信息安全產品測試方法概

信息平安產品測試方法介紹摘

要

介紹了常見的IPSec網關，SSLVPN，防火墻，IDS，IPS和反垃圾郵件網關等信息平安產品的測試方法和測試步驟，并對IXIA在這方面的特點和優(yōu)勢進行了總結。關鍵詞

IPSec網關

SSLVPN

防火墻

IDSIPS

反垃圾郵件網關測試1

引言IP網絡的最大優(yōu)勢是它的開放性，并最大限度地支持終端的智能，這使得IP網絡中存在著各種各樣豐富多彩的業(yè)務與應用。但與此同時，IP網絡的開放性與終端的智能化也使得IP網絡面臨著前所未有的平安威脅；在IP網絡中進行的信息通信和傳輸也顯得不太平安。IP網絡的平安威脅有兩個方面，一是主機〔包括用戶主機和應用效勞器等)的平安，二是網絡自身(主要是網絡設備，包括路由器、交換機等)的平安。用戶主機所感知的平安威脅主要是針對特定操作系統(主要是Windows系統)的攻擊，即所謂病毒。網絡設備主要面對的是基于TCP/IP協議的攻擊。信息通信和交換的泄密主要來自信息在交換和傳輸過程中沒有加密而被竊取或盜聽。為了防范各種各樣的平安威脅和進行平安不泄密的通信，個人終端、企業(yè)網絡和運營商都安裝或者部署了各種各樣的平安軟件和設備來防范來自主機和網絡的威脅或者實現平安加密的通信，這些平安設備包括防火墻，IDS，IPS，垃圾郵件網關，代理效勞器，IPSec網關和SSLVPN網關等。但是這些設備地引入，會對網絡的性能造成一定地影響。多個廠家設備地引入，產品的互通性也對網絡部署是一個考驗。所以，如果評估測試這些平安設備的性能〔Performance〕和一致性〔Conformance〕就顯得尤其重要，全球領先的IP測試方案供應商美國IXIA公司的測試方案可以全面滿足信息平安產品的性能、一致性和功能的測試需求。2

實現平安通信的設備測試目前，實現平安通信的最主要方式是采用VPN技術，VPN技術從實現上主要有三大類，基于MPLS技術的VPN，基于IP技術的VPN和基于應用層技術的SSLVPN等。這些VPN技術和設備的測試都可以很方便地通過IXIA公司的工具來實現?；贛PLS技術的VPN包括L2VPN，L3VPN和MulticastVPN等；基于IP技術的VPN包括二層的L2TP技術，PPTP技術和三層的IPSec技術與GRE技術等。本文主要對目前比較流行的基于三層IP技術的IPSecVPN以及基于應用層技術的SSLVPN測試進行介紹。IPSecVPN是基于網絡層的VPN，對所有的IP應用均透明。但是SSLVPN是基于應用層的VPN，對保護基于Web的應用更有優(yōu)勢。兩種VPN技術的簡單比較參見表1。由于基于這兩種技術的差異性，所以對這兩種不同的VPN網關測試方法和指標也有些不同。2.1

IPSecVPN平安網關測試對于IPSecVPN網關來說，性能測試方法有兩種，一種是早期的測試方法，這種方法是由兩臺被測設備直接連接起來，由被測設備之間完成IPSec之間的協商過程并建立IPSec的隧道，然后在建立的隧道上運行流量，來評估設備在有IPSec加密情況下的吞吐量〔Throughput〕、時延〔Latency〕和丟包率〔PacketLoss〕等各項性能指標。測試示意見圖1。

