信息安全產(chǎn)品測(cè)試方法概述

1、 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word信息(xnx)平安(png n)產(chǎn)品(chnpn)測(cè)試方法介紹 摘 要 介紹(jisho)了常見的IPSec網(wǎng)關(guān)，SSL VPN，防火墻，IDS，IPS和反垃圾郵件網(wǎng)關(guān)等信息(xnx)平安產(chǎn)品的測(cè)試方法和測(cè)試步驟，并對(duì)IXIA在這方面的特點(diǎn)和優(yōu)勢(shì)進(jìn)行了總結(jié)。關(guān)鍵詞 IPSec網(wǎng)關(guān) SSL VPN 防火墻 IDS IPS 反垃圾郵件網(wǎng)關(guān)測(cè)試1 引言IP網(wǎng)絡(luò)的最大優(yōu)勢(shì)是它的開放性，并最大限度地支持終端的智能，這使得IP網(wǎng)絡(luò)中存在著各種各樣豐富多彩的業(yè)務(wù)與應(yīng)用。但與此同時(shí)，IP網(wǎng)絡(luò)的開放性與終端的智

2、能化也使得IP網(wǎng)絡(luò)面臨著前所未有的平安威脅；在IP網(wǎng)絡(luò)中進(jìn)行的信息通信和傳輸也顯得不太平安。IP網(wǎng)絡(luò)的平安威脅有兩個(gè)方面，一是主機(jī)包括用戶主機(jī)和應(yīng)用效勞器等)的平安，二是網(wǎng)絡(luò)自身(主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等)的平安。用戶主機(jī)所感知的平安威脅主要是針對(duì)特定操作系統(tǒng)(主要是Windows系統(tǒng))的攻擊，即所謂病毒。網(wǎng)絡(luò)設(shè)備主要面對(duì)的是基于TCP/IP協(xié)議的攻擊。信息通信和交換的泄密主要來自信息在交換和傳輸過程中沒有加密而被竊取或盜聽。為了防范各種各樣的平安威脅和進(jìn)行平安不泄密的通信，個(gè)人終端、企業(yè)網(wǎng)絡(luò)和運(yùn)營商都安裝或者部署了各種各樣的平安軟件和設(shè)備來防范來自主機(jī)和網(wǎng)絡(luò)的威脅或者實(shí)現(xiàn)平安加密

3、的通信，這些平安設(shè)備包括防火墻，IDS，IPS，垃圾郵件網(wǎng)關(guān)，代理效勞器，IPSec網(wǎng)關(guān)和SSL VPN網(wǎng)關(guān)等。但是這些設(shè)備地引入，會(huì)對(duì)網(wǎng)絡(luò)的性能造成一定地影響。多個(gè)廠家設(shè)備地引入，產(chǎn)品的互通性也對(duì)網(wǎng)絡(luò)部署是一個(gè)考驗(yàn)。所以，如果評(píng)估測(cè)試這些平安設(shè)備的性能Performance和一致性Conformance就顯得尤其重要，全球領(lǐng)先的IP測(cè)試方案供給商美國IXIA公司的測(cè)試方案可以全面滿足信息平安產(chǎn)品的性能、一致性和功能的測(cè)試需求。2 實(shí)現(xiàn)平安通信的設(shè)備測(cè)試目前，實(shí)現(xiàn)平安通信的最主要方式是采用VPN技術(shù)，VPN技術(shù)從實(shí)現(xiàn)上主要有三大類，基于MPLS技術(shù)的VPN，基于IP技術(shù)的VPN和基于應(yīng)用層技術(shù)

