• / 3
  • 下载费用:10 金币  

防火墙的性能评估.doc

关 键 词:
防火墙的性能评估.doc
资源描述:
评价防火墙的功能、性能指标(2011-06-03 23:47:16)转 载 ▼标签: 防火墙性能参数吞吐量最大连接数新建连接数丢包率it分类: 网络技术一、 功能指标1、访问控制:根据数据包的源/目的 IP 地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。2、地址转换:源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP 映射)。3、静态路由/策略路由:静态路由:给予目的地址的路由选择。策略路由:基于源地址和目的地址的策略路由选择。4、工作模式:路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存)5、接入支持:防火墙接口类型一般有 GBIC、以太网接口等;接入支持静态 IP 设置、DHCP、PPOE(比如 ADSL 接入)等。6、VPN:分为点到端传输模式(PPTP 协议)和端到端隧道模式(IPSec、IPIP、GRE 隧道),支持 DES、3DE、Blowfish、AES、Cast128、Twofish 等加密算法,支持 MD5、SHA-1 认证算法;VPN 功能支持 NAT 穿越。7、IP/MAC 绑定:IP 地址与 MAC 地址绑定,防止 IP 盗用,防止内网机器有意/无意抢占关键服务器 IP。8、DHCP:内置 DHCP Server 为网络中计算机动态分配 IP 地址;DHCP Relay 的支持能为防火墙不同端口的 DHCP Server 和计算机之间动态分配 IP 地址。9、虚拟防火墙:在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙,每个虚拟防火墙为一个特定的用户群提供安全服务。10、应用代理:HTTP、FTP、SMTP 等协议应用代理,大多数内容过滤通过应用代理实现。11、流量控制:流量控制,流量优先级,带宽允许条件下的优先保障关键业务带宽。12、防攻击:防止各类 TCP、UDP 端口扫描,源路由攻击,IP 碎片包攻击,DOS、DDOS 攻击,蠕虫病毒以及其他网络攻击行为。13、内置 IDS:内置 IDS 模块,加强防火墙的防攻击能力。14、内置防病毒模块:内置防病毒模块,在网关级进行病毒防护。15、内置安全评估模块:内置安全评估模块,对网络中的计算机、网络设备等进行漏洞扫描,做出安全评估分析,提供安全建议,计时弥补网络中存在的安全隐患。16、安全产品联动:防火墙与其他安全产品比如 IDS、Scanner、防病毒等的联动功能。17、链路备份/双机热备:在可靠性要求高的环境中,防火墙的多端口的链路备份以及双机热备功能提供了一个较好的解决方案。18、配置文件上传/下载:配置文件的备份/恢复功能。19、SNMP:支持 SNMP 协议,方便网络管理员对防火墙状态进行监控管理。20、负载均衡:分为链路负载均衡和服务器负载均衡。21、日志审计:日志存储、备份、查询、过滤、分析统计报表等。22、入侵响应:日志记录、消息框报警、邮件报警、声音报警、发送 SNMP Trap 信息、手机短信报警。二、性能指标1、吞吐量:吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。吞吐量越大,说明防火墙数据处理能力越强。其测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。2、并发连接数:并发连接数是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。影响并发连接数条目的主要因素是内存容量,其次是 CPU 频率及其他硬件。1) 以每个并发连接表项占用 300B 计算,1000 个并发连接将占用300B×1000×8bit/B≈2.3Mb 内存空间,10000 个并发连接将占用 23Mb 内存空间,100000个并发连接将占用 230Mb 内存空间,而如果真的试图实现 1000000 个并发连接的话那么,这个产品就需要提供 2.24Gb 内存空间!2) 并发连接数的增大应当充分考虑 CPU 的处理能力 ,CPU 的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾 CPU 的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。3) 在实际中选型的时候要考虑终端用户的数量,以便计算出所需要的最大
展开阅读全文
  微传网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:防火墙的性能评估.doc
链接地址:https://www.weizhuannet.com/p-9503301.html
微传网是一个办公文档、学习资料下载的在线文档分享平台!

微传网博客

网站资源均来自网络,如有侵权,请联系客服删除!

 网站客服QQ:80879498  会员QQ群:727456886

copyright@ 2018-2028 微传网络工作室版权所有

     经营许可证编号:冀ICP备18006529号-1 ,公安局备案号:13028102000124

收起
展开