【51CTO.com 綜合消息】正如購(gòu)買其他電子設(shè)備需要了解很多性能參數(shù)一樣，選購(gòu)一臺(tái)防火墻也需要了解眾多的的性能指標(biāo)。那么作為防火墻的四項(xiàng)基本性能指標(biāo)——吞吐、時(shí)延、新建、并發(fā)，都意味著什么，如何測(cè)算得出，到底可以帶給用戶什么好處？有什么意義？山石網(wǎng)科Hillstone將為您解讀防火墻四大指標(biāo)的含義以及測(cè)試方法。

吞吐量（Throughput）

吞吐量是衡量一款防火墻或者路由交換設(shè)備的最重要的指標(biāo)，它是指網(wǎng)絡(luò)設(shè)備在每一秒內(nèi)處理數(shù)據(jù)包的***能力。吞吐量意味這臺(tái)設(shè)備在每一秒以內(nèi)所能夠處理的***流量或者說每一秒內(nèi)能處理的數(shù)據(jù)包個(gè)數(shù)。設(shè)備吞吐量越高，所能提供給用戶使用的帶寬越大，就像木桶原理所描述的，網(wǎng)絡(luò)的***吞吐取決于網(wǎng)絡(luò)中的***吞吐量設(shè)備，足夠的吞吐量可以保證防火墻不會(huì)成為網(wǎng)絡(luò)的瓶頸。舉一個(gè)形象的例子，一臺(tái)防火墻下面有100個(gè)用戶同時(shí)上網(wǎng)，每個(gè)用戶分配的是10Mbps的帶寬，那么這臺(tái)防火墻如果想要保證所有用戶全速的網(wǎng)絡(luò)體驗(yàn)，必須要有至少1Gbps的吞吐量。

吞吐量的計(jì)量單位有兩種方式：常見的就是帶寬計(jì)量，單位是Mbps（Megabits per second）或者Gbps（Gigabits per second），另外一種是數(shù)據(jù)包處理量計(jì)量，單位是pps（packets per second），兩種計(jì)量方式是可以相互換算的。在進(jìn)行對(duì)一款設(shè)備進(jìn)行吞吐性能測(cè)試時(shí)，通常會(huì)記錄一組從64字節(jié)到1518字節(jié)的測(cè)試數(shù)據(jù)，每一個(gè)測(cè)試結(jié)果均有相對(duì)應(yīng)的pps數(shù)。64字節(jié)的pps數(shù)***，基本上可以反映出設(shè)備處理數(shù)據(jù)包的***能力。所以從64字節(jié)的這個(gè)數(shù)，基本上可以推算出系統(tǒng)***能處理的吞吐量是多少。

很多路由設(shè)備的性能指標(biāo)有一點(diǎn)就是標(biāo)稱xxMpps，所指的就是設(shè)備處理64字節(jié)的pps數(shù)。比如64字節(jié)的pps為100000pps，吞吐量通過換算為100000×(64+20) ×8/1000000= 67.2Mbps，拿這個(gè)結(jié)果計(jì)算1518字節(jié)的數(shù)據(jù)為100000×(1518+20) ×8/100000=1230.4Mbps。其中的20字節(jié)是指12字節(jié)的幀間距（IPG）以及8字節(jié)的前導(dǎo)碼（7字節(jié)同步+1字節(jié)起始），測(cè)試每一個(gè)字節(jié)的吞吐量都需要將這20字節(jié)計(jì)算在內(nèi)。通過前面的算式可以看出，我們即使不測(cè)試1518字節(jié)，也能夠大致推算出設(shè)備***的吞吐量是多少。但最終的結(jié)果只能小于這個(gè)結(jié)果。為什么會(huì)小于呢？因?yàn)楹芏嘣O(shè)備因?yàn)榻涌跀?shù)或者內(nèi)部器件帶寬的原因，限制了***的帶寬，這樣設(shè)備的***吞吐量就會(huì)遠(yuǎn)遠(yuǎn)低于推算的數(shù)值。不過既然得出了64字節(jié)的pps數(shù)，那么只要廠商標(biāo)稱的***吞吐量低于推算的帶寬，就基本可以認(rèn)為這個(gè)標(biāo)稱值是可信的。

時(shí)延（Latency）

時(shí)延是系統(tǒng)處理數(shù)據(jù)包所需要的時(shí)間。防火墻時(shí)延測(cè)試指的就是計(jì)算它的存儲(chǔ)轉(zhuǎn)發(fā)（Store and Forward）時(shí)間，即從接收到數(shù)據(jù)包開始，處理完并轉(zhuǎn)發(fā)出去所用的全部時(shí)間。在一個(gè)網(wǎng)絡(luò)中，如果我們?cè)L問某一臺(tái)服務(wù)器，通常不是直接到達(dá)，而是經(jīng)過大量的路由交換設(shè)備。每經(jīng)過一臺(tái)設(shè)備，就像我們?cè)诟咚俟飞辖?jīng)過收費(fèi)站一樣都會(huì)耗費(fèi)一定的時(shí)間，一旦在某一個(gè)點(diǎn)耗費(fèi)的時(shí)間過長(zhǎng)，就會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的訪問造成影響。如果防火墻的延時(shí)很低，用戶就完全不會(huì)感覺到它的存在，提升了網(wǎng)絡(luò)訪問的效率。

