今天晚上准备做.一个防火墙的压力测试域名
首先声明本人水平和条件有限,测试.的方法和结果不一定准确,希望大家可以理解。另外测试仅仅是学习研究,没有其他任.何意思。.
主要测试fr.ee.bsd上的pf防火墙和linux上的iptables防火墙(广告)
学校里主要使用这两种防火墙 但性能我一直不.是很清.楚 都是“够用”。 鲜花
查了..很多资料 也没有找见具体的对比数据 性能各执一词。.
晚上准备做个测试对比
我已经准备好了3台机器 1台hp-dl-360g4 1台hp-dl-380g4. 还有一台浪潮的nf280g2 还有个c.isco3560g打个下手。<性病>
主要测试.3项性能 1 数据转发能力 2是nat速度 3在多规则下的.包检测速度。学习
测试软件主要用NetIQ.Chariot 电脑
防火墙的规则仅限源地址 目的地制 端口号 协议 这..4类组合而成。(因防火墙实现有差别 其他功能暂不考虑测试).
如果有可能传输包讲分.为1500字节和64字节分别.测试 乙肝
另外 .首先会用两台服务器直连测试 结果作为参照对比.。服务器
顺利的话测试会在今晚1.2点进行 (白天有.台服务器还不能停).
9:20
刚刚才把防火墙.的规则整理好 大约有5万条 我设计的思路是数据包进来后经过5万.次对比然后转发出去 看看效果如何教育
因为比较多手写不现实,刚才用c生成了规则 我.不大会编程 耽误了些时间..
详细的硬件配置我随后会.发上来的 .晚上估计会比较晚 我先去吃点肉.
0:20
已经开始测试了。
freebsd用的是7.0
freebsd好象有点顶不.住啊,速.度只有300-400m左右 我在看看 杀毒
3:10
正在编译内核 以便测试pf防火.墙 电子
转发性能好象不是.很顶的住 平均540m左右 .
捎后放出详细数据
4:50
我靠 死机了 看来40k条规则有点多了 ..
5:40
天快亮了 折腾了一晚上了
明天整理一下材料 给大家发上来 好困 啊. 乙肝
还有.linux还没有开始测试呢 汽车
天亮后网络就.要恢复正常了 时间不多了 婚庆
9:40
还剩最后一个linux平台没有测试了 ,刚才把.wi.n2003测试了一下。 投资
晚上会把详细资料给大家发出来
12:20
所有测试已经结束
我也一天一夜没有睡觉了 学校网络也必须要.恢复.了。--后记.
##########################.#############################.########### 汽车
. . 3月17日整理后域名
######.######################################.################### 杀毒
前言
对网络感兴趣,工作是负责校园.网络。域名
学校里主要.使用iptables和pf这两种防火墙 但.性能我一直不是很清楚 都是“够用”。查了很多资料 也没有找见具体的对比数据 女人
网络上对pf(ipf /ipfw),ipt.ebles等防火墙性能之间的争论很多很多,但具体的测试数据很少,性能各执一词。,也许防火墙或安全方面的测试公司有但也许没公开,我以前也在..网上找相关的测试数据,但是很遗憾,我几乎找不到什么资料,或者说资料比较老还都是100m或着10m网络的测试数据而且比较简单,没有太.多的参考价值。论坛上很多人都在争论到底iptables 性能强还是pf强还是ipfw强,又或者是cisco的pix强点? 但是都是.很主观的说法 ,比如说iptables能带多少机器 有的说能带100 有的说能能带500等等,但我认为网络带宽不一样 ,网.络结构不同,系统配置高低不同,实际应用又多种多样,这些数据几乎没有什么可比性。.投资
因为工.作.需要,也正好有这个条件,上个周末.用了几乎一天一夜对pf,iptebles等防火墙性能以及freebsd和linux和windows这三种系统的网络性能做了32项对比测试。.
Windo.ws真的是垃圾么?高负载下pf真的会当掉么? 我们一.起来见证。.
测试环境和测试项目
主要测试项目有
1. windows.2003sp2 linux(redhat as4 32为) freebsd7(amd64) 三种系统作为路由时的数据转发能力。.
2 windows2003sp2 linux(redhat as4 32位) fre.ebsd7(amd64) 三.种系统做nat时的数据转发能力。电脑
3 linux+iptables 和freebsd+.pf . 的数据包过滤效率。.
