防火墙性能解析

随着信息安全要求越来越高，防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发，而是进行报文检测和访问控制，防火墙的存在必然会对安全用户正常使用网络带来一定影响。因此在满足安全功能的前提下，选择一款高性能、满足网络要求、符合预算的产品是非常重要的。

防火墙性能描述指标

衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动等。

 

图1 防火墙主要性能指标

l 防火墙吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试，直至满足没有帧丢失时的最大发送速率，得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

l 防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP联接总数。防火墙TCP并发连接数的测试采用一种反复搜索机制进行，在每次反复过程中，以低于被测设备所能承受的连接速率发送不同数量的并发连接，直至得出被测设备的最大TCP并发连接数。

l 防火墙最大TCP连接建立速率是指在被测设备能够成功建立所有请求连接的条件下，所能承受的最大TCP连接建立速度。其测试采用反复搜索过程，每次反复过程中，以低于被测设备所能承受的最大并发连接数发起速率不同的TCP连接请求，直到得到所有连接被成功建立的最大速率。最大TCP连接建立速率以连接数/ 秒表示。

防火墙性能测试方法

对一款防火墙产品进行性能评估，分为两个步骤。首先要进行防火墙基线性能测试，其次是进行模拟实际应用环境下的性能测试。

基线性能是防火墙在理想状态下表现出来的性能指标，具有测试结果比较稳定、流量模型可控的优点。但是在实际应用中，往往达不到防火墙产品实际标称的基线性能。原因是实际应用中经过防火墙的流量要比测试基线性能时的流量复杂得多，因此评估防火墙性能时，不仅需要对基线性能进行评估，更重要的是模拟实际应用环境进行评估。

1. 基线性能指标测试

1) 吞吐量评估

防火墙的吞吐量实际上是一个静态指标，反映在理想情况下设备的转发能力。在实际应用中吞吐量这个指标一般是达不到的，而且对于用户而言，实际感受到的是他的应用处理能力，因此单纯的吞吐量指标不能说明防火墙的转发性能。

一般情况下，防火墙的转发性能可以用throughput和goodput两个指标来衡量。而对于防火墙设备来说，goodput这个指标比throughput更具有实际意义。因此在测试防火墙吞吐量时，更多采用goodput指标。

goodput 有时候也叫应用层的吞吐量。在一定连接新建和并发的情况下，单个报文的应用层数据承载量很大程度决定了应用层报文转发的能力。所以测试防火墙转发性能时，需要明确测试载荷的大小。为了测试得到较全面的吞吐量性能数据，需要测试在不同载荷大小情况下的转发性能。

在进行吞吐量基线测试中，一般以HTTP作为应用层协议，为了得到最理想的测试效果，通过会选择HTTP1.1，每个TCP连接处理尽量多的HTTP事务(transacTIon)，并且将HTTP载荷设置较大。图2是使用IxLoad设置的例子。

 

图2 IxLoad设置

2) 连接数评估

连接在状态防火墙中是一个很重要的概念，与连接相关的性能指标对评估防火墙非常重要。这些指标包括并发连接数、新建连接速率。

l 并发连接数的测试

并发连接是一个很重要的指标，它主要反映了被测设备维持多个会话的能力。关于此指标的争论也有很多。一般来说，它是和测试条件紧密联系的，但是这方面的考虑有时会被人们忽略。比如，测试时采用的传输文件大小就会对测试结果有影响。例如，如果在传输中应用层流量很大的话, 被测设备将会占用很大的系统资源去处理包检查，导致无法处理新请求的连接，引起测试结果偏小;反之测试结果会大一些。所以没有测试条件而只谈并发连接数是难以定断的。从宏观上来看，这个测试的最终目的是比较不同设备的“资源”，也就是说处理器资源和存储资源的综合表现。

