衡量防火牆效能的引數指標有哪些
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。對於防火牆的效能,我們應該怎麼衡量比較呢?這篇文章主要介紹了衡量防火牆效能的幾個重要引數指標,需要的朋友可以參考下
防火牆主要參考以下3種性能指標:
整機吞吐量:指防火牆在狀態檢測機制下能夠處理一定包長資料的最大轉發能力,業界預設一般都採用大包衡量防火牆對報文的處理能力。
最大併發連線數:由於防火牆是針對連線進行處理報文的,併發連線數目是指的防火牆可以同時容納的最大的連線數目,一個連線就是一個TCP/UDP的訪問。
每秒新建連線數:指每秒鐘可以通過防火牆建立起來的完整TCP/UDP連線。該指標主要用來衡量防火牆在處理過程中對報文連線的處理速度,如果該指標低會造成使用者明顯感覺上網速度慢,在使用者量較大的情況下容易造成防火牆處理能力急劇下降,並且會造成防火牆對網路攻擊防範能力差。
併發連線數
併發連線數是指防火牆或代理伺服器對其業務資訊流的處理能力,是防火牆能夠同時處理的點對點連線的最大數目,它反映出防火牆裝置對多個連線的訪問控制能力和連線狀態跟蹤能力,這個引數的大小直接影響到防火牆所能支援的最大資訊點數。
併發連線數是衡量防火牆效能的一個重要指標。在目前市面上常見防火牆裝置的說明書中大家可以看到,從低端裝置的500、1000個併發連線,一直到高階裝置的數萬、數十萬併發連線,存在著好幾個數量級的差異。那麼,併發連線數究竟是一個什麼概念呢?它的大小會對使用者的日常使用產生什麼影響呢?
要了解併發連線數,首先需要明白一個概念,那就是“會話”。這個“會話”可不是我們平時的談話,但是可以用平時的談話來理解,兩個人在談話時,你一句,我一句,一問一 答,我們把它稱為一次對話,或者叫會話。同樣,在我們用電腦工作時,開啟的一個視窗或一個Web頁面,我們也可以把它叫做一個“會話”,擴充套件到一個局域網裡面,所有使用者要通過防火牆上網,要開啟很多個視窗或Web頁面發***即會話***,那麼,這個防火牆,所能處理的最大會話數量,就是“併發連線數”。
像路由器的路由表存放路由資訊一樣,防火牆裡也有一個這樣的表,我們把它叫做併發連線表,是防火牆用以存放併發連線資訊的地方,它可在防火牆系統啟動後動態分配程序的記憶體空間,其大小也就是防火牆所能支援的最大併發連線數。大的併發連線表可以增大防火牆最大併發連線數,允許防火牆支援更多的客戶終端。儘管看 上去,防火牆等類似產品的併發連線數似乎是越大越好。但是與此同時,過大的併發連線表也會帶來一定的負面影響:
1.併發連線數的增大意味著對系統記憶體資源的消耗
以每個併發連線表項佔用300B計算,1000個併發連線將佔用300B×1000×8bit/B≈2.3Mb記憶體空間,10000個併發連線將佔用 23Mb記憶體空間,100000個併發連線將佔用230Mb記憶體空間,而如果真的試圖實現1000000個併發連線的話那麼,這個產品就需要提供 2.24Gb記憶體空間。
2.併發連線數的增大應當充分考慮CPU的處理能力
CPU的主要任務是把網路上的流量從一個網段儘可能快速地轉發到另外一個網段上,並且在轉發過程中對此流量按照一定的訪問控制策略進行許可檢查、流量統計和訪問審計等操作,這都要求防火牆對併發連線表中的相應表項進行不斷的更新讀寫操作。如果不顧CPU的實際處理能力而貿然增大系統的併發連線表,勢必影響 防火牆對連線請求的處理延遲,造成某些連線超時,讓更多的連線報文被重發,進而導致更多的連線超時,最後形成雪崩效應,致使整個防火牆系統崩潰。
3. 物理鏈路的實際承載能力將嚴重影響防火牆發揮出其對海量併發連線的處理能力
雖然目前很多防火牆都提供了 10/100/1000Mbps的網路介面,但是,由於防火牆通常都部署在Internet出口處,在客戶端PC與目的資源中間的路徑上,總是存在著瓶頸鍊路——該瓶頸鍊路可能是2Mbps專線,也可能是512Kbps乃至64Kbps的低速鏈路。這些擁擠的低速鏈路根本無法承載太多的併發連線,所以即便是防火牆能夠支援大規模的併發訪問連線,也無法發揮出其原有的效能。
有鑑於此,我們應當根據網路環境的具體情況和個人不同的上網習慣來選擇適當規模的併發連線表。因為不同規模的網路會產生大小不同的併發連線,而使用者習慣於何種網路服務以及如何使用這些服務,同樣也會產生不同的併發連線需求。高併發連線數的防火牆裝置通常需要客戶投資更多的裝置,這是因為併發連線數的增大牽扯到資料結構、CPU、記憶體、系統匯流排和網路介面等多方面因素。如何在合理的裝置投資和實際上所能提供的效能之間尋找一個黃金平衡點將是使用者選擇產品的一 個重要任務。按照併發連線數來衡量方案的合理性是一個值得推薦的辦法。
