性能测试
虽说UTM产品的功能差异化明显,但是最基本的防火墙、VPN、防病毒和入侵控测功能还是必不可少的,也是最为常用的。因此,本次性能测试主要针对这4个模块进行。
在本项测试中,我们采用业界普遍认可的思博伦通信公司的Avalanche 2500和Reflector 2500专业测试仪器,以及Avalanche 7.50配套性能测试软件。考察UTM产品旨在开启防火墙模块、NAT工作模式状态下的新建连接速率、最大并发连接数以及应用吞吐量。另外,我们还考察了UTM产品在开启防火墙、IPS、防病毒、VPN等模块状态下的应用吞吐量。
新建连接速率是测试一个网络设备所能承受最大新建速率的基本指标。新建连接速率说明了UTM产品在不丢失连接的基础上每秒能够成功处理的最大连接数,其测试结果的单位是连接/秒。
测试时,我们以Avalanche 2500模拟内网客户机以不同速率,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并下载64字节的页面做有效性验证。通过二分法找到,UTM处理性能的极限情况,我们取极限情况下负载稳定期内的60秒平均值作为新建连接速率的测试结果。
最大并发连接数是测试一个网络设备所允许的最大并发连接容量的基本指标。最大并发连接说明了UTM产品在不丢失连接的基础上所能处理的最大连接数。这个指标除了和新建连接速率有关外,还和UTM本身的内存容量、连接数据存储结构有关。
测试时,我们以Avalanche 2500模拟内网客户机,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并于Reflector端设置每个连接的等待时间,以维持那些新建的连接,直到UTM产品达到并发处理的最大上限。
应用吞吐量是衡量网络设备对应用层数据处理能力的基本指标。测试时,我们以Avalanche 2500模拟内网客户机以一定的速率,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并下载1MB大小的数据,我们取负载稳定期内,Reflector服务器发送数据的60秒平均值作为测试结果。
为了考察UTM综合处理效率,我们还同时开启防火墙、VPN、防病毒以及入侵检测等模块进行应用吞吐量测试。测试时,我们以Avalanche 2500模拟IPSec VPN网关与被测UTM产品进行IPSec VPN对联,对于无法完成IPSec协商的产品,我们允许采用同等型号的设备进行IPSec VPN对连。
在隧道建立后,我们要求UTM开启防病毒和入侵检测,对其内部传输的数据进行分析,测试过程与应用吞吐量类似,性能测试结果见表2。
