求防火墙工作流程图

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

客户机也有TCP/UDP端口

TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

双向过滤

OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

检查ACK位

源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

FTP带来的困难

一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

UDP端口过滤

好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

小结

IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用

1 构成企业管理信息系统的5个基本要素对企业需求的描述可以从2个方面来进行描述，一个方面是对客户现行系统的描述，一个方面是对系统未来的设想。总的而言，无论是从那个方面来描述，构成企业信息系统主要包括5个基本要素：企业的组织结构、流程、数据、商务规则与功能（性能）。其中从用户的角度主要关注流程，是以流程为核心的，通过流程将其他几个要素贯穿起来，需求分析人员也应该从这个角度来和用户沟通；从开发者的角度主要关注企业的数据、商务规则与功能，以便于系统的实现；从实施者的角度主要关注企业的组织结构与功能，以便于系统的发布与实施。1） 企业的组织模型　即企业的组织结构关系，包括部门设置、岗位设置、岗位职责等。树型组织结构图是描述企业的组织模型的一种常用方法，它可用来搞清各部门之间的领导关系,每个部门内部的人员配备情况, 职责分工等情况,它是划分系统范围,进行系统网络规划的基础。在组织结构图中应将用户的组织结构逐层详细描述，每个部门的职责也应进行简单的描述。组织结构是用户企业业务流程与信息的载体，对分析人员理解企业的业务、确定系统范围具有很好的帮助。取得用户的组织结构图，是需求获取步骤中的基础工作之一。　用户环境中的企业岗位或角色，和组织机构一样，也是分析人员理解企业业务的基础，也是分析人员提取对象的基础。对用户角色的识别常常遗漏的是计算机系统的系统管理人员，角色识别不全，对以后的功能识别会造成盲区。（2） 企业的流程模型　即企业的业务流程，包含哪些流程、流程之间的关系、每个流程中包括哪些活动、每个活动涉及到的岗位。企业的作业流程首先要有一个总的业务流程图，将企业中各种业务之间的关系描述出来，然后对每种业务进行详细的描述，使业务流程与部门职责结合起来。详细业务流程图可以采用直式业务流程图形式。对企业而言需要定义关于业务流程图的描述标准，大家采用相同的图例来描述，便于管理。业务流程图的优点 :　■绘图的过程,实际上是作业流程条理化的过程　■表达形象直观,易于和用户交流,易于项目组内部交流调研的结果,需要得到用户的认同,这就需要和用户交流调研的结果,交流的文档要通俗、易懂, 不能采用专业术语。　■可以作为培训实施人员与技术服务人员的文档业务流程图的缺点 :　■对高层管理人员的实际需求调查的不清楚　这一方面是由于用户没有接触过计算机, 对采用计算机后的管理会是什么样子计算机能够完成当前手工操作的哪些内容能够作哪些现在手工无法完成的工作等等没有清楚的概念,因此用户无法将这些问题反应出来 另一方面说明分析人员没有经验,对原始材料挖掘不深,不能从用户 提供的材料中提炼处来用户的真正需求,不能找到当前管理中的问题。　■对各种业务之间的总体关系没有表达出来　采用直式业务流程图可以将企业的每一种业务的处理流程清楚地表达出来, 但是各业务之间的联系却没有表示出来,单看一种业务的流程图很清楚,但是却不能综合在一起,没有整体的概念,作为需求分析的文档,在这方面表达的不够完整。　■在不利用工具的情况下,画法烦琐。图形可以将流程描述的很清楚，但是还要附加以一些文字说明，如关于业务发生的频率、意外事故的处理、高峰期的业务频率等，不能在流程图中描述出的内容，需要用文字进行详细描述。（3） 企业的数据模型　即企业中的信息载体有哪些？以及对这些信息载体的详细刻画，包括企业的各种单据、帐本、报表的描述。在需求报告中，应该将单据的描述格式化，需要描述的内容包括：　单据的用途，即单据用在什么地方？　单据的格式：需要明确的画出来，并有实际的有数据的样例，能够具体直观地说明问题；　单据中的数据项的具体描述：长度、类型、计算生成方法、约束条件等；　单据的数据项是由哪些不同类型的角色来填写地，包括用计算机可以填那些数据项。　单据中哪些数据是必填的，哪些是可以不用填的。　单据流量：平均每天产生多少条记录，高峰期的数量；　单据的分类：可以从多个角度上进行分类，如：按业务类型来分类（采购/销售/生产），按生成的方式来分类（手工录入型/自动生成型），按格式变化的频繁程度来分类（易变型/稳定型），按表现形式来分类（列表型/卡片型）等等。　单据之间的关系：引用关系等等。　同样对于需要的报表与帐本也可以参照上面的条目进行详细的刻画。

