在防火墙的各种性能指标中，人们一般最关注防火墙的吞吐率、平均时延以及最大新建连接速率，但在实际中，能反映复杂网络环境下防火墙应用的网包分类性能，对用户来说更有价值。

■ 清华大学信息技术研究院网络安全实验室 亓亚

网包分类性能

为什么重要？

网包分类性能是防火墙对每一个网流的第一个网包的处理能力。这一性能指标，直接反映了防火墙在处理新的网络流量时的速度。这一性能低，就反映了防火墙的性能低。网络管理员都知道，网络上大量出现的都是新的网络流量，而很少有现成的，因此，一些采用固定流量的评测方法，很难反映防火墙真实的性能。具体来说，对网络上的合法流量而言，防火墙的工作原理通常是要为合法流量建立连接，并通过快速通道的精确匹配进行高速转发，但新建连接都需要对网流的首包进行分类，因此网包分类性能直接影响新建连接的速率; 其次，对非法流量而，防火墙的主要工作是拒绝为非法流量建立连接，所以非法流量的网包即使属于同一网流，也需要进行分类，网包分类性能反映了防火墙处理大量非法流量的能力。

因此，在现实应用中，影响网包分类性能最大的两个因素是: 防火墙的规则设定和网络上非法流量的数量。

防火墙的主要功能除了对数据包进行转发，还要按照规则对数据包进行过滤。因此，规则的数量就会直接影响防火墙的使用性能，如果过滤一个包要查几千条规则的话，防火墙的负担就会很重。如果防火墙查规则的性能不高，防火墙的整体性能就会严重受损，会影响防火墙的新建连接速度。关于这一点，我们已经研究了2～3年的时间，我们发现业界已有的大量算法并不成熟，很多防火墙声称可以处理多少条规则，但都是一些很简单的规则，很容易处理。但在现实应用中，防火墙规则的设定是用户根据自己的安全策略来定的，用户安全策略的不同造成了规则的千差万别，也造成了规则数量的庞大，因此，真正实用的规则是很不好处理的。以前我们测过很多厂家的防火墙产品，不用说用了几千条规则，就是用几十条规则，就使很多防火墙设备陷于瘫痪状态。这也是防火墙设备研发领域的关键技术含量所在，目前的防火墙设备，在这一点上处理得很好的并不多见，这是体现防火墙技术实力的一个重要指标。

网络上的非法流量同样很多，这是网络管理员很难控制的。在现实应用中，非法流量一多，防火墙必须有效处理这些流量，并同时让正常流量通过，这对防火墙的性能同样将产生巨大的影响，这也是在防火墙设备出厂时，用户很难检测到的一个关键指标，必须通过第三方公开的评测才能检测到。