[要約] RFC 2647は、ファイアウォールのパフォーマンスを評価するための用語を定義しています。その目的は、ファイアウォールのベンチマークテストにおける一貫性と比較性を向上させることです。
Network Working Group D. Newman Request for Comments: 2647 Data Communications Category: Informational August 1999
Benchmarking Terminology for Firewall Performance
Status of this Memo
このメモの位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
Table of Contents
目次
1. Introduction...................................................2 2. Existing definitions...........................................2 3. Term definitions...............................................3 3.1 Allowed traffic...............................................3 3.2 Application proxy.............................................3 3.3 Authentication................................................4 3.4 Bit forwarding rate...........................................5 3.5 Circuit proxy.................................................6 3.6 Concurrent connections........................................6 3.7 Connection....................................................7 3.8 Connection establishment......................................9 3.9 Connection establishment time.................................9 3.10 Connection maintenance......................................10 3.11 Conection overhead..........................................11 3.12 Connection teardown.........................................11 3.13 Connection teardown time....................................12 3.14 Data source.................................................12 3.15 Demilitarized zone..........................................13 3.16 Firewall....................................................13 3.17 Goodput.....................................................14 3.18 Homed.......................................................15 3.19 Illegal traffic.............................................15 3.20 Logging.....................................................16 3.21 Network address translation.................................16 3.22 Packet filtering............................................17 3.23 Policy......................................................17 3.24 Protected network...........................................18 3.25 Proxy.......................................................19 3.26 Rejected traffic............................................19
3.27 Rule set....................................................20 3.28 Security association........................................20 3.29 Stateful packet filtering...................................21 3.30 Tri-homed...................................................22 3.31 Unit of transfer............................................22 3.32 Unprotected network.........................................23 3.33 User........................................................23 4. Security considerations.......................................24 5. References....................................................25 6. Acknowledgments...............................................25 7. Contact Information...........................................25 8. Full Copyright Statement......................................26
This document defines terms used in measuring the performance of firewalls. It extends the terminology already used for benchmarking routers and switches with definitions specific to firewalls.
この文書では、ファイアウォールのパフォーマンスを測定する際に使用される用語を定義します。これは、すでにファイアウォールに固有の定義でルータやスイッチをベンチマーキングするために使用される用語を拡張します。
Forwarding rate and connection-oriented measurements are the primary metrics used in this document.
転送レート、接続指向の測定値は、本書で使用される主要な指標です。
Why do we need firewall performance measurements? First, despite the rapid rise in firewall deployment, there is no standard method of performance measurement. Second, implementations vary widely, making it difficult to do direct performance comparisons. Finally, more and more organizations are deploying firewalls on internal networks operating at relatively high speeds, while most firewall implementations remain optimized for use over relatively low-speed wide-area connections. As a result, users are often unsure whether the products they buy will stand up to relatively heavy loads.
なぜ我々はファイアウォールのパフォーマンス測定が必要なのでしょうか?まず、ファイアウォールの展開の急激な上昇にもかかわらず、性能測定の標準的な方法はありません。第二に、実装は、それが困難な直接性能比較を行うために作り、大きく異なります。ほとんどのファイアウォールの実装は比較的低速なワイドエリア接続を介して使用するために最適化されたまま最後に、より多くの組織は、比較的高い速度で動作する内部ネットワーク上のファイアウォールを展開しています。その結果、ユーザはしばしば、彼らが購入する製品は、比較的重い負荷に耐えれるかどうかわかりません。
This document uses the conceptual framework established in RFCs 1242 and 2544 (for routers) and RFC 2285 (for switches). The router and switch documents contain discussions of several terms relevant to benchmarking the performance of firewalls. Readers should consult the router and switch documents before making use of this document.
この文書は、概念(ルータなど)のRFC 1242と2544年に設立され、フレームワークと(スイッチ用)RFC 2285を使用します。ルータとスイッチの文書は、ファイアウォールのパフォーマンスをベンチマークに関連するいくつかの用語の議論を含んでいます。読者は、ルータに相談し、この文書を利用する前に文書を切り替える必要があります。
This document uses the definition format described in RFC 1242, Section 2. The sections in each definition are: definition, discussion, measurement units (optional), issues (optional), and cross-references.
この文書は、RFC 1242に記載され定義フォーマットを使用し、各定義における第2のセクションは、次のとおり定義、議論、測定ユニット(オプション)、問題(任意)、および相互参照。
Definition: Packets forwarded as a result of the rule set of the device under test/system under test (DUT/SUT).
定義:テスト(DUT / SUT)の下でテスト/システムの下でデバイスのルールセットの結果として転送パケット。
Discussion: Firewalls typically are configured to forward only those packets explicitly permitted in the rule set. Forwarded packets must be included in calculating the bit forwarding rate or maximum bit forwarding rate of the DUT/SUT. All other packets must not be included in bit forwarding rate calculations.
ディスカッション:ファイアウォールは、一般的に、明示的にルールセットで許可パケットのみを転送するように設定されています。転送されたパケットは、ビット転送レートまたはDUT / SUTの最大ビット転送レートを計算する際に含まれなければなりません。他のすべてのパケットは、ビット転送速度の計算に含めてはいけません。
This document assumes 1:1 correspondence of allowed traffic offered to the DUT/SUT and forwarded by the DUT/SUT. There are cases where the DUT/SUT may forward more traffic than it is offered; for example, the DUT/SUT may act as a mail exploder or a multicast server. Any attempt to benchmark forwarding rates of such traffic must include a description of how much traffic the tester expects to be forwarded.
DUT / SUTに提供し、DUT / SUTによって転送許可されたトラフィックの1の対応:この文書では、1を前提としています。 DUT / SUTは、それが提供されているよりも多くのトラフィックを転送することができる場合があります。例えば、DUT / SUTは、メールエクスプローダまたはマルチキャストサーバとして動作することができます。そのようなトラフィックのベンチマーク転送速度にしようとすると、テスターが転送されることを想定してどのくらいのトラフィックの説明を含める必要があります。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: policy rule set
参照:ポリシーのルールセットを
Definition: A proxy service that is set up and torn down in response to a client request, rather than existing on a static basis.
定義:設定し、クライアントの要求ではなく、静的に基づき、既存のに応じて、切断されたプロキシサービス。
Discussion: Circuit proxies always forward packets containing a given port number if that port number is permitted by the rule set. Application proxies, in contrast, forward packets only once a connection has been established using some known protocol. When the connection closes, a firewall using applicaton proxies rejects individual packets, even if they contain port numbers allowed by a rule set.
ディスカッション:サーキット常にプロキシそのポート番号がルールセットによって許可された場合に特定のポート番号を含むパケットを転送。アプリケーションプロキシは、対照的に、順方向パケットは一度だけの接続は、いくつかの既知のプロトコルを用いて確立されています。接続が終了すると、applicatonプロキシを使用してファイアウォールは、彼らがルールセットで許可されているポート番号が含まれている場合でも、個々のパケットを拒否します。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: circuit proxy rule sets
問題:回路プロキシルールセット
See also: allowed traffic circuit proxy proxy rejected traffic rule set
参照:許可されたトラフィック回路プロキシプロキシは、交通ルールセットを拒否しました
Definition: The process of verifying that a user requesting a network resource is who he, she, or it claims to be, and vice versa.
