如何解读评测指标

1.吞吐量（Throughput）

吞吐量是衡量网络设备对数据吞吐能力的基本指标。防火墙作为一款重要的网络设备，所有的数据流都会经过它转发，其值的高低决定了防火墙在没有丢帧的情况下发送和接收帧的最大速率。其结果是占1000Mbps速率的百分比。

2.最大并发连接数

（Concurrent Connection Capacity）

最大并发连接数是测试一个网络设备所允许的最大并发连接容量的基本指标。当今网络上的流量大约有90%是靠TCP连接传输的，最大并发连接说明了防火墙在不丢失连接的基础上所能处理的最大连接数。

这个指标除了和连接请求的速率有关外，还和防火墙本身的内存容量、连接数据存储结构有关。

3.Syn-flood攻击的防范

我们将正常的SYN连接请求和攻击SYN包混合一起发给被测设备，为的是测试出被测设备在成功阻断攻击流的同时对于正常连接请求的处理情况。

测试时我们发出10万个正常连接请求，并在整个测试过程中都对被测设备加以Syn-flood攻击，检测在攻击下成功建立的连接百分比，以确定防火墙的抗攻击能力。

参测产品巡礼

本次评测的邀请产品限定为“具有千兆网络接口的防火墙产品”，对于其具体适用的光电接口类型没有进行限制，以保证评测能够全面地体现当前千兆防火墙的主流功能与性能。这次共有来自10家国内外厂商的10款千兆防火墙产品参加了电信级和企业级两个级别的测试，参测厂商及产品列表如表1所示。两个级别的测试都包括性能测试、功能测试和抗攻击能力测试三个部分。在评测规范的制定上，我们以“贴近用户”、“贴近实际应用”为宗旨，并参照了有关的国家标准，针对用户防火墙在实际环境中可以表现出的性能以及用户普遍关心的功能进行了测试。

本次测试的10家产品中，联想网御7000和比威UF12000是基于NP架构，首信CF2000-CG600和方正数码方御8360是基于ASIC架构，其余的产品主要基于x86架构，其中网新易尚ES4000和FortiNet FG3000使用了专用于加速内容过滤的ASIC芯片。

这次我们测试的产品中，有8款是已经正式发布的产品，而来自方正数码和紫光比威的两款产品目前还处在研发的最后阶段。我们最终决定对其进行测试，主要是因为我们考虑到这两款产品都具有一定的代表性。虽然对于这类产品进行评测会给我们的评测带来更多不可知的因素，但我们仍然认为有必要为读者提供第一手的信息。需要注意的是，对于正在研发中的产品，我们测试的数据与其产品正式发布的数据可能不同，我们相信这两款产品在正式发布之前还会经过一些调整和优化。

由于方正数码和紫光比威的产品由于尚在研发过程中，部分功能尚未实现。方御8360只参加了功能测试，而比威UF12000只参加了性能测试。此外，安氏的LinkTrust CyberWall-1000由于在运输过程中出现了意外的延误，因此没有能够参加功能测试和抗攻击能力测试。而其他的产品都参加了所有各项测试。

测试结果表明，从功能上看x86阵营仍然占有绝对的优势，而ASIC和NP的阵营在性能上毫无悬念地获得了胜利。

在综合考虑性能和功能评测结果的基础上，联想网御7000和阿姆瑞特F5000获得了我们的电信级千兆防火墙产品推荐产品奖；而FortiNet FG3000获得了企业级的推荐产品奖。

性能测试方案

在性能测试和抗攻击能力测试中，我们使用的测试设备为思博伦通信公司提供的Spirent SmartBits 6000C网络测试仪，其中安装了三个TeraMetrics 3325A测试模块，可以同时提供12个全双工的千兆铜缆(1000 Base-T)或光纤（1000Base-SX，通过mini-GBIC）接口。

在抗攻击能力和最大并发连接数的测试中，我们使用了NetGear GM7312全千兆12端口（combo口）以太网交换机进行流量的混合。

在吞吐量测试中我们使用了2～4层的测试软件Spirent SmartFlow 3.0，在最大并发连接数测试以及抗攻击测试中，我们使用了4～7层的测试软件Spirent WebSuite 2.5。性能测试网络结构如下图所示。

对于防火墙产品，用户最为重视的性能指标通常是吞吐量。这也是千兆防火墙最能体现出与百兆产品之间差距的地方。因此，在性能测试中，我们主要对吞吐量指标进行了考察。在进行吞吐量测试时，我们使用了TeraMetrics XD一个模块上的一对端口。在测试包长的选取上，我们并没有采用常见的64字节UDP包作为基准，虽然这对于测试设备的包转发率很有帮助，但是这种流量是不会在现实网络环境中出现的。为了尽量模拟防火墙的实际工作环境，使测试的结果对用户更有实际意义，我们采用了与Internet实际流量近似的IMIX简单混合包流量进行测试，测试流量中包含3种包长，分别为64字节、576字节和1518字节，所占比例为7∶4∶1。

考虑到企业级与电信级环境上的差异，我们对企业级产品只进行了NAT模式下的测试；而由于电信级防火墙也经常需要工作在NAT模式下，为宽带用户提供地址转换，我们在路由和NAT两种模式下的都进行了测试。

对于企业级产品，我们使用了60个单向流，其中3种包长比例为35∶20∶5,在NAT模式下进行测试。对于电信级产品，我们使用480个流（3种包长的比例为280∶160∶40），为了便于比较，我们在路由和NAT模式下都使用了单向流。

除了进行单条规则（默认规则为允许全部流量通过）条件下的测试外，同样是为了使测试条件更接近于用户的实际环境，我们还进行了1000条规则条件下的测试。所用规则由我们开发的程序生成，各条规则之间子网互斥，且先后之间无旁路关系的4层过滤规则，其中前999条为拒绝，最后一条为允许测试流量通过。每一条规则中都包含有源IP/子网、目的IP/子网、协议类型以及端口号。对于不支持批量规则导入的产品，我们允许其使用自生成的规则，并对其规则有效性和等效性进行了检查。

在吞吐量性能测试中，我们设置允许10万分之一的丢包率，以避免由于受测设备的时钟抖动而造成的个别丢包现象对测试造成影响。

此外，我们还对各款防火墙的最大并发连接数进行了考察（由于受测试设备的限制我们最多只进行了200万最大连接数的测试），需要注意的是，为了测得各家产品的最大并发连接数（保证至少有99.99%以上的连接成功建立），我们使用了不同的新建连接速率（从5000/s到2000/s，再到1000/s或更低，直到测试通过）。因此不能简单地将最大连接数作为比较的依据。TeraMetrics 3325A的每一对端口可以最大测试50万个并发连接，因此我们测试超过50万的最大并发连接时使用了多组端口。每对端口模拟10个客户机。

在抗攻击能力测试中，我们将SYN攻击的流量与正常的HTTP连接混合，考察被测的防火墙是否能够有效阻挡SYN攻击并同时使正常流量通过。与最大并发连接数的测试相似，按照不同的连接速率（企业级为1500/s，电信级为5000/s）。我们每次测试使用TeraMetrics 3325A的一对端口来模拟10个客户机。此外，我们将SYN攻击的初始流量设置为30%，如果测试效果较好，我们再尝试60%，进一步观察结果。

在吞吐量的各项测试中，为了保证测试结果的准确，消除测试误差的影响，我们对每项指标都至少进行了3次测试，然后取平均值。

（计算机世界报 第09期 D9）