4、的SSL VPN等。這些VPN技術(shù)和設(shè)備的測(cè)試都可以很方便地通過IXIA公司的工具來實(shí)現(xiàn)?；贛PLS技術(shù)的VPN包括L2 VPN，L3 VPN和Multicast VPN等；基于IP技術(shù)的VPN包括二層的L2TP技術(shù)，PPTP技術(shù)和三層的IPSec技術(shù)與GRE技術(shù)等。本文主要對(duì)目前比擬流行的基于三層IP技術(shù)的IPSec VPN以及基于應(yīng)用層技術(shù)的SSL VPN測(cè)試進(jìn)行介紹。IPSec VPN是基于網(wǎng)絡(luò)層的VPN，對(duì)所有的IP應(yīng)用均透明。但是SSL VPN是基于應(yīng)用層的VPN，對(duì)保護(hù)基于Web的應(yīng)用更有優(yōu)勢(shì)。兩種VPN技術(shù)的簡(jiǎn)單比擬參見表1。由于基于這兩種技術(shù)(jsh)的差異性，所以對(duì)這兩種不

5、同的VPN網(wǎng)關(guān)測(cè)試方法和指標(biāo)也有些(yuxi)不同。2.1 IPSec VPN平安(png n)網(wǎng)關(guān)測(cè)試(csh)對(duì)于(duy)IPSec VPN網(wǎng)關(guān)來說，性能測(cè)試方法有兩種，一種是早期的測(cè)試方法，這種方法是由兩臺(tái)被測(cè)設(shè)備直接連接起來，由被測(cè)設(shè)備之間完成IPSec之間的協(xié)商過程并建立IPSec的隧道，然后在建立的隧道上運(yùn)行流量，來評(píng)估設(shè)備在有IPSec加密情況下的吞吐量Throughput、時(shí)延Latency和丟包率Packet Loss等各項(xiàng)性能指標(biāo)。測(cè)試示意見圖1。但是(dnsh)，這種方法有很大地局限性，就是不能評(píng)估IPSec網(wǎng)關(guān)支持(zhch)IPSec隧道的數(shù)量以及(yj)隧道建立的

6、速度等指標(biāo)。所以，目前最普遍的測(cè)試方法是使用測(cè)試儀表來仿真IPSec網(wǎng)關(guān)，和被測(cè)IPSec網(wǎng)關(guān)建立(jinl)IPSec隧道來評(píng)估(pn )被測(cè)設(shè)備所支持的IPSec隧道的數(shù)量以及隧道建立的速度，在隧道建立成功后，測(cè)試儀表還可以同時(shí)仿真IPSec網(wǎng)關(guān)后的主機(jī)以及被保護(hù)的網(wǎng)絡(luò)，以驗(yàn)證隧道之上27層數(shù)據(jù)和應(yīng)用的轉(zhuǎn)發(fā)性能與QoE指標(biāo)。IXIA的IPSec網(wǎng)關(guān)測(cè)試方案完全滿足上述兩種測(cè)試方法。本文主要介紹第二種方法。這種方法的測(cè)試原理參見圖2，它是通過IXIA IP性能測(cè)試儀的一個(gè)端口來仿真多個(gè)IPSec平安網(wǎng)關(guān)以及平安網(wǎng)關(guān)后面被保護(hù)的子網(wǎng)和主機(jī)，與被測(cè)設(shè)備建立IPSec的通信隧道，另外一個(gè)端口仿真平

7、安網(wǎng)關(guān)內(nèi)被保護(hù)的子網(wǎng)或者主機(jī)。在IPSec隧道協(xié)商成功后，可以在被保護(hù)的子網(wǎng)和主機(jī)之間發(fā)送和分析流量。1IXIA的IPSec性能測(cè)試方案能夠答復(fù)以下關(guān)鍵問題：評(píng)估IPSec網(wǎng)關(guān)所支持的IPSec隧道的數(shù)量。評(píng)估IPSec網(wǎng)關(guān)建立IPSec隧道的速度。評(píng)估IPSec網(wǎng)關(guān)在建立IPSec隧道成功后，在IPSec上運(yùn)行RFC 2544的測(cè)試。評(píng)估(pn )IPSec網(wǎng)關(guān)在建立(jinl)IPSec隧道(sudo)成功后，在IPSec上運(yùn)行(ynxng)有狀態(tài)的Stateful應(yīng)用層流量測(cè)試，目前最為關(guān)注的就是該特性的測(cè)試，可以直接(zhji)驗(yàn)證IPSec之上承載多種真實(shí)業(yè)務(wù)的能力。2IXIA的IP

