曙光龙芯2F千兆防火墙独家测试之性能

    上周，安全频道介绍了曙光龙芯2F防火墙产品的外观和内部结构。我们对这款产品有了一个大概的了解。防火墙作为内、外网的把关设备，其性能、安全性和稳定性就决定了内、外网数据传输效率。本次评测依然针对这几个参数进行测试，另外由于这款产品采用了龙芯CPU，我们还会添加功耗测试这一项，大家就可以与其他产品做一个全面的对比。

    当然，在测试之前我们还是有必要先了解一下这款产品的配置界面，了解这款产品可以实现哪些功能。

    在IE浏览器中输入https://192.168.1.115，注意前缀是https而不是http。之后出现以下画面。

    输入用户名和口令之后，进入初始页面。

    连接状态可以显示当前已连接到防火墙的IP地址。

    规则状态能够显示已设定数据包过滤规则，本次测试共设定了100条规则，全部显示在此项目中。

    下图说明了4个以太网口的配置情况。

    包过滤显示的内容和规则状态相同，内容比规则状态更详细一些。

    IP地址和MAC地址绑定后，数据包的传输速率能够明显提高。

    另外这款产品还可以对VPN进行详细的设置。

    这款产品还配有杀毒模块，可以多指定类型的文件进行扫描。

    在入侵防御项目中，用户可以调整防御主动攻击的相关参数。

    在机器出厂时就带有部分入侵防御规则，用户可调整、启用或禁用相关规则。

    这款产品的配置界面就介绍到这里，下面就让我们一起进入测试环节。

    测试项目

    1.数据包吞吐量

    2.TCP并发连接数

    3.TCP新建连接速率

    测试环境

    采用Spirent TestCenter SPT-2000A CPR-2001A模块，测试软件Avalanche的版本为2.30。使用eth2和eth3以太网口链接测试仪，对测试仪两端的网口设定IP-MAC绑定。关闭防火墙的入侵防御、数据包整形、畸形包过滤、防端口扫描和抗网络攻击等功能。所有测试都是基于千兆网络环境。防火墙以太网口的配置如下：

    此次测试由中关村在线和思博伦概念验证实验室（SPOC）共同完成。思博伦概念验证实验室（Spirent Proof of Concept, SPOC）全球网络将为客户提供业界领先的测试设备、解决方案和专业化服务能力，使设想变为现实。遍布全球的实验室网点，将为您提供全新的测试设备和领先的测试技术进行您所需要的测试验证，无论是一致性测试、功能测试、还是性能测试，都需要具备数以百计的千兆以太网或万兆端口，思博伦概念验证实验室将帮助客户缩短开发周期、改善质量并加快产品投放市场的速度。

    思博伦概念验证实验室（SPOC）可提供全系列的测试产品，包括Spirent TestCenter、Avalanche、Landslide、Abacus等全新测试平台。思博伦全面的测试设备组合能够帮助客户进行全系列的应用测试，从以太网上的光纤通道（FCoE）到运营商以太网、再到WiMAX，可谓包罗万象。

    思博伦概念验证实验室（SPOC）除了提供全面测试设备与方法，同时它还是一个协作中心，允许客户在思博伦提供的优良环境中汇聚资源，设计并开发全新的测试解决方案，以应对全新的、令人兴奋的测试挑战。通过协作，不仅可以改善生产效率、缩短产品投放市场的时间，还可以在持续发展的技术环境中探讨共同感兴趣的测试话题。

    项目测试

    1.数据包吞吐量

    我们分别用64、128、256、512、1024、1280和1518字节的数据包在eth2和eth3之间进行双向传输。取百分之百不丢包情况下的最大吞吐量。第一次测试采用1个数据包过滤规则，数据如下：

有效数据统计

    我们可以看到在一条规则的情况下，64字节小包双向传输不丢包的速率为千兆的1.562%，以此类推128字节为3.25%，256字节为5.5%，512字节为11.406%，1024字节为21.953%，1280字节为26.171%，1518字节为30.39%。

