传输层性能测试
传输层性能是针对防火墙状态相关的性能测试。它主要包括TCP并发连接数(Concurrent TCP Connection CapacITy)和最大TCP连接建立速率(Maximum TCP Connection Establishment Rate)两项指标的测试。在RFC2647/RFC3511中对上述两个测试项做了明确定义与测试说明。在本测试中我们选择最能显示防火墙CPU处理能力的最大TCP连接建立速率来进行测试。
最大TCP连接建立速率通常也成为每秒新建连接速率,是测试防火墙维持的最大TCP连接建立速度,本指标用以体现防火墙更新状态表的能力,考察CPU的资源调度状况。这个指标主要体现了被测防火墙对于连接请求的实时反应能力。当被测防火墙每秒可以更快地处理连接请求,而且可以更快地传输数据的话,用户使用网络的实际感受也就越好,所以TCP连接建立速率的确是个很重要的指标。
本次测试使用了Ixia公司最新的BPS测试仪。通过测试,本次测试设备最大TCP连接建立速率可达15万/秒。下图是本次测试平台的TCP连接建立速率测试结果。
应用层性能测试
应用层性能指的是设备处理HTTP应用层流量的防火墙基准性能,主要包括HTTP传输速率(HTTP Transfer Rate)和最大HTTP事务处理速率(Maximum HTTP Transaction Rate)。
HTTP传输速率主要是测试防火墙在应用层的平均传输速率,是被请求的应用数据通过防火墙的平均传输速率。统计时只能计算协议的有效负载,不包括协议头部分。也必须将与连接建立、释放,以及维持连接所相关的数据排除在统计之外。该项指标也是我们常说的有效吞吐量(GOODPUT)。当我们提到吞吐量时,大多都是指二/三层的测试结果。但作为防火墙这类设备来说有效吞吐量显然是更重要的。由于我们的应用都是运行在四层以上。如果有效吞吐量性能不好,即使二/三层的转发性能很好,仍会导致应用运行缓慢。
最大HTTP事务处理速率是防火墙所能维持的最大事务处理速率,即表示用户在访问应用业务时所能达到的最大速率。HTTP传输速率和最大HTTP事务处理速率是最能贴近用户真实应用的性能指标。
应用层性能测试也是本次试验测试的重要部分,本次测试分别选取64K、32K、16K、1K字节页面作为测试页面,测试不同页面大小情况设备的HTTP传输速率以及最大HTTP事务处理速率。
测试结果如下:
从上表中的数据我们可以看出根据HTTP Get目标大小的不同,两个指标HTTP传输速率和最大HTTP事务处理速率均会有很大差异。当HTTP GET的目标较大时,HTTP传输速率结果会比较好,当HTTP GET的目标较小时,最大HTTP事务处理速率就会比较高。因此不结合实际情况,单纯看HTTP传输速率和最大HTTP事务处理速率也是不够的。
通过前面的分析,针对同一款设备我们分别测试了网络层性能-最大吞吐量,传输层性能-每秒新建连接速率,应用层吞吐- HTTP传输速率和最大HTTP事务处理速率。
在上表中,应用层性能指标我们选用了测试数据中的中间部分HTTP GET Obje Size为32K,这个值有一定的代表意义。如果相同测试条件下进行不同厂家设备的横向对比,通过以上这些数据完全可以比较出高低优劣。但是我们选取的HTTP GET 32K的应用层性能数据就代表设备在真实环境下能够达到这样的处理能力呢?让我们继续下面的测试,看看在下面的测试环境下设备表现如何。
真实应用环境中,业务肯定不是单一的HTTP业务。由于不同的行业,不同的场合,其网络流量构成也有较大差别。本次测试使用的IXIA BPS测试仪表提供了多种流量模型,这些模型从业务构成以及比例上都比较接近真实业务环境。此次测试挑选高校模型和企业模型分别测试:
高校模型:
企业模型:
从以上两个流量模型的测试结果可以看出,随着业务多样性防火墙所能处理的吞吐量及每秒新建会话数进一步下降。
基于以上测试数据,可以看出在防火墙缺省策略的应用情况下,根据实际情况仿真的测试值比宣称值下降了接近70%-80%。当然用户购买安全设备并不是不配置任何策略就使用的,安全策略的配置是必不可少的内容,也就是说一台宣称20G吞吐量的万兆防火墙在实际环境中能在2G到4G环境下正常应用。
黑夜给了你黑色的眼睛,面对林林总总的万兆防火墙,希望本文能帮助无论是在选择防火墙或者推荐防火墙的您一些帮助。