時(shí)延的單位通常是微秒，一臺(tái)高效率防火墻的時(shí)延通常會(huì)在一百微秒以內(nèi)。時(shí)延通常是建立在測(cè)試完吞吐量的基礎(chǔ)上進(jìn)行的測(cè)試。測(cè)試時(shí)延之前需要先測(cè)出每個(gè)包長(zhǎng)下吞吐量的大小，然后使用每個(gè)包長(zhǎng)的吞吐量結(jié)果的 90%-100%作為時(shí)延測(cè)試的流量大小。一般時(shí)延的測(cè)試要求不能夠有任何的丟包。因?yàn)槿绻麃G包，會(huì)造成時(shí)延非常大，結(jié)果不準(zhǔn)確。我們測(cè)試一般使用***吞吐量的95%或者90%進(jìn)行測(cè)試。測(cè)試結(jié)果包括***時(shí)延，最小時(shí)延，平均時(shí)延，一般記錄平均時(shí)延。

新建連接速率（Maximum TCP Connection Establishment Rate）

新建連接速率指的是在每一秒以內(nèi)防火墻所能夠處理的HTTP新建連連接請(qǐng)求的數(shù)量。用戶每打開一個(gè)網(wǎng)頁(yè)，訪問一個(gè)服務(wù)器，在防火墻看來會(huì)是1個(gè)甚至多個(gè)新建連接。而一臺(tái)設(shè)備的新建連接速率越高，就可以同時(shí)給更多的用戶提供網(wǎng)絡(luò)訪問。比如設(shè)備的新建連接速率是1萬(wàn)，那么如果有1萬(wàn)人同時(shí)上網(wǎng)，那么所有的請(qǐng)求都可以在一秒以內(nèi)完成，如果有1萬(wàn)1千人上網(wǎng)的話，那么前1萬(wàn)人可以在***秒內(nèi)完成，后1千個(gè)請(qǐng)求需要在下一秒才能完成。所以，新建連接速率高的設(shè)備可以提供給更多人同時(shí)上網(wǎng)，提升用戶的網(wǎng)絡(luò)體驗(yàn)。

新建連接速率雖然英文用的是TCP，但是為了更接近實(shí)際用戶的情況，通常會(huì)采用HTTP來進(jìn)行測(cè)試，測(cè)試結(jié)果以連接每秒（connections per second）作為單位。為什么針對(duì)防火墻要測(cè)試這個(gè)數(shù)據(jù)呢？因?yàn)槲覀冎婪阑饓κ腔跁?huì)話的機(jī)制來處理數(shù)據(jù)包的，每一個(gè)數(shù)據(jù)包經(jīng)過防火墻都要有相應(yīng)的會(huì)話來對(duì)應(yīng)。會(huì)話的建立速度就是防火墻對(duì)于新建連接的處理速度。新建連接的測(cè)試采用4-7層測(cè)試儀來進(jìn)行，模擬真實(shí)的用戶和服務(wù)器之間的HTTP教過過程：首先建立三次握手，然后用戶到HTTP服務(wù)器去Get一個(gè)頁(yè)面，***采用三次握手或者四次握手關(guān)閉連接。測(cè)試儀通過持續(xù)地模擬每秒大量用戶連接去訪問服務(wù)器以測(cè)試防火墻的***極限新建連接速率。

并發(fā)連接數(shù)（Concurrent TCP Connection Capacity）

***介紹的是并發(fā)連接數(shù)，并發(fā)連接數(shù)就是指防火墻***能夠同時(shí)處理的連接會(huì)話個(gè)數(shù)。并發(fā)連接數(shù)指的是防火墻設(shè)備***能夠維護(hù)的連接數(shù)的數(shù)量，這個(gè)指標(biāo)越大，在一段時(shí)間內(nèi)所能夠允許同時(shí)上網(wǎng)的用戶數(shù)越多。隨著web應(yīng)用復(fù)雜化以及P2P類程序的廣泛應(yīng)用，每個(gè)用戶所產(chǎn)生的連接越來越多，甚至一個(gè)用戶的連接數(shù)就有可能上千，更嚴(yán)重的是如果用戶中了木馬或者蠕蟲病毒，更會(huì)產(chǎn)生上萬(wàn)個(gè)連接。所以顯而易見，幾十萬(wàn)的并發(fā)連接數(shù)已經(jīng)不能夠滿足網(wǎng)絡(luò)的需求了，目前主流的防火墻都要求能夠達(dá)到幾十萬(wàn)甚至上千萬(wàn)的并發(fā)連接以滿足一定規(guī)模的用戶需求。

并發(fā)連接數(shù)雖然英文用的是TCP，但是為了更接近實(shí)際用戶的情況，通常會(huì)采用HTTP來進(jìn)行測(cè)試。它是個(gè)容量的單位，而不是速度。測(cè)試結(jié)果以連接（connections）作為單位?；緶y(cè)試的方法和HTTP新建連接速率基本一致，主要的區(qū)別在于新建連接測(cè)試會(huì)立刻拆除建立的連接，而并發(fā)連接數(shù)測(cè)試不會(huì)拆除連接，所有已經(jīng)建立的連接會(huì)保持住直到達(dá)到設(shè)備的極限。

安全市場(chǎng)產(chǎn)品眾多，把防火墻數(shù)據(jù)公開供用戶選擇的廠商***。用戶選擇一款產(chǎn)品不僅僅要知道防火墻的各個(gè)指標(biāo)到底代表了什么含義，而且還明白什么樣的產(chǎn)品是“我”所需要的，什么樣的廠商是值得信賴的。高性能安全產(chǎn)品帶給用戶的不僅僅是性能的提升，而更體現(xiàn)了廠商對(duì)待產(chǎn)品以及對(duì)待用戶的態(tài)度。就像開篇講到的一樣，購(gòu)買任何產(chǎn)品我們都要做到明明白白消費(fèi)，挑選真正“好”的產(chǎn)品。山石網(wǎng)科將一如既往，致力于為廣大用戶提供高性能、高可靠、易用的網(wǎng)絡(luò)安全解決方案。