一、方案概要
1.1 防火牆
隨着網絡安全市場的打開,越來越多的公司加入到網絡安全軟件、硬件開發行列中,市場上就開始出現各類防火牆,其基本原理就是通過源地址、目標地址互聯安全控制來達到目的主機的安全。是否達到這個終極目標,以及防火牆在強力***之下是否還能穩定運行,規則判斷是否準確無誤執行等,這些是需要經過嚴密的測試與檢驗纔可以得出結論。只有通過嚴格檢驗,才能保證核心系統與主機的安全,所以測試對於防火牆產品檢驗來說是至關重要的。
防火牆對開放系統互聯模型(OSI)中各層協議所產生的數據流進行檢查。要知道防火牆是哪種類型的結構,關鍵是要知道防火牆工作於OSI模型中的哪一層。防火牆工作於OSI模型的層次越高,其檢查數據包中的信息就越多,因此防火牆所消耗的處理器工作週期就越長,所提供的安全保護等級就越好。
根據防火牆在網絡協議棧中的過濾層次不同,通常把防火牆分爲三種:包過濾防火牆、電路級網關防火牆和應用級網關防火牆。
目前,防火牆技術也經過了幾代的發展後主要包括有IP包過濾技術、應用代理技術、狀態檢測包過濾技術、NP技術等等。
評價一款防火牆系統、測試一款防火牆設備,主要是從安全功能、安全保證、環境適應性和性能要求四個方面進行。其中安全功能要求是對防火牆應具備的安全功能提出具體要求,包括網絡層控制、應用層控制和安全運維管理;安全保證要求針對防火牆的開發和使用文檔的內容提出具體的要求,例如配置管理、交付和運行、開發和指導性文檔等;環境適應性要求是對防火牆的部署模式和應用環境提出具體的要求;性能要求是對防火牆應達到的性能指標做出規定,包括吞吐量、延遲、最大併發連接數和最大連接速率等。
信而泰測試儀表能夠對包過濾防火牆提供全面的測試;能夠對應用級網關防火牆提供部分測試解決方案。
1.2 測試解決方案定位
圖1:BigTao網絡測試儀
圖2:DarYu網絡測試儀
BigTao系列定位於網絡2-3層需求場景的測試,比如:
· 寬帶接入產品(PON、EOC、xDSL等)產品及網絡測試;
· 數據交換產品(交換機、路由器、POE交換機、分組核心網等)產品及網絡測試。
Daryu系列不僅涵蓋了BigTao產品的流量測試和協議仿真功能,同時,其在4-7層應用層協議的性能測試表現出色,能夠爲對應用層設備與應用層服務器進行功能及性能測試,支持大規模回放功能(SPE),定位於網絡2-7層需求場景的測試,比如:
· 防火牆產品及網絡測試;
· 應用服務器產品及網絡測試;
· IDS、***、負載均衡設備的應用層仿真/安全測試;
· 工業通訊、特種行業的複雜協議測試。
1.3 主要優勢
· 豐富的端口速率:10M/100M/100M,GE/2.5G/5G/10G/25G/40G/50G/100G
· 規模生產測試領域遙遙領先:依託強大的自動化測試套件,爲通信設備製造加工企業提供業內最高的測試效率和可靠的測試穩定性,是華爲、中興、華三、烽火、貝爾、銳捷等加工製造的測試解決方案主流供應商
· 研發功能性能測試領域:以最優的測試性價比,幫助網絡通信設備廠商降低研發的成本
· 高度可定製化:提供定製化測試解決方案,客戶在信而泰都能找到適合其自身的測試產品及解決方案
1.4 功能簡介
面向以太網2~7層流量測試與協議仿真,能夠快速的對網絡設備的性能進行全面評估。如RFC2544、RFC2889和RFC3918基準測試,路由仿真與容量測試,基於應用層的新建連接、併發連接與吞吐量等性能指標檢測。
回放功能SPE(ScalablePlaybackEmulation)支持基於Pcap文件的回放與基於流量的回放,能夠更加全面有效得滿足用戶對於應用層業務的測試。
支持如下方面的協議仿真與性能測試:
· 路由:RIPv1/v2,OSPFv2/v3,ISISv4/v6,BGP/BGP+,LDP/L3***,L2***;