以每個使用者需要10.5個併發連線來計算,一箇中小型企業網路***1000個資訊點以下,容納4個C類地址空間***大概需要10.5×1000=10500個併發連線,因此支援 20000~30000最大併發連線的防火牆裝置便可以滿足需求;大型的企事業單位網路***比如資訊點數在1000~10000之間***大概會需要 105000個併發連線,所以支援100000~120000最大併發連線的防火牆就可以滿足企業的實際需要; 而對於大型電信運營商和ISP來說,電信級的千兆防火牆***支援120000~200000個併發連線***則是恰當的選擇。為較低需求而採用高階的防火牆裝置 將造成使用者投資的浪費,同樣為較高的客戶需求而採用低端裝置將無法達到預計的效能指標。利用網路整體上的併發連線需求來選擇適當的防火牆產品可以幫助使用者 快速、準確的定位所需要的產品,避免對單純某一引數“愈大愈好”的盲目追求,縮短設計施工週期,節省企業的開支。從而為企業實施最合理的安全保護方案。
在利用併發連線數指標選擇防火牆產品的同時,產品的綜合性能、廠家的研發力量、資金實力、企業的商業信譽和經營風險以及產品線的技術支援和售後服務體系等 都應當納入採購者的視野,將多方面的因素結合起來進行綜合考慮,切不可盲目的聽信某些廠家廣告宣傳中的大併發連線的宣傳,要根據自己業務系統、企業規模、 發展空間和自身實力等因素多方面考慮。
吞吐量
網路中的資料是由一個個資料包組成,防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火牆的資料包數量。
隨著Internet的日益普及,內部網使用者訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如www頁面瀏覽、FTP檔案傳輸、DNS 域名解析等服務,這些因素會導致網路流量的急劇增加,而防火牆作為內外網之間的唯一資料通道,如果吞吐量太小,就會成為網路瓶頸,給整個網路的傳輸效率帶來負面影響。因此,考察防火牆的吞吐能力有助於我們更好的評價其效能表現。這也是測量防火牆效能的重要指標。
吞吐量的大小主要由防火牆內網絡卡, 及程式演算法的效率決定,尤其是程式演算法,會使防火牆系統進行大量運算,通訊量大打折扣。因此,大多數防火牆雖號稱100M防火牆,由於其演算法依靠軟體實 現,通訊量遠遠沒有達到100M,實際只有10M-20M。純硬體防火牆,由於採用硬體進行運算,因此吞吐量可以達到線性90-95M,是真正的100M 防火牆。
對於中小型企業來講,選擇吞吐量為百兆級的防火牆即可滿足需要,而對於電信、金融、保險等大公司大企業部門就需要採用吞吐量千兆級的防火牆產品。
補充閱讀:防火牆主要使用技巧
一、所有的防火牆檔案規則必須更改。
儘管這種方法聽起來很容易,但是由於防火牆沒有內建的變動管理流程,因此檔案更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改,那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火牆管理產品的中央控制檯能全面可視所有的防火牆規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現並修理故障,讓整個協議管理更加簡單和高效。
二、以最小的許可權安裝所有的訪問規則。
另一個常見的安全問題是許可權過度的規則設定。防火牆規則是由三個域構成的:即源***IP地址***,目的地***網路/子網路***和服務***應用軟體或者其他目的地***。為了確保每個使用者都有足夠的埠來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標物件。當你出於業務持續性的需要允許大範圍的IP地址來訪問大型企業的網路,這些規則就會變得許可權過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP埠的ANY。防火牆管理員真的就意味著為黑客開放了65535個攻擊向量?
三、根據法規協議和更改需求來校驗每項防火牆的更改。
在防火牆操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新稽核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期後從防火牆規則中刪除無用的規則。
規則膨脹是防火牆經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們瞭解這些新規則,卻從來不會讓防火牆團隊知道他們不再使用某些服務了。瞭解退役的伺服器和網路以及應用軟體更新週期對於達成規則共識是個好的開始。執行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。
怎麼關閉防火牆有多少種方法