安全產品測試能為用戶帶來什么?
責編:admin |2014-06-24 19:41:13汽車在真實復雜環境下的試駕能夠反映其極限性能高低;
金屬件的拉伸強度是經過無數次這樣的拉伸測試得到的;
先進的診斷技術能幫助我們在疾病先兆階段就及時探測并治愈;
我們還希望房產商有辦法對所建房屋模擬測試其面對自然災害的極限狀態,從而確保房屋抗擊風暴、地震的能力。
這就是測試的意義。
尤其對于保障用戶數據、信息和網絡安全的防火墻來說更是如此。雖然隨著信息化程度的不斷加深,信息安全也越來越重要,而且安全甚至上升到了國家戰略層面,但是不可否認的是,大多數企業在網絡安全方面的投資在整體IT投資中比例還是很小,對于很多企業來說幾乎可以用捉襟見肘來形容。
這個時候就要求用戶能夠買到物有所值,甚至物超所值的安全設備。如何才能做到這一點呢?當然僅靠看產品參數和聽廠商說是不夠的,而且遠遠不夠,更何況有很多廠商并不會公開他們的產品參數,這樣一來何以保證產品的表現力能夠與參數標稱接近或一樣呢?大家都知道,產品參數都是在極佳情況下測得的數據,而實際使用中,什么樣的情況都可能發生,突發請求,UDP畸形包,大并發P2P下載等等,而產品各項參數基本都是在單項測試中達到的峰值得來的。這也就是為何近年來實際場景測試越來越流行的原因,因為只有這樣才能盡可能貼近實際使用場景,通過嚴格測試,來挑選即將采購的設備。
觀察幾年前的測試方案可以看出,基本都是不同長度的固定包長測試,比如64字節的吞吐量,512字節的吞吐量,1518字節的吞吐量等等。后來發現,這樣的測試只是針對產品自身的,并不能驗證產品在實際場景中能表現力,因為實際場景中不可能存在固定包長的流量,一定是不同大小的數據包混雜的,因此混合流量測試的概念興起了。但是業界卻沒有一個標準,來指明混合流量中不同大小數據包的比例該如何配比,如果小包過多,明顯會有利于使用ASIC等專用芯片的產品,如果大包過多,可能又會有廠商出來指責別的問題,比如不能突出該產品的優勢等等。這樣爭執不斷,就很難將測試進行下去了。
好在測試儀表的能夠模擬多種環境的流量,這些模擬出來的流量都是從運營商,企業,數據中心,高校等常用場景中通過抓包觀察協議組成,生成模板,再通過測試儀將流量打出,從而在實驗室環境下做到盡量貼近真實使用場景。
如果用戶在購買之前不進行測試,就無法確認該設備是否能夠在實際使用過程中提供良好的性能,穩定性,安全性等等。
防火墻設備最主要的幾個參數,吞吐量,新建連接速率,并發連接數。在測試中,這三項參數也是被重點測試的。在實際場景中,不可能在沒有基礎流量的情況下產生新建連接請求。用戶在選擇防火墻設備的時候,應該注意考慮在已有背景流的情況下,該設備還能達到多少新建連接。
試想一下,您運營著一個數據中心,而里面又承載著若干電商,電商這種場景就是會突發很多新生請求,尤其是在搞活動促銷的時候,比如整點秒殺活動。而當眾多客戶同時發起搶單的新建請求,一定是建立在已有流量之上的。因此,在測試過程中,最好先打一定流量的背景流,比如50%背景流就是對于一臺100G吞吐量的設備就是50Gbps流量,在此基礎上,嘗試發起新建連接,最終我們可以觀察在最終的流量下,被測設備還能夠承受多少的新建連接速率。
對于很多ISP,比如運營商,二級運營商來說,最大的特點就是并發大,而且P2P下載很多。因此,在滿并發的情況下的吞吐量也是值得參考的數值。另外,由于硬件架構的原因,有些設備在新建之后的流量由專業芯片處理,而有些設備全是由CPU進行處理,這樣就導致一個問題,那就是在滿并發的情況下全CPU平臺的設備資源占用率會很高,如果突發新建連接,將很難承受,如果是分布式架構,由于流量交由非CPU的芯片處理,CPU還有很多的資源來處理突發新建連接,這樣無疑會提供更高的穩定性。
好鋼要用在刀刃上,企業的IT投資也要讓每一分錢都花的有價值。通過測試,能夠幫助用戶了解廠商的產品實際表現力,以及在極限情況下的穩定性,從多個維度對產品進行考驗,從而確保買到的產品確實能夠為企業提供有效的幫助,而不是在關鍵時刻成為業務的短板。