在今后参与厂商具体产品测试过程中 , 我还将根据具体情况对此指标进行进一步修订 , 并以此为基准对厂商产品传输层处理能力进行评估分析 。应用层适用评估下一代防火墙最重要的转变就是具备了网络应用行为分析能力 , 在未来势必因此而引发网络安全防护的重大变革 。相关分析可参考我的另一篇下一代防火墙分析及测试方法探讨文章“网络安全能否做到夜不闭户” 。
(http://test.cnw.com.cn/test-news/htm2014/20140826_311052.shtml)而应用性能自然也成为用户选择下一代防火墙产品的关注重点 。根据目前所掌握情况来看 , 下一代防火墙产品的应用层性能测试 , 还没有类似传输层测试仪表性能瓶颈的情况出现 。但并不是说现在的应用性能测试项目就可以满足下一代防火墙功能测试需求 。
理由有以下两点:一、单一应用协议对应用处理性能无法全面评估目前传统应用层性能测试仅通过HTTP一种应用协议进行应用处理性能测试 。无法全向对应用识别、行为分析管理等下一代防火墙功能进行有效评估 。尤其是在某些厂商“研发”出一些针对此类协议“优化”的技术后 , 在测试中无法有效进行判别 。二、混合应用流量协议不规范十年前开始进行网络应用性能测试时 , 应用协议模拟数量少 , 而且其它协议(FTP、SMTP等)所占应用比例也小 , 因此HTTP协议的应用性能测试就逐渐成为了主流 。
而现在随着应用性能测试方法的增加 , 对应用协议也已经可以有较全面的模拟 , 目前已有测试仪表厂商甚至在提仪修改RFC3511的应用性能测试标准 , 增加混合应用流量测试的新方法 。对于这点我肯定是会举双手赞成的 。但在这个标准出台之前 , 还是再和测试仪表厂商协商一下相关测试方法的事情吧 。不过旧指标不是一下就可以轻易抛弃的 , 通过HTTP协议来测试产品的应用处理能力在现阶段还是可以有效反映产品应用处理性能的 。
下面就应用层适用评估指标进行一下分析:HTTP新建连接由于传输层协议已经把管道的数量进行了限制 , 在这个管道里再跑什么应用也就是下一代防火墙再做一下深入分析的事情了 。因此HTTP新建连接的适用性评估指标目前也定在了单用户(每IP)1Mpbs带宽、每秒10 HTTP新建连接 。并发连接数同上 , 目前也是定在每个用户(每IP)最少保持100个HTTP连接 。
应用流量从当前下一代防火墙产品功能性分析上来看 , 只有在下一代防火墙进行深度内容识别(例如开启IPS、文件内容检测或防病毒功能)时 , 才会对应用文件内容去进行分析 。这时 , 应用流量的性能评估才会有意义 , 否则通过网络层数据包转发性能对流量转发性能进行测试就足以了 。而对传统的应用流量转发性能测试时 , 测试方法单一、死板 。
同样也是仅采用HTTP这单一协议 , 在一定HTTP新建连接速率下 , 加载一个固定大小文件来生成一个较大测试流量 。从上次下一代防火墙测试中可以了解 , 这种测试方法已经无法满足当前产品在进行深度内容识别时 , 流量处理能力的测试需求 。现在测试仪表厂商有两种不同的新应用流量测试方案 。一种是采用抓包回放的方式模拟真实网络流量 , 一种是用测试仪表直接生成多种应用协议测试流量 。
这两种方法各有利弊 , 抓包回放数据流与真实应用情况相近 , 但生成大流量比较困难;测试仪表生成多种应用协议测试流量可以满足 , 但应用文件内容定制不便 。看来此项测试还需要再和测试仪表厂商多多进行沟通才可以有一个比较明确的测试方法出台 。明确应用需求 保住适用底线以上适用评估测试方法 , 很多是很早以前就有的 , 在这里反复炒冷饭的原因就是 , 通过适用性的基础指标乘上使用人数 , 用户可以轻易了解 , 自身对网络设备的实际应用需求 。