论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-03-15 17:12 |只看该作者 |倒序浏览

今天晚上准备做一个防火墙的压力测试
首先声明本人水平和条件有限，测试的方法和结果不一定准确，希望大家可以理解。另外测试仅仅是学习研究，没有其他任何意思。

主要测试freebsd上的pf防火墙和linux上的iptables防火墙
学校里主要使用这两种防火墙但性能我一直不是很清楚都是“够用”。
查了很多资料也没有找见具体的对比数据性能各执一词。
晚上准备做个测试对比
我已经准备好了3台机器 1台hp-dl-360g4 1台hp-dl-380g4 还有一台浪潮的nf280g2 还有个cisco3560g打个下手。
主要测试3项性能 1 数据转发能力  2是nat速度  3在多规则下的包检测速度。
测试软件主要用NetIQChariot
防火墙的规则仅限源地址目的地制端口号协议这4类组合而成。（因防火墙实现有差别其他功能暂不考虑测试）
如果有可能传输包讲分为1500字节和64字节分别测试
另外首先会用两台服务器直连测试结果作为参照对比。
顺利的话测试会在今晚12点进行（白天有台服务器还不能停）

9：20
刚刚才把防火墙的规则整理好大约有5万条我设计的思路是数据包进来后经过5万次对比然后转发出去看看效果如何
因为比较多手写不现实，刚才用c生成了规则我不大会编程耽误了些时间

详细的硬件配置我随后会发上来的  晚上估计会比较晚我先去吃点肉

0:20
已经开始测试了。
freebsd用的是7.0
freebsd好象有点顶不住啊，速度只有300-400m左右我在看看

3:10
正在编译内核以便测试pf防火墙
转发性能好象不是很顶的住平均540m左右
捎后放出详细数据

4：50
我靠死机了看来40k条规则有点多了

5：40
天快亮了折腾了一晚上了
明天整理一下材料给大家发上来好困啊
还有linux还没有开始测试呢
天亮后网络就要恢复正常了时间不多了
9:40
还剩最后一个linux平台没有测试了，刚才把win2003测试了一下。
晚上会把详细资料给大家发出来

12：20
所有测试已经结束
我也一天一夜没有睡觉了学校网络也必须要恢复了。--后记

##################################################################

                                                         3月17日整理后

###############################################################

前言

对网络感兴趣，工作是负责校园网络。

学校里主要使用iptables和pf这两种防火墙但性能我一直不是很清楚都是“够用”。查了很多资料也没有找见具体的对比数据

网络上对pf（ipf /ipfw），iptebles等防火墙性能之间的争论很多很多，但具体的测试数据很少，性能各执一词。，也许防火墙或安全方面的测试公司有但也许没公开，我以前也在网上找相关的测试数据，但是很遗憾，我几乎找不到什么资料，或者说资料比较老还都是100m或着10m网络的测试数据而且比较简单，没有太多的参考价值。论坛上很多人都在争论到底iptables 性能强还是pf强还是ipfw强，又或者是cisco的pix强点？但是都是很主观的说法，比如说iptables能带多少机器有的说能带100 有的说能能带500等等，但我认为网络带宽不一样，网络结构不同，系统配置高低不同，实际应用又多种多样，这些数据几乎没有什么可比性。

因为工作需要，也正好有这个条件，上个周末用了几乎一天一夜对pf，iptebles等防火墙性能以及freebsd和linux和windows这三种系统的网络性能做了32项对比测试。
Windows真的是垃圾么？高负载下pf真的会当掉么？我们一起来见证。

测试环境和测试项目
主要测试项目有
1 windows2003sp2 linux(redhat as4 32为)  freebsd7(amd64) 三种系统作为路由时的数据转发能力。
2 windows2003sp2 linux(redhat as4 32位)  freebsd7(amd64) 三种系统做nat时的数据转发能力。
3 linux+iptables 和freebsd+pf 的数据包过滤效率。
4 另有两台服务器直接通过交换机相连，测出数据传输速度已作为参考比较。

相关网络环境介绍
测试相关说明：
HP-360G4，作为今天测试的主服务器，配备1g内存 xeon3.0G的处理器Broadcom千兆网卡。
应该算是主流的配置。交换机用的是cisco3560g千爪交换机。整个测试环境是纯千兆的。