目前市场上出现了大家盲目攀比并发连接数的情况。事实上，并发几十万的连接数应该完全可以满足一个电信级数据中心的网络服务需求了，对于一般的企业来讲, 甚至几千个并发连接数还绰绰有余。并发连接总数能由仪表自动测试得出结果，减少了测试所用的时间和人力，这类仪表目前很多，常见的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。

l 新建连接速率

这个指标主要体现了被测设备对于连接请求的实时反应能力。对于中小用户来讲，这个指标显得更为重要。可以设想一下，当被测设备可以更快的处理连接请求，而且可以更快传输数据的话,网络中的并发连接数就会倾向于偏小，从而设备压力也会减小，用户感受到的防火墙性能也就越好。Avalanche、IXLOAD以及BPS等测试工具都可以测试新建连接速率，帮助使用者搜索到被测设备能够处理的峰值，测试原理基本都是相同的。

2. 模拟真实应用环境进行性能指标测试

如果能够100%模拟用户的实际应用环境对防火墙性能进行测试，那么防火墙选型这类活动将变得非常简单，而且防火墙性能指标将变得更加有意义。但是模拟真实应用环境并不是简单的事情。主要是因为用户环境的复杂性和多变性导致真实环境的模拟几乎不可能实现。这里讨论的模拟真实应用环境测试，只是将用户环境进行抽象，使得模拟环境在满足测试条件的情况下最大限度的贴近真实应用环境。

1) 多应用协议吞吐量测试

前面提到goodput是衡量防火墙吞吐量的重要指标，基线测试中，一般采用HTTP协议作为应用层协议进行测试。而在实际应用环境中，应用层的流量并不是纯粹的HTTP，还有其他协议。如果用HTTP协议代替其他应用层协议测试应用层吞吐量，显然是不合适的。因此需要针对不同的应用场景，设计典型的应用层流量分布模型，按照不同的比例分配带宽。如图3所示，是一个典型的某场景应用带宽分布。

 

图3 典型应用带宽分布

摘要　

　　IP承载网应用业务的增多，网络规模的扩大、组网设备的繁多，使得IP网络设备的性能越来越受到设备制造商、网络运营商的关注与认可，本文着重对应用层次的网络互联设备、应用管理设备的性能测试指标、测试实施流程、测试关注要素进行了阐述，同时使用Ixia的IxLoad自动化测试工具对自主研发的鹰眼SSLVPN安全网关进行了并发性能实际测试。

1  引言

        IP技术的飞速发展、IP网承载业务的多元化，使得IP网成为目前组网技术的主角。IP承载网络作为专用网络、数据网络等多种网络的载体，既承载了HTTP、FTP、Telnet、邮件等传统业务，又承载了VOD、BT、IPTV、VoIP、流媒体等新型业务，这些业务对承载网络的性能要求越来越高。

        例如，目前运营商大范围推广的IPTV业务，它的实时性强，要求IP承载网络能高效的将视频流传送到用户的接入网络，用户的感知、图像的质量是用户和业务运营商都关注的特性，而IP承载网络是保障这些特性的基础，可以说，承载网络的性能直接影响着IPTV业务的运营状况。

        目前伴随IP承载网应用业务的不断扩充，网络的规模变得越来越大、组网的设备越来越复杂，如何评测现有网络性能是否支持新业务扩充？如何评测新增网络设备的性能？诸如此类的问题都是网络建设者、业务运营商较为关注的问题。网络、设备性能测试是保证网络高性能、高可靠性的基本手段，越来越广泛的得到设备制造商、网络运营商等的认可。

2  网络设备性能测试

2.1  测试范畴

        IP承载网性能的测试从测试范畴来讲，可以分为设备性能测试、网络性能测试。设备性能测试是单点层面的测试，主要是对IP网中的各网元设备（如交换机）进行性能测试；网络性能测试是延伸层面的测试，主要是对网络端到端性能、全网性能进行的测试。

        目前，IP承载网性能测试的内容包括：吞吐量、时延、丢包、抖动等性能指标，通常采用专用的性能测试仪来完成测试。一般来讲，首先在完成设备性能测试的基础上，才会开展网络性能测试，而且还会采用从局部网络性能测试到全网性能测试的方式。

        可以说，设备的性能测试是承载网性能测试的起点。在IP承载网中，设备按照网络部署位置可以分为：核心设备、汇聚设备和接入设备；按照应用层次可以分为：网络互联设备、应用管理设备；不同类型的设备其性能考察指标也各不相同。

