你可能买了个假防火墙！

“千兆防火墙实际上是百兆都跑不到，退货还要邮费！”最近，深圳的王先生遭遇了一次“坑爹”的购物，他花了3万元买了一台号称企业级的千兆防火墙，结果刚连上网络，不到一分钟整个公司都断网了。

随着互联网应用的普及和飞速发展，网络安全已成为人们最关注的问题，防火墙作为有效预防网络攻击的主要屏障，也已经成为网络安全建设的必选设备。然而，目前市面上的防火墙设备品牌繁多，让人眼花缭乱。

如何保证你买到的防火墙的真实性能呢？

讲到这里有人会说，很简单的，测一下就OK啦！但是当你百度专业测试防火墙性能的设备就会发现，这件事远比想象中复杂，动辄几十万的测试设备，让人望而却步。下面我们就来教大家一个免费的测试方法，动动手指就能测出来你买到的防火墙真实的网络性能。

12

防忽悠新技能GET

 Panabit系统中自带测试设备网络性能的工具，换句话说Panabit可以作为一台网络测试仪来使用。把Panabit与需要测试的网络设备相连接，简单有效诊断硬件设备性能，下面就给大家说明具体操作方法。

1） 下载安装Panabit(下载地址请见文末),升级专业版后重启，无需授权即可测试，相当于万兆RFC2544测试仪不要钱了。只需一根网线连接任意两个接口，将Panabit的两个接口设置为网桥模式，即可完成自环测试测试环境的性能。Panabit商业版用户，可直接可以使用在网设备测试性能参数，无需下载安装；

2） 把防火墙设置为桥接模式，链接在Panabit两个接口之间，拓扑图如下：

3）利用后台命令“floweye if sendpkt ”，可测试不同数据包大小的性能。

按照FRC2544测试规范（https://tools.ietf.org/html/rfc2544），千兆端口的包转发率理论值是1.488Mpps。简单理解，1.488Mpps是在1000M的带宽中，用网络中最小的64字节数据包跑出的包速率。所以说想要测试防火墙的真实极限性能，只需按照如上操作，测试64字节数据包的输入输出速率，在后台输入命令“floweye if sendpkt igb4 300 64”“floweye if sendpkt igb5 300 64”即可。

图1 Panabit自环测试

图2测试其他商业防火墙的性能

图1为Panabit自环测试环境结果，流入流出两个方向包速率均为1489810pps，即确认检测环境为64字节千兆环境。图2为链接上某品牌防火墙之后的测试结果，流入流出两个方向包速率才刚刚达到512168pps，远低于千兆线速的理论值。由此可得出结论，该品牌防火墙性能达不到千兆线速，也就是说你买的号称千兆线速防火墙性能是假的！

后记

网络设备实际工作性能通常和网络实际的平均包长有很大的关系，比如混合包长测试会用300字节。但是RFC2544测试用例也忽略了很多复杂的安全检测代码路径，比如HTTP安全检测等，因此想要网络设备流畅工作，还是要参考64字节小包的转发性能，这是一个基本能力。特别是安全设备，经常会面临DDoS等压力攻击，如果不具备基本的转发性能，可能还未来得及保护客户网络，自己就先挂死。如果需要更专业的完整测试数据，可以向厂家索要完整的RFC2544测试报告。

Panabit标准版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13239&fromuid=196435

Panabit

Panabit专业版下载链接http://forum.panabit.com/forum.php?mod=viewthread&tid=13279&fromuid=196435