定義:ネットワークリソースを要求しているユーザは誰彼、彼女、またはそれがあることを主張し、その逆であることを検証するプロセス。
Discussion: Trust is a critical concept in network security. Any network resource (such as a file server or printer) typically requires authentication before granting access.
ディスカッション:トラストは、ネットワークセキュリティの重要な概念です。 (そのようなファイルサーバやプリンタなど)の任意のネットワークリソースは、一般的にアクセスを許可する前に認証を必要とします。
Authentication takes many forms, including but not limited to IP addresses; TCP or UDP port numbers; passwords; external token authentication cards; and biometric identification such as signature, speech, or retina recognition systems.
認証は、IPアドレスを含むがこれらに限定されない多くの形態をとります。 TCPやUDPのポート番号。パスワード;外部トークン認証カード。そのような署名、音声、又は網膜認識システムのようなバイオメトリック認証。
The entity being authenticated might be the client machine (for example, by proving that a given IP source address really is that address, and not a rogue machine spoofing that address) or a user (by proving that the user really is who he, she, or it claims to be). Servers might also authenticate themselves to clients.
認証されるエンティティは、ユーザーが実際に誰が彼、彼女であることを証明することによって(例えば、特定のIP送信元アドレスが本当に対処不正な機械スプーフィングそのアドレスではなく、ことを証明することによって)クライアントマシンまたはユーザー(あるかもしれません、または)であることを主張します。サーバーもクライアントに対して自身を認証することがあります。
Testers should be aware that in an increasingly mobile society, authentication based on machine-specific criteria such as an IP address or port number is not equivalent to verifying that a given individual is making an access request. At this writing systems that verify the identity of users are typically external to the firewall, and may introduce additional latency to the overall SUT.
テスターはますますモバイル化社会の中で、IPアドレスやポート番号などのマシン固有の基準に基づいて認証が与えられた個人がアクセス要求を行っていることを確認することと等価ではないことに注意する必要があります。この記事を書いている時点で、ユーザーの身元を確認するシステムは、典型的には、ファイアウォールの外部にあり、かつ全体的なSUTに追加の遅延を導入することができます。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: user
参照してください:ユーザーを
Definition: The number of bits per second of allowed traffic a DUT/SUT can be observed to transmit to the correct destination interface(s) in response to a specified offered load.
定義:許可されたトラフィックの毎秒ビットDUT / SUTの数が指定された提供された負荷に応じて、正しい宛先インターフェイス(複数可)に送信するように観察することができます。
Discussion: This definition differs substantially from section 3.17 of RFC 1242 and section 3.6.1 of RFC 2285.
ディスカッション:この定義は、RFC 1242のセクション3.17およびRFC 2285のセクション3.6.1は実質的に異なります。
Unlike both RFCs 1242 and 2285, this definition introduces the notion of different classes of traffic: allowed, illegal, and rejected (see definitions for each term). For benchmarking purposes, it is assumed that bit forwarding rate measurements include only allowed traffic.
違法、許可、および拒否された(各用語の定義を参照してください):両方のRFC 1242および2285とは異なり、この定義は、トラフィックの異なるクラスの概念を導入しています。目的のベンチマークのために、そのビット転送レートの測定のみ許可されたトラフィックを含むものとします。
Unlike RFC 1242, there is no reference to lost or retransmitted data. Forwarding rate is assumed to be a goodput measurement, in that only data successfully forwarded to the destination interface is measured. Bit forwarding rate must be measured in relation to the offered load. Bit forwarding rate may be measured with differed load levels, traffic orientation, and traffic distribution.
RFC 1242と異なり、紛失または再送信されたデータへの参照はありません。転送速度が測定される正常宛先インターフェイスに転送したデータのみで、グッドプットの測定を想定しています。ビット転送レートが提供され、負荷に関連して測定する必要があります。ビット転送速度が異なる負荷レベル、トラフィックの方向、トラフィック分布を用いて測定することができます。
Unlike RFC 2285, this measurement counts bits per second rather than frames per second. Testers interested in frame (or frame-like) measurements should use units of transfer.
RFC 2285とは異なり、この測定は、第なく、毎秒フレーム当たりのビット数をカウントします。フレーム(またはフレームのような)に興味テスター測定は、転送の単位を使用する必要があります。
Unit of measurement: bits per second
測定単位:秒あたりのビット数
Issues: Allowed traffic vs. rejected traffic
問題:許可されたトラフィックの対は、トラフィックを拒否しました
See also: allowed traffic goodput illegal traffic rejected traffic unit of transfer
参照:許可されたトラフィックのグッドプット違法なトラフィックは転送のトラフィックユニットを拒否しました
Definition: A proxy service that statically defines which traffic will be forwarded.
定義:静的に転送されるトラフィックを定義プロキシサービス。
Discussion: The key difference between application and circuit proxies is that the latter are static and thus will always set up a connection if the DUT/SUT's rule set allows it. For example, if a firewall's rule set permits ftp connections, a circuit proxy will always forward traffic on TCP port 20 (ftp-data) even if no control connection was first established on TCP port 21 (ftp-control).
ディスカッション:アプリケーションと回路プロキシの主な違いは、後者が静的であり、DUT / SUTのルールセットで許可されていればこのように常に接続を設定することです。たとえば、ファイアウォールのルールセットは、FTP接続を許可する場合、TCPポート20上の回路プロキシがします常にトラフィックを転送(FTP-データ)は、制御接続は最初のTCPポート21(FTP-制御)に設立されなかった場合でも。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: application proxy rule sets
問題:アプリケーションプロキシルールセット
See also: allowed traffic application proxy proxy rejected traffic rule set
参照:許可されたトラフィックのアプリケーションプロキシプロキシは、交通ルールセットを拒否しました
Definition: The aggregate number of simultaneous connections between hosts across the DUT/SUT, or between hosts and the DUT/SUT.
定義:DUT / SUTを横切る、又はホストとDUT / SUTの間でホストとの間の同時接続の総数。
Discussion: The number of concurrent connections a firewall can support is just as important a metric for some users as maximum bit forwarding rate.
ディスカッション:ファイアウォールがサポートできる同時接続数は最大ビット転送速度など一部のユーザーのために、同じように重要な基準です。
While "connection" describes only a state and not necessarily the transfer of data, concurrency assumes that all existing connections are in fact capable of transferring data. If a data cannot be sent over a connection, that connection should not be counted toward the number of concurrent connections.
「接続」は必ずしもデータの転送のみの状態を説明していないが、並行処理は、すべての既存の接続は、実際にデータを転送することが可能であることを前提としています。データが接続を介して送信することができない場合は、その接続は、同時接続数にカウントすべきではありません。
Further, this definition assumes that the ability (or lack thereof) to transfer data on a given connection is solely the responsibility of the DUT/SUT. For example, a TCP connection that a DUT/SUT has left in a FIN_WAIT_2 state clearly should not be counted. But another connection that has temporarily stopped transferring data because some external device has restricted the flow of data is not necessarily defunct. The tester should take measures to isolate changes in connection state to those effected by the DUT/SUT.
さらに、この定義は、与えられた接続でデータを転送する能力(またはその欠如)が単独DUT / SUTの責任であることを前提としています。例えば、DUT / SUTは明らかにFIN_WAIT_2状態で残っていることをTCPコネクションをカウントすべきではありません。しかし、いくつかの外部デバイスがデータの流れを制限しているため、一時的にデータを転送停止している別の接続は必ずしも亡きではありません。テスタは、DUT / SUTによって行われたものとの接続状態の変化を単離するための措置を取るべきです。
Unit of measurement: Concurrent connections Maximum number of concurrent connections
測定の単位:同時接続の最大同時接続数
Issues:
問題:
See also: connections connection establishment time connection overhead
参照:接続の接続確立時の接続オーバーヘッド
Definition: A state in which two hosts, or a host and the DUT/SUT, agree to exchange data using a known protocol.
