用网络层指标衡量下一代防火墙性能?你OUT啦!

谈及到网络设备的性能指标,大家总是习惯性的联想到吞吐量、丢包率等网络层性能指标。诚然,以吞吐量为代表的网络层指标概念清晰,易于测量,对于用户选型传统防火墙等典型网络层设备起到了很好的指导作用。但随着近年来应用需求和网络技术的发展,用户不再满足于基本的数据通信能力,而是更多关注业务本身的运营效率与安全,希望看到网络流量中用户、应用、内容等可理解的信息,随之而来的是应用层网络设备的不断涌现。如何客观公正的评估这些新一代安全设备的性能,成为摆在用户面前亟待解决的问题。

网络设备性能评估需要费厄泼赖精神

与传统网络设备相比,应用层网络设备不再简单的关注数据报文的转发,而是关注和应用协议相关的内容,如协议识别、应用特征识别、应用威胁识别等,并基于此开发功能特性。针对这些特性,通常应用层网络设备都有各种各样的识别引擎,无论何种算法,最基本的一个要求就是:必须把数据包解封到OSI模型第七层,即应用层。而网络层设备以数据包转发为主要目的,只关心数据包转发能力,只需要解封到第三层,找到对应的IP地址和端口信息即可。

数据包封装和解封,层次越多,CPU的计算负载就越高,这会直接体现在性能上的衰减。同样处理能力的CPU,处理网络层数据转发和应用层识别,所呈现的性能参数是完全不同的,不能放在一起横向比较。使用传统网络层性能指标来评价应用层设备的性能,显然有悖于现代社会所倡导的费厄泼赖(Fair Play)精神。

应用层性能测试的本地化实践

应用层设备的性能测试指标,并不是什么新生事物。全球知名的独立安全研究和评测机构NSS Labs已经提出过比较详细的评估指标,包括网络层吞吐量、网络层新建连接速率、应用层吞吐量和应用层新建连接速率四个指标。之所以将一些网络层的评估指标也引入到了对应用层设备的评估,是为了衡量被测设备的基础数据转发能力,确保工作引擎在攻击流量下仍有足够的应用层处理能力。

NSS Labs的测试指标与方法具有普遍性,适用于品类多、覆盖广的通用性测试,但没有充分考虑产品实测的流量模型,尤其是没有考虑到中国本土网络环境下的热点应用、网络条件和使用方法等地域性特征。就此缺点,国内有安全厂商提出了更贴近中国市场“真实世界”的本地化性能测试指标和方法建议,具体包括以下几个指标:

1. 应用层吞吐量

测试方法:在开启应用识别引擎的前提下,通过发送平均21K大小HTTP页面来测试设备应用层最大吞吐量,且只能计算成功获得HTTP响应的连接。

(说明:选取大小为21K的页面,是基于该厂商对多家高校、运营商等典型网络环境的长期流量统计,总结得出对于每Gbps的流量,包速率采用185Kpps、平均包长670字节、新建连接速率5000个/秒,能够比较准确地描述实际流量,可以作为实际性能测试的流量模型。将流量换算为HTTP页面,恰好为21K。)

2. 开启IPS的应用层吞吐量

测试方法:在开启应用识别引擎、IPS引擎的前提下,通过发送平均21K大小HTTP页面来测试设备应用层最大吞吐量,且只能计算成功获得HTTP响应的连接。

说明:本项测试主要针对下一代防火墙(NGFW)设备。由于IPS开启会较大影响整体性能,因此有必要考察开启IPS功能后设备的性能表现。)

3. 应用层新建速率

测试方法:发送64字节大小的HTTP页面,且必须获得正常的HTTP响应,计算每秒可以建立的最大HTTP连接数。

4. 网络层吞吐量

测试方法:发送1518字节UDP数据包来测试设备网络层最大吞吐量,与传统方法相同。

5. 网络层新建速率

测试方法:正常建立和销毁1字节负荷的TCP连接,来计算最大TCP新建连接数。

小结

由于网络层设备与应用层设备的特点与差异,传统的网络层性能标准无法有效衡量应用层网络设备的能力。基于业界权威的标准和测试方法,并结合对中国本土化应用层流量模型特征,建议使用四项通用指标来评估应用层网络设备性能:应用层吞吐量,应用层新建速率,网络层吞吐量,网络层新建速率。其中应用层指标可以作为主要指标,网络层指标可作为参考指标。此外,对于下一代防火墙设备,还需要考察开启IPS功能后的应用层吞吐能力。

本文转自d1net(转载)

时间: 2024-10-07 11:12:59

用网络层指标衡量下一代防火墙性能?你OUT啦!的相关文章

应用层指标是衡量下一代防火墙性能的主要标准

× loading.. 企业网D1Net 登入注册 CIO频道 云计算 智慧城市 数据中心 大数据 数据网络 移动办公 服务器 存储 安全 统一通信 视频会议 视频监控 呼叫中心 物联网 虚拟化 IP语音 更多 首   页 内网安全 防火墙 云安全 VPN UTM IPS|IDS 更多 当前位置:安全 → 防火墙 → 正文 应用层指标是衡量下一代防火墙性能的主要标准 责任编辑:editor005 作者:admin |  2016-01-12 14:35:12 本文摘自:安全牛 近年来,用户对网络

引领应用安全性能 山石网科高端万兆下一代防火墙又添领头兵

近日,山石网科发布了高端万兆下一代防火墙新产品SG-6000系列E6360和E6160.其防火墙吞吐量最大可达80Gbps和60Gbps,以更丰富的入侵防御系统.病毒防护等应用安全功能,灵活应用于互联网出口.服务器区防护等应用场景,为运营商.高校.金融.大型企业等大流量用户提供从网络层到应用层全方位的高性价比网络安全解决方案. 随着高校.二级运营商.大型金融企业的网络出口带宽不断扩容升级,60-80G档位NGFW市场需求量不断增长,山石网科E6360和E6160在完整继承了山石网科万兆下一代防火

云计算来袭 下一代防火墙“new”在哪里?

