衡量防火墻性能的參數指標有哪些
防火墻借由監測所有的封包并找出不符規則的內容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。對于防火墻的性能,我們應該怎么衡量比較呢?這篇文章主要介紹了衡量防火墻性能的幾個重要參數指標,需要的朋友可以參考下
防火墻主要參考以下3種性能指標:
整機吞吐量:指防火墻在狀態檢測機制下能夠處理一定包長數據的最大轉發能力,業界默認一般都采用大包衡量防火墻對報文的處理能力。
最大并發連接數:由于防火墻是針對連接進行處理報文的,并發連接數目是指的防火墻可以同時容納的最大的連接數目,一個連接就是一個TCP/UDP的訪問。
每秒新建連接數:指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接。該指標主要用來衡量防火墻在處理過程中對報文連接的處理速度,如果該指標低會造成用戶明顯感覺上網速度慢,在用戶量較大的情況下容易造成防火墻處理能力急劇下降,并且會造成防火墻對網絡攻擊防范能力差。
并發連接數
并發連接數是指防火墻或代理服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。
并發連接數是衡量防火墻性能的一個重要指標。在目前市面上常見防火墻設備的說明書中大家可以看到,從低端設備的500、1000個并發連接,一直到高端設備的數萬、數十萬并發連接,存在著好幾個數量級的差異。那么,并發連接數究竟是一個什么概念呢?它的大小會對用戶的日常使用產生什么影響呢?
要了解并發連接數,首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一 答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,打開的一個窗口或一個Web頁面,我們也可以把它叫做一個“會話”,擴展到一個局域網里面,所有用戶要通過防火墻上網,要打開很多個窗口或Web頁面發(即會話),那么,這個防火墻,所能處理的最大會話數量,就是“并發連接數”。
像路由器的路由表存放路由信息一樣,防火墻里也有一個這樣的表,我們把它叫做并發連接表,是防火墻用以存放并發連接信息的地方,它可在防火墻系統啟動后動態分配進程的內存空間,其大小也就是防火墻所能支持的最大并發連接數。大的并發連接表可以增大防火墻最大并發連接數,允許防火墻支持更多的客戶終端。盡管看 上去,防火墻等類似產品的并發連接數似乎是越大越好。但是與此同時,過大的并發連接表也會帶來一定的負面影響:
1.并發連接數的增大意味著對系統內存資源的消耗
以每個并發連接表項占用300B計算,1000個并發連接將占用300B×1000×8bit/B≈2.3Mb內存空間,10000個并發連接將占用 23Mb內存空間,100000個并發連接將占用230Mb內存空間,而如果真的試圖實現1000000個并發連接的話那么,這個產品就需要提供 2.24Gb內存空間。
2.并發連接數的增大應當充分考慮CPU的處理能力
CPU的主要任務是把網絡上的流量從一個網段盡可能快速地轉發到另外一個網段上,并且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作,這都要求防火墻對并發連接表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的并發連接表,勢必影響 防火墻對連接請求的處理延遲,造成某些連接超時,讓更多的連接報文被重發,進而導致更多的連接超時,最后形成雪崩效應,致使整個防火墻系統崩潰。
3. 物理鏈路的實際承載能力將嚴重影響防火墻發揮出其對海量并發連接的處理能力
雖然目前很多防火墻都提供了 10/100/1000Mbps的網絡接口,但是,由于防火墻通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鏈路——該瓶頸鏈路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的并發連接,所以即便是防火墻能夠支持大規模的并發訪問連接,也無法發揮出其原有的性能。
有鑒于此,我們應當根據網絡環境的具體情況和個人不同的上網習慣來選擇適當規模的并發連接表。因為不同規模的網絡會產生大小不同的并發連接,而用戶習慣于何種網絡服務以及如何使用這些服務,同樣也會產生不同的并發連接需求。高并發連接數的防火墻設備通常需要客戶投資更多的設備,這是因為并發連接數的增大牽扯到數據結構、CPU、內存、系統總線和網絡接口等多方面因素。如何在合理的設備投資和實際上所能提供的性能之間尋找一個黃金平衡點將是用戶選擇產品的一 個重要任務。按照并發連接數來衡量方案的合理性是一個值得推薦的辦法。
以每個用戶需要10.5個并發連接來計算,一個中小型企業網絡(1000個信息點以下,容納4個C類地址空間)大概需要10.5×1000=10500個并發連接,因此支持 20000~30000最大并發連接的防火墻設備便可以滿足需求;大型的企事業單位網絡(比如信息點數在1000~10000之間)大概會需要 105000個并發連接,所以支持100000~120000最大并發連接的防火墻就可以滿足企業的實際需要; 而對于大型電信運營商和ISP來說,電信級的千兆防火墻(支持120000~200000個并發連接)則是恰當的選擇。為較低需求而采用高端的防火墻設備 將造成用戶投資的浪費,同樣為較高的客戶需求而采用低端設備將無法達到預計的性能指標。利用網絡整體上的并發連接需求來選擇適當的防火墻產品可以幫助用戶 快速、準確的定位所需要的產品,避免對單純某一參數“愈大愈好”的盲目追求,縮短設計施工周期,節省企業的開支。從而為企業實施最合理的安全保護方案。
在利用并發連接數指標選擇防火墻產品的同時,產品的綜合性能、廠家的研發力量、資金實力、企業的商業信譽和經營風險以及產品線的技術支持和售后服務體系等 都應當納入采購者的視野,將多方面的因素結合起來進行綜合考慮,切不可盲目的聽信某些廠家廣告宣傳中的大并發連接的宣傳,要根據自己業務系統、企業規模、 發展空間和自身實力等因素多方面考慮。
吞吐量
網絡中的數據是由一個個數據包組成,防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。
隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如www頁面瀏覽、FTP文件傳輸、DNS 域名解析等服務,這些因素會導致網絡流量的急劇增加,而防火墻作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網絡瓶頸,給整個網絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于我們更好的評價其性能表現。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內網卡, 及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此,大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實 現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,是真正的100M 防火墻。
對于中小型企業來講,選擇吞吐量為百兆級的防火墻即可滿足需要,而對于電信、金融、保險等大公司大企業部門就需要采用吞吐量千兆級的防火墻產品。
補充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內置的變動管理流程,因此文件更改對于許多企業來說都不是最佳的實踐方法。如果防火墻管理員因為突發情況或者一些其他形式的業務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現并修理故障,讓整個協議管理更加簡單和高效。
二、以最小的權限安裝所有的訪問規則。
另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的:即源(IP地址),目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業務持續性的需要允許大范圍的IP地址來訪問大型企業的網絡,這些規則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據法規協議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期后從防火墻規則中刪除無用的規則。
規則膨脹是防火墻經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網絡以及應用軟件更新周期對于達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火墻團隊。
衡量防火墻性能的參數指標有哪些相關文章:
4.什么是硬件防火墻