定義:2つのホストまたはホストとDUT / SUTは、既知のプロトコルを使用してデータを交換することに同意している状態。
Discussion: A connection is an abstraction describing an agreement between two nodes: One agrees to send data and the other agrees to receive it.
議論:接続は、2つのノード間の契約を記述する抽象化である:一つは、データを送信することに同意し、他方はそれを受け取ることに同意します。
Connections might use TCP, but they don't have to. Other protocols such as ATM also might be used, either instead of or in addition to TCP connections.
接続は、TCPを使用する場合がありますが、彼らがする必要はありません。 ATMなどの他のプロトコルも、いずれかの代わりに、またはTCP接続に加えて、使用される可能性があります。
What constitutes a connection depends on the application. For a native ATM application, connections and virtual circuits may be synonymous. For TCP/IP applications on ATM networks (where multiple TCP connections may ride over a single ATM virtual circuit), the number of TCP connections may be the most important consideration.
何がアプリケーションに依存して接続を構成しています。ネイティブATMアプリケーションの場合、接続と仮想回路は同義であります。 ATMネットワーク(ここで、複数のTCPコネクションが単一のATM仮想回路上に乗ることができる)上のTCP / IPアプリケーションのために、TCPコネクションの数は、最も重要な考慮事項であり得ます。
Additionally, in some cases firewalls may handle a mixture of native TCP and native ATM connections. In this situation, the wrappers around user data will differ. The most meaningful metric describes what an end-user will see.
さらに、いくつかのケースではファイアウォールは、ネイティブのTCPおよびネイティブATMコネクションの混合物を処理することができます。このような状況では、ユーザデータのラッパーが異なります。最も有意義なメトリックは、エンドユーザーが表示されますについて説明します。
Data connections describe state, not data transfer. The existence of a connection does not imply that data travels on that connection at any given time, although if data cannot be forwarded on a previously established connection that connection should not be considered in any aggregrate connection count (see concurrent connections).
データ接続は状態ではなく、データ転送を記述する。接続の存在は、データ接続がどのaggregrate接続カウントで考慮されるべきではないと以前に確立された接続(同時接続を参照)に転送することができない場合が、そのデータは、任意の時点でその接続を走行意味するものではありません。
A firewall's architecture dictates where a connection terminates. In the case of application or circuit proxy firewalls, a connection terminates at the DUT/SUT. But firewalls using packet filtering or stateful packet filtering designs act only as passthrough devices, in that they reside between two connection endpoints. Regardless of firewall architecture, the number of data connections is still relevant, since all firewalls perform some form of connection maintenance; at the very least, all check connection requests against their rule sets.
接続が終了する場所をファイアウォールのアーキテクチャが決まります。アプリケーション又は回路プロキシファイアウォールの場合、接続は、DUT / SUTで終了します。彼らは二つの接続のエンドポイント間に存在するものではなく、パケットフィルタリングやステートフルパケットフィルタリングの設計を使用してファイアウォールは、パススルーデバイスとしてのみ機能します。すべてのファイアウォールは、接続のメンテナンスのいくつかのフォームを実行するため、関係なく、ファイアウォールのアーキテクチャの、データ接続の数は、まだ関連しています。最低でも、すべてのルール・セットに対して接続要求を確認してください。
Further, note that connection is not an atomic unit of measurement in that it does not describe the various steps involved in connection setup, maintenance, and teardown. Testers may wish to take separate measurements of each of these components.
さらに、接続は、接続のセットアップ、維持、およびティアダウンに関与する様々なステップについては記載していないことで測定の原子単位ではないことに注意してください。テスターは、これらのコンポーネントの各々の別個の測定を行うことを望むかもしれません。
When benchmarking firewall performance, it's important to identify the connection establishment and teardown procedures, as these must not be included when measuring steady-state forwarding rates. Further, forwarding rates must be measured only after any security associations have been established.
ファイアウォールのパフォーマンスをベンチマークすると、定常状態の転送速度を測定する際にこれらが含まれてはならないとして、それは、接続の確立とティアダウン手順を識別することが重要です。さらに、転送速度は、任意のセキュリティアソシエーションが確立された後にのみ測定されなければなりません。
Though it seems paradoxical, connectionless protocols such as UDP may also involve connections, at least for the purposes of firewall performance measurement. For example, one host may send UDP packets to another across a firewall. If the destination host is listening on the correct UDP port, it receives the UDP packets. For the purposes of firewall performance measurement, this is considered a connection.
それは逆説的と思われるが、UDPなどのコネクションレス型プロトコルは、少なくともファイアウォール性能測定の目的のために、接続を含むことができます。たとえば、1つのホストは、ファイアウォールを越えて別のUDPパケットを送信することができます。宛先ホストが正しいUDPポートをリッスンしている場合は、UDPパケットを受信します。ファイアウォール性能測定の目的のために、これは、接続と見なされます。
Unit of measurement: concurrent connections connection connection establishment time maximum number of concurrent connections connection teardown time
測定の単位:同時接続接続の切断時の同時接続コネクションコネクション確立時間、最大数
Issues: application proxy vs. stateful packet filtering TCP/IP vs. ATM
問題:ATM対ステートフルパケットフィルタリングTCP / IP対アプリケーションプロキシ
connection-oriented vs. connectionless
接続指向コネクションレス対
See also: data source concurrent connections connection establishment connection establishment time connection teardown connection teardown time
参照:接続確立接続確立時間接続の切断接続の切断時の同時接続のデータソース
Definition: The data exchanged between hosts, or between a host and the DUT/SUT, to initiate a connection.
定義:データ接続を開始するために、ホスト間、あるいはホストとDUT / SUTの間で交換しました。
Discussion: Connection-oriented protocols like TCP have a proscribed handshaking procedure when launching a connection. When benchmarking firewall performance, it is import to identify this handshaking procedure so that it is not included in measurements of bit forwarding rate or UOTs per second.
ディスカッション:接続を起動するときTCPなどのコネクション指向のプロトコルは禁止されたハンドシェイク手順を持っています。ファイアウォール性能をベンチマークするとき、ビット転送速度または毎秒UOTsの測定に含まれないように、このハンドシェイク手順を識別するためのインポートです。
Testers may also be interested in measurements of connection establishment time through or with a given DUT/SUT.
テスターはまた、所与のDUT / SUTを介して、またはでコネクション確立時間の測定に興味があるかもしれません。
Unit of measurement: not applicable
測定の単位:適用できません
See also: connection connection establishement time connection maintenance connection teardown
参照:コネクションコネクション確立時、接続の維持接続の切断
Issues: not applicable
問題:適用されません
Definition: The length of time needed for two hosts, or a host and the DUT/SUT, to agree to set up a connection using a known protocol.
定義:二つのホスト、またはホストとDUT / SUTに必要な時間の長さは、既知のプロトコルを使用して接続を設定することに同意するものとします。
Discussion: Each connection-oriented protocol has its own defined mechanisms for setting up a connection. For purposes of benchmarking firewall performance, this shall be the interval between receipt of the first bit of the first octet of the packet carrying a connection establishment request on a DUT/SUT interface until transmission of the last bit of the last octet of the last packet of the connection setup traffic headed in the opposite direction.
