【51CTO.com 綜合消息】正如購買其他電子設(shè)備需要了解很多性能參數(shù)一樣，選購一臺防火墻也需要了解眾多的的性能指標(biāo)。那么作為防火墻的四項基本性能指標(biāo)——吞吐、時延、新建、并發(fā)，都意味著什么，如何測算得出，到底可以帶給用戶什么好處？有什么意義？山石網(wǎng)科Hillstone將為您解讀防火墻四大指標(biāo)的含義以及測試方法。

吞吐量（Throughput）

吞吐量是衡量一款防火墻或者路由交換設(shè)備的最重要的指標(biāo)，它是指網(wǎng)絡(luò)設(shè)備在每一秒內(nèi)處理數(shù)據(jù)包的***能力。吞吐量意味這臺設(shè)備在每一秒以內(nèi)所能夠處理的***流量或者說每一秒內(nèi)能處理的數(shù)據(jù)包個數(shù)。設(shè)備吞吐量越高，所能提供給用戶使用的帶寬越大，就像木桶原理所描述的，網(wǎng)絡(luò)的***吞吐取決于網(wǎng)絡(luò)中的***吞吐量設(shè)備，足夠的吞吐量可以保證防火墻不會成為網(wǎng)絡(luò)的瓶頸。舉一個形象的例子，一臺防火墻下面有100個用戶同時上網(wǎng)，每個用戶分配的是10Mbps的帶寬，那么這臺防火墻如果想要保證所有用戶全速的網(wǎng)絡(luò)體驗，必須要有至少1Gbps的吞吐量。

吞吐量的計量單位有兩種方式：常見的就是帶寬計量，單位是Mbps（Megabits per second）或者Gbps（Gigabits per second），另外一種是數(shù)據(jù)包處理量計量，單位是pps（packets per second），兩種計量方式是可以相互換算的。在進(jìn)行對一款設(shè)備進(jìn)行吞吐性能測試時，通常會記錄一組從64字節(jié)到1518字節(jié)的測試數(shù)據(jù)，每一個測試結(jié)果均有相對應(yīng)的pps數(shù)。64字節(jié)的pps數(shù)***，基本上可以反映出設(shè)備處理數(shù)據(jù)包的***能力。所以從64字節(jié)的這個數(shù)，基本上可以推算出系統(tǒng)***能處理的吞吐量是多少。

很多路由設(shè)備的性能指標(biāo)有一點就是標(biāo)稱xxMpps，所指的就是設(shè)備處理64字節(jié)的pps數(shù)。比如64字節(jié)的pps為100000pps，吞吐量通過換算為100000×(64+20) ×8/1000000= 67.2Mbps，拿這個結(jié)果計算1518字節(jié)的數(shù)據(jù)為100000×(1518+20) ×8/100000=1230.4Mbps。其中的20字節(jié)是指12字節(jié)的幀間距（IPG）以及8字節(jié)的前導(dǎo)碼（7字節(jié)同步+1字節(jié)起始），測試每一個字節(jié)的吞吐量都需要將這20字節(jié)計算在內(nèi)。通過前面的算式可以看出，我們即使不測試1518字節(jié)，也能夠大致推算出設(shè)備***的吞吐量是多少。但最終的結(jié)果只能小于這個結(jié)果。為什么會小于呢？因為很多設(shè)備因為接口數(shù)或者內(nèi)部器件帶寬的原因，限制了***的帶寬，這樣設(shè)備的***吞吐量就會遠(yuǎn)遠(yuǎn)低于推算的數(shù)值。不過既然得出了64字節(jié)的pps數(shù)，那么只要廠商標(biāo)稱的***吞吐量低于推算的帶寬，就基本可以認(rèn)為這個標(biāo)稱值是可信的。

時延（Latency）

時延是系統(tǒng)處理數(shù)據(jù)包所需要的時間。防火墻時延測試指的就是計算它的存儲轉(zhuǎn)發(fā)（Store and Forward）時間，即從接收到數(shù)據(jù)包開始，處理完并轉(zhuǎn)發(fā)出去所用的全部時間。在一個網(wǎng)絡(luò)中，如果我們訪問某一臺服務(wù)器，通常不是直接到達(dá)，而是經(jīng)過大量的路由交換設(shè)備。每經(jīng)過一臺設(shè)備，就像我們在高速公路上經(jīng)過收費站一樣都會耗費一定的時間，一旦在某一個點耗費的時間過長，就會對整個網(wǎng)絡(luò)的訪問造成影響。如果防火墻的延時很低，用戶就完全不會感覺到它的存在，提升了網(wǎng)絡(luò)訪問的效率。

