防火墙性能指标要求

附件一：防火墙性能指标要求

防火墙设备技术要求 一、防火墙参数要求： 1性能方面： 11网络吞吐量

防火墙设备技术要求 一、防火墙参数要求： 1.性能方面： 1.1网络吞吐量>10Gbps，应用层吞吐率>2Gbps，最大并发连接数>400万（性能要求真实可靠，必须在设备界面显示最大并发连接数不少于400万），每秒新建连接＞15万。 1.2万兆级防火墙，网络接口数量不少于12个接口，其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个，另外具有不少于2个通用扩展插槽。 1.3冗余双电源，支持HA、冗余或热备特性。 1.4具备外挂日志存储系统，用于存储防火墙日志文件等相关信息，另外支持不同品牌网络设备、服务器等符合标准协议的日志格式，日志存储数量无限制。 1.5内置硬盘，不小于600G，用于日志存储。 2.功能方面（包含并不仅限于以下功能）： 2.1具有静态路由功能，包括基于接口、网关、下一跳IP地址的静态路由功能。 2.2具有OSPF动态路由功能，符合行业通用的OSPF协议标准。 2.3具有网络地址转换功能，支持一对一、多对一、多对多的网络地址转换功能。

2.4具有OSI网络模型三层至七层访问控制功能，可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。 2.5具有基于资源和对象的流量分配功能，包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。 2.6完善的日志及审计系统，防火墙内所有功能均具备相应的日志可供查看和审计。 2.7具有内置或第三方CA证书生成、下发及管理功能。 2.8具有身份认证、身份审计功能，支持用户ID与用户IP 地址、MAC地址的绑定，支持基于CA证书、AD域、短信、微信等多种身份认证方式。 2.9具有入侵检测模块，支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。 2.10具有上网行为管理模块，支持上网行为检测、内容过滤等功能，包含5年应用特征库升级服务。 2.11具有病毒防护模块，可包含5年病毒库升级服务。 2.12具备基于WEB页面的管理、配置功能，可通过WEB 页面实现所有功能的配置、管理和实时状态查看。 2.13具有SSL VPN模块，含不低于50人的并发在线数。针对手机和电脑，有专门的SSL VPN客户端。 3.质保和服务

华为USG6000系列防火墙性能参数表

华为USG6000系列下一代防火墙详细性能参数表

能，与Agile Controller配合可以实现微信认证。 应用安全●6000+应用协议识别、识别粒度细化到具体动作，自定义协议类型，可与阻断、限流、审计、统计等多种手段自由结合在线协议库升 级。注：USG6320可识别1600+应用。 ●应用识别与病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，可检出超过500多万种病毒。 ●应用识别与内容检测结合，发现应用中的文件类型和敏感信息，防范敏感信息泄露。 入侵防御●基于特征检测，支持超过3500漏洞特征的攻击检测和防御。 ●基于协议检测，支持协议自识别，基于协议异常检测。 ●支持自定义IPS签名。 APT防御与沙箱联动，对恶意文件进行检测和阻断。 Web安全●基于云的URL分类过滤，支持8500万URL库，80+分类。 ●提供专业的安全URL分类，包括钓鱼网站库分类和恶意URL库分类。 ●基于Web的防攻击支持，如跨站脚本攻击、SQL注入攻击。 ●提供URL关键字过滤，和URL黑白名单。 邮件安全●实时反垃圾邮件功能，在线检测，防范钓鱼邮件。 ●本地黑、白名单，远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。 ●支持对邮件附件进行病毒检查和安全性提醒。 数据安全●基于内容感知数据防泄露，对邮件，HTTP，FTP，IM、SNS等传输的文件和文本内容进行识别过滤。 ●20+文件还原和内容过滤，如Word、Excel、PPT、PDF等），60+文件类型过滤。 安全虚拟化安全全特性虚拟化，转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化（带宽、会话等）。 网络安全●DDoS攻击防护，防范多种类型DDoS攻击，如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP 欺骗等。 ●丰富的VPN特性，IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。 路由特性●IPv4：静态路由、RIP、OSPF、BGP、IS-IS。 ●IPv6：RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6。 部署及可靠性透明、路由、混合部署模式，支持主/主、主/备HA特性。 智能管理●支持根据应用场景模板生成安全策略，智能对安全策略进行优化，自动发现冗余和长期不使用的策略。 ●全局配置视图和一体化策略管理，配置可在一个页面中完成。 ●可视化多维度报表呈现，支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 标准服务●USG6300-AC：SSL VPN 100用户。 ●USG6300-BDL-AC：IPS-AV-URL功能集升级服务时间12个月，SSL VPN 100用户。 可选服务●IPS升级服务：12个月/36个月 ●URL过滤升级服务：12个月/36个月●反病毒升级服务：12个月/36个月 ●IPS-AV-URL功能集：12个月/36个月 注：√表示为支持此项功能，—表示为不支持此项功能。

