3.不充足的测试手段=灾难的处方吗？

  必须评估你的防火墙是否充满风险。风险不仅仅是来自于你的结构——它可否有效率的处理你需要做得工作，也来自于日益提升的攻击复杂性。如何减轻这些风险呢？如何确保安全和可用性？这不仅仅是功能验证性的问题，这也是你的CPU和内存能否满足基准测试的问题，一些基准测试并不能模仿你的网络操作。攻击所产生的负载对于安全和可用性是最为危险的。相关防火墙的压力测试参数包括如下：

 ◆吞吐量

 ◆新建连接/秒数量

 ◆防火墙所支持的并发连接数

 ◆一定负载条件下的新建连接/秒——维持高数量的并发连接

  ◆一定负载下的阻挡知名DoS攻击的能力
  
  ◆策略数量

  ◆在真实负载条件下传输数据通过防火墙的延迟

  ◆多协议流量应包括HTTP、HTTPS、RTP/RTSP、Telnet、DNS和SMPT/POPS协议

  ◆活动-活动部署的失败恢复

  不断提升的网络风险正在使你的网络运行环境变得日益复杂起来。不管是厂商或者是第三方实验室都不能真实模仿你的网络环境从而揭示负载特点。厂商简单的推断基准测试方法或者是典型的实验室测试都不能保证充足的测试手段和解决网络灾难的灵丹妙药。例如，当厂商宣称下发40条策略时出现的吞吐量峰值时，你并不能推断这个峰值是在何种情况测试所得的，是否混合了其他流量。我们如何推断在一种协议上进行拒绝服务攻击时对于多协议吞吐量的影响？

  以下讨论展示了Spirent测试设备如何帮助你开展广泛深入的防火墙评估的。

  利用Spirent Avlanche、Reflector和SmartBits进行基本测试以确定防火墙产品可满足你安全策略的基本要求。

  进行高级测试确定防火墙可否和其他设备一起进行端到端的工作。这些端到端设备包括从安全设备（例如IDS和SSL加速设备）到内容设备（例如SLBs），每一种设备都可以由Avalanche/Reflector测试。Spirent建议先由单个的防火墙测试开始，然后再和其他设施共同测试，这样才能反映端到端的要求并且和现实的产品网络紧密贴切。

  评估你的防火墙是否可以有效率地适应新业务模型，例如巩固网络和IPS，所有新设备共同来减轻内部网络的攻击。