中心議題：

• 防火牆性能描述指標
• 並發連接數的測試

解決方案：

• 吞吐量評估
• 連接數評估

suizhexinxianquanyaoqiuyuelaiyuegao
，fanghuoqiangchengweibibukeshaodewangluoyuansu。danfanghuoqiangshebeizaiwangluozhongdezhuyaozuoyongbushibaowenzhuanfa，ershijinxingbaowenjiancehefangwenkongzhi，fanghuoqiangdecunzaibiranhuiduianquanyonghuzhengchangshiyongwangluodailaiyidingyingxiang。yincizaimanzuanquangongnengdeqiantixia，xuanzeyikuangaoxingneng
、滿足網絡要求、符合預算的產品是非常重要的。
　　
防火牆性能描述指標
　　
衡量防火牆的性能指標主要包括吞吐量

、報文轉發率、最大並發連接數、每秒新建連接數
、轉發時延、抖動等。


圖1防火牆主要性能指標
　　
防火牆吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：zaiceshizhongyiyidingsulvfasongyidingshuliangdezhen，bingjisuandaiceshebeichuanshudezhen，ruguofasongdezhenyujieshoudezhenshuliangxiangdeng，namejiujiangfasongsulvtigaobingzhongxinceshi
；如果接收幀少於發送幀則降低發送速率重新測試，直至滿足沒有幀丟失時的最大發送速率，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

防火牆TCP並發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP聯接總數。防火牆TCP並bing發fa連lian接jie數shu的de測ce試shi采cai用yong一yi種zhong反fan複fu搜sou索suo機ji製zhi進jin行xing，在zai每mei次ci反fan複fu過guo程cheng中zhong，以yi低di於yu被bei測ce設she備bei所suo能neng承cheng受shou的de連lian接jie速su率lv發fa送song不bu同tong數shu量liang的de並bing發fa連lian接jie，直zhi至zhi得de出chu被bei測ce設she備bei的de最zui大daTCP並發連接數。
　　
防火牆最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下
，所能承受的最大TCP連接建立速度。其測試采用反複搜索過程

，每次反複過程中，以低於被測設備所能承受的最大並發連接數發起速率不同的TCP連接請求
，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/秒表示。
　　
防火牆性能測試方法
　　
對一款防火牆產品進行性能評估
，分為兩個步驟。首先要進行防火牆基線性能測試，其次是進行模擬實際應用環境下的性能測試。
　　
基線性能是防火牆在理想狀態下表現出來的性能指標
，具有測試結果比較穩定
、流(liu)量(liang)模(mo)型(xing)可(ke)控(kong)的(de)優(you)點(dian)。但(dan)是(shi)在(zai)實(shi)際(ji)應(ying)用(yong)中(zhong)
，往(wang)往(wang)達(da)不(bu)到(dao)防(fang)火(huo)牆(qiang)產(chan)品(pin)實(shi)際(ji)標(biao)稱(cheng)的(de)基(ji)線(xian)性(xing)能(neng)。原(yuan)因(yin)是(shi)實(shi)際(ji)應(ying)用(yong)中(zhong)經(jing)過(guo)防(fang)火(huo)牆(qiang)的(de)流(liu)量(liang)要(yao)比(bi)測(ce)試(shi)基(ji)線(xian)性(xing)能(neng)時(shi)的(de)流(liu)量(liang)複(fu)雜(za)得(de)多(duo)，因(yin)此(ci)評(ping)估(gu)防(fang)火(huo)牆(qiang)性(xing)能(neng)時(shi)，不(bu)僅(jin)需(xu)要(yao)對(dui)基(ji)線(xian)性(xing)能(neng)進(jin)行(xing)評(ping)估(gu)，更(geng)重(zhong)要(yao)的(de)是(shi)模(mo)擬(ni)實(shi)際(ji)應(ying)用(yong)環(huan)境(jing)進(jin)行(xing)評(ping)估(gu)。
　　
基線性能指標測試
　　
1)吞吐量評估
　　
fanghuoqiangdetuntuliangshijishangshiyigejingtaizhibiao，fanyingzailixiangqingkuangxiashebeidezhuanfanengli。zaishijiyingyongzhongtuntuliangzhegezhibiaoyibanshidabudaode，erqieduiyuyonghueryan，shijiganshoudaodeshitadeyingyongchulinengli，yincidanchundetuntuliangzhibiaobunengshuomingfanghuoqiangdezhuanfaxingneng。
　　
一般情況下

，防火牆的轉發性能可以用throughput和goodput兩個指標來衡量。而對於防火牆設備來說，goodput這個指標比throughput更具有實際意義。因此在測試防火牆吞吐量時，更多采用goodput指標。
　　
goodputyoushihouyejiaoyingyongcengdetuntuliang。zaiyidinglianjiexinjianhebingfadeqingkuangxia，dangebaowendeyingyongcengshujuchengzailianghendachengdujuedingleyingyongcengbaowenzhuanfadenengli。suoyiceshifanghuoqiangzhuanfaxingnengshi，xuyaomingqueceshizaihededaxiao。weileceshidedaojiaoquanmiandetuntuliangxingnengshuju，xuyaoceshizaibutongzaihedaxiaoqingkuangxiadezhuanfaxingneng。
　　
在進行吞吐量基線測試中
，一般以HTTP作為應用層協議
，為了得到最理想的測試效果，通過會選擇HTTP1.1，每個TCP連接處理盡量多的HTTP事務（transacTIon）
，並且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。



圖2IxLoad設置
　　
2)連接數評估
　　
連接在狀態防火牆中是一個很重要的概念，與連接相關的性能指標對評估防火牆非常重要。這些指標包括並發連接數、新建連接速率。

並發連接數的測試
　　
bingfalianjieshiyigehenzhongyaodezhibiao
，tazhuyaofanyinglebeiceshebeiweichiduogehuihuadenengli。guanyucizhibiaodezhenglunyeyouhenduo。yibanlaishuo，tashiheceshitiaojianjinmilianxide，danshizhefangmiandekaolvyoushihuibeirenmenhulve。biru，ceshishicaiyongdechuanshuwenjiandaxiaojiuhuiduiceshijieguoyouyingxiang。liru，ruguozaichuanshuzhongyingyongcengliulianghendadehua,被測設備將會占用很大的係統資源去處理包檢查，導致無法處理新請求的連接，引起測試結果偏小；反之測試結果會大一些。所以沒有測試條件而隻談並發連接數是難以定斷的。從宏觀上來看，這個測試的最終目的是比較不同設備的“資源”，也就是說處理器資源和存儲資源的綜合表現。