防火墙应用层吞吐量计算是网络安全设备性能评估的核心指标,直接决定了企业业务系统的实际承载能力,与常见的网络层吞吐量不同,应用层吞吐量需要深度解析数据包内容,涉及协议识别、内容检测、威胁分析等复杂处理流程,其计算逻辑和测试方法具有显著的特殊性。
应用层吞吐量的本质定义是防火墙在启用全部安全功能状态下,单位时间内能够成功处理并转发的应用层数据流量,这一指标与裸转发性能存在数量级差异,以某金融数据中心实测为例,同一台下一代防火墙设备,纯网络层转发可达80Gbps,而开启IPS、AV、URL过滤后应用层吞吐量骤降至12Gbps,衰减幅度达85%,这种性能落差源于应用层检测需要重组TCP流、还原文件对象、执行特征匹配等计算密集型操作。
计算应用层吞吐量需建立多维评估模型,基础公式为:应用层吞吐量 = 有效载荷处理速率 × 检测深度系数 × 并发会话承载因子,有效载荷处理速率指设备解析应用协议的实际能力,检测深度系数反映安全策略的严格程度(如仅做协议识别时系数为0.6-0.8,全内容检测时降至0.2-0.4),并发会话承载因子则与连接表规模、新建连接速率密切相关,某运营商骨干网项目曾出现规划失误:按厂商标称的20Gbps应用层吞吐量设计,未考虑该数值基于HTTP单一大文件传输场景,实际混合业务流量下有效吞吐不足6Gbps,导致业务高峰期频繁丢包。
测试方法的标准化是确保数据可比性的关键,RFC 3511和RFC 2544为基准测试框架,但应用层场景需扩展特定方法学,测试流量必须包含真实应用协议分布,建议采用HTTP/HTTPS 40%、SMB 15%、数据库协议20%、视频流15%、其他10%的混合模型,连接特征方面,需模拟真实环境的并发连接数(通常10万-500万级)、连接持续时间(短连接30秒、长连接300秒混合)、以及事务复杂度(单连接请求数1-50个),某头部云服务商的测试规范要求,应用层吞吐量验证必须持续运行72小时以上,以暴露内存泄漏和连接表老化问题。
硬件架构对计算结果产生决定性影响,传统X86架构依赖CPU进行深度包检测,其应用层吞吐量与CPU核心数、单核性能、内存带宽呈线性关系,但受限于PCIe总线瓶颈,单设备上限约40Gbps,采用NP+ASIC混合架构的设备,通过专用芯片卸载固定模式匹配,可将应用层吞吐量提升至100Gbps以上,但灵活性受限,最新趋势是引入DPU智能网卡和FPGA可编程加速,某国产厂商的DPU方案在SSL解密场景下,应用层吞吐量较纯软件方案提升7倍,同时降低CPU占用率60%。
软件优化策略同样影响计算效能,连接复用技术可将多个短连接聚合为长连接处理,减少会话建立开销,某电商平台部署后应用层有效吞吐提升35%,智能Bypass机制在CPU负载超过阈值时自动降级非关键检测,保障核心业务连续性,更前沿的做法是采用机器学习进行流量预分类,对低风险流量降低检测深度,高风险流量增强分析,实现动态吞吐量优化。
实际部署中的计算调整不可或缺,需建立业务流量基线,通过NetFlow/sFlow采集真实协议分布和会话特征,安全策略优化方面,建议将高频命中规则前置,减少逐条遍历开销;对已知安全域内流量启用快速路径,绕过深度检测,某制造业企业经策略调优后,同等硬件配置下应用层有效吞吐从标称值的45%提升至78%。
| 影响因素类别 | 具体参数 | 典型性能影响幅度 |
|---|---|---|
| 检测深度 | 协议识别/特征匹配/内容还原 | 60%-85%衰减 |
| 加密流量占比 | SSL/TLS解密启用比例 | 每10%加密流量增加15%-20%负载 |
| 并发会话规模 | 10万/100万/500万连接 | 超设计容量30%时吞吐下降40% |
| 报文尺寸分布 | 64B/512B/1500B混合比例 | 小包占比超30%时吞吐下降50% |
| 安全功能组合 | IPS+AV+沙箱+数据防泄漏 | 功能叠加产生非线性性能损耗 |