4 另有两台服务器直接通过交换机相连,测出数据传.输速度已作为参考比.较。 健康
相关网络环境介绍
测试相关说明:
HP-360G4,作为今天测试的主服务器,配备1g内存 xeo.n3.0G的处理器B.roadcom千兆网卡。 乙肝
应该算是主流的.配置。交换机.用的是cisco3560g千爪交换机。整个测试环境是纯千兆的。 建材
为了公平期间,win2003和freebsd.和linux(redhat-as4)都是默认最小化安装 ,也都.是为了这次测试全新安装的,没有进行任何的参数修改,fre.ebsd编译过内核,但仅仅是为了启用pf防火墙,没有对网络参数做任何修改。Win.2003启用的是自带的路由和nat功能。(广告)
作为包过滤防火墙性能的测试 我一共准备了 .4千条 和4万条规则 两套方.案。[成人用品]
防火墙默认是放行 ,所有规则都是匹配不到的拒绝规则,就是为.了让数据包经历所有的对规则再放行。防.火墙规则由协议 端口 ip地址 这三种最常见条件分别单独列出。其他.特色功能因防火墙各异略有不同,不是测试重点,这次没有测试。(广告)
目.的是为了体现多规则下的过滤效率和负载能力。 杀毒
附录:
Iptables规则 (分2种 一种约4.千条, 一个约4万条只有数量差别没有本质.差别)教育
#!/bin/sh
#########.#####.###############电影
echo "1">./proc/sys/net/ipv4/ip_forward.电脑
#######################.#####.#学习
$IPT -F
$IPT -t nat -F
$IPT -t m.angle -F.
$IPT -X
$IPT -t nat -X
$IPT -t .mangle -X电脑
$IPT -P INPUT. ACCEPT.
$IPT -P F.ORWARD ACCEPT服务器
$.IPT -P OUTPUT ACCEPT( 游戏 )
###.###################.########教育
IPT="/sbin/iptable.s"教育
#for LOCAL
$IPT. -A INPUT -i lo -j AC.CEPT--- 印刷
$IPT -A. OUTPUT -o lo -j A.CCEPT投资
###############.############.###投资
iptables -A FORWARD -p tcp -s any/0 --spo.rt 1 -j DR.OP<性病>
iptables -A .FORWARD -p tcp .-s any/0 --sport 2 -j DROP服务器
iptables -A FO.RWARD -p tcp -s a.ny/0 --sport 3 -j DROP教育
........................................
iptables -A FORWARD -p udp -s any/0 --sport.. 1 -j DROP 婚庆
iptables -A FORWA.RD -p udp -s. any/0 --sport 2 -j DROP 乙肝
iptables -A FORWARD -p. udp -s any/0 --spo.rt 3 -j DROP 外汇
......................................域名
iptables -A .FORWAR.D -s 172.16.0.1 -j DROP电脑
iptables -A FORWARD -s 172.16.0...2 -j DROP 婚庆
iptab.les -A FORWARD. -s 172.16.0.3 -j DROP.
....................................投资
i.ptables -.A FORWARD -d 172.16.246.39 -j DROP外贸
iptables -A FORWARD -d 17.2.16.24.6.40 -j DROP.
iptables -A FORWARD -d ..172.16.246.41 -j DROP 建材
iptables -A FORWARD -d 172.1.6.246.4.2 -j DROP健康
i.ptables -A FORWARD .-d 172.16.246.43 -j DROP 女人
i.ptables -A FORWARD -d 172.16.246.4.4 -j DROP 健康
............................学习
PF..防火墙规则 (和iptables规则一样的,也分4k和40k两套方案) 乙肝
block inet proto tcp from any t.o an.y port 1 .
blo.ck inet proto t.cp from any to any port 2 乙肝
block inet proto tcp from a.ny to any. port 3 .
bloc.k inet proto tcp from a.ny to any port 4
。。。。。。。。。。。.。。。。.
block inet proto udp from a..ny to any port 1 [成人用品]
block inet. proto udp. from any to any port 2 .
block inet prot.o udp from any t.o any port 3 --------------彩票
block inet p.roto udp from any to. any port 4虚拟主机
。。。。。。.。。。。。。。。。。。.
block fro.m 172.1.6.0.1 to any 外汇
block fro.m 172..16.0.2 to any电影
block fro.m 172..16.0.3 to any--- 印刷
block fr.om 172.16.0.4 to an.y电影
。。。。。。。。。。。。
b.lock from any to 172.1.6.246.42 健康
block from any .to. 172.16.246.43 电子
b.lock from any to . 172.16.246.44 .
