当前位置: 首页最新动态官方新闻

你可能买了个假防火墙!发布时间:2017-07-21 18:12

“千兆防火墙实际上百兆都跑不到,退货还要邮费!”最近,深圳的王先生遭遇了一次“坑爹”的购物,他花了12000元买了一号称企业级的千兆防火墙,结果刚连上网络,不到分钟整个公司都断网了。

随着互联网应用的普及和飞速发展,网络安全已成为人们最关注的问题,防火墙作为有效预防网络攻击的主要屏障,也已经成为网络安全建设的必选设备。然而,目前市面上的防火墙设备品牌繁多,让人眼花缭乱,那么如何保证你买到的防火墙的真实性能呢?

讲到这里有人会说,很简单的,测一下就OK啦!但是当你百度专业测试防火墙性能的设备就会发现,这件事远比想象中复杂,动辄几十万的测试设备,让人望而却步。下我们就来教大家一个免费的测试方法,动动手指就能测出来你买到的防火墙真实的网络性能。

防忽悠新技能GET

 Panabit系统中自带测试设备网络性能的工具,换句话说Panabit以作为一台网络测试仪来使用。把Panabit与需测试的网络设备相连接,简单有效诊断硬件设备性能下面就给大家明具体操作方法

1) 下载安装Panabit,升级专业版后重启,无需授权即可测试,相当于万兆RFC2544测试仪不要钱了。只需一根网线连接任意两个接口,将Panabit的两个接口设置为网桥模式,即可完成自环测试测试环境的性能。Panabit商业版用户,可直接可以使用在网设备测试性能参数,无需下载安装;
2) 把防火墙设置为桥接模式,链接在Panabit两个接口之间,拓扑图如下;
 

3)利用后台命令floweye if sendpkt ,可测试不同数据包大小的性能。

 

按照FRC2544的测试规范(https://tools.ietf.org/html/rfc2544)千兆端口的包转发率理论值是1.488Mpps简单理解,1.488Mpps是在1000M的带宽中,用网络中最小的64字节数据包跑出的包速率。所以说想要测试防火墙的真实极限性能,只需按照如上操作,测试64字节数据包的输入输出速率,在后台输入命令“floweye if sendpkt igb4 300 64”“floweye if sendpkt igb5 300 64”即可。

 

1 Panabit自环测试
 

2测试其他商业防火墙的性能

1为Panabit自环测试环境结果,流入流出两个方向包速率均为1489810pps,即确认检测环境为64字节千兆环境2为链接上某品牌防火墙之后的测试结果,流入流出两个方向包速率才刚刚达到512168pps,远低于千兆线速的理论值由此可得出结论,该品牌防火墙性能达不到千兆线速,也就是说你买的号称千兆线速防火墙性能是假的!

后记

网络设备实际工作性能通常和网络实际的平均包长有很大的关系,比如混合包长测试会用300字节。但是RFC2544测试用例也忽略了很多复杂的安全检测代码路径,比如HTTP安全检测等,因此想要网络设备流畅工作,还是要参考64字节小包的转发性能,这是一个基本能力。特别是安全设备,经常会面临DDoS等压力攻击,如果不具备基本的转发性能,可能还未来得及保护客户网络,自己就先挂死。如果需要更专业的完整测试数据,可以向厂家索要完整的RFC2544测试报告。

 

Panabit标准版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13239&fromuid=196435

Panabit专业版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13279&fromuid=196435

 

详细操作请见原文链接:http://forum.panabit.com/thread-10128-1-2.html