防火墙技术参数

防火墙技术参数： 网络端口8GE+4SFP VPN支持支持丰富高可靠性的VPN特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等 入侵检测超过5000种漏洞特征的攻击检测和防御。第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击。管理预置常用防护场景模板，快速部署安全策略，降低学习成本 自动评估安全策略存在的风险，智能给出优化建议 支持策略冲突和冗余检测，发现冗余的和长期未使用策略，有效控制策略规模 一般参数 电源选配冗余电源100-240V，最大功率170W 产品尺寸442×421×44.4mm 产品重量7.9kg 适用环境温度：0-45℃(不含硬盘)/5℃-40℃ (包含硬盘) 湿度：5%-95%(不含硬盘)/ 5%-90% (包含硬盘) 其他性能产品形态：1U 带宽管理与QoS优化：在识别业务应用的基础上，可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等 数据防泄漏：对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对敏感内容进行过滤 应用识别与管控：可识别6000+应用，访问控制精度到应用功能，例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率 接口扩展：可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡 软件认证：ICSA Labs: Firewall，IPS，IPSec VPN，SSL VPN CC：EAL4+ NSS Labs：推荐级 硬件认证：CB，CCC，CE-SDOC，ROHS，REACH&WEEE(EU)，C-TICK，ETL，FCC&IC，VCCI，BSMI

防火墙技术指标

技术要求采购数量：1台

服务要求 1、提供标的产品免费全国范围内现场安装服务和售后服务； 2、提供厂商出具的标的产品三年硬件保修服务证明，备品备件保障证明； 3、投标人至少有2名以上工程师，并指定专人工程师为项目接口工程师，提供标的产品的技术服务支持； 4、硬件故障处理 a)乙方提供三年产品保修服务。若出现硬件故障问题，从甲方报修开始至厂维修完毕返还给用户应不超过10个工作日，维修产品的运费及运输保险费由乙方承担； 5、技术咨询服务 b）乙方免费为用户提供产品咨询服务，协助用户进行新需求规划； c）甲方在系统相关环境上进行研发测试过程中，遇到技术难题时，提供技术咨询服务，包括远程电话支持和现场研讨支持； 6、系统配置管理 d) 建立所有维保设备的配置统计文档，在维保期间随时更新设备硬件或系统软件配置变更的情况。 7、不间断服务 e) 7×24小时响应的电话、传真、E-MAIL方式等日常售后技术服务；提供7×24小时的支持服务，设备出现故障进行实时电话响应； f）设备出现故障，如电话、远程等方式不能解决，全国范围内6小时内赶到现场，12小时内排除由设备问题造成的网络故障； 8、疑难问题升级处理 g) 就维保设备在用户日常管理中遇到的疑难杂症进行升级处理，疑难问题不限于设备故障； 9、定期巡检 h) 提供产品定期巡检服务：乙方在服务期内提供12人次/年的定期巡检服务（每月1次），对本次合同购买的设备的运行状态、安全策略等进行检测，确保其安全稳定的运行，巡检后3个工作日内向甲方提交检查总结报告； 10、系统升级、补丁安装服务

