全新一代硬件防火墙的功能与性能分析

羊尚波 徐胜超

（广州华商学院数据科学学院，广东广州 511300）

防火墙是保障网络安全的主要设备之一，是被保护网络与外部环境之间的一道关键屏障，在硬件防火墙的支撑下，外部环境只有部分流量可以进入网络，通过此种方式，可以降低网络恶意入侵等安全事故的发生。由于网络受攻击的方式正呈现多元化趋势、网络应用层的安全协议不断涌现，促使防火墙硬件也逐步更新，全新一代硬件防火墙由此诞生[1]。全新一代硬件防火墙在使用中可据其功能划分为网络防护墙与个人防火墙，但无论任何类型的防火墙，集成在计算机终端所发挥的作用与效能均相同[2]。

目前，相关防火墙性能的研究，已成为了科研单位与相关技术领域的关注重点。为给科技研究提供进一步的数据，本文将以全新一代硬件防火墙为例，对其功能与性能展开测试并全面地分析。

1 防火墙测试条件

为检验目前市场使用的全新一代防火墙在推广使用中的综合性能，在测试防火墙前，应先设计测试条件[3]。结合本文此次实验需求，选用表1 所示的测试仪器。

表1 防火墙测试仪器选型

完成对防火墙测试仪器的选择后，设计如图1 所示的测试环境。

图1 防火墙测试环境部署示意图

按图1 所示的内容，设置并全面部署防火墙测试环境。将内部网络、外部网络与防火墙通信接口连接，测试中使用专用仪器设备获取并录入相关数据[4]。用于测试防火墙性能的仪器设备匹配其组件模块与功能如表2所示。

按表2 内容，完成防火墙测试条件与测试环境的综合部署。

表2 防火墙性能测试仪器组件模块与功能匹配

2 测试指标与测试方法

2.1 功能测试指标与方法

以测试条件为基础，设计全新一代硬件防火墙功能测试的指标与方法。将防火墙部署在测试设备终端，确保终端与防火墙呈现良好通信连接状态后，使用表2 提出的多种网络攻击工具对防火墙内部网络主动攻击，随机设置攻击次数。检验在此过程中，防火墙是否能发挥其预期效能对外部攻击有效防御并记录防御攻击次数。以此为依据，分析全新一代硬件防火墙的功能。

2.2 性能测试指标与方法

2.2.1 吞吐量测试方法

吞吐量是评价防火墙性能的主要指标之一，为实现对防火墙吞吐量的测量，需明确防火墙在使用中的吞吐量主要是指测试装置在发送与传输数据过程中，在指定时间内按照一定速度可发送的数据帧[5-6]。通过对防火墙连接端口、接收接口两个位置发送字节数与分组数计算，可以掌握数据在防火墙中的传输速度，使接收的数据帧＜前端接口发送的数据帧，将输出结果作为防火墙吞吐量测试结果[7-8]。

为实现对防火墙吞吐量的精准分析，建立如下计算公式所示的防火墙性能分析通用数学模型：

式中：T 为全新一代硬件防火墙性能分析不确定度分析通用数据模型；x 为测试装置测定数值；δ 为测定装置型号；L 为有效测定范围；s 为测量装置对测试结果的影响[9-10]。

开始测试后，启动本文研究的全新一代硬件防火墙，确保防火墙内部网络与外部环境保持良好连通状态后，启动IXIA 测试工具。同时，在测试终端选择吞吐量测量模板，设置模板参数，包括UDP（数据帧）类型、传输数据量规模与大小、测试时长与测试次数等。按照下述计算公式对防火墙吞吐量进行计算：

式中：γ 为全新一代硬件防火墙吞吐量；B1为并发数量；t 为防火墙对传输反馈数据的响应时间。按照上述方式，完成对防火墙吞吐量的测试。

2.2.2 延迟测试方法

测试过程中，根据全新一代防火墙的最大吞吐量数值，对其进行延迟测试。在发送数据帧最后一位字节进入到防火墙输入端口时刻，开始统计时间，当数据帧在防火墙中传输与流通后，数据帧的第一帧出现在防火墙输出端口时刻，完成对时间的统计，这一过程中的时间间隔被称之为防火墙延迟时间。

