全新一代硬件防火墻的功能與性能分析

羊尚波 徐勝超

（廣州華商學院數(shù)據(jù)科學學院，廣東廣州 511300）

防火墻是保障網(wǎng)絡(luò)安全的主要設(shè)備之一，是被保護網(wǎng)絡(luò)與外部環(huán)境之間的一道關(guān)鍵屏障，在硬件防火墻的支撐下，外部環(huán)境只有部分流量可以進入網(wǎng)絡(luò)，通過此種方式，可以降低網(wǎng)絡(luò)惡意入侵等安全事故的發(fā)生。由于網(wǎng)絡(luò)受攻擊的方式正呈現(xiàn)多元化趨勢、網(wǎng)絡(luò)應(yīng)用層的安全協(xié)議不斷涌現(xiàn)，促使防火墻硬件也逐步更新，全新一代硬件防火墻由此誕生[1]。全新一代硬件防火墻在使用中可據(jù)其功能劃分為網(wǎng)絡(luò)防護墻與個人防火墻，但無論任何類型的防火墻，集成在計算機終端所發(fā)揮的作用與效能均相同[2]。

目前，相關(guān)防火墻性能的研究，已成為了科研單位與相關(guān)技術(shù)領(lǐng)域的關(guān)注重點。為給科技研究提供進一步的數(shù)據(jù)，本文將以全新一代硬件防火墻為例，對其功能與性能展開測試并全面地分析。

1 防火墻測試條件

為檢驗?zāi)壳笆袌鍪褂玫娜乱淮阑饓υ谕茝V使用中的綜合性能，在測試防火墻前，應(yīng)先設(shè)計測試條件[3]。結(jié)合本文此次實驗需求，選用表1 所示的測試儀器。

表1 防火墻測試儀器選型

完成對防火墻測試儀器的選擇后，設(shè)計如圖1 所示的測試環(huán)境。

圖1 防火墻測試環(huán)境部署示意圖

按圖1 所示的內(nèi)容，設(shè)置并全面部署防火墻測試環(huán)境。將內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)與防火墻通信接口連接，測試中使用專用儀器設(shè)備獲取并錄入相關(guān)數(shù)據(jù)[4]。用于測試防火墻性能的儀器設(shè)備匹配其組件模塊與功能如表2所示。

按表2 內(nèi)容，完成防火墻測試條件與測試環(huán)境的綜合部署。

表2 防火墻性能測試儀器組件模塊與功能匹配

2 測試指標與測試方法

2.1 功能測試指標與方法

以測試條件為基礎(chǔ)，設(shè)計全新一代硬件防火墻功能測試的指標與方法。將防火墻部署在測試設(shè)備終端，確保終端與防火墻呈現(xiàn)良好通信連接狀態(tài)后，使用表2 提出的多種網(wǎng)絡(luò)攻擊工具對防火墻內(nèi)部網(wǎng)絡(luò)主動攻擊，隨機設(shè)置攻擊次數(shù)。檢驗在此過程中，防火墻是否能發(fā)揮其預(yù)期效能對外部攻擊有效防御并記錄防御攻擊次數(shù)。以此為依據(jù)，分析全新一代硬件防火墻的功能。

2.2 性能測試指標與方法

2.2.1 吞吐量測試方法

吞吐量是評價防火墻性能的主要指標之一，為實現(xiàn)對防火墻吞吐量的測量，需明確防火墻在使用中的吞吐量主要是指測試裝置在發(fā)送與傳輸數(shù)據(jù)過程中，在指定時間內(nèi)按照一定速度可發(fā)送的數(shù)據(jù)幀[5-6]。通過對防火墻連接端口、接收接口兩個位置發(fā)送字節(jié)數(shù)與分組數(shù)計算，可以掌握數(shù)據(jù)在防火墻中的傳輸速度，使接收的數(shù)據(jù)幀＜前端接口發(fā)送的數(shù)據(jù)幀，將輸出結(jié)果作為防火墻吞吐量測試結(jié)果[7-8]。

為實現(xiàn)對防火墻吞吐量的精準分析，建立如下計算公式所示的防火墻性能分析通用數(shù)學模型：

式中：T 為全新一代硬件防火墻性能分析不確定度分析通用數(shù)據(jù)模型；x 為測試裝置測定數(shù)值；δ 為測定裝置型號；L 為有效測定范圍；s 為測量裝置對測試結(jié)果的影響[9-10]。

開始測試后，啟動本文研究的全新一代硬件防火墻，確保防火墻內(nèi)部網(wǎng)絡(luò)與外部環(huán)境保持良好連通狀態(tài)后，啟動IXIA 測試工具。同時，在測試終端選擇吞吐量測量模板，設(shè)置模板參數(shù)，包括UDP（數(shù)據(jù)幀）類型、傳輸數(shù)據(jù)量規(guī)模與大小、測試時長與測試次數(shù)等。按照下述計算公式對防火墻吞吐量進行計算：

式中：γ 為全新一代硬件防火墻吞吐量；B1為并發(fā)數(shù)量；t 為防火墻對傳輸反饋數(shù)據(jù)的響應(yīng)時間。按照上述方式，完成對防火墻吞吐量的測試。