i)提供三年软件版本及补丁免费升级服务，特征库升级授权，供用户自行升级以及提供技术支持服务； 11、系统及相关环境重建服务 j) 设备维保期间，提供系统及相关环境的重新搭建服务； 12、重要事件服务 k）服务期内若甲方有特殊需求（如网络架构调整需求等），乙方技术支持工程师须在甲方提出需求的8个工作小时内到达甲方现场配合讨论方案和进行现场配置和调试； 13、紧急处理服务 l）对于紧急支持服务需求（例如系统瘫痪等严重问题），乙方须在接到甲方服务要求后2个小时内作出反应，在4个小时内到达甲方现场； m）服务期内，若因设备硬件/系统问题影响甲方正常生产环境，乙方须在4个小时内调拨备机到甲方现场，并确保备机的策略/运行状态正常，提供的备机服务应符合现在管理平台的要求，提供的备机应为同等档次或高于目前使用的型号； 14、硬件设备移机服务 n) 根据甲方实际需求提供硬件设备的物理搬迁服务。在搬迁过程中，提供相当于搬迁设备同样配置的备机在甲方本地(单次搬迁设备超过4台时，提供一半以上的备机，保证对故障设备进行及时替换)，保障设备移机前后的正常运行；搬迁过程中如设备有任何损坏，其造成的损失在得到甲方认可的前提下，全部由乙方负责赔偿； 15、辅助故障定位服务 o) 在甲方使用主流品牌的硬件、软件产品出现兼容性问题时，积极配合，与有关硬件、软件厂商和采购人接洽，及时定位问题原因、寻求解决方案； 16、产品关联服务 p) 提供其他与产品相关联的服务，如产品过期EOL(End of life)，提前一年通知甲方。 17、培训服务 q）提供标的产品2人/次原厂技术培训（非现场培训）； 18、续约 r) 维保服务合同到期后1个月内，如果甲方提出需求，继续提供上述技术服务；18、提供厂商出具的五年内备品备件保障证明；

防火墙的性能评估

评价防火墙的功能、性能指标 (2011-06-03 23:47:16) 转载▼ 标签： 分类：网络技术 防火墙 性能 参数 吞吐量 最大连接数 新建连接数 丢包率 it 一、功能指标 1、访问控制：根据数据包的源/目的IP地址、源/目的端口、协议、流量、时间等参数对数据包进行访问控制。 2、地址转换：源地址转换(SNAT)、目的地址转换(DNAT)、双向地址转换(IP映射)。 3、静态路由/策略路由： 静态路由：给予目的地址的路由选择。 策略路由：基于源地址和目的地址的策略路由选择。 4、工作模式：路由模式、网桥模式(交换/透明模式)、混杂模式(路由+网桥模式并存) 5、接入支持：防火墙接口类型一般有GBIC、以太网接口等；接入支持静态IP设置、DHCP、PPOE(比如ADSL接入)等。 6、VPN：分为点到端传输模式(PPTP协议)和端到端隧道模式(IPSec、IPIP、GRE隧道)，支持DES、3DE、Blowfish、AES、Cast128、Twofish等加密算法，支持MD5、SHA-1认证算法；VPN功能支持NAT穿越。 7、IP/MAC绑定：IP地址与MAC地址绑定，防止IP盗用，防止内网机器有意/无意抢占关键服务器IP。 8、DHCP：内置DHCP Server 为网络中计算机动态分配IP地址；DHCP Relay的支持能为防火墙不同端口的DHCP Server和计算机之间动态分配IP地址。 9、虚拟防火墙：在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙，每个虚拟防火墙为一个特定的用户群提供安全服务。 10、应用代理：HTTP、FTP、SMTP等协议应用代理，大多数内容过滤通过应用代理实现。 11、流量控制：流量控制，流量优先级，带宽允许条件下的优先保障关键业务带宽。

衡量防火墙性能的参数指标有哪些

衡量防火墙性能的参数指标有哪些 导读：我根据大家的需要整理了一份关于《衡量防火墙性能的参数指标有哪些》的内容，具体内容：防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。对于防火墙的性能，我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的... 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。对于防火墙的性能，我们应该怎么衡量比较呢?这篇文章主要介绍了衡量防火墙性能的几个重要参数指标,需要的朋友可以参考下 防火墙主要参考以下3种性能指标： 整机吞吐量：指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力。 最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。

并发连接数 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢? 要了解并发连接数，首先需要明白一个概念，那就是"会话"。这个"会话"可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个"会话"，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发(即会话)，那么，这个防火墙，所能处理的最大会话数量，就是"并发连接数"。 像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并