本文摘要:传统的安全架构,如今在面对数据中心带来的大规模整合和互联.云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑,NGFW的出世是否为安全"老三样"注入"兴奋剂". 防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户.带宽不断增长的今天,却愈发难以满足多方面的挑战.尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已经达到50余万个.业务

梭子鱼即将发布年度新品战略 主打下一代防火墙

梭子鱼将在北京召开"2011年度梭子鱼战略新品发布会".会上梭子鱼将正式在中国市场发布其2011年度的 重量级产品-梭子鱼下一代防火墙随着互联网的发展,网络安全威胁也在不断发生变化.传统基于网络层的安全威胁已经转变为以应用层攻击行为为主的安全威胁.Gartner统计表明高达3/4的网络威胁是基于应用层而非网络层的,在这一发展趋势下,基于网络层的传统防火墙显得日益先天不足和力不从心.为应对这一趋势和需求,梭子鱼在2011年发布了下一代防火墙(简称:NG Firewall),梭子鱼全球亚太

下一代防火墙进入大规模部署阶段

本文讲的是 :  下一代防火墙进入大规模部署阶段  , [IT168评论]互联网趋势的发展给企业的信息安全带来了更加严峻的挑战,传统的边界防护在互联网时代显得那么脆弱.如今企业IT应用越来越多样化,移动办公.云服务.数据中心等业务逐渐发展,应用层安全以及更多未知威胁的出现需要更新的安全防护技术来应对. 下一代防火墙应安全局势和市场需求而生,可以对应用.业务和用户完全识别并加以控制.可以帮助企业降低管理难度.减少运维成本,在安全技术和管理策略方面帮助企业用户实现价值.从整体安全市场来看,下一代防火

NSS Labs攻击防护测试面面观 —— RSA2016大会首日 NSS Labs为山石网科颁发下一代防火墙推荐级奖项

3月1日,在开幕首日的美国RSA大会现场,NSS Labs高管Garret Jones在现场来宾的见证下为山石网科颁发了下一代防火墙推荐级水晶授牌,山石网科凭借着下一代防火墙的卓越表现,成为了首家成功通过NSS Labs该项测试的中国企业.这一里程碑式的成就对于山石网科而言,无疑是极大的鼓舞,也开创了国内网络安全企业的先河. 山石网科的下一代防火墙在NSS Labs推出的价值象限中占据了近乎右上顶点的优异位置,能以最低的总体拥有成本及最高的安全防护级别为全球超过12000名用户提供全面保护.  

下一代边界安全专家——绿盟科技下一代防火墙正式发布

2013年4月25日是绿盟科技成立十三周年的日子,也是绿盟科技下一代防火墙正式发布的日子.该产品结合绿盟科技十 三年攻防研究.产品研发与应用.客户服务经验,历时多载,汇聚近百位专业人士的智慧,精心打造完成.绿盟科技下一代防火墙产品以掌控应用风险,重塑边界安全为目标,在企业网络边界建立VIP式安全防护,即可视化应用安全(Visualization).一体化安全防护( Integration).高安全处理性能(Performance),通过智能化识别.精细化控制.一体化扫描等逐层递进方式实现用户/应

既然要买防火墙,为什么不选择“下一代”防火墙呢?

前些日子,跟一个客户谈一笔防火墙生意,一切进展顺利.会议快结束时候,随口问了一句:您为什么要选择购买下一代防火墙?在提这个问题时候,我设想了几种客户可能会给的答案,类似性价比高,安全性高,性能强--但是客户最终的回答却出乎我意料:既然要买防火墙,为什么不选择"下一代"防火墙呢?客户这个反问式的回答出乎我意料,做一个简单类比就是如果你现在选择够买苹果手机,新版iPhone SE来了,你还会去选择买一个4S吗?这个逻辑看似简简单明了,但问题是如何购买一款真正下一代防火墙? 尤其是这几年,国

拨云见日,找寻属于你的下一代防火墙

本文讲的是拨云见日,找寻属于你的下一代防火墙,社会行为的变迁推动了信息科技的发展.在当今时代,这种变迁表现为人们共享信息形式的多样化.分享渠道的多元化,以及交互模式的差异化,这种差异体现为由人人观赏变为人人参与.与此种变迁相对应,信息技术上的发展可以抽象为:下一个数据时代的到来. 下一个数据时代的基本特征是海量数据,并由此带动起一系列全新的支撑架构和数据服务体系,如大数据行为挖据,虚拟化存储与服务,移动办公,社会化网络及媒体等等,而其中最为关键的则是新数据时代下的网络安全问题.究其原因也不难理解