作為防火墻來說, 最大的特點(diǎn)就是對(duì)4-7層的高層流量可以進(jìn)行一定的控制。所以在一定程度上講,性能是肯定要受到影響的。而這種影響有多大,會(huì)不會(huì)成為整個(gè)網(wǎng)絡(luò)的瓶頸, 從而使用戶難以忍受, 就成為人們所關(guān)心的問題。 由于大部分防火墻的結(jié)構(gòu)是軟硬結(jié)合的, 所以功能上的要求較容易滿足――只要可以想得到, 基本上實(shí)現(xiàn)起來困難不大。 但是落實(shí)到性能上,才可以看到產(chǎn)品的真品質(zhì)。下面我們就淺析一下這方面的性能測(cè)試。 我們可以大致分為以下兩類: 基準(zhǔn)測(cè)試和真實(shí)環(huán)境測(cè)試。

　　 基準(zhǔn)測(cè)試(Base Line Testing)
　　首先是在防火墻配置規(guī)則情況下的性能測(cè)試。
　　這個(gè)測(cè)試和上篇中的二層/三層的測(cè)試是比較接近的。 但是此時(shí)需要在防火墻上配置規(guī)則。在一些防火墻的結(jié)構(gòu)中,設(shè)置規(guī)則與透明模式相比, 將調(diào)用另外的例程,從而表現(xiàn)得大相徑庭。我們?cè)跍y(cè)試中應(yīng)該考慮到這一點(diǎn),所以建議可根據(jù)自己的需要設(shè)置數(shù)量不等的規(guī)則,再進(jìn)行性能比較。 例如, 可采用1, 50, 100, 500, 1000甚至更多的規(guī)則, 然后再重復(fù)進(jìn)行二層/三層的測(cè)試。 在這其中又分兩種情況: 1.將所有發(fā)送的流量設(shè)置為可以通過該設(shè)備,此時(shí)可以直接和透明模式測(cè)試結(jié)果做比較,查看規(guī)則對(duì)性能的整體影響。2.將流量配置成含有“阻塞/通過”的多樣化, 這樣就需要使用的測(cè)試儀表能夠提供強(qiáng)大的數(shù)據(jù)流發(fā)送功能, 而且在接收時(shí)將不同數(shù)據(jù)流區(qū)分出來。 在檢查了“通過數(shù)據(jù)流”的性能的同時(shí),亦可驗(yàn)證“阻塞數(shù)據(jù)流”是否生效。 這種測(cè)試的優(yōu)勢(shì)在于同時(shí)檢查了被測(cè)設(shè)備的功能和性能, 而且更加符合實(shí)際的情況。

　　 防攻擊性能測(cè)試(DoS/DDoS)
　　攻擊測(cè)試是很重要的一部分。 此時(shí)我們可采用一些典型的攻擊方式如:Syn Flood, Ping Flood，Smurf等。 主要的目的是看看防火墻是不是能夠成功的將其擋住。 當(dāng)我們將合法流量混合攻擊流量時(shí),我們更可以看到防火墻在處理攻擊的同時(shí),對(duì)于高速的合法流量如何處理。一般來講, 攻擊測(cè)試既可以使用測(cè)試儀表實(shí)現(xiàn), 也可以使用軟件實(shí)現(xiàn), 如一些黑客程序等, 但是象Syn Flood這樣的攻擊則對(duì)速度要求很高, 故使用測(cè)試儀表發(fā)送才能測(cè)出有意義的結(jié)果。 使用儀表時(shí), 應(yīng)注意對(duì)將來不斷涌現(xiàn)的攻擊方式做通盤考慮。 最好是能夠?qū)Π奶畛鋬?nèi)容做完全控制, 而且有較好的腳本編程的功能。 在使用軟件做攻擊模擬時(shí)最好有儀表同時(shí)模擬背景流量。
　　另外需要指出的是: 并非所有攻擊都應(yīng)該被全部擋在外面。 如Syn Flood的攻擊至少用滿足某個(gè)門限值才能夠被防火墻確認(rèn), 然后實(shí)施攔截。 再如Tear Drop攻擊也能夠被防火墻發(fā)現(xiàn)然后重組轉(zhuǎn)發(fā)出去。 所以要根據(jù)攻擊類型特別注意加以分析。 為確保所下結(jié)論正確, 建議在內(nèi)網(wǎng)旁路一個(gè)協(xié)議分析儀進(jìn)行捕獲和分析。

