Check Point软件技术有限公司创立于1993年,以FireWall获得专利的状态监测技术(Stateful inspection)发明而成为IT安全行业的先驱。目前状态检测技术仍是大多数网络安全技术的基础。
1999到2002年间连续四年、2004到2010年间连续七年被Gartner 集团的“防火墙Magic Quadrant”(Personal Firewalls Magic Quadrant)评为企业防火墙市场的领导者类别第一位:在全球VPN/防火墙软件市场收入总额中占99%(Infonetics, 2007年)第一位:在全球企业IPSec VPN/ 防火墙软件领域占31%市场份额(Frost & Sullivan, 2006年)
2010年NSS 将Check Point 评为IPS 防护价值榜榜首2011年率先通过NSS Labs下一代防火墙评测,并获其“推荐”级别2011年荣获ASP最佳Web支持站点奖项2011年荣膺Frost & Sullivan亚太地区年度最佳网络安全厂商
----------------------------------------------------------------------------------------------------------------------------------
CheckPoint 23800防火墙测试报告
1 测试内容与目的
本次测试旨在了解防火墙实际参数,主要测试项:UDP吞吐、并发、每秒最大新建连接数。
2 测试拓扑与数据流
2.1 仪表清单
思博伦 TestCenter SPT-N11U机框 1台思博伦 TestCenter DX2-40GO-Q8 板卡 1块
思博伦 Avalanche C100整机 1台
仪表控制台(PC及控制软件) 2套
2.2 测试基本原理
使用思博伦Avalanche测试仪,一个万兆端口模拟客户端(Client)、一个万兆端口模拟服务器(Server),用于测试“最大并发连接数”和“每秒最大新建连接数”。
客户端(Avalanche的1~2个10G口模拟)发起HTTP事务请求,经过防火墙后,数据包被发给服务器(Avalanche的1~2个10G口模拟),服务器收到请求后,发响应包、经由防火墙处理后,转发给客户端。由此完成一次请求——响应交互。
Avalanche客户端和服务器的网关,均由防火墙充任。
TestCenter 40G板卡,使用4个口,同时发送UDP报文160Gbps给防火墙,经防火墙转发后发送给对端(TestCenter接口),对端根据报文里的签名域字段,判断是否合法包,并统计收到的包数,并最终统计丢包率、吞吐率。
3.仪表配置与测试结果
3.1 UDP吞吐率测试
3.1.1 测试要求
基于UDP协议,测试1518B、512B、64B三种包长的吞吐率,测试混合包包比例64B:512B:1518B=1:3:6时的吞吐率。
3.1.2 仪表配置
(1)TestCenter数据流配置
使用4个40G端口1-1、1-2、1-3、1-4,数据流配置如下:
Stream |
Stream 1 |
Stream 2 |
Stream 1 |
Stream 2 |
源物理端口 |
1-1 |
1-2 |
1-3 |
1-4 |
目的物理端口 |
1-2 |
1-1 |
1-4 |
1-3 |
源IP |
1.1.1.10 |
5.1.1.10 |
2.1.1.10 |
6.1.1.10 |
源IP网关 |
1.1.1.1 |
5.1.1.1 |
2.1.1.1 |
6.1.1.1 |
目的IP |
5.1.1.10 |
1.1.1.10 |
6.1.1.10 |
2.1.1.10 |
源端口号(UDP) |
600-609 |
700-709 |
700-709 |
800-809 |
目的端口号(UDP) |
1024 |
1024 |
1024 |
1024 |
(2)TestCenter载荷、包长配置
包长 |
最小载荷 |
初始载荷 |
最大载荷 |
允许丢包率 |
时长 |
64B |
4.8Gbps |
4.8Gbps |
5.6Gbps |
0% |
60秒 |
512B |
32Gbps |
38.4Gbps |
41.6Gbps |
0% |
60秒 |
1518B |
48Gbps |
96Gbps |
112Gbps |
0% |
60秒 |
混合包 64B:512B:1518B =1:3:6 |
64Gbps |
72Gbps |
80Gbps |
0% |
60秒 |
3.1.2 吞吐率测试结果
(1)64B包长吞吐率:5.2Gbps
(2)512B包长吞吐率:33.2Gbps
(3)1518B包长吞吐率:98Gbps
(4)混合包吞吐率:78Gbps
3.2 UDP时延测试
3.2.1 测试要求
基于UDP协议,测试1518B、512B、64B三种包长的时延。
3.2.2 仪表配置
(1)TestCenter数据流配置
使用4个40G端口1-1、1-2、1-3、1-4,数据流配置如下:
Stream |
Stream 1 |
Stream 2 |
Stream 1 |
Stream 2 |
源物理端口 |
1-1 |
1-2 |
1-3 |
1-4 |
目的物理端口 |
1-2 |
1-1 |
1-4 |
1-3 |
源IP |
1.1.1.10 |
5.1.1.10 |
2.1.1.10 |
6.1.1.10 |
源IP网关 |
1.1.1.1 |
5.1.1.1 |
2.1.1.1 |
6.1.1.1 |
目的IP |
5.1.1.10 |
1.1.1.10 |
6.1.1.10 |
2.1.1.10 |
源端口号(UDP) |
600-609 |
700-709 |
700-709 |
800-809 |
目的端口号(UDP) |
1024 |
1024 |
1024 |
1024 |
(2)TestCenter载荷、包长配置
包长 |
100%吞吐率 |
90%吞吐率 |
64B |