8、Sec 性能測(cè)試方案具有以下特點(diǎn)： 測(cè)試網(wǎng)絡(luò)平安設(shè)備的IPSec Tunnel容量，Tunnel建立速度以及Tunnel建立起來之后的RFC 2544測(cè)試和應(yīng)用層業(yè)務(wù)承載能力。應(yīng)用層流量包括HTTP，SIP，MGCP和視頻等；每個(gè)測(cè)試端口最多支持1.6萬個(gè)IPSec的隧道，160個(gè)Tunnel/s的隧道建立速度，超過950Mbit/s以上的吞吐量。支持IPSec的IPv4和IPv6版本。支持AH，ESP或者兩者結(jié)合的加密算法：Null，DES，3DES，AES 128，AES 192，AES 256等封裝算法；MD5，SHA-1認(rèn)證算法，Certificates，Pre-shared Keys

9、等Phase 1認(rèn)證模式；GROUP 1，2，5，14，15，16等DH組。支持GRE和VLAN配置，支持GRE over IPSec和IPSec over GRE等特性測(cè)試?？梢跃€速加密數(shù)據(jù)進(jìn)行RFC 2544基準(zhǔn)測(cè)試以及長(zhǎng)時(shí)間地性能測(cè)試。支持IKE的版本1和2；支持動(dòng)態(tài)多點(diǎn)VPNDMVPN。在IKE協(xié)商的第一階段，支持Main模式和Aggressive模式，Hash算法HMAC-MD5，HMAC-SHA1，Xauth用戶認(rèn)證，模式地址分配，用戶認(rèn)證預(yù)先共享密鑰及證書，NAT轉(zhuǎn)換(NAT-T)，支持隧道模式Tunnel和傳輸模式Transport不同的封裝方式，Lifetime協(xié)商和Re-k

10、eying。IKE協(xié)商的第二階段，支持AH，ESP和AH+ESP，Hash算法HMAC-MD5，HMAC-SHA1，完整轉(zhuǎn)發(fā)平安性(PFS)，IPSec keep-alives和Dead Peer Detection (DPD)。另外，IXIA公司的平安測(cè)試方案還可以在同一平臺(tái)上實(shí)現(xiàn)IPSec的一致性Conformance測(cè)試。支持的測(cè)試協(xié)議和測(cè)試?yán)齾⒁姳?。這些特點(diǎn)為IPSec性能測(cè)試和一致性測(cè)試提供了有力地保證。2.2 SSL VPN網(wǎng)關(guān)測(cè)試(csh)SSL VPN的技術(shù)(jsh)特點(diǎn)在上面已經(jīng)和IPSec VPN做了簡(jiǎn)單(jindn)地比擬(bn)，從技術(shù)上來說，SSL VPN有很多面向

11、應(yīng)用的特點(diǎn)，所以在性能(xngnng)測(cè)試的方法上也和IPSec有很大不同。從技術(shù)上來說，SSL VPN也有三種類型，包括無客戶端模式Clientless Mode、簡(jiǎn)化模式Thin Client Mode和安裝客戶端模式Tunnel Mode。目前，能夠用儀表進(jìn)行性能測(cè)試的，主要是無客戶端模式，也就是通常討論的SSL測(cè)試。談到SSL VPN產(chǎn)品的性能測(cè)試，首先要區(qū)分的是SSL Server和SSL VPN，SSL Server相當(dāng)于SSL VPN中的反向代理功能，二者的要求是不一樣的，SSL Server面對(duì)的是業(yè)務(wù)系統(tǒng)，如電子商務(wù)網(wǎng)站、網(wǎng)上銀行等，它強(qiáng)調(diào)地是性能，目前國內(nèi)可見的SSL Se