互联网出口防火墙性能指标

互联网出口防火墙性能指标 标准1U机箱，标配4个千兆MBASE-T接口，2个千兆SFP 接口；整机吞吐率(bps)≥8G，最大并发连接数≥180万，每秒新建连接数≥8万，内置2对电口BYPASS。1. 具备2-7层的网络安全防护功能，具备防火墙、APT检测、VPN、IPS、WAF、网页防篡改、WEB风险扫描等功能模块；2. 要求能够实现对蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸/VPN隧道攻击等的防护，支持安全防护策略智能联动，可智能生成临时规则封锁攻击源IP，临时封锁时间可自定义，要求提供设备界面截图证明；3. 漏洞特征库: 4000+，支持自动或者手动升级，需提供设备界面截图证明；具备专业攻防团队每1-2周进行特征库和紧急漏洞更新，需提供官网更新数据，处理动作支持“云联动”，支持自动拦截、记录日志、上传灰度威胁到“云端”，提高分析检测能力，提供设备界面截图证明；4. 要求能够实现SQL注入、XSS攻击、WEBSHELL攻击、CSRF跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击和信息泄露攻击等的等web攻击防护，为保障功能可靠性，★要求提供OWASP认证和NSS Labs测试报告证明；5. 要求支持APT攻击检测，实现已感染病毒、木马、蠕虫、僵尸网络等终端的外发恶意流量阻断，保障内网终端安全，需提

供设备界面截图证明；6. 要求支持服务器、客户端的漏洞风险评估功能，能够对目标IP进行端口、服务扫描，同时支持多种应用的弱口令评估与扫描，要求提供设备界面截图证明；支持手动/定时的web风险扫描功能，预定义快速、完整的扫描模板，且支持自定义扫描模板；7. 为保障软件成熟度及软件可靠性，要求厂家为微软MAPP计划合作伙伴并具备国家互联网应急响应中心应急服务支撑单位资质，要求所投品牌厂商是公安部第二代防火墙标准起草单位之一；8. 支持脚本过滤和ActiveX过滤，并能识别并封堵含有恶意插件的网络访问行为，必须能识别并封堵含有恶意脚本、挂载木马等危险网页访问行为，要求提供自主知识产权证明，支持恶意链接检测功能，内置恶意链接地址库，对于可疑的地址链接，设备能够同云端安全分析引擎进行联动，可疑威胁行为在云端进行沙盒执行检测并返回行为分析报告，需提供设备分析报告截图；9. 要求支持网关型网页防篡改，篡改检测需要支持精确匹配和模糊匹配的方式，检测到篡改能提供短信、邮件等报警方式，要求提供设备界面截图证明；10. 要求支持双向内容检测，内置数据泄密防护识别库，能够识别身份证、手机号码、银行卡号、邮箱等敏感信息，并且阻止此类敏感信息被泄密，需提供设备界面截图证明；11. 支持针对重要业务系统的管理员后台URL/Telnet/SSH登录页面扩展短信强认证的功能，防止口令爆破或是社会工程学攻击，要求提供设备界面截图证明

防火墙的关键参数

2) 连接数评估 连接在状态防火墙中是一个很重要的概念，与连接相关的性能指标对评估防火墙非常重要。这些指标包括并发连接数、新建连接速率。 l 并发连接数的测试 并发连接是一个很重要的指标，它主要反映了被测设备维持多个会话的能力。关于此指标的争论也有很多。一般来说，它是和测试条件紧密联系的，但是这方面的考虑有时会被人们忽略。比如，测试时采用的传输文件大小就会对测试结果有影响。例如，如果在传输中应用层流量很大的话, 被测设备将会占用很大的系统资源去处理包检查，导致无法处理新请求的连接，引起测试结果偏小；反之测试结果会大一些。所以没有测试条件而只谈并发连接数是难以定断的。从宏观上来看，这个测试的最终目的是比较不同设备的“资源”，也就是说处理器资源和存储资源的综合表现。 目前市场上出现了大家盲目攀比并发连接数的情况。事实上，并发几十万的连接数应该完全可以满足一个电信级数据中心的网络服务需求了，对于一般的企业来讲, 甚至几千个并发连接数还绰绰有余。并发连接总数能由仪表自动测试得出结果，减少了测试所用的时间和人力，这类仪表目前很多，常见的有Spirent的 Avalanche、IXIA的IxLoad以及BPS等。 l 新建连接速率 这个指标主要体现了被测设备对于连接请求的实时反应能力。对于中小用户来讲，这个指标显得更为重要。可以设想一下，当被测设备可以更快的处理连接请求，而且可以更快传输数据的话,网络中的并发连接数就会倾向于偏小，从而设备压力也会减小，用户感受到的防火墙性能也就越好。Avalanche、IXLOAD以及BPS等测试工具都可以测试新建连接速率，帮助使用者搜索到被测设备能够处理的峰值，测试原理基本都是相同的。 2. 模拟真实应用环境进行性能指标测试 如果能够100%模拟用户的实际应用环境对防火墙性能进行测试，那么防火墙选型这类活动将变得非常简单，而且防火墙性能指标将变得更加有意义。但是模拟真实应用环境并不是简单的事情。主要是因为用户环境的复杂性和多变性导致真实环境的模拟几乎不可能实现。这里讨论的模拟真实应用环境测试，只是将用户环境进行抽象，使得模拟环境在满足测试条件的情况下最大限度的贴近真实应用环境。 1) 多应用协议吞吐量测试 前面提到goodput是衡量防火墙吞吐量的重要指标，基线测试中，一般采用HTTP协议作为应用层协议进行测试。而在实际应用环境中，应用层的流量并不是纯粹的HTTP，还有其他协议。如果用HTTP协议代替其他应用层协议测试应用层吞吐量，显然是不合适的。因此需要针对不同的应用场景，设计典型的应用层流量分布模型，按照不同的比例分配带宽。如图3所示，是一个典型的某场景应用带宽分布。

