隨著互聯網應用類型的不斷增加以及應用形式的不斷變化,層出不窮的的安全威脅時刻發生在我們身邊。基于服務的架構以及Web2.0使用的普及,使更多的通信只是通過少數幾個端口及采用有限的幾個協議就可以完成,這就使得基于端口/協議類安全策略的傳統防火墻無法應對各種新的安全威脅。下一代防火墻就是在這種背景下提出的,相對于傳統防火墻,下一代防火墻具有以下特點:
l 全面的應用層流量識別與管理
l 高精度、高效率的入侵檢測
l 實時的病毒防護
l 迅捷的URL分類過濾
l 卓越的應用層安全處理性能
l 兼容傳統防火墻的所有功能特性
針對新的功能,我們也提出新的測試方法,下面將重點從功能測試、性能測試兩方面分別進行介紹。功能測試主要從入侵檢測及應用識別兩方面進行描述,其他業務測試方法類似。
一、功能測試
1.入侵檢測及防御功能測試
IPS(Intrusion Prevention System,入侵防御系統)是一種可以對應用層攻擊進行檢測并防御的安全防御技術。在實際使用中,用戶關心的是實際發生的攻擊IPS能否識別并進行攔截,開啟IPS后對用戶的正常使用是否會造成影響,這就是IPS攻擊特征的識別及誤識別。入侵攔截率即對流經設備的攻擊成功阻斷的比率,是衡量一款入侵檢測設備好壞的重要指標。
入侵攔截率測試在測試前建議更新官方發布的最新特征庫,在被測設備上使能所有攻擊特征,特征匹配的處理動作為重置或丟棄并記錄日志。測試采用BPS(BreakingPoint Systems)測試儀,構造兩部分流量:一部分為正常業務的背景流量,要求不影響設備的性能,不會引起丟包,一般可設置為設備處理性能的10%;一部分為攻擊流量,BPS支持Level 1到Level 5 五個樣本集,各樣本集中的樣本數依次增加。在測試過程中可以依次采用Level 1 到Level 5進行測試。每運行一輪后,通過對設備產生的日志及BPS測試儀運行報告進行對比,得出被測設備識別率和誤報率。
在實際的攻擊過程中,攻擊者可能會增加各種逃逸手段,使攻擊逃過IPS系統的檢測,因此我們在測試時也需要考慮到這種情況。常見的逃逸方式有IP分片、TCP分段、協議端口重定向、采用特殊的編碼格式、采用分隔符逃逸、采用大小寫逃逸等。在測試中可以通過測試儀構造各種逃逸手段,對比沒有逃逸手段時的測試結果,被測設備的識別率應該不會下降。
2.應用識別與流量管理測試
應用識別與流量管理,主要提供以下三個功能:
l 限制最大帶寬。如限制P2P、視頻等占用大量資源的應用的最大帶寬;
l 保障關鍵業務的保障帶寬;
l 應用流量監控統計。
要實現上面三個功能,首先要做的是要把流經設備的應用識別出來。目前提供有兩種方式,基于特征的應用識別和基于數據流的應用識別。對應基于特征的識別,由于這些特征都是從樣本中提取的,而在選取樣本時就可能存在選取的樣本不夠多不夠全面,導致定義的特征不能涵蓋該種應用的所有資源,這就會出現不能識別應用的情況;或者定義的特征相對寬泛,這樣就會導致誤識別的出現,因此對于應用識別是測試的另一重點。
目前各廠商基本都能支持幾千種的應用特征,對每種應用進行遍歷測試在人力及時間都比較緊缺的情況下不夠現實,因此比較常見的方法為在現網中選取幾個使用范圍比較廣的應用進行測試,比如迅雷、QQ、微信、微博、主流的在線視頻、Http下載、web mail等進行測試。在測試中對同一應用的不同版本都需要進行驗證,對于下載類應用還需要對各種下載方式及不同的種子進行驗證。其次需要注意各應用的精細化測試,比如QQ就包括QQ聊天、QQ文件傳輸、QQ語音、QQ視頻等功能,被測設備能否針對每種功能分別進行限速及阻斷也是測試中需要重點關注的。
現在Spirent和IXIA測試儀廠商能夠模擬的應用也越來越多,在實驗室環境下我們可以采用測試儀模擬真實的應用流量進行測試,對于測試儀無法模擬的流量,可以通過現網抓包以報文回放的方式進行測試。同時也需要考慮對分片分段報文的處理,以及對于分布式的架構,需要考慮多引擎處理的情況。
二、性能測試
防火墻不能成為網絡的瓶頸,在進行深度數據包檢測的時候也不應該成為網絡的瓶頸,因此下一代防火墻的性能除了需要測試在開啟應用檢測時的新建、并發,還需要測試在開啟IPS及內容過濾、病毒防護時的新建、并發,并且需要在有攻擊流量背景的情況下進行測試。攻擊背景流量可以采用BPS的ALL Strikes攻擊樣本集。
l 下一代防火墻吞吐量測試
吞吐量是指在沒有丟包的情況下,設備能夠接收并轉發的最大數據速率。對于下一代防火墻來說,應用識別是默認開啟的,為了盡量貼近真實場景,單一負載大小和協議的傳統性能測試方法不再適用。這里可以采用BPS測試儀中混合流量場景來作為模擬現實環境的應用層性能測試場景,可以選擇幾個比較有代表性的場景如高校教育場景、企業數據中心場景和企業內網場景,分別測試只開啟應用識別、開啟IPS、開啟內容過濾及URL過濾時的吞吐量。
l HTTP新建速率及并發測試
HTTP新建速率是指在每一秒內防火墻能夠處理的HTTP新建連接請求的數量,并發連接數指的是防火墻最大能夠同時處理的連接會話個數。HTTP新建和并發測試方法同傳統防火墻方法基本相同,都可以采用Avalanche或者IxiaL
OAd進行測試,對于下一代防火墻需要分別測試開啟應用識別、開啟IPS、開啟內容過濾及URL過濾時的新建、并發性能。
l 日志輸出性能測試
下一代防火墻的一個主要功能是用戶行為審計功能,在大量業務訪問時,日志能否完整記錄用戶的訪問過程,因此日志輸出速率是我們測試需要關注的另一個性能指標。在測試時可以采用測試儀模擬URL訪問,設備上開啟URL過濾功能,并增加自定義特征使測試儀模擬的URL能夠匹配,設置規則的動作為方向并記錄日志,設置日志輸出到日志服務器(要求日志服務器不會成為瓶頸)。測試儀以一定的速率訪問URL請求,在日志服務器能完整收到所有日志時最大的URL請求速率即為日志輸出的最大速率。
結束語
本文主要從功能及性能兩方簡要描述下一代防火墻測試方法,下一代防火墻測試的難點在于如何去模擬用戶的真實使用環境,以及對特征庫的識別率及誤報率的測試。參照以往的經驗只能通過收集各個局點的流量模型報文,然后再在實驗室進行報文回放測試,通過局點報文的抓取來逐漸豐富我們的應用庫,但是這也只能去應付問題,不能解決根本問題,還需要進一步探究。下一代防火墻的審計功能是給用戶對現網網絡流量最直觀的呈現,日志的準確性、報表的直觀性、用戶的體驗感也是在測試中需要重點關注的。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:下一代防火墻測試
本文網址:http://www.guhuozai8.cn/html/consultation/10839518730.html