        本文后续部分将对应用层次的网络互联设备、应用管理设备的性能测试加以描述，希望能帮助测试人员更好的理解性能测试指标、更好的进行设备性能测试。

2.2  测试指标

（1）网络互联设备

        网络互联设备的性能测试主要集中在设备网络层面的性能测试，测试的标准通常采用业界较广泛认可的RFC标准，包括RFC1242，RFC2544，RFC2885，RFC2889等，其中RFC2544定义了网络互联设备最基本的基准性能测试指标，包括：

●吞吐量（Throughput）

        指标定义：在不发生数据包丢失情况下，被测设备能够支持的最大传输速率。

●时延（Latency）

        指标定义：测试数据包通过被测设备所需要的时间。

●丢包率（Frame loss rate）

        指标定义：在一定负载下，被测设备丢失数据包的比例。

●背靠背（Back-to-back frame）

        指标定义：在最大速率下，在不发生数据包丢失前提下被测设备可以接收的最大突发数据包（Burst）的数目。

        除了上述基准性能测试外，在IP网络环境中，如果要考察网络互联设备的交换性能、路由性能还需要参照RFC2889，RFC1771，RFC2328等标准进行测试。

        目前，有很多仪表厂商致力于网络互联设备性能测试设备的研制与生产，例如Ixia公司的，Agilent公司等，这些测试设备给网络互联设备的生产厂商、网络互联设备的评估机构提供了网络互联设备性能测试与评估手段。这些测试仪表都遵循相关的RFC标准，不但可以对网络互联设备进行性能测试，而且可以网络互联设备间的互操作性进行测试。

（2）应用管理设备

        应用管理设备的性能测试主要集中在传输、应用层面的性能测试，对该类设备目前业界没有统一的测试参考标准，但下列性能指标的测试，已广泛得到测评机构、设备制造商的认可，作为应用管理设备性能的度量指标。

●最大连接速率（Maximum Connection Rate）

        指标含义：被测设备能够每秒成功处理的最大连接数目。

●最大并发连接数（Maximum Concurrent Connections）

        指标含义：被测设备能够成功处理的最大并发连接数目。

●最大带宽（Maximum Bandwidth）

        指标含义：被测设备能够成功处理的最大带宽。

●最大事务速率（Maximum Transaction Rate）

        指标含义：被测设备能够每秒成功处理的最大事务数目。

●最大并发用户（Maximum Simultaneous Users）

        指标含义：被测设备能够成功处理的最大用户数目。

        对应用管理设备除了测试在传输、应用层面的性能外，还需要测试设备在网络层面的数据转发性能，数据转发性能测试一般参考网络互联设备的性能测试方法，测试标准参考RFC2544。

2.3  测试关注要素

        网络互联设备、应用管理设备的性能测试通常会借助相关的性能测试仪表来完成，在实际进行设备性能测试时，需要关注以下要素：

（1）了解性能测试的尺度

        性能测试的主要目的是测试被测设备在不同负载下的性能状况，一般来讲，测试时要考虑在正常负载压力、较大负载压力、最大负载压力下对被测设备进行性能测试。例如参照RFC2544进行的设备吞吐量测试，缺省的测试包长包括了最短（64byte）、中间（128byte、512byte…..）、最长（1518byte）。

（2）使用正确的测试工具

        各仪表测试厂商针对不同的性能测试有专门的测试仪表和测试工具，了解、掌握、正确使用这些测试工具可以有效的帮助我们完成性能测试。例如Ixia公司的性能测试仪表，如果进行应用性能测试，使用IxLoad测试工具，如果进行RFC2544测试，使用IxAutomate测试工具。

（3）掌握测试仪表的差异

        性能测试常使用专用的性能测试仪表来完成，虽然同类测试仪表都遵循相同的标准、或协议，但测试仪表间有一定差异，这可能影响你的测试配置、测试结果的分析等，例如RFC2544测试中，Ixia 400T测试仪表支持ARP，有些仪表就不支持，故测试时需要了解你所用的测试仪表。

（4）配置正确的负载模式

        网络互联设备、应用管理设备分别有不同的性能体现项，而且同类设备也有不同的性能体现项。例如涉及Web应用的应用管理设备，主要关注并发用户性能指标，而涉及包过滤应用的应用管理设备，主要关注带宽性能指标，所以说了解负载模式要素，配置正确的负载模式，可以较准确的解读测试结果。

