您的位置: 网界网 > 评测 > 正文

安全产品测试能为用户带来什么?

2014年06月11日 10:04:37 | 作者:cnw郑楠 | 来源:cnw.com.cn

摘要:汽车在真实复杂环境下的试驾能够反映其极限性能高低;金属件的拉伸强度是经过无数次这样的拉伸测试得到的;先进的诊断技术能帮助我们在疾病先兆阶段就及时探测并治愈;我们还希望房产商有办法对所建房屋模拟测试其面对自然灾害的极...

标签
测试
ISP
防火墙

汽车在真实复杂环境下的试驾能够反映其极限性能高低;

金属件的拉伸强度是经过无数次这样的拉伸测试得到的;

先进的诊断技术能帮助我们在疾病先兆阶段就及时探测并治愈;

我们还希望房产商有办法对所建房屋模拟测试其面对自然灾害的极限状态,从而确保房屋抗击风暴、地震的能力。

这就是测试的意义。

尤其对于保障用户数据、信息和网络安全的防火墙来说更是如此。虽然随着信息化程度的不断加深,信息安全也越来越重要,而且安全甚至上升到了国家战略层面,但是不可否认的是,大多数企业在网络安全方面的投资在整体IT投资中比例还是很小,对于很多企业来说几乎可以用捉襟见肘来形容。

这个时候就要求用户能够买到物有所值,甚至物超所值的安全设备。如何才能做到这一点呢?当然仅靠看产品参数和听厂商说是不够的,而且远远不够,更何况有很多厂商并不会公开他们的产品参数,这样一来何以保证产品的表现力能够与参数标称接近或一样呢?大家都知道,产品参数都是在极佳情况下测得的数据,而实际使用中,什么样的情况都可能发生,突发请求,UDP畸形包,大并发P2P下载等等,而产品各项参数基本都是在单项测试中达到的峰值得来的。这也就是为何近年来实际场景测试越来越流行的原因,因为只有这样才能尽可能贴近实际使用场景,通过严格测试,来挑选即将采购的设备。

观察几年前的测试方案可以看出,基本都是不同长度的固定包长测试,比如64字节的吞吐量,512字节的吞吐量,1518字节的吞吐量等等。后来发现,这样的测试只是针对产品自身的,并不能验证产品在实际场景中能表现力,因为实际场景中不可能存在固定包长的流量,一定是不同大小的数据包混杂的,因此混合流量测试的概念兴起了。但是业界却没有一个标准,来指明混合流量中不同大小数据包的比例该如何配比,如果小包过多,明显会有利于使用ASIC等专用芯片的产品,如果大包过多,可能又会有厂商出来指责别的问题,比如不能突出该产品的优势等等。这样争执不断,就很难将测试进行下去了。

好在测试仪表的能够模拟多种环境的流量,这些模拟出来的流量都是从运营商,企业,数据中心,高校等常用场景中通过抓包观察协议组成,生成模板,再通过测试仪将流量打出,从而在实验室环境下做到尽量贴近真实使用场景。

如果用户在购买之前不进行测试,就无法确认该设备是否能够在实际使用过程中提供良好的性能,稳定性,安全性等等。

防火墙设备最主要的几个参数,吞吐量,新建连接速率,并发连接数。在测试中,这三项参数也是被重点测试的。在实际场景中,不可能在没有基础流量的情况下产生新建连接请求。用户在选择防火墙设备的时候,应该注意考虑在已有背景流的情况下,该设备还能达到多少新建连接。

试想一下,您运营着一个数据中心,而里面又承载着若干电商,电商这种场景就是会突发很多新生请求,尤其是在搞活动促销的时候,比如整点秒杀活动。而当众多客户同时发起抢单的新建请求,一定是建立在已有流量之上的。因此,在测试过程中,最好先打一定流量的背景流(+本站微信networkworldweixin),比如50%背景流就是对于一台100G吞吐量的设备就是50Gbps流量,在此基础上,尝试发起新建连接,最终我们可以观察在最终的流量下,被测设备还能够承受多少的新建连接速率。

对于很多ISP,比如运营商,二级运营商来说,最大的特点就是并发大,而且P2P下载很多。因此,在满并发的情况下的吞吐量也是值得参考的数值。另外,由于硬件架构的原因,有些设备在新建之后的流量由专业芯片处理,而有些设备全是由CPU进行处理,这样就导致一个问题,那就是在满并发的情况下全CPU平台的设备资源占用率会很高,如果突发新建连接,将很难承受,如果是分布式架构,由于流量交由非CPU的芯片处理,CPU还有很多的资源来处理突发新建连接,这样无疑会提供更高的稳定性。

好钢要用在刀刃上,企业的IT投资也要让每一分钱都花的有价值。通过测试,能够帮助用户了解厂商的产品实际表现力,以及在极限情况下的稳定性,从多个维度对产品进行考验,从而确保买到的产品确实能够为企业提供有效的帮助,而不是在关键时刻成为业务的短板。

[责任编辑:郑楠 zheng_nan@cnw.com.cn]

我也说几句

热点排行