但是，這種方法有很大地局限性，就是不能評估IPSec網關支持IPSec隧道的數量以及隧道建立的速度等指標。所以，目前最普遍的測試方法是使用測試儀表來仿真IPSec網關，和被測IPSec網關建立IPSec隧道來評估被測設備所支持的IPSec隧道的數量以及隧道建立的速度，在隧道建立成功后，測試儀表還可以同時仿真IPSec網關后的主機以及被保護的網絡，以驗證隧道之上2~7層數據和應用的轉發(fā)性能與QoE指標。IXIA的IPSec網關測試方案完全滿足上述兩種測試方法。本文主要介紹第二種方法。這種方法的測試原理參見圖2，它是通過IXIAIP性能測試儀的一個端口來仿真多個IPSec平安網關以及平安網關后面被保護的子網和主機，與被測設備建立IPSec的通信隧道，另外一個端口仿真平安網關內被保護的子網或者主機。在IPSec隧道協商成功后，可以在被保護的子網和主機之間發(fā)送和分析流量。〔1〕IXIA的IPSec性能測試方案能夠答復以下關鍵問題：●評估IPSec網關所支持的IPSec隧道的數量?！裨u估IPSec網關建立IPSec隧道的速度?！裨u估IPSec網關在建立IPSec隧道成功后，在IPSec上運行RFC2544的測試?！裨u估IPSec網關在建立IPSec隧道成功后，在IPSec上運行有狀態(tài)的〔Stateful〕應用層流量測試，目前最為關注的就是該特性的測試，可以直接驗證IPSec之上承載多種真實業(yè)務的能力。2〕IXIA的IPSec性能測試方案具有以下特點：

●測試網絡平安設備的IPSecTunnel容量，Tunnel建立速度以及Tunnel建立起來之后的RFC2544測試和應用層業(yè)務承載能力。應用層流量包括HTTP，FTP，E-mail，SIP，MGCP和視頻等；每個測試端口最多支持1.6萬個IPSec的隧道，160個Tunnel/s的隧道建立速度，超過950Mbit/s以上的吞吐量。●支持IPSec的IPv4和IPv6版本?！裰С諥H，ESP或者兩者結合的加密算法：Null，DES，3DES，AES128，AES192，AES256等封裝算法；MD5，SHA-1認證算法，Certificates，Pre-sharedKeys等Phase1認證模式；GROUP1，2，5，14，15，16等DH組。●支持GRE和VLAN配置，支持GREoverIPSec和IPSecoverGRE等特性測試?！窨梢跃€速加密數據進行RFC2544基準測試以及長時間地性能測試。●支持IKE的版本1和2；支持動態(tài)多點VPN〔DMVPN〕?！裨贗KE協商的第一階段，支持Main模式和Aggressive模式，Hash算法〔HMAC-MD5，HMAC-SHA1〕，Xauth用戶認證，模式地址分配，用戶認證〔預先共享密鑰及證書〕，NAT轉換(NAT-T)，支持隧道模式〔Tunnel〕和傳輸模式〔Transport〕不同的封裝方式，Lifetime協商和Re-keying?！馡KE協商的第二階段，支持AH，ESP和AH+ESP，Hash算法〔HMAC-MD5，HMAC-SHA1〕，完整轉發(fā)平安性(PFS)，IPSeckeep-alives和DeadPeerDetection(DPD)。另外，IXIA公司的平安測試方案還可以在同一平臺上實現IPSec的一致性〔Conformance〕測試。支持的測試協議和測試例參見表2。這些特點為IPSec性能測試和一致性測試提供了有力地保證。2.2

