當前位置: 首頁 > 關于我們 > 新聞中心 > 新聞快訊 > 2015

關于我們About Us

  • 關于網康

    公司簡介
    企業文化
    品牌期刊
  • 新聞中心

  • 視頻專區

    産品視頻
    客戶案例
    媒體專訪
    市場活動
  • 公司優勢

  • 聯系我們

安全牛:用網絡層指標衡量下一代防火牆性能?你OUT啦!

     发表日期:2015-12-23 14:50:05

導讀

 

談及到網絡設備的性能指標,大家總是習慣性的聯想到吞吐量、丟包率等網絡層性能指標。誠然,以吞吐量爲代表的網絡層指標概念清晰,易于測量,對于用戶選型傳統防火牆等典型網絡層設備起到了很好的指導作用。但隨著近年來應用需求和網絡技術的發展,用戶不再滿足于基本的數據通信能力,而是更多關注業務本身的運營效率與安全,希望看到網絡流量中用戶、應用、內容等可理解的信息,隨之而來的是應用層網絡設備的不斷湧現。如何客觀公正的評估這些新一代安全設備的性能,成爲擺在用戶面前亟待解決的問題。

 


網絡設備性能評估需要費厄潑賴

 

與傳統網絡設備相比,應用層網絡設備不再簡單的關注數據報文的轉發,而是關注和應用協議相關的內容,如協議識別、應用特征識別、應用威脅識別等,並基于此開發功能特性。針對這些特性,通常應用層網絡設備都有各種各樣的識別引擎,無論何種算法,最基本的一個要求就是:必須把數據包解封到OSI模型第七層,即應用層。而網絡層設備以數據包轉發爲主要目的,只關心數據包轉發能力,只需要解封到第三層,找到對應的IP地址和端口信息即可。

数据包封装和解封,层次越多,CPU的计算负载就越高,这会直接体现在性能上的衰减。同样处理能力的CPU,处理网络层数据转发和应用层识别,所呈现的性能参数是完全不同的,不能放在一起横向比较。使用传统网络层性能指标来评价应用层设备的性能,显然有悖于现代社会所倡导的费厄泼赖(Fair Play)精神。

 


應用層性能測試的本地化實踐

 

应用层设备的性能测试指标,并不是什么新生事物。全球知名的独立安全研究和评测机构NSS Labs已经提出过比较详细的评估指标,包括网络层吞吐量、网络层新建连接速率、应用层吞吐量和应用层新建连接速率四个指标。之所以将一些网络层的评估指标也引入到了对应用层设备的评估,是为了衡量被测设备的基础数据转发能力,确保工作引擎在攻击流量下仍有足够的应用层处理能力。

NSS Labs的测试指标与方法具有普遍性,适用于品类多、覆盖广的通用性测试,但没有充分考虑产品实测的流量模型,尤其是没有考虑到中国本土网络环境下的热点应用、网络条件和使用方法等地域性特征。就此缺点,国内有安全厂商提出了更贴近中国市场“真实世界”的本地化性能测试指标和方法建议,具体包括以下几个指标:

 

1. 应用层吞吐量

 

測試方法:在開啓應用識別引擎的前提下,通過發送平均21K大小HTTP頁面來測試設備應用層最大吞吐量,且只能計算成功獲得HTTP響應的連接。

(说明:选取大小为21K的页面,是基于该厂商对多家高校、運營商等典型网络环境的长期流量统计,总结得出对于每Gbps的流量,包速率采用185Kpps、平均包长670字节、新建连接速率5000个/秒,能够比较准确地描述实际流量,可以作为实际性能测试的流量模型。将流量换算为HTTP页面,恰好为21K。)

 


2. 开启IPS的应用层吞吐量

 

測試方法:在開啓應用識別引擎、IPS引擎的前提下,通過發送平均21K大小HTTP頁面來測試設備應用層最大吞吐量,且只能計算成功獲得HTTP響應的連接。

(說明:本項測試主要針對下一代防火牆(NGFW)設備。由于IPS開啓會較大影響整體性能,因此有必要考察開啓IPS功能後設備的性能表現。)

 


3. 应用层新建速率

 

測試方法:發送64字節大小的HTTP頁面,且必須獲得正常的HTTP響應,計算每秒可以建立的最大HTTP連接數。

 


4. 网络层吞吐量

 

測試方法:發送1518字節UDP數據包來測試設備網絡層最大吞吐量,與傳統方法相同。

 


5. 网络层新建速率

 

測試方法:正常建立和銷毀1字節負荷的TCP連接,來計算最大TCP新建連接數。

 


小結

 

由于網絡層設備與應用層設備的特點與差異,傳統的網絡層性能標准無法有效衡量應用層網絡設備的能力。基于業界權威的標准和測試方法,並結合對中國本土化應用層流量模型特征,建議使用四項通用指標來評估應用層網絡設備性能:應用層吞吐量,應用層新建速率,網絡層吞吐量,網絡層新建速率。其中應用層指標可以作爲主要指標,網絡層指標可作爲參考指標。此外,對于下一代防火牆設備,還需要考察開啓IPS功能後的應用層吞吐能力。

 

 

如何評估應用層設備性能?網康重磅發布《應用層網絡設備性能白皮書》。點擊下載閱讀白皮書全文。