结果以比特/秒或字节/秒表示。2、并发连接数：并发连接数是防火墙能够同时处理的点对点连接的最大数目，它反映出 防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。影响并发连接数条目的主要因素是内存容量，其次是影响并发连接数条目的主要因素是内存容量，其次是 CPUCPU 频率及其他硬件。频率及其他硬件。1) 以每个并发连接表项占用 300B 计算，1000 个并发连接将占用 300B10008bit/B2.3Mb 内存空间，10000 个并发连接将占用 23Mb 内存空间，100000 个并发连接将占用 230Mb 内存空间，而如果真的试图实现 1000000 个并发连接的话那么， 这个产品就需要提供 2.24Gb 内存空间！2) 并发连接数的增大应当充分考虑 CPU 的处理能力 ，CPU 的主要任务是把网络上的流量 从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的 访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表 中的相应表项进行不断的更新读写操作。如果不顾 CPU 的实际处理能力而贸然增大系统的 并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接 报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。3) 在实际中选型的时候要考虑终端用户的数量，以便计算出所需要的最大连接数。以每个 用户需要 10.5 个并发连接来计算，一个中小型企业网络（1000 个信息点以下，容纳 4 个 C 类地址空间）大概需要 10.51000=10500 个并发连接，因此支持 2000030000 最大并 发连接的防火墙设备便可以满足需求；大型的企事业单位网络（比如信息点数在100010000 之间）大概会需要 105000 个并发连接，所以支持 100000120000 最大并发 连接的防火墙就可以满足企业的实际需要; 而对于大型电信运营商和 ISP 来说，电信级的 千兆防火墙（支持 120000200000 个并发连接）则是恰当的选择。为较低需求而采用高端 的防火墙设备将造成用户投资的浪费，同样为较高的客户需求而采用低端设备将无法达到 预计的性能指标。3、最大连接速率：即每秒新建连接数，是指在指定时间(比如 1 秒)内防火墙能成功建立 的最大连接数目(主要和 CPU 的处理性能有直接关系，其他硬件其次)。4、延迟：延迟是指防火墙转发数据包的延迟时间，延迟越低，防火墙数据处理速度越快。5、丢包率：丢包率是指在正常稳定网络状态下，应该被转发由于缺少资源而没有被转发 的数据包占全部数据包的百分比。较低的丢包率，意味着防火墙在强大的负载压力下，能 够稳定地工作，以适应各种网络的复杂应用和较大数据流量对处理性能的高要求。6、平均无故障时间：平均无故障时间(MTBF)是指防火墙连续无故障正常运行的平均时间。