時延的單位通常是微秒，一臺高效率防火墻的時延通常會在一百微秒以內(nèi)。時延通常是建立在測試完吞吐量的基礎(chǔ)上進(jìn)行的測試。測試時延之前需要先測出每個包長下吞吐量的大小，然后使用每個包長的吞吐量結(jié)果的 90%-100%作為時延測試的流量大小。一般時延的測試要求不能夠有任何的丟包。因為如果丟包，會造成時延非常大，結(jié)果不準(zhǔn)確。我們測試一般使用***吞吐量的95%或者90%進(jìn)行測試。測試結(jié)果包括***時延，最小時延，平均時延，一般記錄平均時延。

新建連接速率（Maximum TCP Connection Establishment Rate）

新建連接速率指的是在每一秒以內(nèi)防火墻所能夠處理的HTTP新建連連接請求的數(shù)量。用戶每打開一個網(wǎng)頁，訪問一個服務(wù)器，在防火墻看來會是1個甚至多個新建連接。而一臺設(shè)備的新建連接速率越高，就可以同時給更多的用戶提供網(wǎng)絡(luò)訪問。比如設(shè)備的新建連接速率是1萬，那么如果有1萬人同時上網(wǎng)，那么所有的請求都可以在一秒以內(nèi)完成，如果有1萬1千人上網(wǎng)的話，那么前1萬人可以在***秒內(nèi)完成，后1千個請求需要在下一秒才能完成。所以，新建連接速率高的設(shè)備可以提供給更多人同時上網(wǎng)，提升用戶的網(wǎng)絡(luò)體驗。

新建連接速率雖然英文用的是TCP，但是為了更接近實際用戶的情況，通常會采用HTTP來進(jìn)行測試，測試結(jié)果以連接每秒（connections per second）作為單位。為什么針對防火墻要測試這個數(shù)據(jù)呢？因為我們知道防火墻是基于會話的機制來處理數(shù)據(jù)包的，每一個數(shù)據(jù)包經(jīng)過防火墻都要有相應(yīng)的會話來對應(yīng)。會話的建立速度就是防火墻對于新建連接的處理速度。新建連接的測試采用4-7層測試儀來進(jìn)行，模擬真實的用戶和服務(wù)器之間的HTTP教過過程：首先建立三次握手，然后用戶到HTTP服務(wù)器去Get一個頁面，***采用三次握手或者四次握手關(guān)閉連接。測試儀通過持續(xù)地模擬每秒大量用戶連接去訪問服務(wù)器以測試防火墻的***極限新建連接速率。

并發(fā)連接數(shù)（Concurrent TCP Connection Capacity）

***介紹的是并發(fā)連接數(shù)，并發(fā)連接數(shù)就是指防火墻***能夠同時處理的連接會話個數(shù)。并發(fā)連接數(shù)指的是防火墻設(shè)備***能夠維護(hù)的連接數(shù)的數(shù)量，這個指標(biāo)越大，在一段時間內(nèi)所能夠允許同時上網(wǎng)的用戶數(shù)越多。隨著web應(yīng)用復(fù)雜化以及P2P類程序的廣泛應(yīng)用，每個用戶所產(chǎn)生的連接越來越多，甚至一個用戶的連接數(shù)就有可能上千，更嚴(yán)重的是如果用戶中了木馬或者蠕蟲病毒，更會產(chǎn)生上萬個連接。所以顯而易見，幾十萬的并發(fā)連接數(shù)已經(jīng)不能夠滿足網(wǎng)絡(luò)的需求了，目前主流的防火墻都要求能夠達(dá)到幾十萬甚至上千萬的并發(fā)連接以滿足一定規(guī)模的用戶需求。

并發(fā)連接數(shù)雖然英文用的是TCP，但是為了更接近實際用戶的情況，通常會采用HTTP來進(jìn)行測試。它是個容量的單位，而不是速度。測試結(jié)果以連接（connections）作為單位。基本測試的方法和HTTP新建連接速率基本一致，主要的區(qū)別在于新建連接測試會立刻拆除建立的連接，而并發(fā)連接數(shù)測試不會拆除連接，所有已經(jīng)建立的連接會保持住直到達(dá)到設(shè)備的極限。

安全市場產(chǎn)品眾多，把防火墻數(shù)據(jù)公開供用戶選擇的廠商***。用戶選擇一款產(chǎn)品不僅僅要知道防火墻的各個指標(biāo)到底代表了什么含義，而且還明白什么樣的產(chǎn)品是“我”所需要的，什么樣的廠商是值得信賴的。高性能安全產(chǎn)品帶給用戶的不僅僅是性能的提升，而更體現(xiàn)了廠商對待產(chǎn)品以及對待用戶的態(tài)度。就像開篇講到的一樣，購買任何產(chǎn)品我們都要做到明明白白消費，挑選真正“好”的產(chǎn)品。山石網(wǎng)科將一如既往，致力于為廣大用戶提供高性能、高可靠、易用的網(wǎng)絡(luò)安全解決方案。