　　 TCP連接性能測(cè)試
　　人們一提到L4-L7的測(cè)試, 就自然想到了TCP 連接(TCP Connection)。 關(guān)于連接的測(cè)試一般有兩個(gè)方面。
　　1. 并發(fā)連接總數(shù)的測(cè)試。 并發(fā)連接是一個(gè)很重要的指標(biāo)。 它主要反映了被測(cè)設(shè)備維持多個(gè)會(huì)話的能力。關(guān)于此指標(biāo)的爭(zhēng)論也有很多。一般來說,它是和測(cè)試條件聯(lián)系緊密的。 但是這方面的考慮有時(shí)會(huì)被人們忽略。 比如,測(cè)試的時(shí)候采用的傳輸文件大小就會(huì)對(duì)測(cè)試結(jié)果有一定的影響。 可以這樣考慮:如果在傳輸中高層流量很大的話, 被測(cè)設(shè)備將會(huì)占用很大的系統(tǒng)資源去處理包檢查,導(dǎo)致無法處理新請(qǐng)求的連接，引起測(cè)試結(jié)果偏小。 反之則測(cè)試結(jié)果會(huì)大一些。 所以沒有測(cè)試條件而只談并發(fā)連接數(shù)是難以定斷的。 從宏觀上來看, 這個(gè)測(cè)試的最終目的是比較不同設(shè)備的“資源”。也就是說處理器資源和存儲(chǔ)資源的綜合表現(xiàn)。中國市場(chǎng)上出現(xiàn)了大家盲目攀比并發(fā)連接數(shù)的情況。事實(shí)上,并發(fā)幾十萬的連接數(shù)應(yīng)該足可以滿足一個(gè)電信級(jí)的數(shù)據(jù)中心服務(wù)網(wǎng)絡(luò)了,對(duì)于一般的企業(yè)來講, 甚至可能并發(fā)幾千個(gè)連接數(shù)已經(jīng)綽綽有余。 并發(fā)連接總數(shù)應(yīng)能由儀表自動(dòng)測(cè)試結(jié)果, 以減少測(cè)試所用的時(shí)間和人力。
　　2. 并發(fā)連接處理速率。這個(gè)指標(biāo)主要體現(xiàn)了被測(cè)設(shè)備對(duì)于連接請(qǐng)求的實(shí)時(shí)反應(yīng)能力。對(duì)于中小用戶來講,這個(gè)指標(biāo)就顯得更為重要。 可以設(shè)想一下,當(dāng)被測(cè)設(shè)備每秒可以更快的處理連接請(qǐng)求,而且可以更快的傳輸數(shù)據(jù)的話,網(wǎng)絡(luò)中的并發(fā)連接數(shù)就會(huì)傾向于偏小,從而設(shè)備的壓力也會(huì)減小,用戶看到的防火墻性能也就越好。所以并發(fā)連接處理速率的確是個(gè)很重要的指標(biāo)。 理想的測(cè)試工具可以幫助使用者搜索到被測(cè)設(shè)備能夠處理的峰值, 減輕其工作的負(fù)擔(dān)。

　　 有效吞吐量測(cè)試(TCP GoodPut)
　　當(dāng)我們談起吞吐量時(shí),大多都是指二層/三層的測(cè)試結(jié)果。但是隨著測(cè)試面向的流量轉(zhuǎn)為四層以上, 有效吞吐量的概念就顯得重要起來了。這個(gè)概念通俗點(diǎn)講, 就是除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù), 實(shí)際的每秒傳輸有效速率。 計(jì)算的方式也很簡單明了:用所傳輸?shù)奈募笮〕詡魍赀@個(gè)文件的時(shí)間, 得到一個(gè)平均速率, 稱為“有效吞吐量”。 不難看出,這個(gè)概念實(shí)際上和前面所提到的“吞吐量”是完全不同的。請(qǐng)注意避免混淆。在RFC2647中也對(duì)此概念有所說明。那么通過這個(gè)測(cè)試我們能夠得到什么信息呢?首先,我們可以知道測(cè)試中的延遲和丟包對(duì)最終用戶的影響有多大。因?yàn)樽罱K用戶是不關(guān)心二層三層的。他們的大部分應(yīng)用都是運(yùn)行在四層以上。如果有效吞吐量性能不好(即使二/三層的轉(zhuǎn)發(fā)性能不錯(cuò)),則會(huì)導(dǎo)致整個(gè)主機(jī)看起來運(yùn)行緩慢。其次,這個(gè)測(cè)試也有助于幫助廠商定位問題及找到系統(tǒng)的未來可發(fā)展空間?？梢詫⒋私Y(jié)果和基準(zhǔn)測(cè)試中的結(jié)果做一對(duì)比,確定是第三層的轉(zhuǎn)發(fā)引擎還是第四層的狀態(tài)檢查影響了系統(tǒng)性能。在做此測(cè)試的時(shí)候, 應(yīng)該注意采用多個(gè)模擬的主機(jī)進(jìn)行混合測(cè)試。原因是由于TCP是采用“滑動(dòng)窗口”的狀態(tài)相關(guān)的協(xié)議,所以理論上講, 模擬單個(gè)主機(jī)是無法使鏈路的最大性能發(fā)揮出來的。