SSLVPN網關測試SSLVPN的技術特點在上面已經和IPSecVPN做了簡單地比較，從技術上來說，SSLVPN有很多面向應用的特點，所以在性能測試的方法上也和IPSec有很大不同。從技術上來說，SSLVPN也有三種類型，包括無客戶端模式〔ClientlessMode〕、簡化模式〔ThinClientMode〕和安裝客戶端模式〔TunnelMode〕。目前，能夠用儀表進行性能測試的，主要是無客戶端模式，也就是通常討論的SSL測試。談到SSLVPN產品的性能測試，首先要區(qū)分的是SSLServer和SSLVPN，SSLServer相當于SSLVPN中的反向代理功能，二者的要求是不一樣的，SSLServer面對的是業(yè)務系統，如電子商務網站、網上銀行等，它強調地是性能，目前國內可見的SSLServer產品性能可達2萬TPS和400萬同時在線用戶數；而SSLVPN面向的是遠程接入，即管理系統，它強調地是易于使用和管理、平安性等，一個SSLVPN用戶的登錄包括SSL握手、認證、授權、記錄日志等過程，其中認證、授權、記錄日志所消耗的時間遠遠高于SSL握手，不可能到達SSLServer那樣高的性能，如果需要非常高的性能，要使用多臺SSLVPN堆疊來實現。Http://中有通過該組織認證的SSLVPN廠商列表，也可以說，只有在這兒能夠查到的SSLVPN廠商的產品，才是真正地各個廠家能夠互通的SSLVPN產品。IXIA公司作為VPNC協會中的惟一測試儀表提供商，一直在跟蹤這方面的技術，并且有很好地測試解決方案。相應的VPNC會員列表，請參考下面鏈接：/member-list.html。IXIA的SSLVPN性能測試方案主要有下面的特點：〔1〕支持SSLv2，SSLv3，TLS1.0。〔2〕支持全面的密碼套件，包括DES，3DES，RC4，MD5，SHA?！?〕支持私有密鑰和會話重用?！?〕用戶可配置地客戶端密鑰和證書。SSLVPN的測試示意如圖3所示。這些特點可以用于客戶端，也可以用于效勞器端，為SSLVPN測試帶來很大地靈巧性和方便性。SSLVPN性能測試的主要指標包括：〔1〕在不同加密算法下的有效吞吐量〔Goodput〕?！?〕并發(fā)連接數〔ConcurrentConnection?！?〕新建SSL連接的速率〔ConnectionRate〕。3

保障信息平安產品的測試保障信息平安的產品比較多，比方防火墻，IDS，IPS，防垃圾郵件網關和內容檢測系統等等都屬于保障信息平安的產品。下面對這些產品的性能測試方法做一簡單介紹。3.1

防火墻測試防火墻是應用最廣泛地信息平安產品，防火墻測試也是目前信息平安測試領域的一個熱點。從功能上來說，防火墻地作用是讓合法的流量正常通過，并能夠攔截各種非法與攻擊流量。防火墻類型比較多，比方無狀態(tài)包過濾類型〔Statelesspacketfiltering〕、有狀態(tài)包過濾類型〔StatefulPacketFiltering〕、基于NAT類型〔靜態(tài)，動態(tài)，PAT〕、基于代理類型〔Proxy〕等。但無論是何種類型，測試防火墻的性能，都要遵守IETF提出的RFC3511標準，該標準標準了測試防火墻性能的方法和測試項，這些測試項包括：IP吞吐量〔IPThroughput〕，并發(fā)的TCP連接數量〔ConcurrentTCPConnectionCapacity〕，最大地TCP連接建立速度〔MaximumTCPConnectionEstablishmentRate〕，最大地TCP連接撤除速度〔MaximumTCPConnectionTearDownRate〕，防火墻對DoS的防范能力〔DenialofServiceHandling〕，HTTP轉發(fā)率〔HTTPTransferRate〕，最大地HTTP交易速率〔MaximumHTTPTransactionRate〕，對“非法〞流量地防范能力〔IllegalTrafficHandling〕，防火墻對IP包分拆組合地處理能力〔IPFragmentationHandling〕，時延〔Latency〕。IXIA的防火墻平安測試方案可以滿足RFC3511里面規(guī)定的測試項，并且這些測試項已經用自動化地測試腳本實現，可以十分方便快捷地完成相關測試。相關特點包括：〔1〕測試儀表的每個端口都可以仿真客戶端或者效勞器端，使用方便?！?〕各項性能指標隨著端口數量的增加而線性增加，可以產生超千萬TCP并發(fā)連接數、幾十萬每秒新增TCP連接數和接近線速地應用層吞吐量，特別是在10G高速率下，IXIA可以產生線速的應用層流量。〔3〕隨著防火墻功能復雜程度越來越高，需要驗證防火墻在各種應用層業(yè)務〔包括數據、語音和視頻等〕和非法流量混合情況下地處理和檢測能力〔見圖4〕。IXIA同時可以仿真包括P2P協議在內超過20種應用層的流量以驗證防火墻的轉發(fā)性能。

〔4〕防火墻對一些“私有協議〞流量地防范，可以通過IxLoad強大地“ApplicationReplay〞功能進行驗證。該特點同樣可以用于其他相關信息平安產品地性能測試。

在這里有一個問題被經常提起，就是在正常流量和非法流量混合的情況下，如何在測試儀表上能夠直接觀察到防火墻是否對非法流量進行了有效攔截？IxLoad的“PacketMonitor〞功能可以答復該問題，其特點是在接收端具有檢測功能，驗證攻擊流量是否被防火墻所丟棄，這個特性對信息平安產品的測試非常重要，可以實時了解防火墻對各種攻擊流量的防范能力，該功能同樣可用于下面將要介紹的IDS，IPS等產品的測試。3.2

IDS〔入侵檢測系統〕和IPS〔入侵防御系統〕設備測試IDS本質上是一種監(jiān)聽系統，它依照一定的平安策略，對網絡與系統地運行狀況進行監(jiān)測，盡可能發(fā)現、報告、記錄各種攻擊企圖、攻擊行為或者攻擊結果，以保證信息系統的機密性、完整性和可用性。IDS可分為主機型〔HIDS〕和網絡型〔NIDS〕，目前主流IDS產品均采用兩者有機結合地混合型架構。IPS串聯于通信線路之內，是既具有IDS的檢測功能，又能夠實時中止網絡入侵行為的新型平安技術設備。IPS由檢測和防御兩大系統組成，具備從網絡到主機的防御措施與預先設定的響應設置。從測試方法上來說，這兩種設備的測試方法根本相同，都是通過測試儀表〔或者其他攻擊工具產生攻擊〕仿真各種類型的攻擊數據包〔DDoS或者NESSUS漏洞掃描和攻擊〕，同時通過測試儀表產生所需要的壓力流量〔無狀態(tài)和有狀態(tài)的流量〕，來驗證IDS或者IPS的檢測和防御能力。測試指標主要包括：〔1〕檢測非法入侵的能力；〔2〕抗欺騙能力〔IDS誤報，IDS漏報〕；〔3〕自身平安性。但是，IPS除了具有檢測功能外，還有對異常或者攻擊流量的防御功能，決定了還需要測試其防御特性，這些特點和防火墻的測試方法類似，測試標準同樣也需要遵守RFC3511的標準。所以在這里就不詳細介紹。測試拓撲示意如圖5所示。3.3

反垃圾郵件網關的測試反垃圾郵件網關作為平安產品的重要組成局部，越來越受到業(yè)界地關注，單一的反垃圾郵件網關功能也進一步擴展具有反垃圾郵件、防范蠕蟲病毒攻擊、防范DDoS攻擊和防范漏洞掃描等于一體的綜合性信息平安產品。IXIA公司的反垃圾郵件性能測試方案可以測試反垃圾郵件網關系統的各項指標，包括POP3，SMTP和IMAP郵件網關的吞吐量、在一定時間內發(fā)送的E-mail的數量、在一定時間內發(fā)送的E-mail附件的數量、郵件轉發(fā)成功率、最大SMTP并發(fā)連接數、SMTP請求處理的速度等。從測試方法上來說，首先要進行基準測試，也就是在反垃圾郵件網關上不啟用任何過濾規(guī)那么，驗證其上述各項性能指標。然后啟用各種過濾規(guī)那么，分別驗證反垃圾郵件網關在啟用垃圾郵件掃描、病毒郵件和附件掃描、DDoS攻擊掃描等規(guī)那么下的性能。測試拓撲圖和IDS的測試類似，可以參考圖5。IXIA的反垃圾郵件網關測試方案有以下特點：〔1〕支持POP3，APOP3，SMTP，IMAP等常見的郵件協議?！?〕POP3協議主要支持下面這些常見的命令來更加真實的仿真接收Email的過程：OPEN，STAT，DELE，NOOP，RSET，LIST，UIDL，RETR，TOP，QUIT等。另外，支持發(fā)送E-mail認證〔Authentication〕的仿真APOP3。〔3〕SMTP協議主要支持下面這些常見的命令來更加真實地仿真發(fā)送E-mail的過程：OPEN，MAIL，NOOP，RSET，SLEEP，QUIT等?！?〕IMAP主要支