議論:各コネクション型プロトコルは、接続を設定するための独自の定義されたメカニズムを有しています。ファイアウォール性能をベンチマークの目的のために、これが最後のパケットの最後のオクテットの最後のビットの送信までDUT / SUTインタフェース上の接続確立要求を搬送するパケットの最初のオクテットの最初のビットの受信間隔でなければなりません反対方向に向かった接続設定トラフィックの。
This definition applies only to connection-oriented protocols such as TCP. For connectionless protocols such as UDP, the notion of connection establishment time is not meaningful.
この定義は、TCPなどのコネクション指向のプロトコルにのみ適用されます。 UDPなどのコネクションレス型プロトコルの場合は、コネクション確立時間の概念は意味がありません。
Unit of measurement: Connection establishment time
測定の単位:コネクション確立時間
Issues:
問題:
See also: concurrent connections connection connection maintenance
参照:同時接続コネクション接続の維持
Definition: The data exchanged between hosts, or between a host and the DUT/SUT, to ensure a connection is kept alive.
定義:データがホスト間で交換、またはホストとDUT / SUTの間で、接続が生き続けていることを確認します。
Discussion: Some implementations of TCP and other connection-oriented protocols use "keep-alive" data to maintain a connection during periods where no user data is exchanged.
ディスカッション:いくつかのTCPの実装と他のコネクション指向のプロトコルにはユーザデータが交換されない期間中に接続を維持するために、「キープアライブ」のデータを使用します。
When benchmarking firewall performance, it is useful to identfy connection maintenance traffic as distinct from UOTs per second. Given that maintenance traffic may be characterized by short bursts at periodical intervals, it may not be possible to describe a steady-state forwarding rate for maintenance traffic. One possible approach is to identify the quantity of maintenance traffic, in bytes or bits, over a given interval, and divide through to derive a measurement of maintenance traffic forwarding rate.
ファイアウォールのパフォーマンスをベンチマークすると、毎秒UOTsとは異なり、接続の保守トラフィックをidentfyするのに便利です。保守トラフィックが定期的な間隔で短いバーストを特徴とすることができることを考えると、保守トラフィックのための定常状態の転送速度を記述することはできないかもしれません。一つの可能なアプローチは、所定の間隔で、バイト又はビットに、保守トラフィックの量を特定し、保守トラフィック転送速度の測定値を導出するために介して分割することです。
Unit of measurement: maintenance traffic forwarding rate
測定の単位:メンテナンストラフィック転送率
See also: connection connection establishment time connection teardown connection teardown time
参照:コネクションコネクション確立時間接続ティアダウン接続の切断時間を
Issues: not applicable
問題:適用されません
Definition: The degradation in bit forwarding rate, if any, observed as a result of the addition of one connection between two hosts through the DUT/SUT, or the addition of one connection from a host to the DUT/SUT.
定義:ビット転送レートの低下があれば、1つのDUT / SUTを介して2つのホスト間の接続、又はDUT / SUTにホストからの1つの接続の添加の添加の結果として観察。
Discussion: The memory cost of connection establishment and maintenance is highly implementation-specific. This metric is intended to describe that cost in a method visible outside the firewall.
ディスカッション:接続確立と維持のメモリコストは非常に実装固有です。このメトリックは、ファイアウォールの外側の可視方法でそのコストを記述することを意図しています。
It may also be desirable to invert this metric to show the performance improvement as a result of tearing down one connection.
また、一つの接続を切断した結果としての性能向上を表示するには、このメトリックを反転させることが望ましい場合があります。
Unit of measurement: bit forwarding rate
測定単位:ビット転送速度
Issues:
問題:
Definition: The data exchanged between hosts, or between a host and the DUT/SUT, to close a connection.
定義:データ接続を閉じるために、ホスト間、あるいはホストとDUT / SUTの間で交換しました。
Discussion: Connection-oriented protocols like TCP follow a stated procedure when ending a connection. When benchmarking firewall performance, it is important to identify the teardown procedure so that it is not included in measurements of bit forwarding rate or UOTs per second.
ディスカッション:接続を終了するとき、TCPなどのコネクション指向のプロトコルが規定された手順に従ってください。ファイアウォール性能をベンチマークするとき、ビット転送速度または毎秒UOTsの測定に含まれないようにティアダウン手順を識別することが重要です。
Testers may also be interested in measurements of connection teardown time through or with a given DUT/SUT.
テスターはまた、スルー又は所与のDUT / SUTとの接続ティアダウン時間の測定に興味があるかもしれません。
Unit of measurement: not applicable
測定の単位:適用できません
See also: connection teardown time
参照:接続ティアダウン時間を
Issues: not applicable
問題:適用されません
Definition: The length of time needed for two hosts, or a host and the DUT/SUT, to agree to tear down a connection using a known protocol.
定義:二つのホスト、またはホストとDUT / SUTに必要な時間の長さは、既知のプロトコルを使用して接続を切断することに同意するものとします。
Discussion: Each connection-oriented protocol has its own defined mechanisms for dropping a connection. For purposes of benchmarking firewall performance, this shall be the interval between receipt of the first bit of the first octet of the packet carrying a connection teardown request on a DUT/SUT interface until transmission of the last bit of the last octet of the last packet of the connection teardown traffic headed in the opposite direction.
議論:各コネクション型プロトコルは接続をドロップするための独自の定義されたメカニズムを有しています。ファイアウォール性能をベンチマークの目的のために、これが最後のパケットの最後のオクテットの最後のビットの送信までDUT / SUTインタフェースに接続ティアダウン要求を搬送するパケットの最初のオクテットの最初のビットの受信間隔でなければなりません反対方向に向かっ接続ティアダウントラフィックの。
This definition applies only to connection-oriented protocols such as TCP. For connectionless protocols such as UDP, the notion of connection teardown time is not meaningful.
この定義は、TCPなどのコネクション指向のプロトコルにのみ適用されます。 UDPなどのコネクションレス型プロトコルの場合は、接続のティアダウン時間の概念は意味がありません。
Unit of measurement: Connection teardown time
測定の単位:接続ティアダウン時間
Issues:
問題:
See also: concurrent connections connection connection maintenance
参照:同時接続コネクション接続の維持
Definition: A host capable of generating traffic to the DUT/SUT.
定義:DUT / SUTへのトラフィックを生成することが可能なホスト。
Discussion: One data source may emulate multiple users or hosts. In addition, one data source may offer traffic to multiple network interfaces on the DUT/SUT.
ディスカッション:1つのデータソースは、複数のユーザーまたはホストをエミュレートすることができます。加えて、一つのデータソースは、DUT / SUT上の複数のネットワーク・インターフェースにトラフィックを提供することができます。
The term "data source" is deliberately independent of any number of users. It is useful to think of data sources simply as traffic generators, without any correlation to any given number of users.
用語「データ・ソースは、」任意の数のユーザの意図的に独立です。ユーザーの任意の数に何らかの相関せず、単にトラフィック・ジェネレータなどのデータソースを考えると便利です。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: user
問題:ユーザー
See also: connection user
参照:接続ユーザー
Definition: A network segment or segments located between protected and unprotected networks.
