導讀
談及到網絡設備的性能指標,大家總是習慣性的聯想到吞吐量、丟包率等網絡層性能指標。誠然,以吞吐量為代表的網絡層指標概念清晰,易于測量,對于用戶選型傳統防火墻等典型網絡層設備起到了很好的指導作用。但隨著近年來應用需求和網絡技術的發展,用戶不再滿足于基本的數據通信能力,而是更多關注業務本身的運營效率與安全,希望看到網絡流量中用戶、應用、內容等可理解的信息,隨之而來的是應用層網絡設備的不斷涌現。如何客觀公正的評估這些新一代安全設備的性能,成為擺在用戶面前亟待解決的問題。
網絡設備性能評估需要費厄潑賴
與傳統網絡設備相比,應用層網絡設備不再簡單的關注數據報文的轉發,而是關注和應用協議相關的內容,如協議識別、應用特征識別、應用威脅識別等,并基于此開發功能特性。針對這些特性,通常應用層網絡設備都有各種各樣的識別引擎,無論何種算法,最基本的一個要求就是:必須把數據包解封到OSI模型第七層,即應用層。而網絡層設備以數據包轉發為主要目的,只關心數據包轉發能力,只需要解封到第三層,找到對應的IP地址和端口信息即可。
數據包封裝和解封,層次越多,CPU的計算負載就越高,這會直接體現在性能上的衰減。同樣處理能力的CPU,處理網絡層數據轉發和應用層識別,所呈現的性能參數是完全不同的,不能放在一起橫向比較。使用傳統網絡層性能指標來評價應用層設備的性能,顯然有悖于現代社會所倡導的費厄潑賴(Fair Play)精神。
應用層性能測試的本地化實踐
應用層設備的性能測試指標,并不是什么新生事物。全球知名的獨立安全研究和評測機構NSS Labs已經提出過比較詳細的評估指標,包括網絡層吞吐量、網絡層新建連接速率、應用層吞吐量和應用層新建連接速率四個指標。之所以將一些網絡層的評估指標也引入到了對應用層設備的評估,是為了衡量被測設備的基礎數據轉發能力,確保工作引擎在攻擊流量下仍有足夠的應用層處理能力。
NSS Labs的測試指標與方法具有普遍性,適用于品類多、覆蓋廣的通用性測試,但沒有充分考慮產品實測的流量模型,尤其是沒有考慮到中國本土網絡環境下的熱點應用、網絡條件和使用方法等地域性特征。就此缺點,國內有安全廠商提出了更貼近中國市場“真實世界”的本地化性能測試指標和方法建議,具體包括以下幾個指標:
1. 應用層吞吐量
測試方法:在開啟應用識別引擎的前提下,通過發送平均21K大小HTTP頁面來測試設備應用層最大吞吐量,且只能計算成功獲得HTTP響應的連接。
(說明:選取大小為21K的頁面,是基于該廠商對多家高校、運營商等典型網絡環境的長期流量統計,總結得出對于每Gbps的流量,包速率采用185Kpps、平均包長670字節、新建連接速率5000個/秒,能夠比較準確地描述實際流量,可以作為實際性能測試的流量模型。將流量換算為HTTP頁面,恰好為21K。)
2. 開啟IPS的應用層吞吐量
測試方法:在開啟應用識別引擎、IPS引擎的前提下,通過發送平均21K大小HTTP頁面來測試設備應用層最大吞吐量,且只能計算成功獲得HTTP響應的連接。
(說明:本項測試主要針對下一代防火墻(NGFW)設備。由于IPS開啟會較大影響整體性能,因此有必要考察開啟IPS功能后設備的性能表現。)
3. 應用層新建速率
測試方法:發送64字節大小的HTTP頁面,且必須獲得正常的HTTP響應,計算每秒可以建立的最大HTTP連接數。
4. 網絡層吞吐量
測試方法:發送1518字節UDP數據包來測試設備網絡層最大吞吐量,與傳統方法相同。
5. 網絡層新建速率
測試方法:正常建立和銷毀1字節負荷的TCP連接,來計算最大TCP新建連接數。
小結
由于網絡層設備與應用層設備的特點與差異,傳統的網絡層性能標準無法有效衡量應用層網絡設備的能力。基于業界權威的標準和測試方法,并結合對中國本土化應用層流量模型特征,建議使用四項通用指標來評估應用層網絡設備性能:應用層吞吐量,應用層新建速率,網絡層吞吐量,網絡層新建速率。其中應用層指標可以作為主要指標,網絡層指標可作為參考指標。此外,對于下一代防火墻設備,還需要考察開啟IPS功能后的應用層吞吐能力。
京公網安備 11010502049343號