block. from any to 172.16.246..45 外汇
。。。。。。。。。.。。。。。。。。。。(广告)
。。.。。。。。。。。。。。。。。。。。。 杀毒
#############.######.#########################################.###################--------------彩票
附录 生成防火墙规则的c .代码 (方.便懒人使用,改改就可以了)[成人用品]
###########.#################.########<性病>
## 参数c没有用上.,主要因为生成的规.则已经够多了 没必要在加其他条件了服务器
#inclu.de<stdio.h> 鲜花
main()
{
FILE *fp;
int a=0;
int b=0;
int c=0;
f.p=fopen("c:\\temp.tx.t","w"); 杀毒
loop: for(a.=1;a<252;a++)
fprintf(fp,."iptables -A FORWARD -s 172.16.%d.%d. -j DROP\n" ,b,a);.
if(c<1)
{
if(b==250)
{c=c+1;b=1;a.=1;. goto loop; }.
if(b<251)
{
if ( a>250 )
{. b=b+3; goto loop;}电影
}
}
fclose(fp);
}
###############.#######################.# 外汇
测试软件介绍
IxChariot是目.前唯一成为工业界标准的 I.P网络与网络设备应用层测试系统。 虚拟主机
IxChariot 测试原理是通过主动式定量的测试方式,产生真实的流量.,测试网络设备或网.络系统在真实应用下端到端的性能。同时,IxChariot采用分布式的结构,可以对任何规模或形式的.网络进行性能测试,.
具体应.用很多可以写本书了,我就不一一说明了.
数据在汇总中.,比较多估计晚上会放.出来 会和你想象的一样吗?呵呵.
具体结果看图
[ 本帖最后由 h.qpp .于 2008-3-20 15:27 编辑 ] 外汇
结构图.jpg (5.3.42 KB) 杀毒
下载次数:11
2.008-03-17 15:27 建材
http://upload.bbs.csuboy.com/Mon_1004/126_6785_e2b5a605c20cb73.jpg[/img]域名
1.11.JPG (65.16 KB) .
下载次数:7
2008-0.3-17 15:27 健康
参加测试的服务器
http://upload.bbs.csuboy.com/Mon_1004/126_6785_0e1800a26d488fd.jpg[/img] 美容
查看EXIF信息
相机品牌:HTC相机型号:Ox.ygen曝光时间:.
快门光圈:最大光圈值.:F闪光灯:关闭.
曝光模.式:自动曝光程序:测光模式: .
白平衡.:自动曝光补偿:EV感光度ISO:<性病>
焦距:m.m35mm等效焦距:mm 拍摄时间:2008:03:17 13.:07:03 杀毒
2222.JPG (78.27 KB) ..
下载次数:6
2008-03-17. 15:27域名
参加测试的交换机
http://upload.bbs.csuboy.com/Mon_1004/126_6785_a83e13b9b85fc6d.jpg[/img]--- 印刷
查看EXIF信息
相机品牌:HTC.相机型号:Oxygen曝光时间: 美容
快门光圈:最大光圈值:F闪光灯:关.闭 乙肝
曝光模式:自动曝光程序:测光模式.: .
白平衡:自动.曝光补偿:EV感光度ISO: 健康
焦距:mm.35mm等效焦距.:mm 拍摄时间:2008:03:17 13:07:28 电子
3333.JPG (44..95 KB) .
下载次数:10
2008-03-17 15:.27.
控制台
http://upload.bbs.csuboy.com/Mon_1004/126_6785_a9ec39227254e61.jpg[/img]电脑
查看EXIF信息
相机.品牌:HTC相机型号:Oxygen曝光时间: 婚庆
快门光圈:.最大光圈值:F闪光灯:关闭 电子
曝光模式:自动曝光程序:测光模式:. --- 印刷
白.平衡:自动曝光补偿:EV感光度ISO: 杀毒
焦距:mm35mm等效焦距:mm 拍摄时间:2.007:10:30 20:0.8:59.
4444..JPG (21.48 KB) .
下载次数:7
2008-03-17 15:.27.
它提供的硬盘 呵呵 别的机.器都惹不起,只好找个软.柿子捏教育
http://upload.bbs.csuboy.com/Mon_1004/126_6785_6e4b9be80d3729e.jpg[/img]域名
查看EXIF信息
相机品牌:HTC相机型号:.Oxygen曝光时间:( 游戏 )
快门光圈:最大光圈值:F闪光灯:关.闭域名
曝光模式:自动曝光程序:测光模式:. 外贸
白平衡:自动.曝光补偿:EV感光度ISO:.
焦距:mm35.mm等效焦距.:mm 拍摄时间:2008:03:17 13:08:01<性病>