硬件防火墙六大关键指标

硬件防火墙关键指标 1、吞吐量 2、时延 3、扩展性 4、并发连接数 5、丢包率 6、最大安全策略数 一、网络吞吐量 当CIO在企业中部署了企业级别的防火墙之后，企业进出互联网的所有通信流量都要通过防火墙，故对于防火墙的吞吐量就有比较高的要求。以前有些企业是通过ADSL拨号上网的，这时由于带宽的限制，可能防火墙还可以应付。可是现在大部分企业可能已经都采用了光纤接入，带宽本来就很大。此时就给防火墙带来了一定的压力。 因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时，甚至发生死机。所以网络吞吐量指标非常重要，它体现了防火墙的可用性能，也体现了企业级别的防火墙的重要性。如果资金充裕，那么吞吐量当然是越大越好。吞吐量一个基本的原则就是至少要跟企业现有的互联网接

入带宽相当。 二、协议的优先级（时延） 第二个指标就是这个协议的优先性。现在视频在实际应用中越来越广泛。如视频会议系统、语音电话等等都很普及，而这些应用都会占用比较大的带宽。但增加带宽需要花费比较大的投资。最理想的解决方案是对企业的通信流量进行管理，通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。 另外这还可以用来约束员工的网络行为。如有些员工喜欢利用emule等工具下载电影。但是这些工具的话会占用很大的带宽，因为他们在从网络上下载的同时，也提供别人进行下载。故耗用的带宽比较多。 三、具有一定的扩展性 网络不可能永远的一成不变。随着政府服务型网站的规模扩大，网络会不断的升级，各地各部门之间要开通业务网络互联互联，成为网络平台的一个节点，此时就遇到一个问题，如何把各单位的网络与政府的网络连接起来。为此通过VPN来连接无疑是一个不错的方案。但是现有的防火墙能否支持VPN技术呢?企业很有可能以前在选购防火墙的时候没有注意到这个问题。

防火墙的性能指标

防火墙的性能指标 吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标，它是指网络设备在每一秒内处理数据包的最大能力。吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。设备吞吐量越高，所能提供给用户使用的带宽越大，就像木桶原理所描述的，网络的最大吞吐取决于网络中的最低吞吐量设备，足够的吞吐量可以保证防火墙不会成为网络的瓶颈。举一个形象的例子，一台防火墙下面有100个用户同时上网，每个用户分配的是10Mbps的带宽，那么这台防火墙如果想要保证所有用户全速的网络体验，必须要有至少1Gbps的吞吐量。 吞吐量的计量单位有两种方式：常见的就是带宽计量，单位是Mbps(Megabits per second)或者Gbps (Gigabits per second)，另外一种是数据包处理量计量，单位是pps (packets per second)，两种计量方式是可以相互换算的。在进行对一款设备进行吞吐性能测试时，通常会记录一组从64字节到1518字节的测试数据，每一个测试结果均有相对应的pps数。64字节的pps数最大，基本上可以反映出设备处理数据包的最大能力。所以从64字节的这个数，基本上可以推算出系统最大能处理的吞吐量是多少。 很多路由设备的性能指标有一点就是标称xxMpps，所指的就是设备处理64字节的pps数。比如64字节的pps为100000pps，吞吐量通过换算为100000×(64+20)×8/1000000=67.2Mbps，拿这个结果计算1518字节的数据为100000×(1518+20)×8/100000=1230.4Mbps。其中的20字节是指12字节的帧间距(IPG)以及8字节的前导码(7字节同步+1字节起始)，测试每一个字节的吞吐量都需要将这20字节计算在内。通过前面的算式可以看出，我们即使不测试1518字节，也能够大致推算出设备最大的吞吐量是多少。但最终的结果只能小于这个结果。为什么会小于呢?因为很多设备因为接口数或者内部器件带宽的原因，限制了最大的带宽，这样设备的最大吞吐量就会远远低于推算的数值。不过既然得出了64字节的pps数，那么只要厂商标称的最大吞吐量低于推算的带宽，就基本可以认为这个标称值是可信的。 时延(Latency) 时延是系统处理数据包所需要的时间。防火墙时延测试指的就是计算它的存储转发(Store and Forward)时间，即从接收到数据包开始，处理完并转发出去所用的全部时间。在一个网络中，如果我们访问某一台服务器，通常不是直接到达，而是经过大量的路由交换设备。每经过一台设备，就像我们在高速公路上经过收费站一样都会耗费一定的时间，一旦在某一个点耗费的时间过长，就会对整个网络的访问造成影响。如果防火墙的延时很低，用户就完全不会感觉到它的存在，提升了网络访问的效率。