12、rver產(chǎn)品性能可達(dá)2萬TPS和400萬同時(shí)在線用戶數(shù)；而SSL VPN面向的是遠(yuǎn)程接入，即管理系統(tǒng)，它強(qiáng)調(diào)地是易于使用和管理、平安性等，一個(gè)SSL VPN用戶的登錄包括SSL握手、認(rèn)證、授權(quán)、記錄日志等過程，其中認(rèn)證、授權(quán)、記錄日志所消耗的時(shí)間遠(yuǎn)遠(yuǎn)高于SSL握手，不可能到達(dá)SSL Server那樣高的性能，如果需要非常高的性能，要使用多臺(tái)SSL VPN堆疊來實(shí)現(xiàn)。中有通過該組織認(rèn)證的SSL VPN廠商列表，也可以說，只有在這兒能夠查到的SSL VPN廠商的產(chǎn)品，才是真正地各個(gè)廠家能夠互通的SSL VPN產(chǎn)品。IXIA公司作為VPNC協(xié)會(huì)中的惟一測(cè)試儀表提供商，一直在跟蹤這方面的技術(shù)，并且有很

13、好地測(cè)試解決方案。相應(yīng)的VPNC會(huì)員列表，請(qǐng)參考下面鏈接：。IXIA的SSL VPN性能測(cè)試方案主要有下面的特點(diǎn)：1支持SSLv2，SSLv3，TLS1.0。2支持全面的密碼套件，包括DES，3DES，RC4，MD5，SHA。3支持私有(syu)密鑰和會(huì)話重用。4用戶(yngh)可配置地客戶端密鑰和證書。SSL VPN的測(cè)試(csh)示意如圖3所示。這些(zhxi)特點(diǎn)可以用于客戶端，也可以用于效勞(xio lo)器端，為SSL VPN測(cè)試帶來很大地靈活性和方便性。SSL VPN性能測(cè)試的主要指標(biāo)包括：1在不同加密算法下的有效吞吐量Goodput。2并發(fā)連接數(shù)Concurrent Connec

14、tion。3新建SSL 連接的速率Connection Rate。3 保障信息平安產(chǎn)品的測(cè)試保障信息平安的產(chǎn)品比擬多，比方防火墻，IDS，IPS，防垃圾郵件網(wǎng)關(guān)和內(nèi)容檢測(cè)系統(tǒng)等等都屬于保障信息平安的產(chǎn)品。下面對(duì)這些產(chǎn)品的性能測(cè)試方法做一簡(jiǎn)單介紹。3.1 防火墻測(cè)試防火墻是應(yīng)用最廣泛地信息平安產(chǎn)品，防火墻測(cè)試也是目前信息平安測(cè)試領(lǐng)域的一個(gè)熱點(diǎn)。從功能上來說，防火墻地作用是讓合法的流量正常通過，并能夠攔截各種非法與攻擊流量。防火墻類型比擬多，比方無狀態(tài)包過濾類型Stateless packet filtering、有狀態(tài)包過濾類型 Stateful Packet Filtering、基于NAT類型

15、靜態(tài)，動(dòng)態(tài)，PAT、基于代理類型 Proxy等。但無論是何種類型，測(cè)試防火墻的性能，都要遵守IETF提出的RFC 3511標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)標(biāo)準(zhǔn)了測(cè)試防火墻性能的方法和測(cè)試項(xiàng)，這些測(cè)試項(xiàng)包括：IP吞吐量IP Throughput，并發(fā)的TCP連接數(shù)量Concurrent TCP Connection Capacity，最大地TCP連接建立速度Maximum TCP Connection Establishment Rate，最大地TCP連接撤除速度Maximum TCP Connection Tear Down Rate，防火墻對(duì)DoS的防范能力Denial of Service Handling，

