防火墙的指标
防火墙的硬件架构
X86架构(The X86 architecture)是微处理器执行的计算机语言指令集,也指使用该指令集的CPU系列,主要由Intel公司推出。现今主流PC端CPU均使用X86架构。
ASIC即专用集成电路,是指应特定用户要求和特定电子系统的需要而设计、制造的集成电路。ASIC分为全定制和半定制。现在主流方式为半定制FPGA。
NP指的是网络处理器(Network Processor,简称NP),是一种可编程器件,专门用于通信领域的各种任务。采用NP架构的防火墙,各种算法可以通过硬件实现 ,在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下,还可以达到极高的查找、转发性能,实现“硬转发”。
FPGA(Field Programmable Gate Array)是ASICs领域中的一种半定制电路。与传统模式的芯片设计进行对比,FPGA 芯片并非单纯局限于研究以及设计芯片,而是针对较多领域产品都能借助特定芯片模型予以优化设计。
防火墙的通用性能指标
1.吞吐量
吞吐量是其他指标的基础,是指防火墙在不丢包情况下,能够在接收和发送的的 大数据帧转发速率(通常为 Mbps),其作用是反映防火墙在正常工作时(不丢失数据包)的数据传输处理能力。
2.时延
时延是指每个连接从发起连接请求到确认连接建立的时间间隔,具体是从数据帧的 后一个 bit 进入被测防火墙端口到第一个 bit 离开被测防火墙的另一端口的时间差,分别取其测试大值、 小值和平均值。测试大量的连接非常困难,因此多采用替代方法测试,如测量客户端接收到第一字节数据的时间、测量单位时间内实际建立的连接数(排除缓冲区的影响)等。 时延的大小也取决于防火墙本身的 CPU、DRAM 等硬件配置。
3.新建连接速率
新建连接速率是指防火墙所能承受 大新建速率,即在不丢失连接的情况下每秒能够成功处理的 大连接数(单位为 connections per second,连接/秒)。该指标决定了可同时进行网络访问的用户数的大小。就用户的直接体验来说,新建连接速率低大多表现为上网速度慢,如果用户量较大,则易导致防火墙处理能力的大幅下降,而且对 DoS 等攻击的防范能力随之下降。因此,有时候需要考虑 DoS 攻击背景下的新建连接速率。
4.并发连接数
并发连接数主要反映的是防火墙容许的 大并发连接容量,即维持多个会话的能力。不同规模的网络适用的并发连接数差别较大,如电信级数据中心可能需要数十万甚至上千万的并发连接,普通企业则可能仅需要数千个并发连接。并发连接数指标越大,在指定时间内所允许的同时访问网络的用户数越多。
5.抗攻击能力
防火墙的抗攻击能力非常重要,也是防火墙设计的难题之一。在实践中,如果出现大流量攻击或者带宽资源竞争, 受影响的往往就是防火墙。抗攻击能力主要考虑抵抗 DoS/DDoS 攻击的能力。纯软件防火墙或者 X86 防火墙,因其自身资源所限,抗攻击能力一般较弱。ASIC 或 FPGA 架构的防火墙的处理网络流量的速度较快,所以对会话层以下的攻击有一定的抵抗能力。但是对于应用层攻击,FPGA 可以通过功能升级来应对,ASIC 架构的防火墙比较被动。
6.防火墙性能指标测试的受限因素和综合平衡
防火墙的性能指标测试受到多方面因素的影响,主要是物理架构、CPU 和内存资源、测试环境等。 在物理架构方面,X86、ASIC、多核、虚拟化、FPGA 等防火墙架构的实现机理各不相同,对性能指标的影响也不一样,但技术架构变化的诱因和主线都是围绕着性能提高这个核心问题之一展开的。
