只是想知道有什么样的压力testing可以让ASA通过。 我问这不是帮助一个问题,而仅仅是为了参考。
我知道我可以使用iperf来发送一堆stream量,但是我想可能会有更多我能做的事情。
对于防火墙设备压力testing吞吐能力和同时连接(甚至在某些情况下甚至是NAT转换表的最大大小)是相当常见的。
然后,防火墙设备可以build立的每单位时间的新连接数量(新连接 速率 )。
这个参数对于防火墙来说意义重大,根据我的经验,没有多less人谈论这个,所以没有多less人去testing它。
事实上,有几次我看到防火墙在DDoS下跪下,远低于防火墙的最大广告吞吐量,但连接速率非常高(最后我记得高于〜100Kconns / sec)。
发生这种情况时,解释并不总是很容易:
“我们的防火墙下降了100Mbps的DDoS意味着什么?是不是应该处理千兆比特的吞吐量呢?我想和销售工程师谈谈,知道该死的!
甚至考虑压力testing的荣誉。 根据我的经验,您必须分解防火墙的组件,并根据您的策略和configuration,针对特定情况devisetesting。 @ jliendo指出了一些好的项目考虑。 每秒的连接数,而不仅仅是吞吐量,是非常重要的,你可以通过下载一个巨大的种子来尝试一个真实的testing。 你的设备也可以安装IPS卡,所以如果有的话,你需要彻底地testing你设置的传感器包检测策略。 你有没有设置防病毒扫描? 你会想testing该策略的吞吐量,看它是否能跟上。 一般来说,压力testing的目标是testing你的策略,而不是硬件的原始能力。 因为这些策略可以显着影响硬件的性能水平。
考虑到上述情况,您可以findiperf等工具集合来帮助您分析特定案例。 Iperf可以帮助您testing风暴控制策略。 海鸥是一个有用的stream量发生器,可以testing你的大部分其他政策。 (请记住testing它是否按预期工作,是否按预期阻止stream量)根据您的环境,您可能还需要testing延迟和较差的networking连接(可能是5505是分支机构防火墙)以帮助您调整你的超时。 Netlimiter的试用版在这方面非常有帮助。
总之,我会重新从你的configuration来看待你的问题。 如果您已经configuration了允许或拒绝特定情况下的stream量,请问自己如何testing是否按预期工作。 一旦您在此级别进行testing,然后尝试testing多个策略(例如通过AV扫描HTTP到VLAN上的辅助子网)。 然后用交通发电机将设备炸死,findstream量中的薄弱环节,并在极端情况下设置服务质量以保护自己。