猕猴桃 发表于 2017-7-21 17:49:35

你可能买了个假防火墙!


你可能买了个假防火墙!

“千兆防火墙实际上连百兆都跑不到,退货还要邮费!”最近,深圳的王先生遭遇了一次“坑爹”的购物,他花了12000元买了一台号称企业级的千兆防火墙,结果刚连上网络,不到一分钟整个公司都断网了。
随着互联网应用的普及和飞速发展,网络安全已成为人们最关注的问题,防火墙作为有效预防网络攻击的主要屏障,也已经成为网络安全建设的必选设备。然而,目前市面上的防火墙设备品牌繁多,让人眼花缭乱,那么如何保证你买到的防火墙的真实性能呢?
讲到这里有人会说,很简单的,测一下就OK啦!但是当你百度专业测试防火墙性能的设备就会发现,这件事远比想象中复杂,动辄几十万的测试设备,让人望而却步。下面我们就来教大家一个免费的测试方法,动动手指就能测出来你买到的防火墙真实的网络性能。

防忽悠新技能GET
Panabit系统中自带测试设备网络性能的工具,换句话说Panabit可以作为一台网络测试仪来使用。把Panabit与需要测试的网络设备相连接,简单有效诊断硬件设备性能,下面就给大家说明具体操作方法。
1) 下载安装Panabit,升级专业版后重启,无需授权即可测试,相当于万兆RFC2544测试仪不要钱了。只需一根网线连接任意两个接口,将Panabit的两个接口设置为网桥模式,即可完成自环测试测试环境的性能。Panabit商业版用户,可直接可以使用在网设备测试性能参数,无需下载安装;
2) 把防火墙设置为桥接模式,链接在Panabit两个接口之间,拓扑图如下;

3)利用后台命令“floweye if sendpkt ”,可测试不同数据包大小的性能。


按照FRC2544的测试规范(https://tools.ietf.org/html/rfc2544),千兆端口的包转发率理论值是1.488Mpps。简单理解,1.488Mpps是在1000M的带宽中,用网络中最小的64字节数据包跑出的包速率。所以说想要测试防火墙的真实极限性能,只需按照如上操作,测试64字节数据包的输入输出速率,在后台输入命令“floweye if sendpkt igb4 300 64”“floweye if sendpkt igb5 300 64”即可。

图1 Panabit自环测试

图2测试其他5商业防火墙的性能


图1为Panabit自环测试环境结果,流入流出两个方向包速率均为1489810pps,即确认检测环境为64字节千兆环境。图2为链接上某品牌防火墙之后的测试结果,流入流出两个方向包速率才刚刚达到512168pps,远低于千兆线速的理论值。由此可得出结论,该品牌防火墙性能达不到千兆线速,也就是说你买的号称千兆线速防火墙性能是假的!

后记
网络设备实际工作性能通常和网络实际的平均包长有很大的关系,比如混合包长测试会用300字节。但是RFC2544测试用例也忽略了很多复杂的安全检测代码路径,比如HTTP安全检测等,因此想要网络设备流畅工作,还是要参考64字节小包的转发性能,这是一个基本能力。特别是安全设备,经常会面临DDoS等压力攻击,如果不具备基本的转发性能,可能还未来得及保护客户网络,自己就先挂死。如果需要更专业的完整测试数据,可以向厂家索要完整的RFC2544测试报告。

Panabit标准版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13239&fromuid=196435
Panabit专业版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13279&fromuid=196435

原文链接:http://forum.panabit.com/thread-10128-1-2.html

ioiioi 发表于 2017-7-24 15:00:03

挺有意思,但是对panabit所需的硬件有个疑问。
我如果下载了专业版,需要什么样的设备满足收发包的性能达到64bit,14.88mpps

我知道万兆网卡是必须的,然而cpu、内存和主板这些有没有要求?

hzlobin 发表于 2017-7-27 14:29:12

必须是专业版才能测试吧?标准版就不要想了。

猕猴桃 发表于 2017-7-27 19:32:01

hzlobin 发表于 2017-7-27 14:29
必须是专业版才能测试吧?标准版就不要想了。

标准版也可以测试

fanbuz 发表于 2023-2-2 16:56:37

前提是panabit自身硬件要高于被测设备吧
页: [1]
查看完整版本: 你可能买了个假防火墙!