网包分类性能:防火墙应用中的关键指标
在防火墙的各种性能指标中,人们一般最关注防火墙的吞吐率、平均时延以及最大新建连接速率,但在实际中,能反映复杂网络环境下防火墙应用的网包分类性能,对用户来说更有价值。 网包分类性能 为什么重要? 网包分类性能是防火墙对每一个网流的第一个网包的处理能力。这一性能指标,直接反映了防火墙在处理新的网络流量时的速度。这一性能低,就反映了防火墙的性能低。网络管理员都知道,网络上大量出现的都是新的网络流量,而很少有现成的,因此,一些采用固定流量的评测方法,很难反映防火墙真实的性能。具体来说,对网络上的合法流量而言,防火墙的工作原理通常是要为合法流量建立连接,并通过快速通道的精确匹配进行高速转发,但新建连接都需要对网流的首包进行分类,因此网包分类性能直接影响新建连接的速率; 其次,对非法流量而,防火墙的主要工作是拒绝为非法流量建立连接,所以非法流量的网包即使属于同一网流,也需要进行分类,网包分类性能反映了防火墙处理大量非法流量的能力。 因此,在现实应用中,影响网包分类性能最大的两个因素是: 防火墙的规则设定和网络上非法流量的数量。 防火墙的主要功能除了对数据包进行转发,还要按照规则对数据包进行过滤。因此,规则的数量就会直接影响防火墙的使用性能,如果过滤一个包要查几千条规则的话,防火墙的负担就会很重。如果防火墙查规则的性能不高,防火墙的整体性能就会严重受损,会影响防火墙的新建连接速度。关于这一点,我们已经研究了2~3年的时间,我们发现业界已有的大量算法并不成熟,很多防火墙声称可以处理多少条规则,但都是一些很简单的规则,很容易处理。但在现实应用中,防火墙规则的设定是用户根据自己的安全策略来定的,用户安全策略的不同造成了规则的千差万别,也造成了规则数量的庞大,因此,真正实用的规则是很不好处理的。以前我们测过很多厂家的防火墙产品,不用说用了几千条规则,就是用几十条规则,就使很多防火墙设备陷于瘫痪状态。这也是防火墙设备研发领域的关键技术含量所在,目前的防火墙设备,在这一点上处理得很好的并不多见,这是体现防火墙技术实力的一个重要指标。 网络上的非法流量同样很多,这是网络管理员很难控制的。在现实应用中,非法流量一多,防火墙必须有效处理这些流量,并同时让正常流量通过,这对防火墙的性能同样将产生巨大的影响,这也是在防火墙设备出厂时,用户很难检测到的一个关键指标,必须通过第三方公开的评测才能检测到。 网包分类性能比较 清华大学信息技术研究院网络安全实验室是做网络安全研发的事业单位,目前正在从事的一个科研项目是国家的`863项目中的高端防火墙技术研发,需要考察目前市场上主流的高端防火墙设备,以此确定未来的研发方向。为此,我们选择了目前市场上最主流的几款电信级防火墙进行了性能的评测。这几款设备分别是: Juniper网络公司的NetScreen5200防火墙,软件版本为NS5000-5.0R8; Hillstone公司的SA-5050防火墙,软件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墙,软件版本为FortiOS3.0 build559。它们都是电信级防火墙,拥有4GB~8GB的标称性能。测试除了考察以往人们一般最关注的防火墙的吞吐率、平均时延以及最大新建连接速率外,还主要考察了防火墙在大规模防火墙规则――即网包分类规则下,对不同比例的合法、非法流量的总体处理能力。 为了测试网包分类性能,测试中采用了具有相同五元组――源IP、目标IP、源端口、目标端口、传输层协议的一系列网包作为网流。 测试中,被测防火墙的所有端口均配置在一个域中并分别连接到测试设备SmartBit6000C上,输入流量选取1518字节的网包。 为了考察合法、非法流量对网包分类性能的不同影响,测试流量包括不同比例的合法流量(防火墙允许通过的流量,GOOD_TRAFIC)和非法流量(防火墙拒绝通过的流量,BAD_TRAFFIC)。 为了考察防火墙规则变化对网包分类性能的影响,防火墙规则分别采用两组复杂度不同的规则。两组规则分别来自思科公司和清华大学,我们针对这些规则设计了新的结构,数量为2000条,但比普通的测试要复杂得多。第一组规则(SET1)可以从数学上简化为8条范围匹配的规则或24条最长前缀匹配的规则; 而第二组规则(SET2)则只能简化为80条范围匹配的规则或400条最长前缀匹配的规则。因此,规则SET2比规则SET1更复杂。测试中,合法流量与第1999条规则匹配,并允许通过; 非法流量与第2000条匹配,不允许通过。 这三款防火墙在吞吐率、平均时延以及最大新建连接速率上的表现请参看清华大学信息技术研究院网络安全实验室网页(l)。需要强调的一点是,其网包分类性能上表现出了较大的不同: SA-5050防火墙表现最好,无论非法流量所占比例大小,输入规则复杂程度提高,均保持转发时处理能力的93%以上; NS5200防火墙性能不受规则复杂程度影响,但当非法流量达到80%时,其整体处理能力下降到30%; FG3600A防火墙的性能随规则复杂程度增加及非法流量所占比例增大而下降明显。
【网包分类性能:防火墙应用中的关键指标】相关文章:
性能测试指标07-19
仪表板关键部件人机性能要求及应用07-06
关键绩效指标法在医院绩效管理的应用论文09-04
钻(冲)孔灌注桩泥浆性能指标及应用07-10
低温多效海水淡化关键能耗指标的选取及应用07-16
如何检测WLAN性能中的WIDS应用? -电脑资料01-01
浅谈粉煤灰在高性能混凝土中的应用08-17