用網絡層名額衡量下一代防火牆性能？你OUT啦！

導讀

本文講的是 用網絡層名額衡量下一代防火牆性能？你OUT啦！，談及到網絡裝置的性能名額，大家總是習慣性的聯想到吞吐量、丢包率等網絡層性能名額。誠然，以吞吐量為代表的網絡層名額概念清晰，易于測量，對于使用者選型傳統防火牆等典型網絡層裝置起到了很好的指導作用。但随着近年來應用需求和網絡技術的發展，使用者不再滿足于基本的資料通信能力，而是更多關注業務本身的營運效率與安全，希望看到網絡流量中使用者、應用、内容等可了解的資訊，随之而來的是應用層網絡裝置的不斷湧現。如何客觀公正的評估這些新一代安全裝置的性能，成為擺在使用者面前亟待解決的問題。

網絡裝置性能評估需要費厄潑賴

與傳統網絡裝置相比，應用層網絡裝置不再簡單的關注資料封包的轉發，而是關注和應用協定相關的内容，如協定識别、應用特征識别、應用威脅識别等，并基于此開發功能特性。針對這些特性，通常應用層網絡裝置都有各種各樣的識别引擎，無論何種算法，最基本的一個要求就是：必須把資料包解封到OSI模型第七層，即應用層。而網絡層裝置以資料包轉發為主要目的，隻關心資料包轉發能力，隻需要解封到第三層，找到對應的IP位址和端口資訊即可。

資料包封裝和解封，層次越多，CPU的計算負載就越高，這會直接展現在性能上的衰減。同樣處理能力的CPU，處理網絡層資料轉發和應用層識别，所呈現的性能參數是完全不同的，不能放在一起橫向比較。使用傳統網絡層性能名額來評價應用層裝置的性能，顯然有悖于現代社會所倡導的費厄潑賴（Fair Play）精神。

應用層性能測試的本地化實踐

應用層裝置的性能測試名額，并不是什麼新生事物。全球知名的獨立安全研究和評測機構NSS Labs已經提出過比較詳細的評估名額，包括網絡層吞吐量、網絡層建立連接配接速率、應用層吞吐量和應用層建立連接配接速率四個名額。之是以将一些網絡層的評估名額也引入到了對應用層裝置的評估，是為了衡量被測裝置的基礎資料轉發能力，確定工作引擎在攻擊流量下仍有足夠的應用層處理能力。

NSS Labs的測試名額與方法具有普遍性，适用于品類多、覆寫廣的通用性測試，但沒有充分考慮産品實測的流量模型，尤其是沒有考慮到中國本土網絡環境下的熱點應用、網絡條件和使用方法等地域性特征。就此缺點，國内有安全廠商提出了更貼近中國市場“真實世界”的本地化性能測試名額和方法建議，具體包括以下幾個名額：

應用層吞吐量

測試方法：在開啟應用識别引擎的前提下，通過發送平均21K大小HTTP頁面來測試裝置應用層最大吞吐量，且隻能計算成功獲得HTTP響應的連接配接。

（說明：選取大小為21K的頁面，是基于該廠商對多家高校、營運商等典型網絡環境的長期流量統計，總結得出對于每Gbps的流量，包速率采用185Kpps、平均包長670位元組、建立連接配接速率5000個/秒，能夠比較準确地描述實際流量，可以作為實際性能測試的流量模型。将流量換算為HTTP頁面，恰好為21K。）

開啟IPS的應用層吞吐量

測試方法：在開啟應用識别引擎、IPS引擎的前提下，通過發送平均21K大小HTTP頁面來測試裝置應用層最大吞吐量，且隻能計算成功獲得HTTP響應的連接配接。

（說明：本項測試主要針對下一代防火牆（NGFW）裝置。由于IPS開啟會較大影響整體性能，是以有必要考察開啟IPS功能後裝置的性能表現。）

應用層建立速率

測試方法：發送64位元組大小的HTTP頁面，且必須獲得正常的HTTP響應，計算每秒可以建立的最大HTTP連接配接數。

網絡層吞吐量

測試方法：發送1518位元組UDP資料包來測試裝置網絡層最大吞吐量，與傳統方法相同。

網絡層建立速率

測試方法：正常建立和銷毀1位元組負荷的TCP連接配接，來計算最大TCP建立連接配接數。

小結

由于網絡層裝置與應用層裝置的特點與差異，傳統的網絡層性能标準無法有效衡量應用層網絡裝置的能力。基于業界權威的标準和測試方法，并結合對中國本土化應用層流量模型特征，建議使用四項通用名額來評估應用層網絡裝置性能：應用層吞吐量，應用層建立速率，網絡層吞吐量，網絡層建立速率。其中應用層名額可以作為主要名額，網絡層名額可作為參考名額。此外，對于下一代防火牆裝置，還需要考察開啟IPS功能後的應用層吞吐能力。

原文釋出時間為：十二月 23, 2015

本文作者：aqniu

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。