（5）了解测试结果的依赖性

        所有的性能测试结果都是在某种条件下被测设备的性能反映，例如在测试网络互联设备的容量（如吞吐量）时，测试负载不同，测试结果就不同；被测设备的配置不同，测试结果也不同。

2.4  测试实施流程

        无论是进行网络互联设备性能测试、还是应用管理设备的性能测试，制定测试计划是实施测试的起步点，一个好的测试计划是成功测试的基本保障。要达到测试目的，完成测试任务，需要在测试过程中分析测试结果、修订测试计划、总结测试。在性能测试实践过程中，我们总结了性能测试的实施流程如图1所示，有效地帮助测试人员开展设备的性能测试，同时该测试实施流程也适用于设备功能测试。

防火墙是现在网络安全领域广泛使用的设备。 其主要目的就是确保对合法流量的保护和对非法流量的抵御。众所周知， 在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级， 然而从网络的整体结构上看， 防火墙恰处于网络的末端。显而易见，防火墙的性能将对最终网络用户得到的实际带宽有决定性的影响。所以现在防火墙的性能指标日益为人们所重视，地位也越来越重要。

　　防火墙的分类

　　关于防火墙的分类方式有很多种: 例如按体系结构可分为纯软件，软硬结合和 纯硬件防火墙; 按逻辑功能可分为静态包过滤、动态包过滤和应用代理型防火墙等。 本文所讨论的测试内容适合绝大部分上述防火墙。 有关各种类型防火墙的信息， 读者可从各大国际信息安全实验室的网站中获得， 这里将不再赘述。

　　防火墙的二层和三层测试

　　一般说来， 对于一个没有配置规则的防火墙设备， 我们能够近似的当作一个普通的网络互联设备来进行性能测试。虽然对于少数设备来说这样的近似并不准确。 RFC1242和RFC2544是在进行这种测试的主要标准。 RFC1242是对于一般的网络设备的测试术语的定义， 而RFC2544则是对于测试方法的定义。对大多数在中国从事网络工作的技术人员来说， 这两个RFC并不陌生。 这里对个别要点做以简单的介绍。

　　首先将防火墙配置为“透明模式”。 假如其支持“网桥透明模式”和“路由透明模式”， 则在两种情况下建议都进行测试比对。 普遍的测试帧封装格式为UDP， 测试帧的大小为64，128，256，512，1024，1280、1518。 在时间紧迫的情况下， 也可抽取64、512、1518这几种帧长做为选择。测试的指标包括吞吐量(Throughput)、发送延迟(Latency)、丢包率(Packet Loss)、背对背 缓冲(Back to Back)。 这几个指标实际上侧重在相同的测试条件下对不同的网络设备之间做性能比较， 而不针对仿真实际流量。我们也称其为“基准测试”(Base Line Testing)。 基准测试是个很重要的概念， 贯穿于各种不同的数据设备的评测之中。在四个指标里面， 吞吐量是应该先被测试的，然后用测出的数值作为发送速率上限，来进行延迟指标的测试。从经验上来讲，纯软件和软硬结合的防火墙在测试的时候有可能表现不太稳定，常出现测试结果有上下波动的情况。这是个在测试防火墙时候的现实问题。要解决他， 一般建议将防火墙在每次测试之间上电重启动， 以确保测试的可重复性。另外一个办法就是测多次， 取平均值。 后者考虑到了防火墙稳定性的因素，相对来讲反映了更贴近实际使用的方面， 所以也不失为一个好选择。

　　这个二层和三层的测试能够提供哪些有用的信息呢? 他能够帮助确定性能瓶颈是存在于下层的交换转发机制， 还是在上层协议的处理。 换句话说，他有利于故障的定位。即使对于一些不做交换转发的厂商，他们也能够发现所采用的网卡及所改写的驱动程式是否满足性能需要，同时也能够得到一些功能上的验证(如双工/速率状态是否正常等等)。对很多用户来讲， 除非他们想把这个防火墙只当作一个普通的路由器来用， 否则不配置任何的安全规则是比较少 见的。而在有规则的条件下进行的性能测试显然更有意义一些。 我们将这部分的讨论放到后面的四层到七层的测试部分中。因为有很多的规则都是既涉及到三层的信息也有四层的信息。