定義:保護され、保護されていないネットワークとの間に位置するネットワーク・セグメントまたはセグメント。
Discussion: As an extra security measure, networks may be designed such that protected and unprotected segments are never directly connected. Instead, firewalls (and possibly public resources such as HTTP or FTP servers) reside on a so-called DMZ network.
ディスカッション:追加のセキュリティ対策として、ネットワークが保護され、保護されていないセグメントが直接接続されることはないように設計することができます。代わりに、ファイアウォール(そしておそらく、このようなHTTPやFTPサーバなどの公共資源)は、いわゆるDMZネットワーク上に存在します。
DMZ networks are sometimes called perimeter networks.
DMZネットワークは、時々、ネットワーク境界と呼ばれています。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: Homed
問題:をホーム
See also: protected network unprotected network
参照:保護されたネットワークの保護されていないネットワーク
Definition: A device or group of devices that enforces an access control policy between networks.
定義:ネットワーク間のアクセス制御ポリシーを施行デバイスまたはデバイスのグループ。
Discussion: While there are many different ways to accomplish it, all firewalls do the same thing: control access between networks.
ディスカッション:それを達成するためにさまざまな方法がありますが、すべてのファイアウォールは、同じことを実行します。ネットワーク間のアクセスを制御します。
The most common configuration involves a firewall connecting two segments (one protected and one unprotected), but this is not the only possible configuration. Many firewalls support tri-homing, allowing use of a DMZ network. It is possible for a firewall to accommodate more than three interfaces, each attached to a different network segment.
最も一般的な構成では、二つのセグメント(保護された1つずつ保護されていない)を接続するファイアウォールを含むが、これは唯一の可能な構成ではありません。多くのファイアウォールは、DMZネットワークの使用を可能にする、トライホーミングをサポートしています。ファイアウォールはつ以上のインターフェース、異なるネットワークセグメントに取り付けられたそれぞれに対応することが可能です。
The criteria by which access are controlled are not specified here. Typically this has been done using network- or transport-layer criteria (such as IP subnet or TCP port number), but there is no reason this must always be so. A growing number of firewalls are controlling access at the application layer, using user identification as the criterion. And firewalls for ATM networks may control access based on data link-layer criteria.
アクセスが制御されることにより、基準は、ここで指定されていません。通常、これは、(IPサブネットまたはTCPポート番号など)をネットワーク - またはトランスポート層の基準を使用して行われてきたが、これは常にそうでなければならない理由はありません。ファイアウォールの増加は、基準としてユーザIDを使用して、アプリケーション層でのアクセスを制御しています。そして、ATMネットワーク用のファイアウォールは、データリンク層の基準に基づいてアクセスを制御することができます。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: DMZ tri-homed user
参照:DMZトライホームユーザー
Definition: The number of bits per unit of time forwarded to the correct destination interface of the DUT/SUT, minus any bits lost or retransmitted.
定義:DUT / SUTの正しい宛先インターフェイスに転送単位時間あたりのビット数、マイナス紛失または再送任意ビット。
Discussion: Firewalls are generally insensitive to packet loss in the network. As such, measurements of gross bit forwarding rates are not meaningful since (in the case of proxy-based and stateful packet filtering firewalls) a receiving endpoint directly attached to a DUT/SUT would not receive any data dropped by the DUT/SUT.
ディスカッション:ファイアウォールは、一般的に、ネットワーク内のパケットロスの影響を受けません。受信エンドポイント(プロキシベースとステートフルパケットフィルタリングファイアウォールの場合)直接DUT / SUTによってドロップされたすべてのデータを受信しないであろうDUT / SUTに取り付けられているのでこのように、総ビット転送レートの測定は無意味です。
The type of traffic lost or retransmitted is protocol-dependent. TCP and ATM, for example, request different types of retransmissions. Testers must observe retransmitted data for the protocol in use, and subtract this quantity from measurements of gross bit forwarding rate.
紛失したり、再送信トラフィックの種類は、プロトコルに依存します。 TCPとATMは、例えば、再送信の種類を要求します。テスターは、使用中のプロトコルの再送データを観察し、そして総ビット転送レートの測定値からこの量を減算しなければなりません。
Unit of measurement: bits per second
測定単位:秒あたりのビット数
Issues: allowed vs. rejected traffic
問題:拒否されたトラフィック対許可
See also: allowed traffic bit forwarding rate rejected traffic
参照:許可されたトラフィックのビットの転送レートは、トラフィックを拒否
Definition: The number of logical interfaces a DUT/SUT contains.
定義:論理インタフェースの数DUT / SUTが含まれています。
Discussion: Firewalls typically contain at least two logical interfaces. In network topologies where a DMZ is used, the firewall usually contains at least three interfaces and is said to be tri-homed. Additional interfaces would make a firewall quad-homed, quint-homed, and so on.
議論:ファイアウォールは、典型的には、少なくとも二つの論理インターフェイスを含みます。 DMZを使用したネットワークトポロジでは、ファイアウォールは、通常、少なくとも3つのインタフェースを含み、三ホームであると言われます。追加のインタフェースはなるだろうファイアウォールクアッドホーム、QUINTホームように、と。
It is theoretically possible for a firewall to contain one physical interface and multiple logical interfaces. This configuration is discouraged for testing purposes because of the difficulty in verifying that no leakage occurs between protected and unprotected segments.
ファイアウォールは、一つの物理インタフェースと、複数の論理インタフェースを含むことが理論的に可能です。この構成は、漏れが保護され、保護されていないセグメントの間に発生していないことを確認することであるため難易度の目的をテストするために推奨されません。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: tri-homed
参照してください:トライホーム
Definition: Packets specified for rejection in the rule set of the DUT/SUT.
定義:DUT / SUTのルール・セット内の拒否のために指定されたパケット。
Discussion: A buggy or misconfigured firewall might forward packets even though its rule set specifies that these packets be dropped. Illegal traffic differs from rejected traffic in that it describes all traffic specified for rejection by the rule set, while rejected traffic specifies only those packets actually dropped by the DUT/SUT.
ディスカッション:そのルールセットは、これらのパケットが廃棄されることを指定していても、バギーや誤って設定ファイアウォールがパケットを転送することがあります。拒否されたトラフィックが実際にDUT / SUTによってドロップされたパケットのみを指定しながら、それは、ルールセットで拒否するために指定されたすべてのトラフィックを記述したに不正なトラフィックが拒否されたトラフィックとは異なります。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: accepted traffic policy rejected traffic rule set
参照:受け入れられたトラフィックポリシーは、トラフィックのルールセットを拒否しました
Definition: The recording of user requests made to the firewall.
定義:ファイアウォールに作られたユーザー要求の記録。
Discussion: Firewalls typically log all requests they handle, both allowed and rejected. For many firewall designs, logging requires a significant amount of processing overhead, especially when complex rule sets are in use.
ディスカッション:ファイアウォールは、通常、彼らが扱うすべての要求、両方の許可や拒否をログに記録します。多くのファイアウォールの設計では、ロギングは、複雑なルールセットが使用されている場合は特に、処理のオーバーヘッド、かなりの量を必要とします。
The type and amount of data logged varies by implementation. Testers may find it desirable to log equivalent data when comparing different DUT/SUTs.
記録されたデータの種類と量は、実装によって変化します。テスターは異なるDUT /のSUTを比較するとき、それは望ましい同等のデータをログに記録するかもしれません。
Some systems allow logging to take place on systems other than the DUT/SUT.