16、HTTP轉(zhuǎn)發(fā)率HTTP Transfer Rate，最大地HTTP交易速率Maximum HTTP Transaction Rate，對(duì)“非法流量地防范能力Illegal Traffic Handling，防火墻對(duì)IP包分拆組合地處理能力IP Fragmentation Handling，時(shí)延Latency。IXIA的防火墻平安(png n)測(cè)試方案可以(ky)滿足RFC 3511里面規(guī)定的測(cè)試項(xiàng)，并且這些測(cè)試項(xiàng)已經(jīng)用自動(dòng)化地測(cè)試腳本實(shí)現(xiàn)，可以十分方便快捷地完成相關(guān)測(cè)試。相關(guān)特點(diǎn)(tdin)包括：1測(cè)試儀表(ybio)的每個(gè)端口都可以仿真(fn zhn)客戶端或者效勞器端，使用方便。2各項(xiàng)性能

17、指標(biāo)隨著端口數(shù)量的增加而線性增加，可以產(chǎn)生超千萬TCP并發(fā)連接數(shù)、幾十萬每秒新增TCP連接數(shù)和接近線速地應(yīng)用層吞吐量，特別是在10G高速率下，IXIA可以產(chǎn)生線速的應(yīng)用層流量。3隨著防火墻功能復(fù)雜程度越來越高，需要驗(yàn)證防火墻在各種應(yīng)用層業(yè)務(wù)包括數(shù)據(jù)、語音和視頻等和非法流量混合情況下地處理和檢測(cè)能力見圖4。IXIA同時(shí)可以仿真包括P2P協(xié)議在內(nèi)超過20種應(yīng)用層的流量以驗(yàn)證防火墻的轉(zhuǎn)發(fā)性能。4防火墻對(duì)一些“私有協(xié)議流量地防范，可以通過IxLoad強(qiáng)大地“Application Replay功能進(jìn)行驗(yàn)證。該特點(diǎn)同樣可以用于其他相關(guān)信息平安產(chǎn)品地性能測(cè)試。在這里有一個(gè)問題被經(jīng)常提起，就是在正常流量和非

18、法流量混合的情況下，如何在測(cè)試儀表上能夠直接觀察到防火墻是否對(duì)非法流量進(jìn)行了有效攔截？IxLoad的“Packet Monitor功能可以答復(fù)該問題，其特點(diǎn)是在接收端具有檢測(cè)功能，驗(yàn)證攻擊流量是否被防火墻所丟棄，這個(gè)特性對(duì)信息平安產(chǎn)品的測(cè)試非常重要，可以實(shí)時(shí)了解防火墻對(duì)各種攻擊流量的防范能力，該功能同樣可用于下面將要介紹的IDS，IPS等產(chǎn)品的測(cè)試。3.2 IDS入侵(rqn)檢測(cè)系統(tǒng)和IPS入侵防御(fngy)系統(tǒng)設(shè)備(shbi)測(cè)試IDS本質(zhì)上是一種(y zhn)監(jiān)聽系統(tǒng)，它依照一定的平安(png n)策略，對(duì)網(wǎng)絡(luò)與系統(tǒng)地運(yùn)行狀況進(jìn)行監(jiān)測(cè)，盡可能發(fā)現(xiàn)、報(bào)告、記錄各種攻擊企圖、攻擊行為或者攻

19、擊結(jié)果，以保證信息系統(tǒng)的機(jī)密性、完整性和可用性。IDS可分為主機(jī)型HIDS和網(wǎng)絡(luò)型NIDS，目前主流IDS產(chǎn)品均采用兩者有機(jī)結(jié)合地混合型架構(gòu)。IPS串聯(lián)于通信線路之內(nèi)，是既具有IDS的檢測(cè)功能，又能夠?qū)崟r(shí)中止網(wǎng)絡(luò)入侵行為的新型平安技術(shù)設(shè)備。IPS由檢測(cè)和防御兩大系統(tǒng)組成，具備從網(wǎng)絡(luò)到主機(jī)的防御措施與預(yù)先設(shè)定的響應(yīng)設(shè)置。從測(cè)試方法上來說，這兩種設(shè)備的測(cè)試方法根本相同，都是通過測(cè)試儀表或者其他攻擊工具產(chǎn)生攻擊仿真各種類型的攻擊數(shù)據(jù)包DDoS或者NESSUS漏洞掃描和攻擊，同時(shí)通過測(cè)試儀表產(chǎn)生所需要的壓力流量無狀態(tài)和有狀態(tài)的流量，來驗(yàn)證IDS或者IPS的檢測(cè)和防御能力。測(cè)試指標(biāo)主要包括：1檢測(cè)非法入