5.2Gbps |
4.68Gbps |
512B |
33.2Gbps |
29.88Gbps |
1518B |
98Gbps |
88.2Gbps |
混合包 64B:512B:1518B =1:3:6 |
78Gbps |
70.2Gbps |
3.2.3 TestCenter(时延)测试结果
(1)64B包长时延
(2)512B包长时延
(3)1518B包长时延
3.3 TCP最大并发连接数(CC)测试
3.3.1 测试要求
响应HTTP报文内容长度为64B时的TCP最大并发连接数。
3.3.2 仪表配置
(1)Load配置与Action
配置类别 |
参数名 |
参数值 |
说明 |
Load |
Specification |
SimUsers |
|
Height |
1,000,000 SimUsers |
每秒新建TCP请求10万 |
|
Steady Time |
600s |
||
Action |
url条数 |
20 |
20个目的IP |
Think Time |
200 |
最大并发数2000万 |
(2)Subnets配置
Avalanche 3100每个端口配置一个网段,指定250个IP地址,每个地址可用端口号约6万个,网关为对接的防火墙接口IP。
第1台端口8的网段为:1.1.1.2~1.1.1.250,网关IP 1.1.1.1
第1台端口9的网段为:5.1.1.10~5.1.1.19,网关IP 5.1.1.1
第2台端口8的网段为:2.1.1.2~2.1.1.250,网关IP 1.1.1.1
第2台端口9的网段为:6.1.1.10~6.1.1.19,网关IP 5.1.1.1
3.3.3 测试结果
如上图所示,并发数最大1950万。
3.4 TCP每秒最大新建(CPS)测试
3.4.1 测试要求
响应HTTP报文内容长度为64B时的TCP最大每秒新建连接数。
3.4.2 Avalanche C100 仪表配置
(1)Load配置与Action
配置类别 |
参数名 |
参数值 |
说明 |
Load |
Specification |
SimUsers/s |
|
Height |
12,000 SimUsers/s |
每秒新建TCP请求24万 |
|
Steady Time |
120s |
||
Action |
url条数 |
20 |
20个目的IP |
Think Time |
0 |
(2)Subnets配置
Avalanche C100每个端口配置一个网段,指定250个IP地址,每个地址可用端口号约6万个,网关为对接的防火墙接口IP。
Client |
Server |
||||
仪表端口 |
IP |
网关IP |
仪表端口 |
IP |
网关IP |
9 |
1.1.1.2-1.1.1.250 |
1.1.1.1 |
10 |
5.1.1.10-5.1.1.29 |
5.1.1.1 |
11 |
2.1.1.2-2.1.1.250 |
2.1.1.1 |
12 |
6.1.1.10-6.1.1.29 |
6.1.1.1 |
13 |
3.1.1.2-3.1.1.250 |
3.1.1.1 |
14 |
7.1.1.10-7.1.1.29 |
7.1.1.1 |
15 |
4.1.1.2-4.1.1.250 |
4.1.1.1 |
16 |
8.1.1.10-8.1.1.29 |
8.1.1.1 |
3.4.3 测试结果
每秒最大新建20万。
3.5 HTTP吞吐率测试
3.5.1 测试要求
基于TCP/HTTP协议,包长比例64B:1518B= 1:2。
3.5.2 仪表配置
(1)Load配置与Action
配置类别 |
参数名 |
参数值 |
说明 |
Load |
Specification |
SimUsers/s |
|
Height |
1500 SimUsers/s |
每秒新建TCP请求1500 |
|
Steady Time |
120s |
||
Action |
url条数 |
10(每个Action列表) |
1个目的IP(每个端口) |
Think Time |
0 |
(2)Subnets配置
Avalanche C100每个端口配置一个网段,指定250个IP地址,每个地址可用端口号约6万个,网关为对接的防火墙接口IP。
Client |
Server |
||||
仪表端口 |
IP |
网关IP |
仪表端口 |
IP |
网关IP |
9 |
1.1.1.2-1.1.1.250 |
1.1.1.1 |
10 |
5.1.1.10-5.1.1.29 |
5.1.1.1 |
11 |
2.1.1.2-2.1.1.250 |
2.1.1.1 |
12 |
6.1.1.10-6.1.1.29 |
6.1.1.1 |
13 |
3.1.1.2-3.1.1.250 |
3.1.1.1 |
14 |
7.1.1.10-7.1.1.29 |
7.1.1.1 |
15 |
4.1.1.2-4.1.1.250 |
4.1.1.1 |
16 |
8.1.1.10-8.1.1.29 |
8.1.1.1 |
3.5.3 测试结果
吞吐率27.3Gbps。
4. 性能测试数据汇总
测试项目 |
实测数值 |
标称值 |
|
UDP吞吐量(64B) |
5.2Gbps |
||
UDP吞吐量(512B) |
33.2Gbps |
||
UDP吞吐量(1518B) |
98Gbps |
||
UDP吞吐量(混合) 64B:256B:1518B = 1:3:6 |
78Gbps |
||
UDP时延(64B) |
|||
UDP时延(512B) |
|||
UDP时延(1518B) |
778us@98Gbps [email protected] |
||
HTTP吞吐量(混合包) 64B:1518B = 1:2 |
27.5Gbps |
||
每秒最大新建连接数 |
20万/秒 |
||
最大并发数 |
1950万 |
由双极未来提供测试仪表及技术服务,并整理最终报告。
www.spirepair.com