防火墙的参数与防火墙的选择标准

防火墙的参数与防火墙的选择标准 网络防火墙与路由器非常类似，是一台特殊的计算机，同样有自己的硬件系统和软件系统，和一般计算机相比，只是没有独立的输入/输出设备。防火墙的主要性能参数是指影响网络防火墙包处理能力的参数。在选择网络防火墙时，应主要考虑网络的规模、网络的架构、网络的安全需求、在网络中的位置，以及网络端口的类型等要素，选择性能、功能、结构、接口、价格都最为适宜的网络安全产品。 1、购买防火墙的参数参考： （1）、系统性能 防火墙性能参数主要是指网络防火墙处理器的类型及主频、内存容量、闪存容量、存储容量和类型等数据。一般而言，高端防火墙的硬件性能优越，处理器应当采用ASIV架构或NP架构，并拥有足够大的内存。 （2）、接口 接口数量关系到网络防火墙能够支持的连接方式，通常情况下，网络防火墙至少应当提供3个接口，分别用于连接内网、外网和DMZ区域。如果能够提供更多数量的端口，则还可以借助虚拟防火墙实现多路网络连接。而接口速率则关系到网络防火墙所能提供的最高传输速率，为了避免可能的网络瓶颈，防火墙的接口速率应当为100Mbps或1000Mbps。 （3）、并发连接数 并发连接数是衡量防火墙性能的一个重要指标，是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，该参数值直接影响到防火墙所能支持的最大信息点数。 提示：低端防火墙的并发连接数都在1000个左右。而高端设备则可以达到数万甚至数10万并发连接。 （4）、吞吐量 防火墙的主要功能就是对每个网络中传输的每个数据包进行过滤，因此需要消耗大量的资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。 防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察防火墙的吞吐能力有助于更好地评价其性能表现。这也是测量防火墙性能的重要指标。 （5）、安全过滤带宽 安全过滤带宽是指防火墙在某种加密算法标准下的整体过滤功能，如DES(56位)算法或3DES(168位)算法等。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。 （6）、支持用户数 防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者如SOHO型防火墙一般支持几 十到几百个用户不等，而无用户数限制大多用于大的部门或公司。这里的用户数量和前面介绍的并发连接数并不相同，并发连接数是指防火墙的最大会话数(或进程)，而每个用户可以在一个时间里产生很多的连接。 2、网络防火端的选择策略

华为交换机路由器及防火墙技术参数要求

设备详细技术参数要求 1. 核心交换机设备技术要求 功能大 类 技术要求及指标 整机背板容量≥2.4Tbps *交换容量≥1.44Tbps *包转发率≥860Mpps 业务槽位≥6 支持独立双主控 整机万兆端口密度>=72个（除了用于堆叠的万兆接口） 支持全分布式转发 支持无源背板 支持风扇冗余，支持风扇模块分区管理，支持风扇自动调速提供整机高度数据 电源要 求 支持分区供电，颗粒化电源，支持N+N电源冗余（AC和DC均支持） 模块要求支持标准SFP, XFP, SFP+模块（支持标准SFP, XFP）万兆单板端口密度≥12 千兆单板光接口密度>=48 堆叠支持主控板堆叠，实配硬件用于堆叠，不占用业务槽位堆叠带宽>=256G 单板要 求 要求所有配置单板能进行IPV4，IPV6，MPLS VPN线速转发 二层功能支持整机MAC地址>128K； 支持静态MAC； 支持DHCP Client, DHCP Server，DHCP Relay；支持Option 82； 支持4K VLAN 支持1：1，N：1 VLAN mapping 支持端口VLAN，协议VLAN，IP子网VLAN； 支持Super VLAN; 支持Voice VLAN;

