信息安全产品测试方法概述

1、 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word信息(xnx)平安(png n)产品(chnpn)测试方法介绍 摘 要 介绍(jisho)了常见的IPSec网关，SSL VPN，防火墙，IDS，IPS和反垃圾邮件网关等信息(xnx)平安产品的测试方法和测试步骤，并对IXIA在这方面的特点和优势进行了总结。关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试1 引言IP网络的最大优势是它的开放性，并最大限度地支持终端的智能，这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时，IP网络的开放性与终端的智

2、能化也使得IP网络面临着前所未有的平安威胁；在IP网络中进行的信息通信和传输也显得不太平安。IP网络的平安威胁有两个方面，一是主机包括用户主机和应用效劳器等)的平安，二是网络自身(主要是网络设备，包括路由器、交换机等)的平安。用户主机所感知的平安威胁主要是针对特定操作系统(主要是Windows系统)的攻击，即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。为了防范各种各样的平安威胁和进行平安不泄密的通信，个人终端、企业网络和运营商都安装或者部署了各种各样的平安软件和设备来防范来自主机和网络的威胁或者实现平安加密

3、的通信，这些平安设备包括防火墙，IDS，IPS，垃圾邮件网关，代理效劳器，IPSec网关和SSL VPN网关等。但是这些设备地引入，会对网络的性能造成一定地影响。多个厂家设备地引入，产品的互通性也对网络部署是一个考验。所以，如果评估测试这些平安设备的性能Performance和一致性Conformance就显得尤其重要，全球领先的IP测试方案供给商美国IXIA公司的测试方案可以全面满足信息平安产品的性能、一致性和功能的测试需求。2 实现平安通信的设备测试目前，实现平安通信的最主要方式是采用VPN技术，VPN技术从实现上主要有三大类，基于MPLS技术的VPN，基于IP技术的VPN和基于应用层技术

4、的SSL VPN等。这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN，L3 VPN和Multicast VPN等；基于IP技术的VPN包括二层的L2TP技术，PPTP技术和三层的IPSec技术与GRE技术等。本文主要对目前比拟流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。IPSec VPN是基于网络层的VPN，对所有的IP应用均透明。但是SSL VPN是基于应用层的VPN，对保护基于Web的应用更有优势。两种VPN技术的简单比拟参见表1。由于基于这两种技术(jsh)的差异性，所以对这两种不

5、同的VPN网关测试方法和指标也有些(yuxi)不同。2.1 IPSec VPN平安(png n)网关测试(csh)对于(duy)IPSec VPN网关来说，性能测试方法有两种，一种是早期的测试方法，这种方法是由两台被测设备直接连接起来，由被测设备之间完成IPSec之间的协商过程并建立IPSec的隧道，然后在建立的隧道上运行流量，来评估设备在有IPSec加密情况下的吞吐量Throughput、时延Latency和丢包率Packet Loss等各项性能指标。测试示意见图1。但是(dnsh)，这种方法有很大地局限性，就是不能评估IPSec网关支持(zhch)IPSec隧道的数量以及(yj)隧道建立的

6、速度等指标。所以，目前最普遍的测试方法是使用测试仪表来仿真IPSec网关，和被测IPSec网关建立(jinl)IPSec隧道来评估(pn )被测设备所支持的IPSec隧道的数量以及隧道建立的速度，在隧道建立成功后，测试仪表还可以同时仿真IPSec网关后的主机以及被保护的网络，以验证隧道之上27层数据和应用的转发性能与QoE指标。IXIA的IPSec网关测试方案完全满足上述两种测试方法。本文主要介绍第二种方法。这种方法的测试原理参见图2，它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec平安网关以及平安网关后面被保护的子网和主机，与被测设备建立IPSec的通信隧道，另外一个端口仿真平

7、安网关内被保护的子网或者主机。在IPSec隧道协商成功后，可以在被保护的子网和主机之间发送和分析流量。1IXIA的IPSec性能测试方案能够答复以下关键问题：评估IPSec网关所支持的IPSec隧道的数量。评估IPSec网关建立IPSec隧道的速度。评估IPSec网关在建立IPSec隧道成功后，在IPSec上运行RFC 2544的测试。评估(pn )IPSec网关在建立(jinl)IPSec隧道(sudo)成功后，在IPSec上运行(ynxng)有状态的Stateful应用层流量测试，目前最为关注的就是该特性的测试，可以直接(zhji)验证IPSec之上承载多种真实业务的能力。2IXIA的IP

8、Sec 性能测试方案具有以下特点： 测试网络平安设备的IPSec Tunnel容量，Tunnel建立速度以及Tunnel建立起来之后的RFC 2544测试和应用层业务承载能力。应用层流量包括HTTP，SIP，MGCP和视频等；每个测试端口最多支持1.6万个IPSec的隧道，160个Tunnel/s的隧道建立速度，超过950Mbit/s以上的吞吐量。支持IPSec的IPv4和IPv6版本。支持AH，ESP或者两者结合的加密算法：Null，DES，3DES，AES 128，AES 192，AES 256等封装算法；MD5，SHA-1认证算法，Certificates，Pre-shared Keys