一部のシステムでは、DUT / SUT以外のシステム上の場所を取るためにログインすることができます。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: rule sets
問題:ルールセット
See also: allowed traffic connection rejected traffic
参照:許可されたトラフィックの接続がトラフィックを拒否
Definition: A method of mapping one or more private, reserved IP addresses to one or more public IP addresses.
定義:マッピング一つまたは一の以上のパブリックIPアドレスに、よりプライベート、予約済みのIPアドレスの方法。
Discussion: In the interest of conserving the IPv4 address space, RFC 1918 proposed the use of certain private (reserved) blocks of IP addresses. Connections to public networks are made by use of a device that translates one or more RFC 1918 addresses to one or more public addresses--a network address translator (NAT).
ディスカッション:IPv4アドレス空間を節約の利益では、RFC 1918は、IPアドレスの特定のプライベート(予約)ブロックの使用を提案しました。ネットワークアドレス変換(NAT) - 公衆網への接続は、一つ以上のパブリックアドレスへの1つ以上のRFC 1918のアドレスを変換する装置を用いて作られています。
The use of private addressing also introduces a security benefit in that RFC 1918 addresses are not visible to hosts on the public Internet.
取り組む民間の使用はまた、RFC 1918アドレスにセキュリティ上の利点を紹介し、公共のインターネット上のホストには表示されません。
Some NAT implementations are computationally intensive, and may affect bit forwarding rate.
いくつかのNATの実装は、計算集約的であり、ビット転送レートに影響を与える可能性があります。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also:
参照してください:
Definition: The process of controlling access by examining packets based on the content of packet headers.
定義:パケットヘッダの内容に基づいてパケットを調べることによってアクセスを制御するプロセス。
Discussion: Packet-filtering devices forward or deny packets based on information in each packet's header, such as IP address or TCP port number. A packet-filtering firewall uses a rule set to determine which traffic should be forwarded and which should be blocked.
議論:フォワードパケットフィルタリング装置又はIPアドレスまたはTCPポート番号のような各パケットのヘッダ内の情報に基づいてパケットを拒否する。パケットフィルタリングファイアウォールは、転送されるべきであり、これをブロックすべきトラフィックを決定するためにルールセットを使用します。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: static vs. stateful packet filtering
問題:ステートフルパケットフィルタリング対静的
See also: application proxy circuit proxy proxy rule set stateful packet filtering
参照:アプリケーションプロキシ回路プロキシプロキシ規則は、ステートフルパケットフィルタリングを設定します
Definition: A document defining acceptable access to protected, DMZ, and unprotected networks.
定義:保護された、DMZへの許容アクセスを定義するドキュメント、および保護されていないネットワーク。
Discussion: Security policies generally do not spell out specific configurations for firewalls; rather, they set general guidelines for what is and is not acceptable network access.
考察:セキュリティポリシーは、一般的に、ファイアウォールのための具体的な構成を綴るません。むしろ、彼らは何のための一般的なガイドラインを設定し、許容可能なネットワーク・アクセスではありません。
The actual mechanism for controlling access is usually the rule set implemented in the DUT/SUT.
アクセスを制御するための実際のメカニズムは、通常、DUT / SUTに実装されたルールセットです。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: rule set
参照:ルールセットを
Definition: A network segment or segments to which access is controlled by the DUT/SUT.
定義:アクセスがDUT / SUTによって制御されるネットワークセグメントまたはセグメント。
Discussion: Firewalls are intended to prevent unauthorized access either to or from the protected network. Depending on the configuration specified by the policy and rule set, the DUT/SUT may allow hosts on the protected segment to act as clients for servers on either the DMZ or the unprotected network, or both.
ディスカッション:ファイアウォールが保護されたネットワークまたはいずれかからの不正アクセスを防止することを意図しています。ポリシーおよびルールセットによって指定された構成に応じて、DUT / SUTは、保護セグメント上のホストがDMZまたは保護されていないネットワーク、またはその両方のいずれかでサーバーのクライアントとして動作することを可能にします。
Protected networks are often called "internal networks." That term is not used here because firewalls increasingly are deployed within an organization, where all segments are by definition internal.
保護されたネットワークは、多くの場合、「内部ネットワーク」と呼ばれます。ファイアウォールがますますすべてのセグメントは、内部定義であり、組織内で展開されているので、その用語がここで使用されていません。
Unit of measurement:
測定単位:
not applicable
適用できません
Issues:
問題:
See also: demilitarized zone (DMZ) unprotected network policy rule set unprotected network
参照:保護されていないネットワークを設定して非武装地帯(DMZ)保護されていないネットワークポリシールールを
Definition: A request for a connection made on behalf of a host.
定義:ホストの代わりに作られた接続要求。
Discussion: Proxy-based firewalls do not allow direct connections between hosts. Instead, two connections are established: one between the client host and the DUT/SUT, and another between the DUT/SUT and server host.
ディスカッション:プロキシベースのファイアウォールは、ホスト間の直接接続を許可していません。代わりに、2つの接続が確立されている:DUT / SUTとサーバホスト間のクライアントホストとDUT / SUT、および他の間に1つを。
As with packet-filtering firewalls, proxy-based devices use a rule set to determine which traffic should be forwarded and which should be rejected.
パケットフィルタリングファイアウォールと同様に、プロキシベースのデバイスは、転送されるべきであり、これを拒否すべきトラフィックを決定するためにルールセットを使用します。
There are two types of proxies: application proxies and circuit proxies.
アプリケーションプロキシ回路プロキシ:プロキシの2種類があります。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: application
問題:アプリケーション
See also: application proxy circuit proxy packet filtering stateful packet filtering
参照:ステートフルパケットフィルタリングをフィルタリングアプリケーションプロキシ回路プロキシパケットを
Definition: Packets dropped as a result of the rule set of the DUT/SUT.
定義:パケットはDUT / SUTのルールセットの結果として低下しました。
Discussion: For purposes of benchmarking firewall performance, it is expected that firewalls will reject all traffic not explicitly permitted in the rule set. Dropped packets must not be included in calculating the bit forwarding rate or maximum bit forwarding rate of the DUT/SUT.
ディスカッション:ファイアウォールのパフォーマンスをベンチマークの目的のためには、ファイアウォールが明示的にルールセットでは許可されていないすべてのトラフィックを拒否することが期待されます。ドロップされたパケットは、ビット転送レートまたはDUT / SUTの最大ビット転送レートの計算に含まれてはなりません。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: allowed traffic illegal traffic policy rule set
参照:許可されたトラフィック違法なトラフィックポリシーのルールセット
Definition: The collection of access control rules that determines which packets the DUT/SUT will forward and which it will reject.
定義:DUT / SUTが転送されますと、それは拒否されますどのパケットを決定し、アクセス制御ルールの集合。
Discussion: Rule sets control access to and from the network interfaces of the
議論:ルールへのネットワークインタフェースからの制御アクセスを設定します
DUT/SUT. By definition, rule sets do not apply equally to all network interfaces; otherwise there would be no need for the firewall. For benchmarking purposes, a specific rule set is typically applied to each network interface in the DUT/SUT.
DUT / SUT。定義では、ルール・セットは、すべてのネットワークインターフェイスにも同様に適用されません。そうでない場合は、ファイアウォールは必要ないでしょう。目的のベンチマークのために、特定のルールセットは、典型的には、DUT / SUTの各ネットワークインタフェースに適用されます。
The tester must describe the complete contents of the rule set of each DUT/SUT.