visual graph专业图形系统：此系统为图形控件，在NET开发平台下可以灵活应用，delphi中也可以使用。简单易用，业内应用较广泛。

Visio是当今最优秀的绘图软件之一，它将强大的功能和易用性完美结合，可广泛应用于电子、机械、通信、建筑、软件设计和企业管理等众多领域。

power designer是一款比较不错的画流程图软件。

SAM业务流程梳理工具软件，为流程从业者梳理流程业务提供便捷、标准化的建模工具，为开展流程梳理、固化、发布工作提供最佳工具支持。

visio是微软公司推出的非常传统的流程图软件，应用范围广泛。采用泳道图的方式能够把流程和流程的部门以及岗位关联起来，实现流程和所有者的对应。随着企业对流程管理应用需求的提升，片段、静态的方式逐渐很难适应企业实际流程管理的需要。

control是英国nimbus公司的流程软件，采用全息的方式能够比较全面地展示流程的基本要素，包括活动、输入输出、角色以及相关的文档等各种信息。具有简洁易用的特性，不支持多维度扩展应用。

aris是IDS公司的流程软件，具有IDS特有的多维建模和房式结构，集成了流程管理平台，可以通过流程平台进行流程分析和流程管理。

provision是metastorm公司的流程软件，以多维度系统建模见长，能够集成企业的多种管理功能，是流程管理专家级客户应用的工具。

框图宝（MyFlowChart）是youfabao的在线流程图软件，可以在线绘制流程图，简单易用，基于云计算，数据永不丢失。

ProcessOn是一个基于Web的免费画流程图的网站。特点:1免费;2;不用安装;3可以多人同时登录画一张流程图。

1从代码结构入手，搞清楚Java源码所在目录以及jsp代码所在目录。\x0d\2从Webxml入手，搞清楚首页，上下文及配置情况。\x0d\3从lib目录里初步查看系统使用的框架和工具包。\x0d\4从页面大体浏览，看页面的scriptlet使用的主要语言。\x0d\5从代码包结构初步知晓代码的层次。\x0d\6从配置文件入手，弄清楚页面到Action/Servlet的配置关系。\x0d\7搞清楚代码提交的方式，前台请求如何传递到后台，又是如何返回到前台页面的，这里以Login页面为最佳切入点。\x0d\8从处理Login的Action/Servlet中观察，看在session中记录了多少重要的数据，后面程序又是怎样用到这些数据的。\x0d\9如果存在树形菜单，要搞清楚树形菜单的形成及传递请求的方式。\x0d\10归纳几种典型页面，搞清楚其处理和响应形式。\x0d\11归纳通用的页面组件如分页，上传下载，异步请求等原系统是如何处理的。\x0d\12搞清楚后台数据来源及配置，主要是数据库及通过WebService方式。\x0d\13归纳后台处理的主要业务。\x0d\14可能的话，把后台数据表的ER图画出来。\x0d\15典型业务的流程图可以绘制出来。

插图（画）是运用图案表现的形象，本着审美与实用相统一的原则，尽量使线条，形态清晰明快，制作方便。插图是世界都能通用的语言，其设计在商业应用上通常分为人物、动物、商品形象。

