我們?nèi)绾卧u(píng)測(cè)

客觀地說(shuō)，對(duì)于UTM這種新興的網(wǎng)絡(luò)安全產(chǎn)品，目前業(yè)界還缺乏足夠規(guī)范的測(cè)試與評(píng)價(jià)標(biāo)準(zhǔn)。同時(shí)，由于各個(gè)廠家對(duì)UTM概念理解的不同，也造成了UTM功能方面的差異。這些都給我們本次
測(cè)試標(biāo)準(zhǔn)的制定增加了一定的難度。因此，我們?cè)谥贫y(cè)試標(biāo)準(zhǔn)時(shí)，參考了目前UTM常用的功能，以及基于這些功能的性能評(píng)價(jià)標(biāo)準(zhǔn)，并廣泛聽(tīng)取了所有參測(cè)廠家的意見(jiàn)。

在本次測(cè)試中，我們從用戶實(shí)際應(yīng)用角度出發(fā)，考察百兆級(jí)UTM產(chǎn)品在一個(gè)人數(shù)規(guī)模在100～500人之間的中小型企業(yè)的綜合防護(hù)能力。考慮到眾多UTM產(chǎn)品的整合方式以及技術(shù)特色方面的差異，我們將本次測(cè)試分為性能測(cè)試、功能測(cè)試和易用性測(cè)試等三個(gè)方面。

需要說(shuō)明的是，由于各家廠商對(duì)UTM產(chǎn)品線的劃分不同，所以我們也無(wú)法對(duì)其送測(cè)產(chǎn)品的型號(hào)進(jìn)行硬性規(guī)定。但是，可以肯定的是那些性能高、功能全的UTM產(chǎn)品往往意味著不菲的價(jià)格，讀者在看我們測(cè)試結(jié)果的時(shí)候，切記不要片面追求某項(xiàng)測(cè)試指標(biāo)的高低，應(yīng)該全面考慮各種因素。

性能測(cè)試

雖說(shuō)UTM產(chǎn)品的功能差異化明顯，但是最基本的防火墻、VPN、防病毒和入侵控測(cè)功能還是必不可少的，也是最為常用的。因此，本次性能測(cè)試主要針對(duì)這4個(gè)模塊進(jìn)行。

在本項(xiàng)測(cè)試中，我們采用業(yè)界普遍認(rèn)可的思博倫通信公司的Avalanche 2500和Reflector 2500專業(yè)測(cè)試儀器，以及Avalanche 7.50配套性能測(cè)試軟件。考察UTM產(chǎn)品旨在開(kāi)啟防火墻模塊、NAT工作模式狀態(tài)下的新建連接速率、最大并發(fā)連接數(shù)以及應(yīng)用吞吐量。另外，我們還考察了UTM產(chǎn)品在開(kāi)啟防火墻、IPS、防病毒、VPN等模塊狀態(tài)下的應(yīng)用吞吐量。

新建連接速率是測(cè)試一個(gè)網(wǎng)絡(luò)設(shè)備所能承受最大新建速率的基本指標(biāo)。新建連接速率說(shuō)明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上每秒能夠成功處理的最大連接數(shù)，其測(cè)試結(jié)果的單位是連接/秒。

測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以不同速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并下載64字節(jié)的頁(yè)面做有效性驗(yàn)證。通過(guò)二分法找到，UTM處理性能的極限情況，我們?nèi)O限情況下負(fù)載穩(wěn)定期內(nèi)的60秒平均值作為新建連接速率的測(cè)試結(jié)果。

最大并發(fā)連接數(shù)是測(cè)試一個(gè)網(wǎng)絡(luò)設(shè)備所允許的最大并發(fā)連接容量的基本指標(biāo)。最大并發(fā)連接說(shuō)明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上所能處理的最大連接數(shù)。這個(gè)指標(biāo)除了和新建連接速率有關(guān)外，還和UTM本身的內(nèi)存容量、連接數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)有關(guān)。

測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并于Reflector端設(shè)置每個(gè)連接的等待時(shí)間，以維持那些新建的連接，直到UTM產(chǎn)品達(dá)到并發(fā)處理的最大上限。

應(yīng)用吞吐量是衡量網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)用層數(shù)據(jù)處理能力的基本指標(biāo)。測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以一定的速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并下載1MB大小的數(shù)據(jù)，我們?nèi)∝?fù)載穩(wěn)定期內(nèi)，Reflector服務(wù)器發(fā)送數(shù)據(jù)的60秒平均值作為測(cè)試結(jié)果。

為了考察UTM綜合處理效率，我們還同時(shí)開(kāi)啟防火墻、VPN、防病毒以及入侵檢測(cè)等模塊進(jìn)行應(yīng)用吞吐量測(cè)試。測(cè)試時(shí)，我們以Avalanche 2500模擬IPSec VPN網(wǎng)關(guān)與被測(cè)UTM產(chǎn)品進(jìn)行IPSec VPN對(duì)聯(lián)，對(duì)于無(wú)法完成IPSec協(xié)商的產(chǎn)品，我們?cè)试S采用同等型號(hào)的設(shè)備進(jìn)行IPSec VPN對(duì)連。

在隧道建立后，我們要求UTM開(kāi)啟防病毒和入侵檢測(cè)，對(duì)其內(nèi)部傳輸?shù)臄?shù)據(jù)進(jìn)行分析，測(cè)試過(guò)程與應(yīng)用吞吐量類似，性能測(cè)試結(jié)果見(jiàn)表2。