04年度中国市场主流防火墙产品评测技术报告(3)

http://www.sina.com.cn 2004年11月29日 21:33 赛迪网

文/陈勇

3、性能测试

　　性能在防火墙的实际应用中占有非常重要的位置，例如电子政务中视频会议的应用，各大媒体报社及广告业务量比较大的单位或公司，电信行业以及电力等能源行业、国家比较大的研究院等都对防火墙的性能有着很高的要求。

　　在防火墙的实际应用中，对于大多数中小企业来说，可能防火墙的出口带宽也只有2M，因此，对于目前防火墙产品来讲可能不会成为网络的瓶颈，而对于许多防火墙的应用，同时还肩负了内部互联网的各种实际应用，因此对防火墙性能无论厂商还是实际用户都应该有一个比较理性的认识。

　　本次对防火墙性能的测试，我们采取了在IP层进行性能测试的方法，从实际应用角度来讲，更切近用户的实际应用。在性能测试的内容设置上，我们进行了吞吐量测试，丢包率、平均延迟、有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，赛迪评测认为，从这些指标上，能够比较客观的评价出防火墙的产品性能。

图三 性能测试环境示意图

　　在性能测试中，我们使用SmartBits 6000B的smartflow测试组件，采用RFC建议进行测试。测试采用双向数据流、整个测试时长为120秒，并设置多流的情况进行吞吐率测试。多流设置为双向-100流-UDP(即内、外网的地址共200个且互不相同)，源和目标地址都同时变化，即在防火墙的状态表内会存在200个状态连接。对于有效通过率、每秒最大建立连接数、可以保持的最大连接数的测试，仍然采用websuite2.6进行测试。

　　二、测试结果及分析

　　1、安全性测试结果分析

　　按照安全性测试的方法，为了保证我们对被测防火墙测试结果的准确性，在对每一个攻击行为测试结束后，分别对UDP协议的吞吐量、TCP/HTTP的并发连接数等都进行了测试，以验证被测试设备不会是由于防火墙阻断一个攻击而引起阻断所有连接，使得下一个攻击实际是在防火墙阻断下进行的。因此，本攻击测试的结果是有效的。

　　从测试的结果来看，方正方御FG6340、安氏LinkTrust CyberWall -206、南大苏富特softwall 4000、Watchguard Firebox 1000防火墙在整个攻击测试中表现突出，全部阻断了上述攻击。华为Quidway Eudemon 500、清华得实NetST2300在安全设计上都采用了攻击防范设置，特别是华为采用“发现攻击后自动启用代理”的方式，有效阻断了如synflood等攻击，测试结果表明，这种技术在攻击防范上是值得推广的。另外，亿阳网警BOCO.SFW-3000防火墙、清华紫光UF3500防火墙、阿姆瑞特AS-F300防火墙等防火墙在测试过程中也有不同程度的表现，测试结果也是令人满意的。