商品形象

商品形象是动物拟人化在商品领域中的扩展，经过拟人化的商品给人以亲切感。个性化的造型，有耳目一新的感觉，从而加深人们对商品的直接印象。

分类

以商品拟人化的构思来说，大致分为两类：

第一类为完全拟人化，即夸张商品，运用商品本身特征和造型结构作拟人化的表现。

第二类为半拟人化，即在商品上另加上与商品无关的手、足、头等作为拟人化的特征元素。

以上两种拟人化塑造手法，使商品富有人情味和个性化。通过动画形式，强调商品特征，其动作、言语与商品直接联系起来，宣传效果较为明显。

插图画家经常为图形设计师绘制插图或直接为杂志、报纸等媒体配画。他们一般是职业插图画家或自由艺术家，像摄影师一样具有各自的表现题材和绘画风格。对新形式、新工具的职业敏感和渴望，使他们中的很多人开始采用电脑图形设计工具创作插图。电脑图形软件功能使他们的创作才能得到了更大的发挥，无论简洁还是繁复绵密，无论传统媒介效果，如油画、水彩、版画风格还是数字图形无穷无尽的新变化、新趣味，都可以更方便更快捷地完成。数字摄影是摄影的最新发展。摄影师用数字照相机拍摄对象或通过扫描仪将传统的正片扫描进电脑，然后在电脑屏幕上调整、组合、创作新的视觉形象，最后通过胶片记录仪输出正片或负片。这种新的摄影技术完全改变了摄影的光学成像的创作概念，而以数字图形处理为核心，又称“不用暗房的摄影”。它模糊了摄影师、插图画家及图形设计师之间的界限，现今只要有才能，完全可以在同一台电脑上完成这三种工作。

流程图里面云的形状是通过visio网络位置里的云形图画的，下面以visio 2013版本具体演示一下：

1、打开visio软件，点击欢迎界面中的基本框图，如下图所示：

2、点击更多形状右边的箭头，选择网络下面的网络位置，如下图所示：

3、选择网络位置中的云形图案，将云形拖拽到右侧的空白区域，如下图所示：

4、最后调整云形图案的位置和大小就可以了，如下图所示：

1、域名注册

在建设网站前首先考虑的就是注册域名，这是在深圳网站建设流程中头件考虑的事情，和主题的确定并行考虑，域名选择的基本原则是好记，基本要求是网友一想起你网站脑海里就会同时浮现出你网站的域名，三个字的名字比十个字的名字要好记，通过注册域名，使企业在全球Internet上有唯一标识，也是社会各用户浏览该企业的门牌号和进入标识。由域名构成的网址会像商标那样，在互联网上广为流传，好域名有助于你将来塑造自己在网上的国际形象。而同时域名在全世界具有唯一性，域名的资源又比较有限，谁先注册，谁就有权使用，所以你现在就应该考虑，是否要保护你在Internet上的无形资产。常见的com为国际域名，而comcn则为国内域名。

2、虚拟主机的选购

接下来就是选择服务器。也是深圳网站建设流程的关键一步，能否选择正确的服务器对整个建设好后的排名起着非常重要作用。所谓虚拟主机是使用特殊软硬件技术，把每台计算机分成一台台"虚拟"的主机，在外界看来，虚拟主机与真正的主机没有任何区别，我们建议企业上网采用虚拟主机方式。一般虚拟主机提供商都能向用户提供10兆、20兆、30兆直到一台服务器的虚拟主机空间。 对于经济实力雄厚的企业可考虑独立服务器，因为独立服务器可让客户更快速浏览及易管理，但独立服务器成本比较高，中小企业一般是承担不起，除非流量相当大的网站才需要构架独立服务器。

3、网站建设

第三步也是最重要的一步了，你可以选择专业公司来制作也可自己或找个人来制作，但本人强烈见意最好是找专业公司来实施，无论从专业还是营销方面来说专业公司有一定的优势，在建设前必须准备充分的资料，这也是网站建设流程中一个关键的一个流程图，其次是建站所考虑的一些问题比如“总体设计方案主题鲜明”“版式设计” “色彩在设计中的作用”“形式与内容相统一” 都是与网络公司相互沟通要考虑的因素。

4、宣传与推广

最后一个流程就是要考虑建设成功后的营销，也就是后期宣传了，专业上叫网站推广，推广的方式很多，有收费也有免费的，制定网站推广流程本身也是一种推广策略，推广不仅是推广的行动指南，同时也是检验推广效果是否达到预期目标的衡量标准。同时企业还可借助传统方式来推广如名片、办公用品、宣传材料、媒体广告等。总之推广方式是多变的。但推广也是一个网站成功关键，因为任何企业都不想自己建的网站只能自己看吧。

贴一篇我们内部的文章：

随着浏览器功能的不断完善，用户量不断的攀升，涉及到web服务的功能在不断的增加，对于我们测试来说，我们不仅要保证服务端功能的正确性，也要验证服务端程序的性能是否符合要求。那么性能测试都要做些什么呢？我们该怎样进行性能测试呢？