    我们再来看一下100条规则的测试数据。添加了100条规则后，每个数据包都要经过规则过滤，这无形中就降低了数据包的传输效率，那么它的表现究竟如何呢。

100条规则有效数据统计

    在100条规则的情况下，1024和1518字节的最大速率百分比有所降低，但降幅很小，几乎可以忽略不计。如果再增加规则条数，速率估计还会继续下降。不过针对100条策略已经可以满足多数企业需要，并且其表现仍然较出色，说明该款防火墙性能还是很出色的。

    TCP并发连接数可以间接体现这款防火墙能够带动的最大用户数。在测试过程中我们模拟一定数量的TCP并发连接，观察丢包的百分比，如果丢包率比较大，我们就降低TCP并发连接的最大值，直到丢包率在1%-2%之间。那么我们为什么不取丢包率为0时的最大值呢？在实际应用中丢包现象是不可能完全避免的，所以我们的取值原则是在不影响用户正常登录的情况下允许丢包1%-2%，即使用户第一次登录失败，第二次也会登录成功。

    我们首先设定TCP连接最大值为300000、使用一条规则时的测试结果。

    从结果中我们能够看到，连接数达到300000后维持了一段时间，之后连接成功率下降。防火墙能够建立300000个TCP并发连接，但这时防火墙的压力非常大，不能为新连接提供服务。那么我们就要降低数值来寻找防火墙的最佳并发连接数。

    接下来我们将最大连接数下调到180000，同样使用一条规则，来看一下结果。

    TCP下调到180000后，可用TCP连接的数量就非常多了，丢包率仅有0.4%。尽管有丢包现象，但不会对已建立的TCP连接产生干扰。如果将最大TCP连接的数量上调，就会使丢包率相应提高。

    我们再添加100条规则，TCP上限仍然是180000，来看一下结果。

    添加了100条规则后，丢包率仅上升0.1%，规则数量对TCP并发连接数的影响还是很小的。假如，局域网内每个用户建立的TCP连接数有100个，那么防火墙能带动的用户数就可以达到1800个，对于中小型企业来说这个数量足够使用了。

    既然测试了TCP并发连接数，那么TCP新建速率就成为了必测项目，两者之间相辅相成。如果并发连接数高，但新建速率低，那么这款产品也同样没有价值。

    同样的道理，我们在取值的时候还是要结合实际应用，找到一个比较合理的数值，而不是一味的追求高、快。首先在一条规则的情况下设置每秒4000个新建。

    从图中我们可以看到每秒4000的新建速率是可以达到的，但是在中间的一段时间内，失败的新建数量非常多，百分比占总数的8.7%，这个数值并不是我们想要的理想数值，所以我们要相应降低新建速率来寻找一个平衡点。

    上面的8张图显示的是每秒3500个新建连接速率，这次失败连接的百分比降到了1.4%，尽管百分比偏高，但是目前的情况已经达到了我们想要的理想范围。所以我们认定每秒3500个新建TCP连接为这款防火墙的最佳速率。

    同样，我们要设定100条规则与1条规则进行对比。

    添加100条规则之后，百分比上升到1.7%，幅度并不大，也在理想范围之内。

    综述

    至此，曙光龙芯2F千兆防火墙的测试就结束了。这款防火墙定位于中小企业，应用在低端千兆网络环境，所以它的各项指标没有达到特别高的水平。但是对于中小企业来说，其性能已经完全可以满足需求。

    从大的方向来说，龙芯CPU是我国自主知识产权的产物，拥有国家版权局登记证。拥有从软件到硬件、从芯片到系统的完全自主知识产权。是政府、军队、航天、国防等要求安全的、完全自主可控的战略产品。

    目前市场上的防火墙，大都采用以国外CPU为核心的通用的网络安全硬件平台，都存在着安全隐患。建立在国外芯片技术之上的信息化，国家安全将无从谈起。要构建中国自己的信息安全体系，必须从核心做起！曙光基于龙芯防火墙是中国第一台从软件到硬件、从芯片到系统的完全自主知识产权的安全产品，彻底消除安全隐患，完全满足国家战略需求！

    相信在不久的将来，像曙光千兆防火墙这样基于龙芯CPU的产品会逐渐投放市场，进入各个大中小型企业，共同振兴民族经济。