Spirent防火墙测试方法

　　4.2 “Firewall Stress”-防火墙压力测试

　　4.2.1 目标

　　定义防火墙的操作参数极限，例如每秒连接数和开放连接数。

　　4.2.2 额外的要求

　　防火墙典型分为外部、内部和DMZ端口

　　注意：除防火墙进入测试床所引起的必要配置变化以外，应该保证测试床配置变化的最小化。与“Firewall Basic”相比，防火墙压力测试的焦点则更集中于防火墙本身。

　　4.2.3 需要建立的操作参数

　　◆使用HTTP或者FTP的每秒建立连接数（cps）

　　◆最大的并发连接数（http和FTP）

　　4.2.4 运行“防火墙压力测试”

　　1.如图3所示把防火墙连接到测试床中

　　2.配置适当的网络IP地址

图3：防火墙负载和防火墙压力测试结构图

　　在Avalanche和Reflector上标明典型防火墙的3个端口，分别是外部（不受保护的）、DMZ（不受保护的）和内部（受保护的）端口。

　　a）Reflector

　　i）DMZ（受到的保护比较少）服务器：10.10.10.10 ，虚拟路由器：10.10.10.2

　　ii）内部（受到保护）服务器：11.11.11.10，虚拟路由器：11.11.11.2

　　b）Avalanche

　　i）客户端（未受到保护的）：192.168.0.20-126，虚拟路由器：192.168.0.2

　　ii）客户端（未受保护的）：192.168.0.130-254，虚拟路由器：192.168.0.129

　　以上两个客户端源需要创造很大数量的用户，一个客户端源建议生成访问DMZ服务器的流量，另外一个模拟访问Reflector上需要保护的服务器。

　　防火墙IP地址设置（数据端口）：

　　a）内网地址（受保护的）：11.11.11.1

　　b）内部地址（DMZ）：10.10.10.1

　　c）外部地址（未受保护的）192.168.0.1

　　d）防火墙配置（在串口上）

　　配置防火墙：

　　以下是一个典型防火墙所需要配置的样例文件。它包含了网络IP地址和策略，也只是简单地完成了“允许http”和“允许ftp”规则设置（每个厂商的语法要求都是有些变化的）。注意到这只是一个例子来演示测试方法；每一家防火墙厂商都会有不同的配置脚本和工具。

　　nameif etherneto outside securit0

　　nameif ethernet1 inside security100

　　interface etherneto auto

　　interface ethernet1 auto

　　ip address outside 192.168.0.1 255.255.0.0

　　ip address inside 10.10.10.1 255.255.255.0

　　arp timeout 14400

　　static(inside,outside) 10.10.10.10 10.10.10.10

　　static(inside,outside) 10.10.10.11 10.10.10.11

　　conduit(inside,outside) 10.10.10.10 80 tcp 0.0.0.0 0.0.0.0

　　conduit(inside,outside) 10.10.10.11 21 tcp 0.0.0.0 0.0.0.0

　　route outside 192.168.0.128 255.255.255.128 192.168.0.129

　　route outside 192.168.0.0 255.255.255.128 192.168.0.2

　　timeout xlate 24:00:00 conn 12:00:00 udp 0:02:00

　　timeout rpc 0:10:00 h323 0:05:00 uauth 0:05:00

　　no snmp-server location

　　no snmp-server contact

　　snmp-server community public

　　mtu outside 1500

　　mtu inside 1500

　　3.选择并且复制“Firewall Basic”到“Firewall Stress CPS”中

　　4.修改指定负载来校准CPS：

　　使用70%的宣称基准值以确保你有一个成功的结果

图4：决定防火墙的最大CPS值

　　逐步修改测试伊始的Avalanche的CPS值，使用稳定阶段和拆卸阶段的值来确定总共的CPS值——反应了每个测试步骤地总共值（不同的测试阶段）——最后测试值应超过基准测试值的30-50%。

　　5.运行“Firewall Stress CPS”

　　6.在Avalanche上的用户配置文件中加入URL，以混合进FTP协议测试，此外还要在Reflector上配置FTP服务器。

　　和生存周期比较短的HTTP连接相比，FTP交易的生存周期则比较长并且会消耗防火墙内存资源（连接表）。新的连接会消耗防火墙CPU和内存资源。和FTP相关的连接表消耗了防火墙内存资源，你应该关注图4中断点（breakpoint）左侧的CPS数值。图5则展示了CPS动态变化值。

　　注意：所有的参数值都会保持不变，仅仅是FTP会导致CPS值75%的跌落。你的防火墙会有不同的断点。

　　防火墙厂商没有必要提供以上这些数据，加入更多的协议（例如RTSP/RTP）则会要求防火墙内更多的内在资源，从而导致防火墙性能的动态下降。

　　注意：在图5中：一个URL的HTTP 1.0和FTP其连接数和每秒交易数量（TPS）是1：1的关系，因此TPS和CPS的标签是相同的。

图5：CPS受到了多协议测试的影响

　　7.衡量由于FTP负载所引起的响应时间上升

　　当逐步提高防火墙的CPS值时，数据包通过防火墙的过程和响应延迟也会逐步提升。既然防火墙是Web服务器访问的看门人，所以提高延迟等同于减缓了用户访问Web服务器的时间，在一些情况下，访问时间会变得不可接受。

图6：由于FTP加入了HTTP交易所已导致响应时间的上升

　　8.测试开放连接的最大并发连接数

　　除了CPS测试（步骤5和步骤6），并发连接也是防火墙基准测试中的关键参数。以下步骤显示了如何进行并发连接数测试：

　　打开“Firewall Stress”测试并将其复制到“FW Open”。

　　变化负载配置文件来反映SimUser，将此作为负载而不是CPS。在开始的并发用户数设置为40个。逐步提高并发用户数，直到测试失败。

　　在运行的样例文件中，SimUser数量的中度提高（45以上）已经导致了事务超时。没有完成的事务减少了服务器的可用性并且降低了性能以致最后到达了不可接受的地步。

　　除了CPS和连接数测试，我们也应该利用多协议进行一些诸如PPS（packers per second）和吞吐量测试，而这也被称为防火墙压力测试。