9、等Phase 1认证模式；GROUP 1，2，5，14，15，16等DH组。支持GRE和VLAN配置，支持GRE over IPSec和IPSec over GRE等特性测试。可以线速加密数据进行RFC 2544基准测试以及长时间地性能测试。支持IKE的版本1和2；支持动态多点VPNDMVPN。在IKE协商的第一阶段，支持Main模式和Aggressive模式，Hash算法HMAC-MD5，HMAC-SHA1，Xauth用户认证，模式地址分配，用户认证预先共享密钥及证书，NAT转换(NAT-T)，支持隧道模式Tunnel和传输模式Transport不同的封装方式，Lifetime协商和Re-k

10、eying。IKE协商的第二阶段，支持AH，ESP和AH+ESP，Hash算法HMAC-MD5，HMAC-SHA1，完整转发平安性(PFS)，IPSec keep-alives和Dead Peer Detection (DPD)。另外，IXIA公司的平安测试方案还可以在同一平台上实现IPSec的一致性Conformance测试。支持的测试协议和测试例参见表2。这些特点为IPSec性能测试和一致性测试提供了有力地保证。2.2 SSL VPN网关测试(csh)SSL VPN的技术(jsh)特点在上面已经和IPSec VPN做了简单(jindn)地比拟(bn)，从技术上来说，SSL VPN有很多面向

11、应用的特点，所以在性能(xngnng)测试的方法上也和IPSec有很大不同。从技术上来说，SSL VPN也有三种类型，包括无客户端模式Clientless Mode、简化模式Thin Client Mode和安装客户端模式Tunnel Mode。目前，能够用仪表进行性能测试的，主要是无客户端模式，也就是通常讨论的SSL测试。谈到SSL VPN产品的性能测试，首先要区分的是SSL Server和SSL VPN，SSL Server相当于SSL VPN中的反向代理功能，二者的要求是不一样的，SSL Server面对的是业务系统，如电子商务网站、网上银行等，它强调地是性能，目前国内可见的SSL Se

12、rver产品性能可达2万TPS和400万同时在线用户数；而SSL VPN面向的是远程接入，即管理系统，它强调地是易于使用和管理、平安性等，一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程，其中认证、授权、记录日志所消耗的时间远远高于SSL握手，不可能到达SSL Server那样高的性能，如果需要非常高的性能，要使用多台SSL VPN堆叠来实现。中有通过该组织认证的SSL VPN厂商列表，也可以说，只有在这儿能够查到的SSL VPN厂商的产品，才是真正地各个厂家能够互通的SSL VPN产品。IXIA公司作为VPNC协会中的惟一测试仪表提供商，一直在跟踪这方面的技术，并且有很

13、好地测试解决方案。相应的VPNC会员列表，请参考下面链接：。IXIA的SSL VPN性能测试方案主要有下面的特点：1支持SSLv2，SSLv3，TLS1.0。2支持全面的密码套件，包括DES，3DES，RC4，MD5，SHA。3支持私有(syu)密钥和会话重用。4用户(yngh)可配置地客户端密钥和证书。SSL VPN的测试(csh)示意如图3所示。这些(zhxi)特点可以用于客户端，也可以用于效劳(xio lo)器端，为SSL VPN测试带来很大地灵活性和方便性。SSL VPN性能测试的主要指标包括：1在不同加密算法下的有效吞吐量Goodput。2并发连接数Concurrent Connec

14、tion。3新建SSL 连接的速率Connection Rate。3 保障信息平安产品的测试保障信息平安的产品比拟多，比方防火墙，IDS，IPS，防垃圾邮件网关和内容检测系统等等都属于保障信息平安的产品。下面对这些产品的性能测试方法做一简单介绍。3.1 防火墙测试防火墙是应用最广泛地信息平安产品，防火墙测试也是目前信息平安测试领域的一个热点。从功能上来说，防火墙地作用是让合法的流量正常通过，并能够拦截各种非法与攻击流量。防火墙类型比拟多，比方无状态包过滤类型Stateless packet filtering、有状态包过滤类型 Stateful Packet Filtering、基于NAT类型

15、静态，动态，PAT、基于代理类型 Proxy等。但无论是何种类型，测试防火墙的性能，都要遵守IETF提出的RFC 3511标准，该标准标准了测试防火墙性能的方法和测试项，这些测试项包括：IP吞吐量IP Throughput，并发的TCP连接数量Concurrent TCP Connection Capacity，最大地TCP连接建立速度Maximum TCP Connection Establishment Rate，最大地TCP连接撤除速度Maximum TCP Connection Tear Down Rate，防火墙对DoS的防范能力Denial of Service Handling，

16、HTTP转发率HTTP Transfer Rate，最大地HTTP交易速率Maximum HTTP Transaction Rate，对“非法流量地防范能力Illegal Traffic Handling，防火墙对IP包分拆组合地处理能力IP Fragmentation Handling，时延Latency。IXIA的防火墙平安(png n)测试方案可以(ky)满足RFC 3511里面规定的测试项，并且这些测试项已经用自动化地测试脚本实现，可以十分方便快捷地完成相关测试。相关特点(tdin)包括：1测试仪表(ybio)的每个端口都可以仿真(fn zhn)客户端或者效劳器端，使用方便。2各项性能