长期运行稳定性验证常被忽视,应用层吞吐量在设备运行初期与持续高负载后存在显著差异,主要源于内存碎片、连接表老化效率、特征库更新带来的开销变化,建议规划时预留30%-50%性能余量,并建立季度性基准测试机制。
Q1:厂商标称的应用层吞吐量为何与实际部署差异巨大? 厂商测试通常采用最优条件:单一大文件HTTP传输、最小检测策略、理想报文尺寸,实际环境存在协议混杂、策略复杂、小包突发等特征,建议要求厂商提供与自身业务模型匹配的第三方测试报告,或进行POC实测验证。
Q2:云原生防火墙如何评估应用层吞吐量? 云环境需关注虚拟化开销和弹性扩展能力,应用层吞吐量计算应包含vCPU绑定效率、SR-IOV网卡直通性能、以及横向扩展时的会话同步开销,建议采用容器化部署场景下的CPS(每秒连接数)和有效吞吐双重指标,避免单纯追求峰值带宽数值。
《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281-2020),全国信息安全标准化技术委员会发布,规定了应用层吞吐量的标准化测试条件与计算方法。
《下一代防火墙性能测试规范》(YD/T 2665-2013),工业和信息化部发布,明确了应用层检测场景下的流量模型构造和性能指标定义。
《网络安全等级保护测评要求》(GB/T 28448-2019),公安部第三研究所牵头编制,将应用层吞吐量作为三级以上系统安全设备选型的核心测评项。
《防火墙技术白皮书》(中国信息通信研究院,2022年版),系统分析了硬件架构演进对应用层处理性能的影响机制。
《数据中心网络设备性能测试方法》(YD/T 5243-2021),涵盖云计算场景下虚拟防火墙的应用层吞吐量评估体系。
防火墙的种类及它们的优缺点
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 数 据 包 过 滤数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑, 被称为访问控制表(Access Control Table)。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。 路由器是内部网络与Internet连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 应 用 级 网 关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、 登记和统计,形成报告。 实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑,则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 代 理 服 务代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人将它归于应用级网关一类。 它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的 链接, 由两个终止代理服务器上的 链接来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。 此外,代理服务也对过往的数据包进行分析、注册登记, 形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 防火墙能有效地防止外来的入侵,它在网络系统中的作用是:控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;另外防火墙引起或IE浏览器出现故障,也可导致可以正常连接,但不能打开网页。
求内网安全的方案?
