随着网络带宽的迅猛提升，万兆网络大规模普及的今天，万兆网络成为网络新应用的主力军，不仅是万兆网络基础设备(交换机、路由器)，包括万兆网络安全设备(防火墙、IPS等)也迎来产品和技术的全面提升。

由于防火墙恰好处于网络的末端，因此防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响，特别是骨干网上使用的万兆防火墙，性能的高低直接影响着网络的正常应用。所以，目前防火墙的网络性能指标日益为人们所重视，地位也越来越重要。

作为网络互联设备，参考RFC1242/2544对其在二、三层的数据包转发性能进行测试评估，是大部分网络设备性能测试的基本方法，二、三层的转发性能也可以帮助评估设备下层的交换转发机制是否高效。但作为防火墙来说，最大的特点就是可以对4~7层的高层流量进行一定的控制。随着下一代防火墙概念的逐渐清晰，防火墙肯定需要基于用户应用以及行为进行控制管理。这就必然对性能造成一定的影响，而这种影响有多大，会不会成为整个网络的瓶颈，就成为人们所关心的问题。据此，我们认为完整的防火墙性能评估应该由网络层性能、传输层性能和应用层性能三部分组成。

当前市场万兆防火墙鱼龙混杂，性能宣传值动辄从10Gbps到几百Gbps，几乎绝大多数宣称的最大性能指标都是网络层性能，即是根据RFC2544中吞吐率定义得出，但更重要的实际环境中的应用性能到底怎样呢?面对作为用户，如何分辨真伪，选择最为合适的产品呢?下面我们就通过一系列测试数据给您一个答案。

笔者近期在实验室选取当前比较流行的X86架构INTEL Sandy Bridge平台进行测试。硬件平台为英特尔SNB+Cougar Point C200芯片组中最高端的型号C206，配置Core I7 2600 CPU+4G DDR3内存。I7 2600处理器具有256KB L2缓存(每核)和8MB共享L3缓存，主频为3.4GHz。搭配82599网卡芯片，提供4个万兆多模SFP Plus接口。被测设备配置为交换模式，使用设备缺省安全策略进行测试。

网络层测试

在网络层性能部分我们选用了最重要的指标吞吐量。IETF RFC1242中对吞吐量做了标准的定义：“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device.”，明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。在RFC2544中给出了该项测试的步骤过程及测试方法。

在吞吐量测试中我们选用了IXIA公司的IxAutomate软件，IxAutomate是对RFC1242/2544指标测试的自动化测试软件。在对防火墙吞吐量的测试中，我们遵照RFC建议，采用64，128，256，512，1024，1280和1518字节等7种不同长度的数据帧来进行。

测试结果见下表：

 

在这7种数据帧中的性能结果最高的一般都是1518字节，目前市场上大多万兆防火墙宣称的转发吞吐量基本都是选取1518字节吞吐量测试结果。从上表可看出此款防火墙1518字节的吞吐高达26.9G。

传输层性能测试

传输层性能是针对防火墙状态相关的性能测试。它主要包括TCP并发连接数(Concurrent TCP Connection Capacity)和最大TCP连接建立速率(Maximum TCP Connection Establishment Rate)两项指标的测试。在RFC2647/RFC3511中对上述两个测试项做了明确定义与测试说明。在本测试中我们选择最能显示防火墙CPU处理能力的最大TCP连接建立速率来进行测试。

最大TCP连接建立速率通常也成为每秒新建连接速率，是测试防火墙维持的最大TCP连接建立速度，本指标用以体现防火墙更新状态表的能力，考察CPU的资源调度状况。这个指标主要体现了被测防火墙对于连接请求的实时反应能力。当被测防火墙每秒可以更快地处理连接请求，而且可以更快地传输数据的话，用户使用网络的实际感受也就越好，所以TCP连接建立速率的确是个很重要的指标。

本次测试使用了Ixia公司最新的BPS测试仪。通过测试，本次测试设备最大TCP连接建立速率可达15万/秒。下图是本次测试平台的TCP连接建立速率测试结果。

(责任编辑：安博涛)