最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也达到80万。

　　我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接的能力。

　　Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TCP/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和Land-based三种攻击包全部都过滤掉。

　　Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于第三种情况。

　　对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每秒钟通过的ping包数量。

　　千兆防火墙性能结果分析

　　由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结果都明显要高于百兆防火墙。

　　双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518字节帧长的也只有24.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结果表明，NetScreen-5200防火墙达到100万。

　　在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击测试结果为1000个攻击包全都过滤掉。

推荐文章 ·怎么样给企业级防火墙“体检” ·构建Linux系统下U盘路由器、防火 ·安全基础：防火墙功能指标详解 ·没有防火墙是可行的 但是并不理 ·2005年度千兆防火墙公开比较评测 ·没有防火墙的安全:明智还是愚蠢? ·使用防火墙封阻应用攻击的八项技 ·防火墙与路由器的安全性比较 ·防火牆安全管理 ·netfilter: Linux 防火墙在内核 ·再谈防火墙及防火墙的渗透 ·一种新的穿透防火墙的数据传输技