性能测试一般会围绕以下这些问题而进行：

1 什么情况下需要做性能测试？

2 什么时候做性能测试？

3 做性能测试需要准备哪些内容？

4 什么样的性能指标是符合要求的？

5 性能测试需要收集的数据有哪些？

6 怎样收集这些数据？

7 如何分析收集到的数据？

8 如何给出性能测试报告？

性能测试的执行过程及要做的事儿主要包含以下内容：

1 测试评估阶段

在这个阶段，我们要评估被测的产品是否要进行性能测试，并且对目前的服务器环境进行粗估，服务的性能是否满足条件。

首先要明确只要涉及到准备上线的服务端产品，就需要进行性能测试。其次如果产品需求中明确提到了性能指标，那也必须要做性能测试。

测试人员在进行性能测试前，需要根据当前的收集到的各种信息，预先做性能的评估，收集的内容主要包括带宽、请求包大小、并发用户数和当前web服务的带宽等

2 测试准备阶段

在这个阶段，我们要了解以下内容：

a 服务器的架构是什么样的，例如：web服务器是什么？是如何配置的？数据库用的是什么？服务用的是什么语言编写的？；

b 服务端功能的内部逻辑实现；

c 服务端与数据库是如何交互的，例如：数据库的表结构是什么样的？服务端功能是怎样操作数据库的？

d 服务端与客户端之间是如何进行交互的，即接口定义；

通过收集以上信息，测试人员整理出服务器端各模块之间的交互图，客户端与服务端之间的交互图以及服务端内部功能逻辑实现的流程图。

e 该服务上线后的用户量预估是多少，如果无法评估出用户量，那么可以通过设计测试执行的场景得出这个值；

f 上线要部署到多少台机器上，每台机器的负载均衡是如何设计的，每台机器的配置什么样的，网络环境是什么样的。

g 了解测试环境与线上环境的不同，例如网络环境、硬件配置等

h 制定测试执行的策略，是需要验证需求中的指标能否达到，还是评估系统的最大处理能力。

i 沟通上线的指标

通过收集以上信息，确定性能测试用例该如何设计，如何设计性能测试用例执行的场景，以及上线指标的评估。

3 测试设计阶段

根据测试人员通过之前整理的交互图和流程图，设计相应的性能测试用例。性能测试用例主要分为预期目标用户测试，用户并发测试，疲劳强度与大数量测试，网络性能测试，服务器性能测试，具体编写的测试用例要更具实际情况进行裁减。

用例编写的步骤大致分为：

a 通过脚本模拟单一用户是如何使用这个web服务的。这里模拟的可以是用户使用web服务的某一个动作或某几个动作，某一个功能或几个功能，也可以是使用web服务的整个过程。

b 根据客户端的实际情况和服务器端的策略，通过将脚本中可变的数据进行参数化，来模拟多个用户的操作。

c 验证参数化后脚本功能的正确性。

d 添加检查点

e 设计脚本执行的策略，如每个功能的执行次数，各个功能的执行顺序等

4 测试执行阶段

根据客户端的产品行为设计web服务的测试执行场景及测试执行的过程，即测试执行期间发生的事儿。通过监控程序收集web服务的性能数据和web服务所在系统的性能数据。

在测试执行过程中，还要不断的关注以下内容：

a web服务的连接速度如何？

b 每秒的点击数如何？

c Web服务能允许多少个用户同时在线？

d 如果超过了这个数量，会出现什么现象？

e Web服务能否处理大量用户对同一个页面的请求？

f 如果web服务崩溃，是否会自动恢复？

g 系统能否同一时间响应大量用户的请求？

h 打压机的系统负载状态。

5 测试分析阶段

将收集到的数据制成图表，查看各指标的性能变化曲线，结合之前确定的上线指标，对各项数据进行分析，已确定是否继续对web服务进行测试，结果是否达到了期望值。

6 测试验证阶段

在开发针对发现的性能问题进行修复后，要再执行性能测试的用例对问题进行验证。这里需要关注的是开发在解决问题的同时可能无意中修改了某些功能，所以在验证性能的同时，也要关注原有功能是否受到了影响。

想看原文或者有测试其他相关的问题可以关注下 搜狗测试 微信公众号，我们上面有不少关于性能测试分享~