一、引言

防火牆是在被保護網絡和互聯網之間，或是在其他網絡之間限制訪問的一種或一系列部件，主要具有過濾網絡數據包、管理網絡訪問行為、封堵禁止訪問行為、記錄通過的信息内容和活動、對網絡攻擊進行檢測和告警等基本功能。防火牆作為網絡安全保護的第一道屏障，直接影響着網絡的正常應用。

二、防火牆性能測試指标

建立一套科學合理的測試指标是保證測試有效進行的必要前提。一般來說，選取的測試指标應具備以下特征。代表性：所選指标在體現網絡設備特征方面應具有代表性。可執行性：所選取指标在測試時應便于執行。可對比性：所選取指标應使不同設備的測試結果可進行對比。完整性：所選取指标應能完全反映設備的性能狀況。

網絡互聯設備基準方法（RFC2544）中定義了4個網絡設備的性能指标：吞吐量、延遲、丢包率和背靠背。防火牆性能基準方法

（RFC3511）中則定義了10個網絡設備的性能指标：IP吞吐率、傳輸控制協議（TCP）并發連接數、最大TCP連接建立速率、最大TCP連接拆除速率、抗攻擊能力、HTTP傳輸速率、最大HTTP處理速率、異常流量處理、IP分片處理及延遲。GB/T20281-2015《信息安全技術防火牆技術要求和測試評價方法》中則對防火牆規定了4個性能指标：吞吐量、延遲、最大并發連接數和最大新建連接速率。

防火牆性能是硬件和軟件的綜合表現，硬件的設計和配置直接影響設備的性能。在相同硬件配置條件下，高效的算法和優化的管理軟件也能大大提高防火牆性能。

測試指标會針對每個性能提供多個測試用例，在執行性能測試用例過程中，主要涉及測試環境的搭建和性能測試工具參數的設置，而參數的設置将直接影響測試結果的準确性和公正性。防火牆性能測試中的主要測試儀表包括：Spirent公司的性能分析儀（TestCenter）、Avalanche和IXIA公司的Ixload等。

（一）吞吐量。作為衡量防火牆性能的重要指标之一，吞吐量小會造成網絡的瓶頸，從而影響整個網絡的性能。性能測試儀測定的是被測設備在不丢包的情況下，正常轉發的最大吞吐量。一般選端口的理論最大值（如100%），通過二分算法得出最終不丢包的情況下的最大吞吐量。延長測試時間和選取不同幀長的數據包等方法可提高吞吐量性能測試結果的精确度。但測試時間的延長及選取不同幀長的數據包又将大幅增加測試時間。所以綜合考慮，根據RFC2544的要求，每一輪數據包的發送時間為120秒。此外，不同幀長的數據包吞吐量的差别很大，這是因為同一帶寬下，幀長與數據包數成反比，幀長越小，包數越大，防火牆對包的處理耗費時間就越多，從而導緻吞吐量下降，反之亦然。根據RFC2544的要求，測試時的幀長一般選取為64字節、128字節、256字節、512字節、1280字節、1518字節。

（二）延遲。延遲能力将體現防火牆的數據處理速度。一般延遲是通過按一個固定的持續時間發送幀，每一秒會有一個打了時間戳T1的幀被傳輸出去，當測試儀收到這個幀時，将完成傳輸時的時間與幀攜帶的時間戳T2的比較，從而計算出延時值為T2-T1。考慮時鐘同步問題，一般将發出的幀環回到發送方進行比較。延遲測試是建立在吞吐量指标測試的基礎上，首先要進行吞吐量測試，然後根據吞吐量的測試結果向設備發送對應每個幀長吞吐量的數據包。

（三）丢包率。丢包率對防火牆的穩定性、可靠性有很大影響。一般測試時按初始速率開始發送幀，記錄收到的幀數量，如果被測設備不能完全轉發，會降低一點速率再次發送，測試會一直持續到防火牆可完全轉發為止，最後的結果會顯示出各種幀長度的幀丢失情況。丢包率測試是通過發送端向防火牆發送一定數量的測試幀，幀數計為A；接收端在收到數據包後對其進行統計，得出成功轉發的數據幀個數為B；則可得丢包率為B/A×100%。

（四）背靠背。該指标能體現出被測防火牆的緩沖能力。通過向被測設備連續發送具有最小幀間隔的N個幀，并統計被測設備轉發幀的個數。如果發送幀的個數和轉發幀的個數相等，則增加N值，再重複上述測試過程。

（五）最大并發連接數。主要用來測試被測防火牆建立和維持TCP連接的性能。利用性能測試儀測試最大并發連接數時，在服務器上設定一定大小的時延，使服務器和客戶端一直保持聯接狀态，然後使客戶端和服務器快速建立大量聯接，直到設備達到最大承受的連接數。

（六）最大新建連接速率。主要用來衡量單位時間内防火牆建立和維持TCP連接的能力。利用性能測試儀測試每秒新建聯接時，客戶端向服務器發起建立聯接并請求一個設定好的網頁，收到請求的網頁立即關閉聯接，不斷提高建立聯接的速率，直到設備中有聯接沒有成功建立為止。

四、防火牆性能測試的考慮因素

筆者通過性能測試儀進行的是一種模拟測試，希望盡可能逼近現實網絡環境，這裡真實的環境可以是防火牆的使用場景，也可以是防火牆中的流量内容。防火牆各個性能指标值之間是強關聯，但按照RFC測試理論，測試某一個性能指标時，應盡量排除其他指标的影響，實際測試的是這個指标的最優值。在實際應用中，往往對各種指标進行綜合考慮，但在實驗室環境中，會受到一些因素的限制。

（一）性能設置的各個參數都是強關聯的，并将影響結果的準确性。筆者在進行TCP連接性能測試時，沒有考慮并發連接數對新建數産生的影響，同樣對新建數進行測試時，也沒有考慮并發連接數對其的影響。實際上，防火牆在某一時間内運行TCP連接時，可能存在3種情況：正在建立聯接、正在傳輸數據、正在關閉聯接。測試并沒有考慮這樣複雜的情況，性能測試儀所創建的測試流量模型是不斷地建立聯接，再傳輸數據，而後依次關閉聯接，失去了一定的真實性。

（二）用戶在實際上網時會考慮認證時間、接入速度、網頁聯接時間等，而這些因素往往在性能測試中被忽略。

（三）在相同網絡環境背景下，防火牆一些功能的開啟将會對其性能産生影響：網絡地址轉換（NAT）是将防火牆的源地址、目的地址及端口進行轉換，從而隐藏受保護的網絡真實地址。防火牆的性能應考慮最真實性能，因此要求防護功能全部開啟，才能更真實地體現防火牆的性能。

（四）在實際網絡流量中，混合加密的SSL流越來越普遍，防火牆應能迅速截獲SSL數據流并進行解密。在性能測試時，加載一定加密流量也是應該考量的一部分。

（五）性能優良的防火牆能不僅阻攔來自外部的惡意攻擊，還能使内部網絡與外界正常通信，對外提供服務。因此，應考慮防火牆在正常聯接情況下的防攻擊能力，在正常流量中增加各種攻擊流量也是對真實環境的考量。

防火牆的性能逐漸成為衡量防火牆的一個重要指标，随着測試設備的升級、測試标準的更新及測試手法的多樣化，防火牆性能測試也在不斷接近真實的網絡環境。因此，隻有在測試前對相關因素進行嚴格分析、統一檢測方法标準，才能對防火牆進行科學、合理、公正的測試。