全新一代硬件防火墻的功能與性能分析

羊尚波 徐勝超

（廣州華商學院數據科學學院，廣東廣州 511300）

防火墻是保障網絡安全的主要設備之一，是被保護網絡與外部環境之間的一道關鍵屏障，在硬件防火墻的支撐下，外部環境只有部分流量可以進入網絡，通過此種方式，可以降低網絡惡意入侵等安全事故的發生。由于網絡受攻擊的方式正呈現多元化趨勢、網絡應用層的安全協議不斷涌現，促使防火墻硬件也逐步更新，全新一代硬件防火墻由此誕生[1]。全新一代硬件防火墻在使用中可據其功能劃分為網絡防護墻與個人防火墻，但無論任何類型的防火墻，集成在計算機終端所發揮的作用與效能均相同[2]。

目前，相關防火墻性能的研究，已成為了科研單位與相關技術領域的關注重點。為給科技研究提供進一步的數據，本文將以全新一代硬件防火墻為例，對其功能與性能展開測試并全面地分析。

1 防火墻測試條件

為檢驗目前市場使用的全新一代防火墻在推廣使用中的綜合性能，在測試防火墻前，應先設計測試條件[3]。結合本文此次實驗需求，選用表1 所示的測試儀器。

表1 防火墻測試儀器選型

完成對防火墻測試儀器的選擇后，設計如圖1 所示的測試環境。

圖1 防火墻測試環境部署示意圖

按圖1 所示的內容，設置并全面部署防火墻測試環境。將內部網絡、外部網絡與防火墻通信接口連接，測試中使用專用儀器設備獲取并錄入相關數據[4]。用于測試防火墻性能的儀器設備匹配其組件模塊與功能如表2所示。

按表2 內容，完成防火墻測試條件與測試環境的綜合部署。

表2 防火墻性能測試儀器組件模塊與功能匹配

2 測試指標與測試方法

2.1 功能測試指標與方法

以測試條件為基礎，設計全新一代硬件防火墻功能測試的指標與方法。將防火墻部署在測試設備終端，確保終端與防火墻呈現良好通信連接狀態后，使用表2 提出的多種網絡攻擊工具對防火墻內部網絡主動攻擊，隨機設置攻擊次數。檢驗在此過程中，防火墻是否能發揮其預期效能對外部攻擊有效防御并記錄防御攻擊次數。以此為依據，分析全新一代硬件防火墻的功能。

2.2 性能測試指標與方法

2.2.1 吞吐量測試方法

吞吐量是評價防火墻性能的主要指標之一，為實現對防火墻吞吐量的測量，需明確防火墻在使用中的吞吐量主要是指測試裝置在發送與傳輸數據過程中，在指定時間內按照一定速度可發送的數據幀[5-6]。通過對防火墻連接端口、接收接口兩個位置發送字節數與分組數計算，可以掌握數據在防火墻中的傳輸速度，使接收的數據幀＜前端接口發送的數據幀，將輸出結果作為防火墻吞吐量測試結果[7-8]。

為實現對防火墻吞吐量的精準分析，建立如下計算公式所示的防火墻性能分析通用數學模型：

式中：T 為全新一代硬件防火墻性能分析不確定度分析通用數據模型；x 為測試裝置測定數值；δ 為測定裝置型號；L 為有效測定范圍；s 為測量裝置對測試結果的影響[9-10]。

開始測試后，啟動本文研究的全新一代硬件防火墻，確保防火墻內部網絡與外部環境保持良好連通狀態后，啟動IXIA 測試工具。同時，在測試終端選擇吞吐量測量模板，設置模板參數，包括UDP（數據幀）類型、傳輸數據量規模與大小、測試時長與測試次數等。按照下述計算公式對防火墻吞吐量進行計算：

式中：γ 為全新一代硬件防火墻吞吐量；B1為并發數量；t 為防火墻對傳輸反饋數據的響應時間。按照上述方式，完成對防火墻吞吐量的測試。

2.2.2 延遲測試方法

測試過程中，根據全新一代防火墻的最大吞吐量數值，對其進行延遲測試。在發送數據幀最后一位字節進入到防火墻輸入端口時刻，開始統計時間，當數據幀在防火墻中傳輸與流通后，數據幀的第一幀出現在防火墻輸出端口時刻，完成對時間的統計，這一過程中的時間間隔被稱之為防火墻延遲時間。