17、指标随着端口数量的增加而线性增加，可以产生超千万TCP并发连接数、几十万每秒新增TCP连接数和接近线速地应用层吞吐量，特别是在10G高速率下，IXIA可以产生线速的应用层流量。3随着防火墙功能复杂程度越来越高，需要验证防火墙在各种应用层业务包括数据、语音和视频等和非法流量混合情况下地处理和检测能力见图4。IXIA同时可以仿真包括P2P协议在内超过20种应用层的流量以验证防火墙的转发性能。4防火墙对一些“私有协议流量地防范，可以通过IxLoad强大地“Application Replay功能进行验证。该特点同样可以用于其他相关信息平安产品地性能测试。在这里有一个问题被经常提起，就是在正常流量和非

18、法流量混合的情况下，如何在测试仪表上能够直接观察到防火墙是否对非法流量进行了有效拦截？IxLoad的“Packet Monitor功能可以答复该问题，其特点是在接收端具有检测功能，验证攻击流量是否被防火墙所丢弃，这个特性对信息平安产品的测试非常重要，可以实时了解防火墙对各种攻击流量的防范能力，该功能同样可用于下面将要介绍的IDS，IPS等产品的测试。3.2 IDS入侵(rqn)检测系统和IPS入侵防御(fngy)系统设备(shbi)测试IDS本质上是一种(y zhn)监听系统，它依照一定的平安(png n)策略，对网络与系统地运行状况进行监测，尽可能发现、报告、记录各种攻击企图、攻击行为或者攻

19、击结果，以保证信息系统的机密性、完整性和可用性。IDS可分为主机型HIDS和网络型NIDS，目前主流IDS产品均采用两者有机结合地混合型架构。IPS串联于通信线路之内，是既具有IDS的检测功能，又能够实时中止网络入侵行为的新型平安技术设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施与预先设定的响应设置。从测试方法上来说，这两种设备的测试方法根本相同，都是通过测试仪表或者其他攻击工具产生攻击仿真各种类型的攻击数据包DDoS或者NESSUS漏洞扫描和攻击，同时通过测试仪表产生所需要的压力流量无状态和有状态的流量，来验证IDS或者IPS的检测和防御能力。测试指标主要包括：1检测非法入

20、侵的能力；2抗欺骗能力IDS误报，IDS漏报；3自身平安性。但是，IPS除了具有检测功能外，还有对异常或者攻击流量的防御功能，决定了还需要测试其防御特性，这些特点和防火墙的测试方法类似，测试标准同样也需要遵守RFC 3511的标准。所以在这里就不详细介绍。测试拓扑示意如图5所示。3.3 反垃圾邮件网关的测试反垃圾邮件网关作为平安产品的重要组成局部，越来越受到业界地关注，单一的反垃圾邮件网关功能也进一步扩展具有反垃圾邮件、防范蠕虫病毒攻击、防范DDoS攻击和防范漏洞扫描等于一体的综合性信息平安产品。IXIA公司的反垃圾邮件性能测试方案可以测试反垃圾邮件网关系统的各项指标，包括POP3，SMTP和

21、IMAP邮件网关的吞吐量、在一定时间内发送的E-mail的数量、在一定时间内发送的E-mail附件的数量、邮件转发成功率、最大SMTP并发连接数、SMTP请求处理的速度等。从测试方法上来说，首先要进行(jnxng)基准测试，也就是在反垃圾邮件网关上不启用任何过滤规那么(n me)，验证(ynzhng)其上述各项性能指标。然后启用各种过滤规那么(n me)，分别(fnbi)验证反垃圾邮件网关在启用垃圾邮件扫描、病毒邮件和附件扫描、DDoS攻击扫描等规那么下的性能。测试拓扑图和IDS的测试类似，可以参考图5。IXIA的反垃圾邮件网关测试方案有以下特点：1支持POP3，APOP3，SMTP，IMAP

22、等常见的邮件协议。2POP3协议主要支持下面这些常见的命令来更加真实的仿真接收Email的过程：OPEN，STAT，DELE，NOOP，RSET，LIST，UIDL，RETR，TOP，QUIT等。另外，支持发送E-mail认证Authentication的仿真APOP3。3SMTP协议主要支持下面这些常见的命令来更加真实地仿真发送E-mail的过程：OPEN，MAIL，NOOP，RSET，SLEEP，QUIT等。4IMAP主要支持下面这些常见的命令来更加真实地仿真发送和接收E-mail的过程：LOGIN，SELECT，FETCH，LOGOUT等。5IXIA可以十分方便地仿真多个不同的E-mail地址发送给不同的接收者，每个E-mail都可以有不同的主题Subject；E-mail可以抄送CC、暗送BCC给不同的人。E-mail的正文可以是文本，HTML或者Random格式