为了公平期间，win2003和freebsd和linux（redhat-as4）都是默认最小化安装，也都是为了这次测试全新安装的，没有进行任何的参数修改，freebsd编译过内核，但仅仅是为了启用pf防火墙，没有对网络参数做任何修改。Win2003启用的是自带的路由和nat功能。

作为包过滤防火墙性能的测试我一共准备了 4千条和4万条规则两套方案。
防火墙默认是放行，所有规则都是匹配不到的拒绝规则，就是为了让数据包经历所有的对规则再放行。防火墙规则由协议端口 ip地址这三种最常见条件分别单独列出。其他特色功能因防火墙各异略有不同，不是测试重点，这次没有测试。
目的是为了体现多规则下的过滤效率和负载能力。

附录：
Iptables规则（分2种一种约4千条，一个约4万条只有数量差别没有本质差别）

#!/bin/sh
#############################

echo "1">/proc/sys/net/ipv4/ip_forward

#############################

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT

##############################
IPT="/sbin/iptables"
#for LOCAL
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
##############################

iptables -A FORWARD -p tcp  -s any/0 --sport 1 -j DROP
iptables -A FORWARD -p tcp  -s any/0 --sport 2 -j DROP
iptables -A FORWARD -p tcp  -s any/0 --sport 3 -j DROP
.....................................
iptables -A FORWARD -p udp  -s any/0 --sport 1 -j DROP
iptables -A FORWARD -p udp  -s any/0 --sport 2 -j DROP
iptables -A FORWARD -p udp  -s any/0 --sport 3 -j DROP
....................................
iptables -A FORWARD  -s 172.16.0.1  -j DROP
iptables -A FORWARD  -s 172.16.0.2  -j DROP
iptables -A FORWARD  -s 172.16.0.3  -j DROP
..................................
iptables -A FORWARD  -d 172.16.246.39  -j DROP
iptables -A FORWARD  -d 172.16.246.40  -j DROP
iptables -A FORWARD  -d 172.16.246.41  -j DROP
iptables -A FORWARD  -d 172.16.246.42  -j DROP
iptables -A FORWARD  -d 172.16.246.43  -j DROP
iptables -A FORWARD  -d 172.16.246.44  -j DROP
..........................

PF防火墙规则（和iptables规则一样的，也分4k和40k两套方案）
block inet proto tcp  from any to any port 1
block inet proto tcp  from any to any port 2
block inet proto tcp  from any to any port 3
block inet proto tcp  from any to any port 4
。。。。。。。。。。。。。。。
block inet proto udp  from any to any port 1
block inet proto udp  from any to any port 2
block inet proto udp  from any to any port 3
block inet proto udp  from any to any port 4
。。。。。。。。。。。。。。。。。
block from  172.16.0.1  to any
block from  172.16.0.2  to any
block from  172.16.0.3  to any
block from  172.16.0.4  to any
。。。。。。。。。。。。
block  from  any to  172.16.246.42
block  from  any to  172.16.246.43
block  from  any to  172.16.246.44
block  from  any to  172.16.246.45
。。。。。。。。。。。。。。。。。。。
。。。。。。。。。。。。。。。。。。。。
###############################################################################

附录生成防火墙规则的c 代码（方便懒人使用，改改就可以了）
####################################
## 参数c没有用上，主要因为生成的规则已经够多了没必要在加其他条件了
#include<stdio.h>
main()
{
FILE *fp;
int a=0;
int b=0;
int c=0;
fp=fopen("c:\\temp.txt","w");
loop: for(a=1;a<252;a++)
fprintf(fp,"iptables -A FORWARD  -s 172.16.%d.%d  -j DROP\n" ,b,a);
if(c<1)
{
if(b==250)
{c=c+1;b=1;a=1; goto loop; }
if(b<251)
{
if ( a>250 )
{ b=b+3; goto loop;}
}
}
fclose(fp);
}

#######################################

测试软件介绍
IxChariot是目前唯一成为工业界标准的 IP网络与网络设备应用层测试系统。
IxChariot 测试原理是通过主动式定量的测试方式，产生真实的流量，测试网络设备或网络系统在真实应用下端到端的性能。同时，IxChariot采用分布式的结构，可以对任何规模或形式的网络进行性能测试，
具体应用很多可以写本书了，我就不一一说明了

数据在汇总中，比较多估计晚上会放出来  会和你想象的一样吗？呵呵

具体结果看图

[ 本帖最后由 hqpp 于 2008-3-20 15:27 编辑 ]

结构图.jpg (53.42 KB, 下载次数: 120)