前言：

隨著網絡安全技術的高速發展，網絡管理員今天的問題不再是“我們需不需要防火墻？”，而是“我們需要什么樣的防火墻？”。當然，這個開放性問題的選擇是非常多的，因為每個產品都有其特點和優勢，也伴隨著各式各樣的營銷口號放大自己的特點。在這樣的宣傳暗示下選擇和比較不同的產品對于用戶來說是比較困難的。如何比較多個產品，選擇適合自己地產品？多數情況下，產品的知名度、口碑是一個不錯的判斷。知名度很大成分上是基于廣告宣傳的力度，專業的用戶可能會更加重視技術層面上的比較。市面上很多防火墻產品的架構比較類似，采取開放平臺，也允許我們做比較公正的比較。

LanGate產品是結合了高效嵌入技術及安全平臺的UTM類防火墻產品，在新一代的UTM市場（甚至有人說UTM將是防火墻的替代產品）有著優秀表現。本次對比測試的另外兩個產品是：思科Cisco PIX 515E 以及 Nokia IP330(軟件系統為Checkpoint 4.1 SP5)。Cisco和Nokia/Checkpoint的產品無論在業界還是在用戶群里口碑都很高(當然，價格在同類產品中的也不低)，這樣的比較是我們期待的。

測試參數 Testing Parameters

我們的測試計劃包括三個項目：首先，測試吞吐量(Throughput Under Loads)；其次，測試并發連接應答(Concurrent Connectivity Response)；最后，測試正常操作下的應答(Response Under Normal Operations)。其中最后一個測試是將待測設備放在一個正規的公司工作網絡中進行24小時不間斷工作測試。這樣的測試程序我們驗證過很多次，能最真實的表現出產品的優劣。我們相信這樣的測試能很好地衡量一個產品的性能。

Cisco PIX515E

Cisco PIX515E (即增強版)是思科公司針對中小企業網絡的主打網絡安全產品。硬件方面使用Intel Celeron 433 MHz 處理器，16MB Flash以及32MB RAM。公眾對Cisco PIX515E的評價是響應快捷，對大多數商業系統的保護到位。本次測試的Cisco PIX515E 型號自帶3個以太網接口以及50用戶VPN許可證(本次測試我們沒有安排VPN測試項目)。

Nokia IP330

Nokia IP330 是Cisco PIX515E的強勁對手。Nokia IP330的軟件建立在一個加固的BSD UNIX平臺上，使用Checkpoint的FW-1防火墻軟件，提供了狀態包過濾以及VPN連接。硬件平臺使用Intel Pentium II 450 MHz 處理器以及3個高速以太網接口。雖然提供了VPN功能，但是用戶需要購買許可證來激活此項功能。

LanGate 80

LanGate 80使用的硬件平臺與Cisco基本相同，使用4個高速以太網接，可提供2個外線接入，在雙線路接入和帶寬管理方面有獨到的特點（遺憾的是，為公平起見，本次測試沒有對這項功能進行對比）。LanGate 80提供50條VPN隧道，不需要額外收費。

在測試中，我們為每個待測產品都設置了同樣的安全策略。為了使測試更具公平性，我們未開啟Cisco PIX515E 與 LanGate 80的VPN功能。因為Nokia IP330在未購買VPN許可證前VPN功能默認不開啟。

測試結果

第一個測試項目是吞吐量 (Throughput Under Loads)。我們在服務器與PC機群之間架設了測試產品，在一個小時內持續發動4096比特(即512字節)的TCP包進行測試。完成了一輪待測產品的測試后，我們接著反復進行了5輪測試并統計出每個產品的平均吞吐量。我們發現，Cisco PIX515E 與LanGate 80 的吞吐量很穩定，Nokia IP330的吞吐量顯然不那么穩定。

在第一至第三輪的測試中，Nokia IP330吞吐量在4,810,000bit/sec至5,000,000bit/sec范圍內；然而在后兩輪測試中，吞吐量下降至4,000,000bit/sec。Cisco PIX515E 與 LanGate 80的表現在五輪測試中很穩定。Cisco PIX515E五輪測試中均穩定在5,000,000bit/sec上，幾乎沒有變化，非常穩定。LanGate 80 雖然比Cisco PIX515E 及 Nokia IP330的平均吞吐量都低，但是穩定性很高，基本穩定在4,000,000bit/sec。LanGate 80針對SMB市場，這樣的吞吐量對于絕大多數中小型網絡顯然是足夠了。

第二項測試是比較待測產品在大負載下的工作能力，也就是在并發連接時的性能表現。

我們測試兩組數據，1,000個并發連接以及5,000個并發連接。在每組測試里，我們衡量五個參數，并發連接處理量(Transactions Processed)、未成功連接數(Unsuccessful Transactions)、平均成功連接數(Average Number of Connections)、最大成功連接數(Maximum Number of Connections)以及連接建立后傳輸過程的TCP錯誤。測試結果如表格2和表格3所示。

對于5,000并發連接數測試，Cisco PIX515E 和LanGate 80測試中上都沒有不成功的連接；Nokia IP330 在測試過程中出現一次宕機并需要重啟。重啟后Nokia在接近5,000并發連接數時表現不佳，約有1%的連接不成功。連續測試多次，情況相同。

我們最后測試的項目是將待測設備放在一個正規的小型公司工作網絡中進行24小時不間斷工作測試。在這個測試中，我們將“公司正規網絡”的24小時劃分為三個階段。第一個階段，低效運轉時間，通常是夜晚0點到早晨7點。第二個階段，從低效運轉逐漸到中效運轉然后突然變成高效運轉接著下降到一個穩定的中效運轉，這個階段通常是早上7點到下午6點。

最后一個階段，從中效率運轉逐漸下降到低效運轉，這個階段通常是晚上時間。不同于以上兩項測試是對單個性能、單個參數的測試，這個測試對于很多用戶來說也許是最直觀的。多數的用戶對參數是一知半解，也許在真實環境下才能判斷產品是否實用。

如表4所示，三臺設備表現都很好。一個有趣的數據是LanGate 80。在第一項吞吐量測試中，LanGate 80的平均吞吐量是三個產品中最低的，然而LanGate 80在突然高效運轉時的表現是最好的。我們在模擬高效運轉時采取多IP多協議不同長度數據包的并發處理，完全模擬真實商業網絡環境，而不是象第二項測試時采取統一長度數據包。在突然高效運轉時，Cisco PIX515E的表                                現不如LG 80及Nokia IP330。但在低效運轉時(少數IP多連接)，PIX515E的表現如第一項吞吐量測試一樣，重回榜首。

總結:

在測試中，每個產品都表現出了各自性能指標上的優劣， 也真實地反映了實際工作網絡環境中的表現。總體而言， 三個項目的測試反映出三個產品性能上相差無幾，表現都很優秀，非常適合中小型網絡。

現在讓我們重新回到前文的問題：“我們需要什么樣的防火墻？” 單純從吞吐量指標分析，排名座次為Cisco、Nokia、LanGate；1,000個并發連接時，Nokia處理能力最好，其次是Cisco、LanGate；到了5,000個并發連接數時，Cisco和LanGate都能一個不漏地處理，但是連接成功后平均TCP傳輸出錯率最低的是LanGate，其次是Cisco、Nokia。實際環境測試中，LanGate在高效運轉時處理能力最好，其次是Cisco、Nokia。