2.2.2 延遲測試方法

測試過程中，根據(jù)全新一代防火墻的最大吞吐量數(shù)值，對其進行延遲測試。在發(fā)送數(shù)據(jù)幀最后一位字節(jié)進入到防火墻輸入端口時刻，開始統(tǒng)計時間，當數(shù)據(jù)幀在防火墻中傳輸與流通后，數(shù)據(jù)幀的第一幀出現(xiàn)在防火墻輸出端口時刻，完成對時間的統(tǒng)計，這一過程中的時間間隔被稱之為防火墻延遲時間。

為實現(xiàn)對防火墻延遲性能的精準分析，使用Smart-bits 測試工具，按照上文2.2.1 中所述的方式，進行防火墻與Smart-bits 測試工具的通信連接。啟動防火墻后，配置其參數(shù)。同時，啟動Smart-bits 測試工具，選擇測試模板，勾選測試模板中的“計算延遲”選項。在保證全新一代硬件防火墻的吞吐量呈現(xiàn)100.0%線性速度的前提下，開始測試并記錄測試結(jié)果。計算公式如下：

式中：S 為防火墻運行延遲；S2為數(shù)據(jù)幀的第一幀出現(xiàn)在防火墻輸出端口時刻；S1為發(fā)送數(shù)據(jù)幀最后一位字節(jié)進入到防火墻輸入端口時刻。

2.2.3 最大并發(fā)連接數(shù)測試方法

最大并發(fā)連接數(shù)是指在測試中使用網(wǎng)絡(luò)反復(fù)搜索機制，持續(xù)上述行為，在每次檢索時，需要以少于測試工具可以承載的連接速度，進行不同并發(fā)連接數(shù)的發(fā)送，通過此種方式可以在測試中掌握被測試防火墻在實際應(yīng)用中的最大連接數(shù)量。測試過程如圖2 所示。

圖2 并發(fā)連接數(shù)測試流程

計算防火墻最大并發(fā)數(shù)測試結(jié)果，計算公式如下：

式中：VS 為最大并發(fā)數(shù)；Cm 為防火墻在測試過程中的有效響應(yīng)次數(shù)；Ts 為Avalanche 測試工具發(fā)送檢索指令的次數(shù)。按照上述計算公式，對防火墻最大并發(fā)數(shù)進行測試。

3 測試結(jié)果

3.1 硬件防火墻功能測試結(jié)果

對全新一代硬件防火墻的功能測試結(jié)果進行整理，如表3 所示。

表3 全新一代硬件防火墻功能測試結(jié)果

由表3 可知，測試選用了四種類型的攻擊，防火墻對外界攻擊的安全防護率可達到99.0%以上，說明全新一代硬件防火墻在實際應(yīng)用中，具有有效抵御外部環(huán)境攻擊的功能，可實現(xiàn)對外部攻擊的安全防護。

3.2 硬件防火墻性能測試結(jié)果

3.2.1 吞吐量測試結(jié)果

按照上文內(nèi)容，重復(fù)14 次測試，完成對防火墻在使用中的吞吐量測試后，整理測試結(jié)果，如表4 所示。

表4 全新一代硬件防火墻吞吐量測試結(jié)果

由表4 可知，全新一代硬件防火墻吞吐量測試結(jié)果均滿足＞90.0 MBit/s 的條件，表明本文此次研究的全新一代硬件防火墻具有較高的吞吐量。

3.2.2 延遲測試結(jié)果

測試防火墻在使用中的傳輸延遲結(jié)果，如圖3 所示。

圖3 全新一代硬件防火墻延遲測試結(jié)果

由圖3 可知，防火墻在運行中的延遲在200.0us～300.0us 之間，表明全新一代硬件防火墻在傳輸數(shù)據(jù)幀時的延遲降低，可以基本實現(xiàn)將數(shù)據(jù)幀在防火墻中傳輸?shù)难舆t控制在300.0us（＜1.0ms）范圍內(nèi)。

3.2.3 最大并發(fā)連接數(shù)測試結(jié)果

按照上述測試方式，對防火墻最大并發(fā)連接數(shù)進行測試，整理在不同檢索次數(shù)下，全新一代硬件防火墻的并發(fā)信息處理能力，測試結(jié)果如表5 所示。

表5 最大并發(fā)連接數(shù)測試結(jié)果

由表5 可知，本文此次研究的全新一代硬件防火墻最大并發(fā)連接數(shù)為240000 個。同時，240000 個也是防火墻能夠同時或有效處理網(wǎng)絡(luò)中點對點連接的最大信息數(shù)目。

4 結(jié)論

本文從吞吐量、延遲、最大并發(fā)連接數(shù)3 個方面，開展了全新一代硬件防火墻的功能與性能分析的研究，完成此次研究后，明確了新一代防火墻可以在未來互聯(lián)網(wǎng)研究領(lǐng)域內(nèi)，作為網(wǎng)絡(luò)安全防護的主要硬件。相比市場內(nèi)廣泛使用的多種安全防護硬件，此次研究的硬件防火墻無論是功能方面，或是在綜合性能方面，都具有顯著的優(yōu)勢。盡管此次研究的成果已相對完善，但要在真正意義上將全新一代硬件防火墻在市場內(nèi)推廣使用，還需要繼續(xù)對防火墻性能測試進行投入。