随着信息安全要求越来越高,防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发,而是进行报文检测和访问控制,防火墙的存在必然会对用户正常使用网络带来一定影响。因此在满足安全功能的前提下,选择一款高性能、满足网络要求、符合预算的产品是非常重要的。
--------------------------------------------------------------------------------------------------------------------------------
XX 网防火墙招标评测报告
1. 测试内容与目的
本次测试旨在了解 A、B 两款防火墙实际参数与标称参数的差异,主要测试吞吐量、并发、每秒新建连接数等防火墙的基础性能。
2. 测试拓扑与数据流
使用思博伦 Avalanche 3100 测试仪,模拟客户端和服务器。
客户端(1 台 Avalanche3100 模拟)发起 HTTP 事务请求,经过防火墙后,数据包被发给服务器(1台 Avalanche 3100 模拟),服务器收到请求后,发响应、经由防火墙处理后,转发给客户端。由此完成一次请求——响应交互。
Avalanche 3100 客户端和服务器的网关,均由防火墙充任。
3 测试仪表配置与步骤
3.1 TCP 报文吞吐率测试
3.1.1测试要求
64B 小包:512B 中包:1518B 打包 = 4:1:1
需求分析:这与正常的 HTTP 会话包比较接近,正常 HTTP 会话,TCP 建立需要 3 次握手,数据包均为 64B 小包,客户端发送 GET 或 POST 请求为 300B 左右的中等包,服务器响应为中包或打包,如果只有一次 HTTP 应答,客户端或服务器发起 3 次或 4 次握手关闭 TCP 连接。
本次测试 Avalanche 使用 RST 关闭连接,一次交互,4 个小包;请求使用 POST 命令,将包长扩展为 512B;响应报文总长度设置为 1518B(扣除各级包头,HTTP 内容长度约 1280B)。
3.1.2仪表配置——客户端
(1)Load 配置
依据上述需求,一次 HTTP 事务约 20Kbits,按 10Gbps 配置流量,每秒需要新建用户10G/20K=0.5KK,即 500K 个请求,现每个用户配置的请求数为 20(Action 条数),那么需要每秒新建 25K 个用户。另外也可以设置并发数作为 Load 单位,本次测试借用 CPS 脚本,即 Load 设置为 200K Simusers。
(2)Action 配置
每个 Action 配置 20 条 Post 请求,每条请求对应一个服务器 IP 地址,即每个 Simuser 会向 20 个 IP 发起请求,设置报文长度为 512 字节。
(3)Subnets 配置
Avalanche 3100 每个端口配置一个网段,指定 250 个 IP 地址,每个地址可用端口号约 6 万个,网关为对接的防火墙接口 IP。
端口 8 的网段为:10.1.1.2~10.1.1.251,网关 IP 10.1.1.1
端口 9 的网段为:10.3.3.2~10.3.3.251,网关 IP 10.3.3.1
(4)Profile 配置
Think 时间为 0
Http 协议:Http/1.1 Peristence
(5)Ports 配置
指定 Avalanche 3100 的 8、9 号端口为客户端测试端口。
(6)Associations 配置
将以上几项配置关联起来。
3.1.3仪表配置——服务器端
(1)Profiles 配置
选择协议 HTTP
指定 Transaction Profile 为“Transaction1280B”
(2)Transactions 配置
Size:1280 bytes
(3)Subnets 配置
端口 8 网段 10.2.2.0,
端口 9 网段 10.4.4.0
(4)Associations 配置
将以上几项配置关联起来,并指定服务器地址为 10.2.2.3~10.2.2.22、10.4.4.3~10.4.4.22。
3.1.4测试结果
(1)Model A 测试结果
总流量:1.4G+0.65G=2.05Gbps
每秒包数 85 万,HTTP 请求数 121K,计算的流量为 121K*18Kbits=2.18Gbps,与实测流量接近。
(2)Model B 测试结果
总流量:1.35G+0.6G=1.95Gbps
每秒包数 70 万,HTTP 请求数 100K,计算的流量为 1.8Gbps,与实测接近。
3.2 TCP 最大并发连接数(CPS)测试
3.2.1测试要求
响应 HTTP 报文内容长度为 64B 时的 TCP 最大并发连接数,被测设备的最大并发数为 800 万~1000万。
3.2.2仪表配置——客户端