20、侵的能力；2抗欺騙能力IDS誤報(bào)，IDS漏報(bào)；3自身平安性。但是，IPS除了具有檢測(cè)功能外，還有對(duì)異?；蛘吖袅髁康姆烙δ?，決定了還需要測(cè)試其防御特性，這些特點(diǎn)和防火墻的測(cè)試方法類似，測(cè)試標(biāo)準(zhǔn)同樣也需要遵守RFC 3511的標(biāo)準(zhǔn)。所以在這里就不詳細(xì)介紹。測(cè)試拓?fù)涫疽馊鐖D5所示。3.3 反垃圾郵件網(wǎng)關(guān)的測(cè)試反垃圾郵件網(wǎng)關(guān)作為平安產(chǎn)品的重要組成局部，越來越受到業(yè)界地關(guān)注，單一的反垃圾郵件網(wǎng)關(guān)功能也進(jìn)一步擴(kuò)展具有反垃圾郵件、防范蠕蟲病毒攻擊、防范DDoS攻擊和防范漏洞掃描等于一體的綜合性信息平安產(chǎn)品。IXIA公司的反垃圾郵件性能測(cè)試方案可以測(cè)試反垃圾郵件網(wǎng)關(guān)系統(tǒng)的各項(xiàng)指標(biāo)，包括POP3，SMTP和

21、IMAP郵件網(wǎng)關(guān)的吞吐量、在一定時(shí)間內(nèi)發(fā)送的E-mail的數(shù)量、在一定時(shí)間內(nèi)發(fā)送的E-mail附件的數(shù)量、郵件轉(zhuǎn)發(fā)成功率、最大SMTP并發(fā)連接數(shù)、SMTP請(qǐng)求處理的速度等。從測(cè)試方法上來說，首先要進(jìn)行(jnxng)基準(zhǔn)測(cè)試，也就是在反垃圾郵件網(wǎng)關(guān)上不啟用任何過濾規(guī)那么(n me)，驗(yàn)證(ynzhng)其上述各項(xiàng)性能指標(biāo)。然后啟用各種過濾規(guī)那么(n me)，分別(fnbi)驗(yàn)證反垃圾郵件網(wǎng)關(guān)在啟用垃圾郵件掃描、病毒郵件和附件掃描、DDoS攻擊掃描等規(guī)那么下的性能。測(cè)試拓?fù)鋱D和IDS的測(cè)試類似，可以參考圖5。IXIA的反垃圾郵件網(wǎng)關(guān)測(cè)試方案有以下特點(diǎn)：1支持POP3，APOP3，SMTP，IMAP

22、等常見的郵件協(xié)議。2POP3協(xié)議主要支持下面這些常見的命令來更加真實(shí)的仿真接收Email的過程：OPEN，STAT，DELE，NOOP，RSET，LIST，UIDL，RETR，TOP，QUIT等。另外，支持發(fā)送E-mail認(rèn)證Authentication的仿真APOP3。3SMTP協(xié)議主要支持下面這些常見的命令來更加真實(shí)地仿真發(fā)送E-mail的過程：OPEN，MAIL，NOOP，RSET，SLEEP，QUIT等。4IMAP主要支持下面這些常見的命令來更加真實(shí)地仿真發(fā)送和接收E-mail的過程：LOGIN，SELECT，F(xiàn)ETCH，LOGOUT等。5IXIA可以十分方便地仿真多個(gè)不同的E-mail地址發(fā)送給不同的接收者，每個(gè)E-mail都可以有不同的主題Subject；E-mail可以抄送CC、暗送BCC給不同的人。E-mail的正文可以是文本，HTML或者Random格式