為實現對防火墻延遲性能的精準分析，使用Smart-bits 測試工具，按照上文2.2.1 中所述的方式，進行防火墻與Smart-bits 測試工具的通信連接。啟動防火墻后，配置其參數。同時，啟動Smart-bits 測試工具，選擇測試模板，勾選測試模板中的“計算延遲”選項。在保證全新一代硬件防火墻的吞吐量呈現100.0%線性速度的前提下，開始測試并記錄測試結果。計算公式如下：

式中：S 為防火墻運行延遲；S2為數據幀的第一幀出現在防火墻輸出端口時刻；S1為發送數據幀最后一位字節進入到防火墻輸入端口時刻。

2.2.3 最大并發連接數測試方法

最大并發連接數是指在測試中使用網絡反復搜索機制，持續上述行為，在每次檢索時，需要以少于測試工具可以承載的連接速度，進行不同并發連接數的發送，通過此種方式可以在測試中掌握被測試防火墻在實際應用中的最大連接數量。測試過程如圖2 所示。

圖2 并發連接數測試流程

計算防火墻最大并發數測試結果，計算公式如下：

式中：VS 為最大并發數；Cm 為防火墻在測試過程中的有效響應次數；Ts 為Avalanche 測試工具發送檢索指令的次數。按照上述計算公式，對防火墻最大并發數進行測試。

3 測試結果

3.1 硬件防火墻功能測試結果

對全新一代硬件防火墻的功能測試結果進行整理，如表3 所示。

表3 全新一代硬件防火墻功能測試結果

由表3 可知，測試選用了四種類型的攻擊，防火墻對外界攻擊的安全防護率可達到99.0%以上，說明全新一代硬件防火墻在實際應用中，具有有效抵御外部環境攻擊的功能，可實現對外部攻擊的安全防護。

3.2 硬件防火墻性能測試結果

3.2.1 吞吐量測試結果

按照上文內容，重復14 次測試，完成對防火墻在使用中的吞吐量測試后，整理測試結果，如表4 所示。

表4 全新一代硬件防火墻吞吐量測試結果

由表4 可知，全新一代硬件防火墻吞吐量測試結果均滿足＞90.0 MBit/s 的條件，表明本文此次研究的全新一代硬件防火墻具有較高的吞吐量。

3.2.2 延遲測試結果

測試防火墻在使用中的傳輸延遲結果，如圖3 所示。

圖3 全新一代硬件防火墻延遲測試結果

由圖3 可知，防火墻在運行中的延遲在200.0us～300.0us 之間，表明全新一代硬件防火墻在傳輸數據幀時的延遲降低，可以基本實現將數據幀在防火墻中傳輸的延遲控制在300.0us（＜1.0ms）范圍內。

3.2.3 最大并發連接數測試結果

按照上述測試方式，對防火墻最大并發連接數進行測試，整理在不同檢索次數下，全新一代硬件防火墻的并發信息處理能力，測試結果如表5 所示。

表5 最大并發連接數測試結果

由表5 可知，本文此次研究的全新一代硬件防火墻最大并發連接數為240000 個。同時，240000 個也是防火墻能夠同時或有效處理網絡中點對點連接的最大信息數目。

4 結論

本文從吞吐量、延遲、最大并發連接數3 個方面，開展了全新一代硬件防火墻的功能與性能分析的研究，完成此次研究后，明確了新一代防火墻可以在未來互聯網研究領域內，作為網絡安全防護的主要硬件。相比市場內廣泛使用的多種安全防護硬件，此次研究的硬件防火墻無論是功能方面，或是在綜合性能方面，都具有顯著的優勢。盡管此次研究的成果已相對完善，但要在真正意義上將全新一代硬件防火墻在市場內推廣使用，還需要繼續對防火墻性能測試進行投入。