(1)Load 配置
依据上述需求,为每个用户配置的请求数为 20(Action 条数),设置并发数 SimUser 作为 Load 单位,最大 Load 数为 400K Simusers。
(2)Action 配置
每个 Action 配置 20 条 Get 请求,每条请求对应一个服务器 IP 地址,即每个 Simuser 会向 20 个 IP 发起请求,Think 时间为 200 秒。
(3)Subnets 配置
Avalanche 3100 每个端口配置一个网段,指定 250 个 IP 地址,每个地址可用端口号约 6 万个,网关为对接的防火墙接口 IP。
端口 8 的网段为:10.1.1.2~10.1.1.251,网关 IP 10.1.1.1
端口 9 的网段为:10.3.3.2~10.3.3.251,网关 IP 10.3.3.1
(4)Profile 配置
Think 时间为 0
Http 协议:Http/1.1 Peristence
(5)Ports 配置
指定 Avalanche 3100 的 8、9 号端口为客户端测试端口。
(6)Associations 配置
将以上几项配置关联起来。
3.2.3 仪表配置——服务器端
(1)Profiles 配置
选择协议 HTTP
指定 Transaction Profile 为“Transaction64B”
(2)Transactions 配置
Size: 64 bytes
(3)Subnets 配置
端口 8 网段 10.2.2.0,
端口 9 网段 10.4.4.0
(4)Associations 配置
将以上几项配置关联起来,并指定服务器地址为 10.2.2.3~10.2.2.22、10.4.4.3~10.4.4.22。
3.2.4测试结果
(1)Model A 测试结果
结果:最大并发数:800 万
(2)Model B 测试结果
结果:最大并发数:1000 万
3.3 TCP 每秒最大新建测试
3.3.1测试要求
响应 HTTP 报文内容长度为 64B 时的 TCP 最大每秒新建连接数,被测设备的最大每秒新建连接数为 20 万。
3.3.2仪表配置——客户端
(1)Load 配置
依据上述需求,为每个用户配置的请求数为 2(Action 条数),设置并发数 SimUser 作为 Load 单位,最大 Load 数为 20K Simusers/s。
(2)Action 配置
每个 Action 配置 2 条 Get 请求,每条请求对应一个服务器 IP 地址,即每个 Simuser 会向 20 个 IP 发起请求。
(3)Subnets 配置
Avalanche 3100 每个端口配置一个网段,指定 250 个 IP 地址,每个地址可用端口号约 6 万个,网关为对接的防火墙接口 IP。
端口 8 的网段为:10.1.1.2~10.1.1.251,网关 IP 10.1.1.1
端口 9 的网段为:10.3.3.2~10.3.3.251,网关 IP 10.3.3.1
(4)Profile 配置
Think 时间为 0
Http 协议:Http/1.1,非 Peristence 模式,HTTP 响应完毕及时关闭 TCP 连接。
(5)Ports 配置
指定 Avalanche 3100 的 8、9 号端口为客户端测试端口。
(6)Associations 配置
将以上几项配置关联起来。
3.3.3仪表配置——服务器端
(1)Profiles 配置
选择协议 HTTP
指定 Transaction Profile 为“Transaction64B”
(2)Transactions 配置
Size: 64 bytes
(3)Subnets 配置
端口 8 网段 10.2.2.0,
端口 9 网段 10.4.4.0
(4)Associations 配置
将以上几项配置关联起来,并指定服务器地址为 10.2.2.3~10.2.2.22、10.4.4.3~10.4.4.22。
3.3.4 测试结果
(1)Model A 测试结果
结果:最大每秒新建连接数:12 万/秒
(2)Model B 测试结果
结果:最大每秒新建连接数:12 万
3.4 UDP 报文吞吐率测试
3.4.1测试要求
基于 UDP 协议,测试 1518B、512B、64B 三种包长的吞吐率及小、中、大包比例 61:23:16 的混合报文吞吐率。
3.4.2 测试结果
| 64B | 512B | 1518B | 61:23:16 混合包 | ||
| Model A | 3.2 G | 19.75 G | 24 G | 6.12 G | |
| Model B | 3.2 G | 18.2 G | 20 G | 16 G |
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