为实现对防火墙延迟性能的精准分析，使用Smart-bits 测试工具，按照上文2.2.1 中所述的方式，进行防火墙与Smart-bits 测试工具的通信连接。启动防火墙后，配置其参数。同时，启动Smart-bits 测试工具，选择测试模板，勾选测试模板中的“计算延迟”选项。在保证全新一代硬件防火墙的吞吐量呈现100.0%线性速度的前提下，开始测试并记录测试结果。计算公式如下：

式中：S 为防火墙运行延迟；S2为数据帧的第一帧出现在防火墙输出端口时刻；S1为发送数据帧最后一位字节进入到防火墙输入端口时刻。

2.2.3 最大并发连接数测试方法

最大并发连接数是指在测试中使用网络反复搜索机制，持续上述行为，在每次检索时，需要以少于测试工具可以承载的连接速度，进行不同并发连接数的发送，通过此种方式可以在测试中掌握被测试防火墙在实际应用中的最大连接数量。测试过程如图2 所示。

图2 并发连接数测试流程

计算防火墙最大并发数测试结果，计算公式如下：

式中：VS 为最大并发数；Cm 为防火墙在测试过程中的有效响应次数；Ts 为Avalanche 测试工具发送检索指令的次数。按照上述计算公式，对防火墙最大并发数进行测试。

3 测试结果

3.1 硬件防火墙功能测试结果

对全新一代硬件防火墙的功能测试结果进行整理，如表3 所示。

表3 全新一代硬件防火墙功能测试结果

由表3 可知，测试选用了四种类型的攻击，防火墙对外界攻击的安全防护率可达到99.0%以上，说明全新一代硬件防火墙在实际应用中，具有有效抵御外部环境攻击的功能，可实现对外部攻击的安全防护。

3.2 硬件防火墙性能测试结果

3.2.1 吞吐量测试结果

按照上文内容，重复14 次测试，完成对防火墙在使用中的吞吐量测试后，整理测试结果，如表4 所示。

表4 全新一代硬件防火墙吞吐量测试结果

由表4 可知，全新一代硬件防火墙吞吐量测试结果均满足＞90.0 MBit/s 的条件，表明本文此次研究的全新一代硬件防火墙具有较高的吞吐量。

3.2.2 延迟测试结果

测试防火墙在使用中的传输延迟结果，如图3 所示。

图3 全新一代硬件防火墙延迟测试结果

由图3 可知，防火墙在运行中的延迟在200.0us～300.0us 之间，表明全新一代硬件防火墙在传输数据帧时的延迟降低，可以基本实现将数据帧在防火墙中传输的延迟控制在300.0us（＜1.0ms）范围内。

3.2.3 最大并发连接数测试结果

按照上述测试方式，对防火墙最大并发连接数进行测试，整理在不同检索次数下，全新一代硬件防火墙的并发信息处理能力，测试结果如表5 所示。

表5 最大并发连接数测试结果

由表5 可知，本文此次研究的全新一代硬件防火墙最大并发连接数为240000 个。同时，240000 个也是防火墙能够同时或有效处理网络中点对点连接的最大信息数目。

4 结论

本文从吞吐量、延迟、最大并发连接数3 个方面，开展了全新一代硬件防火墙的功能与性能分析的研究，完成此次研究后，明确了新一代防火墙可以在未来互联网研究领域内，作为网络安全防护的主要硬件。相比市场内广泛使用的多种安全防护硬件，此次研究的硬件防火墙无论是功能方面，或是在综合性能方面，都具有显著的优势。尽管此次研究的成果已相对完善，但要在真正意义上将全新一代硬件防火墙在市场内推广使用，还需要继续对防火墙性能测试进行投入。