支持IEEE 802.1d(STP)、 802.w(RSTP)、 802.1s(MSTP) 支持VLAN内端口隔离 支持端口聚合， 支持1:1, N:1端口镜像； 支持流镜像； 支持远程端口镜像（RSPAN）； 支持ERSPAN, 通过GRE隧道实现跨域远程镜像； 支持VCT，端口环路检测 路由特性路由表≥128K 支持静态路由 ARP≥16K 支持RIP V1、V2, OSPF, IS-IS，BGP 支持IP FRR 支持路由协议多实例 支持GR for OSPF/IS-IS/BGP 支持策略路由 *所有实际配置板卡支持MPLS分布式处理，全线速转发支持MPLS TE 支持L3 VPN QoS ACL≥32K 支持SP, WRR,DWRR,SP+WRR, SP+DWRR调度方式；支持双向CAR； 提供广播风暴抑制功能； 支持WRED； 安全性支持DHCP Snooping trust, 防止私设DHCP服务器； 支持DHCP snooping binding table (DAI, IP source guard), 防止ARP攻击、DDOS攻击、中间人攻击； 支持BPDU guard， Root guard。 支持802.1X.

cacti监视华为防火墙的性能指标

防火墙的3大性能指标如何用cacti监控呢，现在给出例子 1）会话数 2）会话新建速率 3）吞吐量 如华为E8000的总会话数查询 先用snmpwalk遍历测试.1.3.6.1.4.1.2011.6.122.15.1.2.1.4 的返回值 发现实际的OID值是：.1.3.6.1.4.1.2011.6.122.15.1.2.1.4.0 注意：因为cacti用snmpget取值，所以最后要用snmpget测试.1.3.6.1.4.1.2011.6.122.15.1.2.1.4.0 会话数和新建会话速率绘图步骤如下： 一、新建数据模板 所以在数据模板里新建一个数据输入： 1）名称：随意 2）数据源内部名称：随意 3）选择数据类型是GAUGE

填写OID是真实返回值，一定要完整。如华为文档是.1.3.6.1.4.1.2011.6.122.15.1.2.1.4，但实际返回值是.1.3.6.1.4.1.2011.6.122.15.1.2.1.4.0 , 这个”.0”千万不能漏。 注意：因为cacti用snmpget取值，所以最后要用snmpget测试.1.3.6.1.4.1.2011.6.122.15.1.2.1.4.0 是否能正常取值。 华为防火墙常用的性能指标的OID如下： 华为（HW）防火墙的mib 库参考 1）HUAWEI 防火墙Eudemon8000E 防火墙V300R001 MIB参考：

2）HUAWEI 防火墙Eudemon200E Eudemon1000E-X V300R001 MIB参考 二、新建图形模板 目标：在一个图里显示总会话数，TCP会话数，UDP会话数3个会话数指标 先按照步骤一建立3个数据模板来取总会话数、TCP会话数，UDP会话数。各个分解步骤如下 1、新建图形模板

