网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

NGFW不同于数通设备，网络层吞吐量只是其中一个基础功能，真正考验其在“逼近真实”网络环境中性能表现的核心指标是在进行应用层处理情况下的转发性能。尽管不是所有厂商都能在商务层面上认同NSS Labs的认证，但NSS Labs测试NGFW性能的技术路线，受到了国内外防火墙厂商的广泛认同。例如，下一代防火墙厂商的鼻祖Palo Alto，在其NGFW产品数据表中已经不再提及使用网络层方法测试得出的防火墙吞吐量，而是标注启用了应用识别功能后的吞吐量。

NSS Labs的测试方法中确实引入了UDP裸包处理性能这个指标，但这个指标只是为了用快速转发包的有效性来验证设备是否具有高级别的网络性能和低延迟，也就是设备在理想条件下所能达到的最佳性能。在具体的UDP裸包测试方法上，NSS Labs采用了从64字节到1514字节不同长度UDP包进行综合测试的方法：

对网络通讯原理有一定了解的用户都知道，每个以太网帧都有最小64字节最大1518字节的大小限制，超出了这个范围的帧都会被认定为错误的数据帧，一般的转发设备都会将其丢弃。吞吐量的计量单位是报文数/秒（pps）或字节数/秒（bps），在同样的条件下，使用的包长越长，测试得出的吞吐量越大，使用达到极限长度1518字节的UDP包测出的吞吐量一定是最大的。这好比是安检仪上的传送带，在传送速度不变的前提下，传送带上放置的包越多，单位时间内完成的安检量越大。大包吞吐量只能体现出防火墙在理想状态下所表现出的极限性能，在现实网络环境中是不太可能出现这种理想状态的。正因为此，NSS Labs采用了不同长度UDP包综合测试的方法，尽可能的模拟出“逼近真实”的网络环境。

使用UDP 1518包来衡量网络层吞吐量尚有局限性，如果将其简单的套用到聚焦于应用层功能的NGFW上，就更无法完整的评估设备的性能，甚至是片面的。事实上，测试仪表打出的UDP包是最简单的、对NGFW引擎的运算资源消耗最小、甚至可以忽略不计的一种包。用这种包来测试，测不出NGFW在真实业务场景中表现出来的实际性能。有些防火墙厂商为了体现产品性能强，让用户觉得产品更具竞争力，使用UDP 1518包的吞吐量来标称NGFW的吞吐量，这是一种偷换概念的做法，不但不能给用户选型带来任何帮助，反而会误导用户。

原文链接：应用层指标是衡量下一代防火墙性能的主要标准