テスターは、各DUT / SUTのルールセットの完全な内容を記述しなければなりません。
To ensure measurements reflect only traffic forwarded by the DUT/SUT, testers are encouraged to include a rule denying all access except for those packets allowed by the rule set.
測定はDUT / SUTによって転送トラフィックのみを反映して確保するために、テスターは、ルール・セットによって許可されたパケットを除くすべてのアクセスを拒否するルールを含めることをお勧めします。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: allowed traffic demilitarized zone (DMZ) illegal traffic policy protected network rejected traffic unprotected network
参照:許可されたトラフィック非武装地帯(DMZ)違法なトラフィックポリシー保護されたネットワークトラフィックは保護されていないネットワークを拒否しました
Definition: The set of security information relating to a given network connection or set of connections.
定義:特定のネットワーク接続または接続のセットに関連するセキュリティ情報のセット。
Discussion: This definition covers the relationship between policy and connections. Security associations (SAs) are typically set up during connection establishment, and they may be reiterated or revoked during a connection.
ディスカッション:この定義は、政策との接続関係をカバーしています。セキュリティアソシエーション(SA)は、典型的には、接続の確立時に設定されている、と彼らは、接続時に改めて表明または取り消すことができます。
For purposes of benchmarking firewall performance, measurements of bit forwarding rate or UOTs per second must be taken after all security associations have been established.
すべてのセキュリティアソシエーションが確立された後、ファイアウォールのパフォーマンスをベンチマークの目的のために、毎秒ビットの転送レートまたはUOTsの測定が行われなければなりません。
Unit of measurement: not applicable
測定の単位:適用できません
See also: connection connection establishment policy rule set
参照:コネクション接続確立ポリシールールを設定します
Definition: The process of forwarding or rejecting traffic based on the contents of a state table maintained by a firewall.
定義:ファイアウォールによって維持状態テーブルの内容に基づいてトラフィックを転送するか、拒否するプロセス。
Discussion: Packet filtering and proxy firewalls are essentially static, in that they always forward or reject packets based on the contents of the rule set.
ディスカッション:パケットフィルタリングとプロキシファイアウォールは、彼らは前方常にその中で、基本的に静的であるか、ルールセットの内容に基づいてパケットを拒否します。
In contrast, devices using stateful packet filtering will only forward packets if they correspond with state information maintained by the device about each connection. For example, a stateful packet filtering device will reject a packet on port 20 (ftp-data) if no connection has been established over the ftp control port (usually port 21).
それらは各接続についてのデバイスによって維持状態情報に対応する場合は対照的に、ステートフルパケットフィルタを使用するデバイスは、パケットを転送します。全く接続がFTP制御ポート(通常はポート21)を介して確立されていない場合、例えば、ステートフルパケットフィルタリング装置は、ポート20(FTPデータ)上のパケットを拒否します。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: applicaton proxy packet filtering proxy
参照:アプリケーションプロキシパケットフィルタリングプロキシ
Definition: A firewall with three network interfaces.
定義:3つのネットワークインタフェースを備えたファイアウォール。
Discussion: Tri-homed firewalls connect three network segments with different network addresses. Typically, these would be protected, DMZ, and unprotected segments.
ディスカッション:トライホームファイアウォールは、異なるネットワークアドレスを持つ3つのネットワークセグメントを接続します。典型的には、これらは、DMZ、および保護されていないセグメントを保護することになります。
A tri-homed firewall may offer some security advantages over firewalls with two interfaces. An attacker on an unprotected network may compromise hosts on the DMZ but still not reach any hosts on the protected network.
トライホームファイアウォールは、二つのインタフェースを持つファイアウォール上でいくつかのセキュリティ上の利点を提供することがあります。保護されていないネットワーク上の攻撃者は、DMZ上のホストを危険にさらすが、まだ保護されたネットワーク上の任意のホストに到達しない場合があります。
Unit of measurement: not applicable
測定の単位:適用できません
Issues: Usually the differentiator between one segment and another is its IP address. However, firewalls may connect different networks of other types, such as ATM or Netware segments.
問題:通常、一つのセグメントと他の間の差別は、そのIPアドレスです。しかし、ファイアウォールは、ATMまたはNetWareセグメントなどの他のタイプの異なるネットワークを接続することができます。
See also: homed
参照してください:ホーム
Definition: A discrete collection of bytes comprising at least one header and optional user data.
定義:少なくとも一つのヘッダ及びオプションのユーザデータを含むバイトのディスクリートコレクション。
Discussion: This metric is intended for use in describing steady-state forwarding rate of the DUT/SUT.
議論:このメトリックは、DUT / SUTの定常状態の転送レートを記述するのに使用するために意図されています。
The unit of transfer (UOT) definition is deliberately left open to interpretation, allowing the broadest possible application. Examples of UOTs include TCP segments, IP packets, Ethernet frames, and ATM cells.
転送(UOT)定義のユニットは、故意にできるだけ広い応用を可能にする、解釈に開放されています。 UOTsの例は、TCPセグメント、IPパケット、イーサネットフレーム、およびATMセルを含みます。
While the definition is deliberately broad, its interpretation must not be. The tester must describe what type of UOT will be offered to the DUT/SUT, and must offer these UOTs at a consistent rate. Traffic measurement must begin after all connection establishment routines complete and before any connection completion routine begins. Further, measurements must begin after any security associations (SAs) are established and before any SA is revoked.
定義は故意に幅広いですが、その解釈があってはなりません。テスターは、DUT / SUTに提供されますUOTの種類を記述しなければならない、と一貫性のあるレートでこれらUOTsを提供しなければなりません。トラフィック測定は、完全なすべての接続確立ルーチンの後、任意の接続完了ルーチンを開始する前に開始しなければなりません。さらに、任意のセキュリティアソシエーション(SA)が確立された後に測定が開始しなければならないとどのSAが取り消される前に。
Testers also must compare only like UOTs. It is not appropriate, for example, to compare forwarding rates by offering 1,500-byte Ethernet UOTs to one DUT/SUT and 53-byte ATM cells to another.
テスターはまた、唯一のUOTsのように比較する必要があります。これは、例えば、別のDUT / SUTと53バイトのATMセルに1,500バイトイーサネットUOTsを提供することにより、転送レートを比較するために、適切ではありません。
Unit of measurement: Units of transfer Units of transfer per second
測定の単位:秒あたりの転送の転送ユニット単位
Issues:
問題:
See also: bit forwarding rate connection
参照:ビットの転送レートの接続
Definition: A network segment or segments to which access is not controlled by the DUT/SUT.
定義:アクセスがDUT / SUTによって制御されていないために、ネットワーク・セグメントまたはセグメント。
Discussion: Firewalls are deployed between protected and unprotected segments. The unprotected network is not protected by the DUT/SUT.
ディスカッション:ファイアウォールは保護され、保護されていないセグメントの間に配備されています。保護されていないネットワークは、DUT / SUTによって保護されていません。
Note that a DUT/SUT's policy may specify hosts on an unprotected network. For example, a user on a protected network may be permitted to access an FTP server on an unprotected network. But the DUT/SUT cannot control access between hosts on the unprotected network.
