我們?nèi)绾卧u測

客觀地說，對于UTM這種新興的網(wǎng)絡(luò)安全產(chǎn)品，目前業(yè)界還缺乏足夠規(guī)范的測試與評價標(biāo)準(zhǔn)。同時，由于各個廠家對UTM概念理解的不同，也造成了UTM功能方面的差異。這些都給我們本次
測試標(biāo)準(zhǔn)的制定增加了一定的難度。因此，我們在制定測試標(biāo)準(zhǔn)時，參考了目前UTM常用的功能，以及基于這些功能的性能評價標(biāo)準(zhǔn)，并廣泛聽取了所有參測廠家的意見。

在本次測試中，我們從用戶實際應(yīng)用角度出發(fā)，考察百兆級UTM產(chǎn)品在一個人數(shù)規(guī)模在100～500人之間的中小型企業(yè)的綜合防護(hù)能力?？紤]到眾多UTM產(chǎn)品的整合方式以及技術(shù)特色方面的差異，我們將本次測試分為性能測試、功能測試和易用性測試等三個方面。

需要說明的是，由于各家廠商對UTM產(chǎn)品線的劃分不同，所以我們也無法對其送測產(chǎn)品的型號進(jìn)行硬性規(guī)定。但是，可以肯定的是那些性能高、功能全的UTM產(chǎn)品往往意味著不菲的價格，讀者在看我們測試結(jié)果的時候，切記不要片面追求某項測試指標(biāo)的高低，應(yīng)該全面考慮各種因素。

性能測試

雖說UTM產(chǎn)品的功能差異化明顯，但是最基本的防火墻、VPN、防病毒和入侵控測功能還是必不可少的，也是最為常用的。因此，本次性能測試主要針對這4個模塊進(jìn)行。

在本項測試中，我們采用業(yè)界普遍認(rèn)可的思博倫通信公司的Avalanche 2500和Reflector 2500專業(yè)測試儀器，以及Avalanche 7.50配套性能測試軟件?？疾霼TM產(chǎn)品旨在開啟防火墻模塊、NAT工作模式狀態(tài)下的新建連接速率、最大并發(fā)連接數(shù)以及應(yīng)用吞吐量。另外，我們還考察了UTM產(chǎn)品在開啟防火墻、IPS、防病毒、VPN等模塊狀態(tài)下的應(yīng)用吞吐量。

新建連接速率是測試一個網(wǎng)絡(luò)設(shè)備所能承受最大新建速率的基本指標(biāo)。新建連接速率說明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上每秒能夠成功處理的最大連接數(shù)，其測試結(jié)果的單位是連接/秒。

測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以不同速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請求，并下載64字節(jié)的頁面做有效性驗證。通過二分法找到，UTM處理性能的極限情況，我們?nèi)O限情況下負(fù)載穩(wěn)定期內(nèi)的60秒平均值作為新建連接速率的測試結(jié)果。

最大并發(fā)連接數(shù)是測試一個網(wǎng)絡(luò)設(shè)備所允許的最大并發(fā)連接容量的基本指標(biāo)。最大并發(fā)連接說明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上所能處理的最大連接數(shù)。這個指標(biāo)除了和新建連接速率有關(guān)外，還和UTM本身的內(nèi)存容量、連接數(shù)據(jù)存儲結(jié)構(gòu)有關(guān)。

測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請求，并于Reflector端設(shè)置每個連接的等待時間，以維持那些新建的連接，直到UTM產(chǎn)品達(dá)到并發(fā)處理的最大上限。

應(yīng)用吞吐量是衡量網(wǎng)絡(luò)設(shè)備對應(yīng)用層數(shù)據(jù)處理能力的基本指標(biāo)。測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以一定的速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請求，并下載1MB大小的數(shù)據(jù)，我們?nèi)∝?fù)載穩(wěn)定期內(nèi)，Reflector服務(wù)器發(fā)送數(shù)據(jù)的60秒平均值作為測試結(jié)果。

為了考察UTM綜合處理效率，我們還同時開啟防火墻、VPN、防病毒以及入侵檢測等模塊進(jìn)行應(yīng)用吞吐量測試。測試時，我們以Avalanche 2500模擬IPSec VPN網(wǎng)關(guān)與被測UTM產(chǎn)品進(jìn)行IPSec VPN對聯(lián)，對于無法完成IPSec協(xié)商的產(chǎn)品，我們允許采用同等型號的設(shè)備進(jìn)行IPSec VPN對連。

在隧道建立后，我們要求UTM開啟防病毒和入侵檢測，對其內(nèi)部傳輸?shù)臄?shù)據(jù)進(jìn)行分析，測試過程與應(yīng)用吞吐量類似，性能測試結(jié)果見表2。