中心議題：

• 防火牆性能描述指標
• 並發連接數的測試

解決方案：

• 吞吐量評估
• 連接數評估

suizhexinxianquanyaoqiuyuelaiyuegao，fanghuoqiangchengweibibukeshaodewangluoyuansu。danfanghuoqiangshebeizaiwangluozhongdezhuyaozuoyongbushibaowenzhuanfa，ershijinxingbaowenjiancehefangwenkongzhi，fanghuoqiangdecunzaibiranhuiduianquanyonghuzhengchangshiyongwangluodailaiyidingyingxiang。yincizaimanzuanquangongnengdeqiantixia，xuanzeyikuangaoxingneng、滿足網絡要求
、符合預算的產品是非常重要的。
　　
防火牆性能描述指標
　　
衡量防火牆的性能指標主要包括吞吐量、報文轉發率
、最大並發連接數、每秒新建連接數

、轉發時延
、抖動等。


圖1防火牆主要性能指標
　　
防火牆吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在zai測ce試shi中zhong以yi一yi定ding速su率lv發fa送song一yi定ding數shu量liang的de幀zhen，並bing計ji算suan待dai測ce設she備bei傳chuan輸shu的de幀zhen，如ru果guo發fa送song的de幀zhen與yu接jie收shou的de幀zhen數shu量liang相xiang等deng
，那na麼me就jiu將jiang發fa送song速su率lv提ti高gao並bing重zhong新xin測ce試shi；如果接收幀少於發送幀則降低發送速率重新測試，直至滿足沒有幀丟失時的最大發送速率
，得出最終結果。吞吐量測試結果以比特/秒或字節/秒表示。

防火牆TCP並發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP聯接總數。防火牆TCP並(bing)發(fa)連(lian)接(jie)數(shu)的(de)測(ce)試(shi)采(cai)用(yong)一(yi)種(zhong)反(fan)複(fu)搜(sou)索(suo)機(ji)製(zhi)進(jin)行(xing)，在(zai)每(mei)次(ci)反(fan)複(fu)過(guo)程(cheng)中(zhong)，以(yi)低(di)於(yu)被(bei)測(ce)設(she)備(bei)所(suo)能(neng)承(cheng)受(shou)的(de)連(lian)接(jie)速(su)率(lv)發(fa)送(song)不(bu)同(tong)數(shu)量(liang)的(de)並(bing)發(fa)連(lian)接(jie)，直(zhi)至(zhi)得(de)出(chu)被(bei)測(ce)設(she)備(bei)的(de)最(zui)大(da)TCP並發連接數。
　　
防火牆最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下
，所能承受的最大TCP連接建立速度。其測試采用反複搜索過程，每次反複過程中
，以低於被測設備所能承受的最大並發連接數發起速率不同的TCP連接請求，直到得到所有連接被成功建立的最大速率。最大TCP連接建立速率以連接數/秒表示。
　　
防火牆性能測試方法
　　
對一款防火牆產品進行性能評估，分為兩個步驟。首先要進行防火牆基線性能測試
，其次是進行模擬實際應用環境下的性能測試。
　　
基線性能是防火牆在理想狀態下表現出來的性能指標，具有測試結果比較穩定、liuliangmoxingkekongdeyoudian。danshizaishijiyingyongzhong，wangwangdabudaofanghuoqiangchanpinshijibiaochengdejixianxingneng。yuanyinshishijiyingyongzhongjingguofanghuoqiangdeliuliangyaobiceshijixianxingnengshideliuliangfuzadeduo，yincipinggufanghuoqiangxingnengshi，bujinxuyaoduijixianxingnengjinxingpinggu
，gengzhongyaodeshimonishijiyingyonghuanjingjinxingpinggu。
　　
基線性能指標測試
　　
1)吞吐量評估
　　
防(fang)火(huo)牆(qiang)的(de)吞(tun)吐(tu)量(liang)實(shi)際(ji)上(shang)是(shi)一(yi)個(ge)靜(jing)態(tai)指(zhi)標(biao)，反(fan)映(ying)在(zai)理(li)想(xiang)情(qing)況(kuang)下(xia)設(she)備(bei)的(de)轉(zhuan)發(fa)能(neng)力(li)。在(zai)實(shi)際(ji)應(ying)用(yong)中(zhong)吞(tun)吐(tu)量(liang)這(zhe)個(ge)指(zhi)標(biao)一(yi)般(ban)是(shi)達(da)不(bu)到(dao)的(de)
，而(er)且(qie)對(dui)於(yu)用(yong)戶(hu)而(er)言(yan)，實(shi)際(ji)感(gan)受(shou)到(dao)的(de)是(shi)他(ta)的(de)應(ying)用(yong)處(chu)理(li)能(neng)力(li)，因(yin)此(ci)單(dan)純(chun)的(de)吞(tun)吐(tu)量(liang)指(zhi)標(biao)不(bu)能(neng)說(shuo)明(ming)防(fang)火(huo)牆(qiang)的(de)轉(zhuan)發(fa)性(xing)能(neng)。
　　
一般情況下，防火牆的轉發性能可以用throughput和goodput兩個指標來衡量。而對於防火牆設備來說，goodput這個指標比throughput更具有實際意義。因此在測試防火牆吞吐量時，更多采用goodput指標。
　　
goodputyoushihouyejiaoyingyongcengdetuntuliang。zaiyidinglianjiexinjianhebingfadeqingkuangxia，dangebaowendeyingyongcengshujuchengzailianghendachengdujuedingleyingyongcengbaowenzhuanfadenengli。suoyiceshifanghuoqiangzhuanfaxingnengshi，xuyaomingqueceshizaihededaxiao。weileceshidedaojiaoquanmiandetuntuliangxingnengshuju
，xuyaoceshizaibutongzaihedaxiaoqingkuangxiadezhuanfaxingneng。
　　
在進行吞吐量基線測試中
，一般以HTTP作為應用層協議，為了得到最理想的測試效果，通過會選擇HTTP1.1
，每個TCP連接處理盡量多的HTTP事務（transacTIon）
，並且將HTTP載荷設置較大。圖2是使用IxLoad設置的例子。



圖2IxLoad設置
　　
2)連接數評估
　　
連接在狀態防火牆中是一個很重要的概念
，與連接相關的性能指標對評估防火牆非常重要。這些指標包括並發連接數、新建連接速率。

並發連接數的測試
　　
並bing發fa連lian接jie是shi一yi個ge很hen重zhong要yao的de指zhi標biao，它ta主zhu要yao反fan映ying了le被bei測ce設she備bei維wei持chi多duo個ge會hui話hua的de能neng力li。關guan於yu此ci指zhi標biao的de爭zheng論lun也ye有you很hen多duo。一yi般ban來lai說shuo，它ta是shi和he測ce試shi條tiao件jian緊jin密mi聯lian係xi的de，但dan是shi這zhe方fang麵mian的de考kao慮lv有you時shi會hui被bei人ren們men忽hu略lve。比bi如ru
，測ce試shi時shi采cai用yong的de傳chuan輸shu文wen件jian大da小xiao就jiu會hui對dui測ce試shi結jie果guo有you影ying響xiang。例li如ru，如ru果guo在zai傳chuan輸shu中zhong應ying用yong層ceng流liu量liang很hen大da的de話hua,被測設備將會占用很大的係統資源去處理包檢查，導致無法處理新請求的連接，引起測試結果偏小；反之測試結果會大一些。所以沒有測試條件而隻談並發連接數是難以定斷的。從宏觀上來看

，這個測試的最終目的是比較不同設備的“資源”，也就是說處理器資源和存儲資源的綜合表現。