欣全向公司巡路免疫网络解决方案是在企业网络中实现安全免疫,打造免疫网络的途径和方法。 在目前网络架构不做重大改变的前提下,实施部署巡路免疫网络解决方案,可以顺利地将一个普通网络升级为免疫网络。 巡路免疫网络解决方案不是一个单独的产品,而是一套由软硬件、内网安全协议、安全策略构成的完整组件。 在巡路免疫网络解决方案中,采用了各种技术手段实现免疫网络的基本要求。 比如: 1、通过在接入网关设备中加入安全功能,如ARP先天免疫、内网防火墙、滤窗技术等,实现了网络设备中融合安全功能的要求; 2、通过强制安装终端免疫驱动,在网络的末端节点进行部署。 更重要的是在网卡一级对底层协议也进行管控,实现了深度防御和控制。 3、通过对全网安全策略组合的综合设置、预定和学习,实现了主动防御,对已知和未知的攻击行为起到抑制、干预,阻止其发作的作用。 4、通过运行在服务器上的运营中心,对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理,对网络的运行状况进行审计评估,还负责安全策略的升级和下发等工作。 5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能,构成一个完整的体系,实现了全网设备联动 巡路免疫网络解决方案的功能特色: 1、 对终端身份的严格管理。 终端mac取自网卡,有效防范了MAC克隆和假冒;将真实MAC与真实IP一一对应;再通过免疫驱动对本机数据进行免疫封装;真实MAC、真实IP、免疫标记三者合一,这个技术手段其他方案少有做到。 所以,巡路免疫方案能解决二级路由下的终端管理、IP-MAC完全克隆。 。 。 。 等其他解决不了或解决不彻底的问题。 2、 终端驱动实现的是双向的控制。 他不仅仅抵御外部对本机的威胁,更重要的是抑制从本机发起的攻击。 这和个人防火墙桌面系统的理念显著不同。 在受到ARP欺骗、骷髅头。 。 。 等协议病毒攻击时,能起到主动干预的作用,使其不能发作。 3、 群防群控是明显针对内网的功能。 每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生攻击行为的能力,并告知可能不在同一个广播域内的免疫运行中心和网关,从而由免疫网络对该行为进行相应处理。 4、 提供的2-7层的全面保护,还能够对各层协议过程的监控和策略控制。 深入到2层协议的控制,是巡路免疫网络解决方案的特有功能。 而能够对各层协议过程的监控和策略控制,更是它的独到之处。 现在普遍的解决方案,基本上是路由器负责 3层转发,防火墙、UTM等进行3层以上的管理,唯独缺少对“局域网至关重要的二层管理”,免疫驱动恰恰在这个位置发挥作用。 而上网行为管理这类的软硬件,在应用层进行工作,对2、3层的协议攻击更是无能为力。 5、 对未知的协议攻击,能够有效发挥(告警提示、主动拦截)作用,是真正的主动防御。 6、 免疫接入网关在NAT过程中,采取了专用算法,摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法,使ARP对免疫接入网关的欺骗不起作用。 这叫做ARP先天免疫。 7、 具有完善的全网监控手段,对内网所有终端的病毒攻击、异常行为及时告警,对内外网带宽的流量即时显示、统计和状况评估。 监控中心可以做到远程操作。 “防火墙、入侵检测系统、防病毒等“老三样”组成的安全网络,堵漏洞、做高墙、防外攻,防不胜防。 ” 沈院士这样概括目前信息安全的基本状况。 老三样在目前网络安全应用上已经明显过时了。 深圳地区 内网安全管理热线
为什么电脑有些设置要重启才能生效?
有些软件安装后,要把一些信息写入注册表中,重启的时候windows重新把注册表中的新信息读入。 软件安装的过程一般是:①文件从安装源位置拷贝到目标位置。 ②往系统目录写入一些必要的动态连接库(DLL)。 ③往系统注册表中写入相应的设置项。 ④建立开始菜单里的程序组和桌面快捷方式。 ⑤其他动作。 在第2步中,可以说至少有一半软件在安装时都会做,一些软件,需要用到某个DLL,特别是那些软件作者开发的DLL,或者系统中不常用的DLL,一般都会随软件的安装拷到系统目录。 所谓系统目录,在WIN98下一般是在WINDOWS\SYSTEM这个目录,而WIN2K是在WINNT\SYSTEM32,WINXP是在WINDOWS\SYSTEM32。 还有,一些软件如QQ游戏,中游等,它们也用到一些DLL,由于这些DLL只是这个软件自己用到,别的其他软件不会用到,所以它们并不一定存在于系统目录,而是放在软件安装目录里面,这样的DLL已经在上一步中被拷贝,所以和这一步说的情况不一样。 有些软件重新启动什么也不做,因为“软件安装”的制作工具中有一项就是装完了重新启动,可有些软件不需要重新启动的设置,可软件的作者们在制作软件安装包的时侯,选择了默认的“重新启动”。 所以你在安装完一些小软件后,大可不必重启系统。
发表评论