目前市场上的性能测试的工具种类很多，可以简单的划分为以下几种：负载压力测试工具、资源监控工具、故障定位工具以及调优工具。

　　1. 主流负载性能测试工具

　　负载性能测试工具的原理通常是通过录制、回放脚本、模拟多用户同时访问被测试系统，制造负载，产生并记录各种性能指标，生成分析结果，从而完成性能测试的任务。

　　主流的负载性能测试工具有：

　　QA Load：Compuware公司的QALoad是客户/服务器系统、企业资源配置(ERP)和电子商务应用的自动化负载测试工具。QALoad是QACenter性能版的一部分，它通过可重复的、真实的测试能够彻底地度量应用的可扩展性和性能。QACenter汇集完整的跨企业的自动测试产品，专为提高软件质量而设计。QACenter可以在整个开发生命周期、跨越多种平台、自动执行测试任务。

　　SilkPerformer：一种在工业领域最高级的企业级负载测试工具。它可以模仿成千上万的用户在多协议和多计算的环境下工作。不管企业电子商务应用的规模大小及其复杂性，通过SilkPerformer，均可以在部署前预测它的性能。可视的用户化界面、实时的性能监控和强大的管理报告可以帮助我们迅速的解决问题，例如加快产品投入市场的时间，通过最小的测试周期保证系统的可靠性，优化性能和确保应用的可扩充性。

　　LoadRunner：一种较高规模适应性的，自动负载测试工具，它能预测系统行为，优化性能。LoadRunner强调的是整个企业的系统，它通过模拟实际用户的操作行为和实行实时性能监测，来帮助您更快的确认和查找问题。此外，LoadRunner 能支持最宽范的协议和技术，为您的特殊环境，量身定做地提供解决方案。

　　WebRunner：是RadView公司推出的一个性能测试和分析工具，它让web应用程序开发者自动执行压力测试;webload通过模拟真实用户的操作，生成压力负载来测试web的性能，用户创建的是基于javascript的测试脚本，称为议程agenda，用它来模拟客户的行为，通过执行该脚本来衡量web应用程序在真实环境下的性能。

　　免费测试工具：

　　OpenSTA：开源项目，功能强大，自定义功能设置完备，但设置通过Script来完成。必须学习Script编写

　　WAS(Web Application Stress Tool)：微软的工具，输出结果是纯文本的。

　　主流商用负载性能工具的比较图如下：

　　属性 LoadRunner QALoad WebLoad 出品公司 HP(Mercury) Compuware Radview 价格 昂贵 较贵 一般 安装配置的复杂性 简单 简单 一般 操作性 较复杂 简单 简单 支持测试对象 各种中间件/数据库/应用服务器的性能监控/企业架构(j2ee和.net)的测试 客户/服务器系统、企业资源配置(ERP)和电子商务应用 Web Application 支持平台 windows,unix或linux HP-UX, IBM AIX,Sun Solaris, Linux, NT/2k Unix Windows 支持数据库 DB2,SQLserver,

　　Orcale,Sybase ADO, DB2,Oracle,Sybase,

　　SQLserver,Odbc ADO,DB2,Oracle,Sybase,

　　SQLserver,Odbc 支持协议　 web,http(s),soap,streaming,

　　wap,winsock,xml http,ssl,soap,xml,

　　streaming,media xml,java,ejb,

　　activex,wap,http,snmp,

　　real/m$streaming 脚本语言 类似C++ C/C++和VC++ Javascript 自动数据生成 Y Y Y 脚本调试 Y Y Y 报表定制功能 Y Y Y 功能点 创建虚拟用户，创建真实的负载，定位性能问题，分析结果以精确定位问题所在，重复测试保证系统发布的高性能等 预测系统性能、通过重复测试寻找瓶颈问题、从控制中心管理全局负载测试、快速创建仿真的测试、验证应用的可扩展性。 强大的专业网站性能测试，虚拟多用户 虚拟用户上限数量成千上万成百上千理论上无限，不过受机器的限制，同时运行太多影响结果的准确性 公司网址 Http://www.merc-int.com http://www.compuware-china.com http://www

