如何测试防火墙(2)

　　5. 攻击手段的混合。比如在防DoS攻击情况下防火墙过滤HTTP蠕虫的成功率有多大。

　　就性能而言，我想特别强调两点：不能脱离安全去谈性能，不能以偏盖全。

　　仅添加了"permit any to any"情况下测试防火墙的性能，对于防火墙使用者来说很难将数据表现和实际环境联系起来。从另外的角度来看，有些防火墙厂商以自己的产品达到64字节线速吞吐就宣称是高性能，可是这个数据只的是64字节情况下的UDP吞吐量。这个数据对于用户来说也是茫然的，毕竟在实际环境中，没有纯粹的UDP流量，TCP流对于防火墙来说反而意味着要做更多的工作。因此，性能的评价应该多角度！而且尽可能的逼近用户的实际环境。比如，不同包长的混合、TCP和UDP的混合、时延敏感型应用如H.323与公文或网页传输的混合、是否添加攻击等等。

　　进两年，目前的防火墙较之传统的状态检测防火墙至少发生了两个比较大的变化。一个是向应用层防护大规模进军，另一个是VPN功能逐渐成为基本组件。因此，针对VPN的测试也很有必要。不光是建立VPN隧道的性能，还有VPN网关及客户端的兼容性以及一些VPN相关的功能，比如VPN内部的流量管理。

　　对于防火墙的其他功能，比较显著的是日志、认证方式以及对虚拟防火墙的支持等。另外，组网模式的改变也值得关注，比如，在针对DMZ区服务器进行的双出口链路负载均衡中，各个防火墙支持的力度也有很大差异。在防火墙与IDS联动这个问题上，我们发现，基本上防火墙都支持和某些IDS联动，但据我们了解，很少有用户关心这个问题并实际部署，IDS与防火墙联动的确存在一些令用户担心的问题。