　　 TCP連接建立的延遲
　　RFC2647中提出了測(cè)量這個(gè)指標(biāo)。 理想的情況是測(cè)量出每個(gè)連接從發(fā)起到確認(rèn)連接建立的時(shí)間差, 給出最大、最小和平均的測(cè)試值。 事實(shí)上, 做到這點(diǎn)是相當(dāng)困難的, 因?yàn)闇y(cè)試工具必須能夠跟蹤上萬個(gè)連接, 而且能夠?qū)崟r(shí)的將它們的相應(yīng)報(bào)文挑出來, 分別進(jìn)行統(tǒng)計(jì)。 而目前來看還沒有一個(gè)這么強(qiáng)大的工具能做到這點(diǎn)。 所以在多數(shù)情況下可采用幾種方式代替, 如測(cè)量單位時(shí)間內(nèi)實(shí)際建立的連接數(shù)(排除緩沖區(qū)的影響), 或測(cè)量客戶端收到第一個(gè)字節(jié)數(shù)據(jù)的時(shí)間等等。
　　 
        真實(shí)環(huán)境測(cè)試(Real World Testing)
　　限于篇幅, 本文將主要介紹一下所謂“真實(shí)環(huán)境測(cè)試”的概念。 這種測(cè)試是最近比較熱門的一種提法。 其主要特點(diǎn)是盡可能地把測(cè)試的流量和測(cè)試的環(huán)境接近于真實(shí), 甚至有可能就將真實(shí)的流量捕獲之后重放到網(wǎng)絡(luò)上面。為了區(qū)別前面討論的“基準(zhǔn)測(cè)試”, 我們舉一個(gè)小例子: 當(dāng)我們的防火墻在網(wǎng)上運(yùn)行的時(shí)候, 在某一時(shí)間面內(nèi), TCP連接可能存在著三種情況: 有的正在建立, 有的正在傳輸數(shù)據(jù), 有的正在關(guān)閉。 這是一個(gè)“真實(shí)”的情況。 但是我們?cè)谧?ldquo;基準(zhǔn)測(cè)試”的時(shí)候并沒有考慮這樣一個(gè)復(fù)雜而混亂的情況, 而選擇了相對(duì)來說比較“純凈”的測(cè)試流量模型, 即不斷的建立連接, 然后傳輸數(shù)據(jù), 而后依此關(guān)閉連接。 從而我們得到一個(gè)好處: 測(cè)試結(jié)果比較穩(wěn)定, 流量模型可控。
　　但是我們失去了一些真實(shí)性。有可能會(huì)造成一些問題難以在測(cè)試中發(fā)現(xiàn)。 再舉一個(gè)例子: 用戶上網(wǎng)的時(shí)候都有各自的接入速率, 在到達(dá)網(wǎng)站的路徑上都會(huì)有丟包, 在看網(wǎng)頁的時(shí)候可能有自己的思考時(shí)間, 在網(wǎng)頁下載緩慢的時(shí)候也有自己的容忍限度等等, 這些都是一些現(xiàn)實(shí)問題, 都可能對(duì)選擇設(shè)備和網(wǎng)絡(luò)設(shè)計(jì)產(chǎn)生影響, 而這些問題在“基準(zhǔn)測(cè)試”中是被忽略的, 被認(rèn)為是理想的, 而恰恰是“真實(shí)環(huán)境測(cè)試”需要考慮的。 從這兩個(gè)例子中我們可以簡單總結(jié)出一條結(jié)論: “真實(shí)環(huán)境測(cè)試”實(shí)際上是一種絕對(duì)測(cè)試, 即對(duì)測(cè)試個(gè)體在網(wǎng)絡(luò)的真實(shí)運(yùn)行狀態(tài)的一個(gè)絕對(duì)的評(píng)價(jià); “基準(zhǔn)測(cè)試”則是一種穩(wěn)定的相對(duì)測(cè)試, 側(cè)重點(diǎn)在于不同產(chǎn)品之間的比對(duì)。 二者各有其優(yōu)勢(shì)。 而“真實(shí)環(huán)境測(cè)試”由于在以前的測(cè)試中重視不夠, 所以目前發(fā)展空間比較大, 值得關(guān)注。 以后我們將另文深入探討該測(cè)試, 但這里需要指出的是, 不要簡單的認(rèn)為使用真實(shí)的捕獲的流量的測(cè)試就是“真實(shí)環(huán)境測(cè)試”。