1.防火墙性能测试依据的标准是什么？

    答：目前，防火墙性能测试依据的标准主要有两种，分别是：针对TCP/IP 2-3层的RFC2544和针对TCP/IP 4-7层的RFC3511。

    2.防火墙性能测试项目有哪些？

    答：由两种标准分别定义的防火墙性能测试项目包括：

    (1) 针对TCP/IP 2-3层RFC2544规定的吞吐量、延时、丢包率、背靠背、系统恢复和复位等测试项目；

    (2) (2)针对TCP/IP 4-7层RFC3511规定的IP吞吐量、并发TCP连接数、最大TCP连接建立速率、最大TCP连接释放速率、抗DoS攻击、HTTP传输速率、最大HTTP传输速率、非法数据流的处理能力、IP碎片处理能力和延时等测试项目。

    3.防火墙吞吐量的含义及测试方法是什么？

    答：防火墙吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

    4.防火墙延时有哪两种计算方式？各是什么含义？测试方法是什么？

    答：防火墙延时包括比特转发（CT）和存储转发（S&F）两种计算方式。其中，比特转发为：入口处输入帧第1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔；存储转发为入口处输入帧最后1个比特到达被测设备至出口处输出帧的第1个比特输出时所用的时间间隔。

    防火墙延时的测试方法为：在以已知待测设备在每种帧长下的吞吐量的前提下，以特定长度帧的吞吐量的速率向待测设备发送该长度的帧，在入口处的某一帧上标记时戳，经待测设备传输后在出口处标记时戳，两个时戳相减即为延时值。延时测试结果以毫秒或微秒表示。

    5.防火墙丢包率的含义及测试方法是什么？

    答：防火墙丢包率是指在稳态负载下，由于资源缺乏而被丢弃的本应由网络设备传输的帧，占所有应被转发的帧的百分比。其测试方法为在一定速率下对待测设备发送一定数量的帧，计算由待测设备传输的帧的数量，再由公式（（输入数量－输出数量）*100％）/输入数量计算出每一点的丢包率。

    6.防火墙背靠背的含义及测试方法是什么？

    答：防火墙背靠背是指从空闲状态开始，以达到传输介质最小合法间隔极限的传输速率，发送一定数量固定长度的帧，当出现第一个帧丢失时所发送的帧数。其测试方法是：测试时向待测设备发送一个有最小帧间距的帧风暴，然后对通过待测设备的帧进行计数。如果传输帧与发送帧相等，则增加帧风暴的长度，重新测试。如果传输帧少于发送帧，则降低帧风暴的长度，重新测试。

    7.防火墙TCP并发连接数的含义及测试方法是什么？

    答：防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP联接总数。防火墙TCP并发连接数的测试采用一种反复搜索机制进行，在每次反复过程中，以低于被测设备所能承受的连接速率发送不同数量的并发连接，直至得出被测设备的最大的TCP并发连接数。

    8.防火墙最大TCP连接建立速率的含义及测试方法是什么？

    答：防火墙最大TCP连接建立速率是指在被测设备能够成功建立所有请求连接的条件下，所能承受的最大TCP连接建立速度。其测试采用反复搜索过程，每次反复过程中，以低于被测设备所能承受的最大并发连接数发起速率不同的TCP连接请求，直到得到所有连接被成功建立的最大速率。最大TCP连接建立速率以连接数/秒表示。

    9. 防火墙常用性能测试工具比较

    答：常用的防火墙性能测试工具有SmartBits和IXIA，每种工具所使用的模块及用途见下表。

SmartBits

IXIA

模块名称

用途

模块名称

用途

Application

TCP/IP 2-3层测试

ScriptMate

TCP/IP 2-3层测试

SmartFlow

TCP/IP 2-3层测试

IxLoad

TCP/IP 4-7层测试

WebSuite

TCP/IP 4-7层测试

IxExplorer

数据包构造及模块管理工具

SmartWindow

数据包构造及模块管理工具

IxAttack

DoS攻击工具