防火墙的主要性能参数和测试方法

防火墙的主要性能参数和测试方法 防火墙的主要性能参数 分为两个部分，第一部分是通用性能指标，定义在RFC2544。第二部分是专用部分，定义在RFC2647。 通用性能指标，包括Throughput，FrameLoss，Latency，BacktoBack等。这些性能参数与其它网络设备是相同的，不做详细描述。 专用性能指标，主要指RFC2647中定义的几个关键指标。包括Concurrent Connections，Connection Establishment，Connection Establishment time，Connection Teardown，Connection Teardown time，Goodput。 首先讲什么是connections。Connections一般是指两个网络实体进行数据交换前后对协议参数进行协商和确认的过程。交换数据前的协商称为连接建立过程，即Connection establishment。交换数据后的协商成为连接拆除过程，即Connection teardown。典型的连接是tcp连接。 ConCurrecnt Connections或者maximum number of concurrent connections，就是我们常说的最大并发连接数。是指防火墙中最多可以建立并保持的连接，只有这些连接的数据是可以被转发的，其它连接的数据讲被丢弃。这个指标用来衡量防火墙可以承载多少主机同时在线，也就表示可以支持什么规模的网络。 Connection establishment或者Maximum number of connections establishment per second，是每秒新建连接数。指防火墙建立连接的速率，如果1秒钟内最多有5000个连接握手过程被成功转发，则每秒新建连接数是5000。 Connection establishment time，连接建立时间。指从连接建立请求发出，到连接成功建立所花费的时间，这其中也包括两个网络实体自身需要的处理时间。在网络实体自身处理时间可以忽略的情况下，防火墙就是连接时延的主要原因。这个参数与每秒新建连接其实是相关的。 Connection teardown或者Maximum number of connections teardown per second，是每秒拆除连接数。指防火墙拆除连接的速率。 Connection teardown time，连接拆除时间。指从连接拆除请求发出，到连接删除所花费的时间，这其中也包括两个网络实体自身需要的处理时间。 Goodput，正确转发率。首先这个转发率是指allowed traffic，即只有防火墙规则允许的流才能衡量转发率，被drop的数据是不能作为测量标准的。其次这个转发率是指有连接协议中连接建立后的数据转发率。最后这个转发率中必须减去重传的数据。这个参数与throughput很些相似，但一般的测量方法中throughput使用udp测试，但goodput必须使用tcp等有连接协议测试。 防火墙的性能参数测试方法。 通用性能参数的测试方法与其它网络设备如路由器，交换机相同，不做详细介绍。专用性能指标的测试工具常用的有Smartbits WebSuit和Ixia Ixweb（新的版本叫Ixload）。个人认为WebSuit比较好用，了解的也比较多，所以这里就介绍如何使用WebSuit测试防火

读懂下一代防火墙性能指标

读懂下一代防火墙性能指标 读懂下一代防火墙，从读懂NSS Labs测试标准开 近年来，用户对网络业务的可视性、可管理性要求越来越高，要求能从业务视角理解网络流量，并针对应用制定管理策略；随之而来的，是以下一代防火墙（NGFW）为代表的应用层网络产品如雨后春笋般涌现出来；传统的网络层安全产品，如传统防火墙、IPS等，由于缺乏应用识别与控制能力，正在被面向应用层的NGFW、下一代IPS等产品取代。以下一代防火墙为例，根据Gartner的调研，在2011年时仅有不到1%的互联网连接采用NGFW来保护，而到2014年底，这个数字飙升到35%。什么样的防火墙能称之为下一代防火墙？ “下一代防火墙”首次提出于2009年。Gartner在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。协议的使用方式和数据的传输方式已发生变化，网络攻击的目标由单纯的破坏演变为恶意软件植入。在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下一代防火墙。” 由此可以总结得出，NGFW应具备应用识别和感知能力，同时应融合IPS系统以应对网络威胁；下一代防火墙的核心安全能力，是能够执行不依赖于IP、端口的应用、用户和内容控制策略，并能够实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。这一切的基础，是对网络中的数据包执行深度检测，也就是将数据包解封到应用层。数据包封装和解封层次越多，CPU的计算负载就会越高，具体表现为设备性能衰减，这是“鱼与熊掌不能兼得”的简单逻辑，也是为了应用级防护所必须付出的成本。 NSS Labs评估NGFW性能的指标 评估传统网络层设备的指标，如吞吐量、丢包率等，关注更多的是包转发性能。将这些指标简单的套用到聚焦于应用层的NGFW上，不能完整的评估设备的整体性能，甚至连主要性能指标都无法覆盖。举个简单的类比，跑动能力是一名优秀足球运动员必备的条件，但如果由于足球运动员在长跑比赛中输给了马拉松选手，就得出结论说这名足球运动员的能力不足，显然是错误的。 国内防火墙市场上怪现状 也许是都看到了下一代防火墙这块巨大的市场蛋糕，近年来国内安全厂商纷纷加入了下一代防火墙的阵营，也陆续推出了各自的下一代防火墙产品。但在能指导用户选购的性能指标上，有些厂商仍在沿用衡量传统设备的网络层指标，一味的强调“快”，给用户洗脑“天下武功，唯快不破”的思想，而对于开启了全部安全模块后的实测性能，却采取了遮遮掩掩的态度。下一代防火墙不同于数通设备，吞吐量和报文转发能力只是其中一个基础功能，真正考验其在“逼近真实”网络环境中性能表现的核心指标是应用层处理能力。开启了全部安全模块后的真实性能在数字上远不如简单的吞吐量这个指标好看，但如果不向用户讲清开启