DUT / SUTの政策は保護されていないネットワーク上のホストを指定することに注意してください。例えば、保護されたネットワーク上のユーザは、保護されていないネットワーク上のFTPサーバへのアクセスを許可することができます。しかし、DUT / SUTは保護されていないネットワーク上のホスト間のアクセスを制御することはできません。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: demilitarized zone (DMZ) policy protected network rule set
参照:非武装地帯(DMZ)ポリシー保護されたネットワークルールセット
Definition: A person or process requesting access to resources protected by the DUT/SUT.
定義:DUT / SUTによって保護されたリソースへのアクセスを要求する個人またはプロセス。
Discussion: "User" is a problematic term in the context of firewall performance testing, for several reasons. First, a user may in fact be a process or processes requesting services through the DUT/SUT. Second, different "user" requests may require radically different amounts of DUT/SUT resources. Third, traffic profiles vary widely from one organization to another, making it difficult to characterize the load offered by a typical user.
ディスカッション:「ユーザー」は、いくつかの理由のために、ファイアウォールのパフォーマンステストのコンテキストで問題の用語です。まず、ユーザは、実際にDUT / SUTを介してサービスを要求しているプロセスまたはプロセスかもしれません。第二に、別の「ユーザー」の要求は、DUT / SUTリソースの根本的に異なる量が必要な場合があります。第三に、トラフィックプロファイルは、それが困難な典型的なユーザによって提供される負荷を特徴づけるために作り、1つの組織から別の組織大きく異なります。
For these reasons, testers should not attempt to measure DUT/SUT performance in terms of users supported. Instead, testers should describe performance in terms of maximum bit forwarding rate and maximum number of connections sustained. Further, testers should use the term "data source" rather than user to describe traffic generator(s).
これらの理由から、テスターは、サポートされているユーザーの観点でDUT / SUTのパフォーマンスを測定するために試みるべきではありません。その代わりに、テスタは、最大ビット転送速度と持続的接続の最大数の点で性能を記述するべきです。さらに、テスタは、ユーザがトラフィックジェネレータ(複数可)を記述するためではなく、用語「データソース」を使用すべきです。
Unit of measurement: not applicable
測定の単位:適用できません
Issues:
問題:
See also: data source
参照:データ・ソース
The primary goal of this memo is to describe terms used in benchmarking firewall performance. However, readers should be aware that there is some overlap between performance and security issues. Specifically, the optimal configuration for firewall performance may not be the most secure, and vice-versa.
このメモの主な目的は、ファイアウォールのパフォーマンスをベンチマークに使用される用語を説明することです。しかし、読者は、パフォーマンスとセキュリティの問題の間にいくつかの重複があることに注意する必要があります。具体的には、ファイアウォール性能のための最適な構成は、最も安全、及びその逆ではないかもしれません。
Further, certain forms of attack may degrade performance. One common form of denial-of-service (DoS) attack bombards a firewall with so much rejected traffic that it cannot forward allowed traffic. DoS attacks do not always involve heavy loads; by definition, DoS describes any state in which a firewall is offered rejected traffic that prohibits it from forwarding some or all allowed traffic. Even a small amount of traffic may significantly degrade firewall performance, or stop the firewall altogether. Further, the safeguards in firewalls to guard against such attacks may have a significant negative impact on performance.
さらに、攻撃の特定の形態は、パフォーマンスが低下することがあります。サービス拒否(DoS)攻撃の一つの一般的な形式は、それがトラフィックを転送許可されていないことをそんなに拒否されたトラフィックでファイアウォールを砲撃します。 DoS攻撃は常に重い負荷を伴いません。定義により、DoS攻撃は、ファイアウォールが一部またはすべて許可されたトラフィックを転送してからそれを禁止し、トラフィックを拒否提供される任意の状態を説明しています。トラフィックの少量でも大幅ファイアウォールのパフォーマンスを低下させる、または完全にファイアウォールを停止することがあります。さらに、このような攻撃を防ぐためのファイアウォールでセーフガードは、パフォーマンスに大きなマイナスの影響を与える可能性があります。
Since the library of attacks is constantly expanding, no attempt is made here to define specific attacks that may affect performance. Nonetheless, any reasonable performance benchmark should take into consideration safeguards against such attacks. Specifically, the same safeguards should be in place when comparing performance of different firewall implementations.
攻撃のライブラリが絶えず拡大しているので、何の試みは、パフォーマンスに影響を与える可能性があり、特定の攻撃を定義するためにここで行われていません。それにもかかわらず、任意の合理的なパフォーマンスのベンチマークは、このような攻撃に対する配慮のセーフガードを考慮する必要があります。別のファイアウォールの実装の性能を比較する際に具体的に、同じセーフガードは、場所にする必要があります。
Bradner, S., Ed., "Benchmarking Terminology for Network Interconnection Devices", RFC 1242, July 1991.
ブラドナーの、S.、エド。、RFC 1242 "ネットワーク相互接続デバイスのためのベンチマーキング用語"、1991年7月。
Bradner, S. and J. McQuaid, "Benchmarking Methodology for Network Interconnect Devices", RFC 2544, March 1999.
ブラドナーの、S.とJ. McQuaid、RFC 2544、1999年3月 "ベンチマーキング方法論ネットワーク相互接続デバイスのため"。
Mandeville, R., "Benchmarking Terminology for LAN Switching Devices", RFC 2285, February 1998.
マンデヴィル、R.、 "LANスイッチングデバイスのためのベンチマーキング用語"、RFC 2285、1998年2月。
Rekhter, Y., Moskowitz, B., Karrenberg, D., de Groot, G. and E. Lear, "Address Allocation for Private Internets", BCP 5, RFC 1918, February 1996.
Rekhter、Y.、モスコウィッツ、B.、Karrenberg、D.、デ・グルート、G.およびE.リア、 "個人的なインターネットのための配分"、BCP 5、RFC 1918、1996年2月。
The author wishes to thank the IETF Benchmarking Working Group for agreeing to review this document. Several other persons offered valuable contributions and critiques during this project: Ted Doty (Internet Security Systems), Kevin Dubray (Ironbridge Networks), Helen Holzbaur, Dale Lancaster, Robert Mandeville, Brent Melson (NSTL), Steve Platt (NSTL), Marcus Ranum (Network Flight Recorder), Greg Shannon, Christoph Schuba (Sun Microsystems), Rick Siebenaler, and Greg Smith (Check Point Software Technologies).
著者は、この文書をレビューすることに同意するためにIETFベンチマーク作業部会に感謝したいです。いくつかの他の人がこのプロジェクトの中に貴重な貢献と批評を提供:テッドドーティ(インターネットセキュリティシステムズ)、ケビンDubray(アイアンブリッジネットワークス)、ヘレンHolzbaur、デール・ランカスター、ロバート・マンデヴィル、ブレントMelson(NSTL)、スティーブ・プラット(NSTL)、マーカスRanum (ネットワークフライトレコーダー)、グレッグ・シャノン、クリストフSchuba(サン・マイクロシステムズ)、リック・Siebenaler、そしてグレッグ・スミス(チェック・ポイント・ソフトウェア・テクノロジーズ)。
David Newman Data Communications magazine 3 Park Ave. 31st Floor New York, NY 10016 USA
デヴィッド・ニューマンデータ通信誌3パークアベニュー31階ニューヨーク、NY 10016 USA
Phone: 212-592-8256 Fax: 212-592-8265 EMail: dnewman@data.com
電話:212-592-8256ファックス:212-592-8265 Eメール:dnewman@data.com
Copyright (C) The Internet Society (1999). All Rights Reserved.
著作権(C)インターネット協会(1999)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。