网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
2005年度千兆防火墙公开比较评测报告
文章来源: 网络世界 文章作者: 未知 发布时间: 2006-04-18   字体: [ ]
 

   二、启动NAT时的Web性能

  测试工程师:NAT是每个边界网关产品都要面对的问题,到底防火墙在启动NAT后对应用会产生什么样的影响呢?

  测试实况:我们借助IXIA 1600T的应用测试软件IxLoad来模拟Web服务器和客户端。我们先后在防火墙上关闭和启动了NAT,两种情况下都采用了100条规则。测试仪模拟了250台Web服务器,模拟了1000个用户端,每个用户创建3个并发TCP连接,在每个连接上最多允许传送10笔交易,下载的文件为1K字节的静态网页。测试时间为5分钟。

  启动NAT后,我们在正式测试前先考察了NAT是否已经生效,通过架设服务器并抓包,确认防火墙已经进行了地址转换后才进行Web性能测试。

  通过测试,我们发现,多数参测防火墙在启动了NAT后,用户访问Web的性能并没有明显变化。Web页面响应延迟除了Symantec比较大以外其他都控制在13至20毫秒之间,穿越防火墙的TCP连接建立的时延大都保持在微秒级,如表二所示。Symantec Gateway Security 5460体现出的差异是因为它使用NAT需要启动应用代理模块。

  通过监视防火墙的流量统计,此时内、外网接口之间的负载达到了200Mbps左右。

  三、防DoS攻击

  测试工程师:我们没有将测试仪中所有的DoS攻击武器都搬出来考验防火墙,而是仅仅选取了Ping_Flood和Syn_Flood两种攻击。这两种攻击都会使目标主机在极短时间内陷入瘫痪,比较而言,Syn_Flood由于半开连接更耗资源等因素,其危害更大。

  测试实况:正如我们所料,这些产品都可以对这两种DoS攻击进行防范。

  在测试仪IXIA 1600T上使用攻击软件IxAttack和IxExplorer来模拟攻击源。由于我们还要考察攻击情况下的Web应用的性能,为避免形成带宽瓶颈,我们所有的攻击测试都在测试仪的百兆端口上进行。测试拓扑如图2所示,当防火墙不启动相应的DoS攻击防御时,测试仪的攻击按钮刚刚按下,位于DMZ的 Windows Server 2003立即“死机”。

  所有参测产品都可以设置攻击数据包数目的阈值,当启动防御后,再次进行攻击,服务器可以正常工作,CPU利用率维持在10%以下,通过Sniffer抓包,也可以发现不同厂商在应对DoS攻击时的不同做法。有的仍让很少量的包通过,有的则丢弃所有的包。此次测试没有对防DoS攻击的漏包数目的精确度进行衡量。启动攻击前后对性能的影响如表三所示。

 
推荐文章
·怎么样给企业级防火墙“体检”
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
·一种新的穿透防火墙的数据传输技
 
 
共4页: 上一页 [1] [2] 3 [4] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·浴火坚“墙”——12款防
·防火墙技术综述
·教你命令行下配置Window
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
·怎样用ipchains构建防火
相关分类
相关文章
·没有防火墙是可行的 但
·ISS欲将防火墙防病毒合
·Windows Vista系统防火
·防火墙技术术语详解以及
·没有防火墙的安全:明智
·使用防火墙封阻应用攻击
·安全基础:防火墙功能指
·不可不知:十七个防火墙
更多...
 
 
Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $