信息安全產(chǎn)品測試方法概

信息平安產(chǎn)品測試方法介紹摘

要

介紹了常見的IPSec網(wǎng)關(guān)，SSLVPN，防火墻，IDS，IPS和反垃圾郵件網(wǎng)關(guān)等信息平安產(chǎn)品的測試方法和測試步驟，并對IXIA在這方面的特點和優(yōu)勢進(jìn)行了總結(jié)。關(guān)鍵詞

IPSec網(wǎng)關(guān)

SSLVPN

防火墻

IDSIPS

反垃圾郵件網(wǎng)關(guān)測試1

引言IP網(wǎng)絡(luò)的最大優(yōu)勢是它的開放性，并最大限度地支持終端的智能，這使得IP網(wǎng)絡(luò)中存在著各種各樣豐富多彩的業(yè)務(wù)與應(yīng)用。但與此同時，IP網(wǎng)絡(luò)的開放性與終端的智能化也使得IP網(wǎng)絡(luò)面臨著前所未有的平安威脅；在IP網(wǎng)絡(luò)中進(jìn)行的信息通信和傳輸也顯得不太平安。IP網(wǎng)絡(luò)的平安威脅有兩個方面，一是主機(jī)〔包括用戶主機(jī)和應(yīng)用效勞器等)的平安，二是網(wǎng)絡(luò)自身(主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等)的平安。用戶主機(jī)所感知的平安威脅主要是針對特定操作系統(tǒng)(主要是Windows系統(tǒng))的攻擊，即所謂病毒。網(wǎng)絡(luò)設(shè)備主要面對的是基于TCP/IP協(xié)議的攻擊。信息通信和交換的泄密主要來自信息在交換和傳輸過程中沒有加密而被竊取或盜聽。為了防范各種各樣的平安威脅和進(jìn)行平安不泄密的通信，個人終端、企業(yè)網(wǎng)絡(luò)和運營商都安裝或者部署了各種各樣的平安軟件和設(shè)備來防范來自主機(jī)和網(wǎng)絡(luò)的威脅或者實現(xiàn)平安加密的通信，這些平安設(shè)備包括防火墻，IDS，IPS，垃圾郵件網(wǎng)關(guān)，代理效勞器，IPSec網(wǎng)關(guān)和SSLVPN網(wǎng)關(guān)等。但是這些設(shè)備地引入，會對網(wǎng)絡(luò)的性能造成一定地影響。多個廠家設(shè)備地引入，產(chǎn)品的互通性也對網(wǎng)絡(luò)部署是一個考驗。所以，如果評估測試這些平安設(shè)備的性能〔Performance〕和一致性〔Conformance〕就顯得尤其重要，全球領(lǐng)先的IP測試方案供應(yīng)商美國IXIA公司的測試方案可以全面滿足信息平安產(chǎn)品的性能、一致性和功能的測試需求。2

實現(xiàn)平安通信的設(shè)備測試目前，實現(xiàn)平安通信的最主要方式是采用VPN技術(shù)，VPN技術(shù)從實現(xiàn)上主要有三大類，基于MPLS技術(shù)的VPN，基于IP技術(shù)的VPN和基于應(yīng)用層技術(shù)的SSLVPN等。這些VPN技術(shù)和設(shè)備的測試都可以很方便地通過IXIA公司的工具來實現(xiàn)?；贛PLS技術(shù)的VPN包括L2VPN，L3VPN和MulticastVPN等；基于IP技術(shù)的VPN包括二層的L2TP技術(shù)，PPTP技術(shù)和三層的IPSec技術(shù)與GRE技術(shù)等。本文主要對目前比較流行的基于三層IP技術(shù)的IPSecVPN以及基于應(yīng)用層技術(shù)的SSLVPN測試進(jìn)行介紹。IPSecVPN是基于網(wǎng)絡(luò)層的VPN，對所有的IP應(yīng)用均透明。但是SSLVPN是基于應(yīng)用層的VPN，對保護(hù)基于Web的應(yīng)用更有優(yōu)勢。兩種VPN技術(shù)的簡單比較參見表1。由于基于這兩種技術(shù)的差異性，所以對這兩種不同的VPN網(wǎng)關(guān)測試方法和指標(biāo)也有些不同。2.1

IPSecVPN平安網(wǎng)關(guān)測試對于IPSecVPN網(wǎng)關(guān)來說，性能測試方法有兩種，一種是早期的測試方法，這種方法是由兩臺被測設(shè)備直接連接起來，由被測設(shè)備之間完成IPSec之間的協(xié)商過程并建立IPSec的隧道，然后在建立的隧道上運行流量，來評估設(shè)備在有IPSec加密情況下的吞吐量〔Throughput〕、時延〔Latency〕和丟包率〔PacketLoss〕等各項性能指標(biāo)。測試示意見圖1。

但是，這種方法有很大地局限性，就是不能評估IPSec網(wǎng)關(guān)支持IPSec隧道的數(shù)量以及隧道建立的速度等指標(biāo)。所以，目前最普遍的測試方法是使用測試儀表來仿真IPSec網(wǎng)關(guān)，和被測IPSec網(wǎng)關(guān)建立IPSec隧道來評估被測設(shè)備所支持的IPSec隧道的數(shù)量以及隧道建立的速度，在隧道建立成功后，測試儀表還可以同時仿真IPSec網(wǎng)關(guān)后的主機(jī)以及被保護(hù)的網(wǎng)絡(luò)，以驗證隧道之上2~7層數(shù)據(jù)和應(yīng)用的轉(zhuǎn)發(fā)性能與QoE指標(biāo)。IXIA的IPSec網(wǎng)關(guān)測試方案完全滿足上述兩種測試方法。本文主要介紹第二種方法。這種方法的測試原理參見圖2，它是通過IXIAIP性能測試儀的一個端口來仿真多個IPSec平安網(wǎng)關(guān)以及平安網(wǎng)關(guān)后面被保護(hù)的子網(wǎng)和主機(jī)，與被測設(shè)備建立IPSec的通信隧道，另外一個端口仿真平安網(wǎng)關(guān)內(nèi)被保護(hù)的子網(wǎng)或者主機(jī)。在IPSec隧道協(xié)商成功后，可以在被保護(hù)的子網(wǎng)和主機(jī)之間發(fā)送和分析流量?！?〕IXIA的IPSec性能測試方案能夠答復(fù)以下關(guān)鍵問題：●評估IPSec網(wǎng)關(guān)所支持的IPSec隧道的數(shù)量?！裨u估IPSec網(wǎng)關(guān)建立IPSec隧道的速度。●評估IPSec網(wǎng)關(guān)在建立IPSec隧道成功后，在IPSec上運行RFC2544的測試。●評估IPSec網(wǎng)關(guān)在建立IPSec隧道成功后，在IPSec上運行有狀態(tài)的〔Stateful〕應(yīng)用層流量測試，目前最為關(guān)注的就是該特性的測試，可以直接驗證IPSec之上承載多種真實業(yè)務(wù)的能力。2〕IXIA的IPSec性能測試方案具有以下特點：

●測試網(wǎng)絡(luò)平安設(shè)備的IPSecTunnel容量，Tunnel建立速度以及Tunnel建立起來之后的RFC2544測試和應(yīng)用層業(yè)務(wù)承載能力。應(yīng)用層流量包括HTTP，F(xiàn)TP，E-mail，SIP，MGCP和視頻等；每個測試端口最多支持1.6萬個IPSec的隧道，160個Tunnel/s的隧道建立速度，超過950Mbit/s以上的吞吐量?！裰С諭PSec的IPv4和IPv6版本?！裰С諥H，ESP或者兩者結(jié)合的加密算法：Null，DES，3DES，AES128，AES192，AES256等封裝算法；MD5，SHA-1認(rèn)證算法，Certificates，Pre-sharedKeys等Phase1認(rèn)證模式；GROUP1，2，5，14，15，16等DH組?！裰С諫RE和VLAN配置，支持GREoverIPSec和IPSecoverGRE等特性測試?！窨梢跃€速加密數(shù)據(jù)進(jìn)行RFC2544基準(zhǔn)測試以及長時間地性能測試。●支持IKE的版本1和2；支持動態(tài)多點VPN〔DMVPN〕?！裨贗KE協(xié)商的第一階段，支持Main模式和Aggressive模式，Hash算法〔HMAC-MD5，HMAC-SHA1〕，Xauth用戶認(rèn)證，模式地址分配，用戶認(rèn)證〔預(yù)先共享密鑰及證書〕，NAT轉(zhuǎn)換(NAT-T)，支持隧道模式〔Tunnel〕和傳輸模式〔Transport〕不同的封裝方式，Lifetime協(xié)商和Re-keying?！馡KE協(xié)商的第二階段，支持AH，ESP和AH+ESP，Hash算法〔HMAC-MD5，HMAC-SHA1〕，完整轉(zhuǎn)發(fā)平安性(PFS)，IPSeckeep-alives和DeadPeerDetection(DPD)。另外，IXIA公司的平安測試方案還可以在同一平臺上實現(xiàn)IPSec的一致性〔Conformance〕測試。支持的測試協(xié)議和測試?yán)齾⒁姳?。這些特點為IPSec性能測試和一致性測試提供了有力地保證。2.2

SSLVPN網(wǎng)關(guān)測試SSLVPN的技術(shù)特點在上面已經(jīng)和IPSecVPN做了簡單地比較，從技術(shù)上來說，SSLVPN有很多面向應(yīng)用的特點，所以在性能測試的方法上也和IPSec有很大不同。從技術(shù)上來說，SSLVPN也有三種類型，包括無客戶端模式〔ClientlessMode〕、簡化模式〔ThinClientMode〕和安裝客戶端模式〔TunnelMode〕。目前，能夠用儀表進(jìn)行性能測試的，主要是無客戶端模式，也就是通常討論的SSL測試。談到SSLVPN產(chǎn)品的性能測試，首先要區(qū)分的是SSLServer和SSLVPN，SSLServer相當(dāng)于SSLVPN中的反向代理功能，二者的要求是不一樣的，SSLServer面對的是業(yè)務(wù)系統(tǒng)，如電子商務(wù)網(wǎng)站、網(wǎng)上銀行等，它強(qiáng)調(diào)地是性能，目前國內(nèi)可見的SSLServer產(chǎn)品性能可達(dá)2萬TPS和400萬同時在線用戶數(shù)；而SSLVPN面向的是遠(yuǎn)程接入，即管理系統(tǒng)，它強(qiáng)調(diào)地是易于使用和管理、平安性等，一個SSLVPN用戶的登錄包括SSL握手、認(rèn)證、授權(quán)、記錄日志等過程，其中認(rèn)證、授權(quán)、記錄日志所消耗的時間遠(yuǎn)遠(yuǎn)高于SSL握手，不可能到達(dá)SSLServer那樣高的性能，如果需要非常高的性能，要使用多臺SSLVPN堆疊來實現(xiàn)。Http://中有通過該組織認(rèn)證的SSLVPN廠商列表，也可以說，只有在這兒能夠查到的SSLVPN廠商的產(chǎn)品，才是真正地各個廠家能夠互通的SSLVPN產(chǎn)品。IXIA公司作為VPNC協(xié)會中的惟一測試儀表提供商，一直在跟蹤這方面的技術(shù)，并且有很好地測試解決方案。相應(yīng)的VPNC會員列表，請參考下面鏈接：/member-list.html。IXIA的SSLVPN性能測試方案主要有下面的特點：〔1〕支持SSLv2，SSLv3，TLS1.0?！?〕支持全面的密碼套件，包括DES，3DES，RC4，MD5，SHA?！?〕支持私有密鑰和會話重用。〔4〕用戶可配置地客戶端密鑰和證書。SSLVPN的測試示意如圖3所示。這些特點可以用于客戶端，也可以用于效勞器端，為SSLVPN測試帶來很大地靈巧性和方便性。SSLVPN性能測試的主要指標(biāo)包括：〔1〕在不同加密算法下的有效吞吐量〔Goodput〕。〔2〕并發(fā)連接數(shù)〔ConcurrentConnection?！?〕新建SSL連接的速率〔ConnectionRate〕。3

保障信息平安產(chǎn)品的測試保障信息平安的產(chǎn)品比較多，比方防火墻，IDS，IPS，防垃圾郵件網(wǎng)關(guān)和內(nèi)容檢測系統(tǒng)等等都屬于保障信息平安的產(chǎn)品。下面對這些產(chǎn)品的性能測試方法做一簡單介紹。3.1

防火墻測試防火墻是應(yīng)用最廣泛地信息平安產(chǎn)品，防火墻測試也是目前信息平安測試領(lǐng)域的一個熱點。從功能上來說，防火墻地作用是讓合法的流量正常通過，并能夠攔截各種非法與攻擊流量。防火墻類型比較多，比方無狀態(tài)包過濾類型〔Statelesspacketfiltering〕、有狀態(tài)包過濾類型〔StatefulPacketFiltering〕、基于NAT類型〔靜態(tài)，動態(tài)，PAT〕、基于代理類型〔Proxy〕等。但無論是何種類型，測試防火墻的性能，都要遵守IETF提出的RFC3511標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)標(biāo)準(zhǔn)了測試防火墻性能的方法和測試項，這些測試項包括：IP吞吐量〔IPThroughput〕，并發(fā)的TCP連接數(shù)量〔ConcurrentTCPConnectionCapacity〕，最大地TCP連接建立速度〔MaximumTCPConnectionEstablishmentRate〕，最大地TCP連接撤除速度〔MaximumTCPConnectionTearDownRate〕，防火墻對DoS的防范能力〔DenialofServiceHandling〕，HTTP轉(zhuǎn)發(fā)率〔HTTPTransferRate〕，最大地HTTP交易速率〔MaximumHTTPTransactionRate〕，對“非法〞流量地防范能力〔IllegalTrafficHandling〕，防火墻對IP包分拆組合地處理能力〔IPFragmentationHandling〕，時延〔Latency〕。IXIA的防火墻平安測試方案可以滿足RFC3511里面規(guī)定的測試項，并且這些測試項已經(jīng)用自動化地測試腳本實現(xiàn)，可以十分方便快捷地完成相關(guān)測試。相關(guān)特點包括：〔1〕測試儀表的每個端口都可以仿真客戶端或者效勞器端，使用方便?！?〕各項性能指標(biāo)隨著端口數(shù)量的增加而線性增加，可以產(chǎn)生超千萬TCP并發(fā)連接數(shù)、幾十萬每秒新增TCP連接數(shù)和接近線速地應(yīng)用層吞吐量，特別是在10G高速率下，IXIA可以產(chǎn)生線速的應(yīng)用層流量?！?〕隨著防火墻功能復(fù)雜程度越來越高，需要驗證防火墻在各種應(yīng)用層業(yè)務(wù)〔包括數(shù)據(jù)、語音和視頻等〕和非法流量混合情況下地處理和檢測能力〔見圖4〕。IXIA同時可以仿真包括P2P協(xié)議在內(nèi)超過20種應(yīng)用層的流量以驗證防火墻的轉(zhuǎn)發(fā)性能。

〔4〕防火墻對一些“私有協(xié)議〞流量地防范，可以通過IxLoad強(qiáng)大地“ApplicationReplay〞功能進(jìn)行驗證。該特點同樣可以用于其他相關(guān)信息平安產(chǎn)品地性能測試。

在這里有一個問題被經(jīng)常提起，就是在正常流量和非法流量混合的情況下，如何在測試儀表上能夠直接觀察到防火墻是否對非法流量進(jìn)行了有效攔截？IxLoad的“PacketMonitor〞功能可以答復(fù)該問題，其特點是在接收端具有檢測功能，驗證攻擊流量是否被防火墻所丟棄，這個特性對信息平安產(chǎn)品的測試非常重要，可以實時了解防火墻對各種攻擊流量的防范能力，該功能同樣可用于下面將要介紹的IDS，IPS等產(chǎn)品的測試。3.2

IDS〔入侵檢測系統(tǒng)〕和IPS〔入侵防御系統(tǒng)〕設(shè)備測試IDS本質(zhì)上是一種監(jiān)聽系統(tǒng)，它依照一定的平安策略，對網(wǎng)絡(luò)與系統(tǒng)地運行狀況進(jìn)行監(jiān)測，盡可能發(fā)現(xiàn)、報告、記錄各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證信息系統(tǒng)的機(jī)密性、完整性和可用性。IDS可分為主機(jī)型〔HIDS〕和網(wǎng)絡(luò)型〔NIDS〕，目前主流IDS產(chǎn)品均采用兩者有機(jī)結(jié)合地混合型架構(gòu)。IPS串聯(lián)于通信線路之內(nèi)，是既具有IDS的檢測功能，又能夠?qū)崟r中止網(wǎng)絡(luò)入侵行為的新型平安技術(shù)設(shè)備。IPS由檢測和防御兩大系統(tǒng)組成，具備從網(wǎng)絡(luò)到主機(jī)的防御措施與預(yù)先設(shè)定的響應(yīng)設(shè)置。從測試方法上來說，這兩種設(shè)備的測試方法根本相同，都是通過測試儀表〔或者其他攻擊工具產(chǎn)生攻擊〕仿真各種類型的攻擊數(shù)據(jù)包〔DDoS或者NESSUS漏洞掃描和攻擊〕，同時通過測試儀表產(chǎn)生所需要的壓力流量〔無狀態(tài)和有狀態(tài)的流量〕，來驗證IDS或者IPS的檢測和防御能力。測試指標(biāo)主要包括：〔1〕檢測非法入侵的能力；〔2〕抗欺騙能力〔IDS誤報，IDS漏報〕；〔3〕自身平安性。但是，IPS除了具有檢測功能外，還有對異?；蛘吖袅髁康姆烙δ?，決定了還需要測試其防御特性，這些特點和防火墻的測試方法類似，測試標(biāo)準(zhǔn)同樣也需要遵守RFC3511的標(biāo)準(zhǔn)。所以在這里就不詳細(xì)介紹。測試拓?fù)涫疽馊鐖D5所示。3.3

反垃圾郵件網(wǎng)關(guān)的測試反垃圾郵件網(wǎng)關(guān)作為平安產(chǎn)品的重要組成局部，越來越受到業(yè)界地關(guān)注，單一的反垃圾郵件網(wǎng)關(guān)功能也進(jìn)一步擴(kuò)展具有反垃圾郵件、防范蠕蟲病毒攻擊、防范DDoS攻擊和防范漏洞掃描等于一體的綜合性信息平安產(chǎn)品。IXIA公司的反垃圾郵件性能測試方案可以測試反垃圾郵件網(wǎng)關(guān)系統(tǒng)的各項指標(biāo)，包括POP3，SMTP和IMAP郵件網(wǎng)關(guān)的吞吐量、在一定時間內(nèi)發(fā)送的E-mail的數(shù)量、在一定時間內(nèi)發(fā)送的E-mail附件的數(shù)量、郵件轉(zhuǎn)發(fā)成功率、最大SMTP并發(fā)連接數(shù)、SMTP請求處理的速度等。從測試方法上來說，首先要進(jìn)行基準(zhǔn)測試，也就是在反垃圾郵件網(wǎng)關(guān)上不啟用任何過濾規(guī)那么，驗證其上述各項性能指標(biāo)。然后啟用各種過濾規(guī)那么，分別驗證反垃圾郵件網(wǎng)關(guān)在啟用垃圾郵件掃描、病毒郵件和附件掃描、DDoS攻擊掃描等規(guī)那么下的性能。測試拓?fù)鋱D和IDS的測試類似，可以參考圖5。IXIA的反垃圾郵件網(wǎng)關(guān)測試方案有以下特點：〔1〕支持POP3，APOP3，SMTP，IMAP等常見的郵件協(xié)議?！?〕POP3協(xié)議主要支持下面這些常見的命令來更加真實的仿真接收Email的過程：OPEN，STAT，DELE，NOOP，RSET，LIST，UIDL，RETR，TOP，QUIT等。另外，支持發(fā)送E-mail認(rèn)證〔Authentication〕的仿真APOP3?！?〕SMTP協(xié)議主要支持下面這些常見的命令來更加真實地仿真發(fā)送E-mail的過程：OPEN，MAIL，NOOP，RSET，SLEEP，QUIT等?！?〕IMAP主要支