· 接入:PPPoEClient/Server,DHCPv4Client/Server,DHCPv6Client/Server,L2TPv2,DHCPv6PDClient/Server,802.1x,IPv6 Autoconfiguration;
· 組播:IGMPv1/v2/v3,MLDv1/v2,IGMP/MLD Querier,PIM-SM;
· 數據中心:VXLAN,OpenFlow,OVSDB,E***;
· Ethernet:802.3ah,802.1ag;
· L4~7:HTTP,HTTPS,FTP,TCP,SIP,DNS,Mail,SSH,TFTP,Telnet,UDP;
· Playback:HTTP、CIFS、DNS、SIP、TELNET、POP3、SMTP、GTP、FTP、RADIUS、NFS、LDAP、FIX、Mysql、NTP、Syslog、Exchange等。
二、測試方案
本方案將針對防火牆設備關注的安全功能測試、環境適應性要求和性能要求三個方面進行闡述。
2.1 安全功能測試
安全功能測試指對防火牆設備進行功能性的測試,驗證支持功能的完整性。功能驗證測試可以從網絡層功能支持程度、應用層協議支持程度、安全性測試三個方面來測試。
2.1.1 網絡層控制
防火牆的網絡層控制功能是指對流經防火牆的通信進行2-3層網絡方面的過濾、分析、管理等,已達到安全訪問限制的功能;也包含針對二三層設備應該具有的路由功能、NAT轉換功能、狀態檢測功能。
信而泰測試儀表可以針對防火牆網絡層功能進行包含如下單不限於如下內容的測試:
2.1.2 應用層協議控
應用層防火牆應具備對常見應用層協議的支持,例如HTTP、TELNET、FTP等協議,應用內容訪問控制,用戶管控等應用層功能。
信而泰測試儀表可以針對防火牆應用層功能進行包含如下單不限於如下內容的測試:
2.1.3 安全性測試
防火牆在授權管理員的正確配置下,應該能抵抗多數對受保護網絡內部和自身系統的***,即防火牆應該具有***檢測的能力,這類***包括IP地址欺騙***、ICMP***、IP分片***、DoS(拒絕服務)***、口令字探詢***、郵件詐騙***等。防火牆應該具備防禦外部***(人侵檢測)的能力,以達到保護內部網絡系統的目的,同時記錄安全事件日誌,向管理員報警,切斷***源的連接。
信而泰測試儀表可以支持如下類型的***,對防火牆具備的抗拒絕服務***功能進行驗證:
IP地址欺騙***、ICMP***、IP分片***、DOS(拒絕服務***(ICMP Flood***、UDP Flood***、SYN Flood***、Tear Drop***、Land***、超大ICMP數據***))等。
*病毒庫***目前還未支持,後續可根據項目進行補充支持。
2.2 環境適應性要求
2.2.1 傳輸模式
防火牆是爲加強網絡安全防護能力在網絡中部署的硬件設備,有多種部署方式,常見的有橋模式、網管模式和NAT模式等。
1、橋模式
橋模式也可叫作透明模式。最簡單的網絡由客戶端和服務器組成,客戶端和服務器處於同一網段。爲了安全方面的考慮,在客戶端和服務器之間增加了防火牆設備,對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達服務器,服務器將響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址,當對網絡進行擴容時無需對網絡地址進行重新規劃,但犧牲了路由、***等功能。
2、網關模式
網關模式適用於內外網不在同一網段的情況,防火牆設置網關地址實現路由器的功能,爲不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現了安全隔離,具備了一定的私密性。
3、NAT模式
NAT(Network Address Translation)地址翻譯技術由防火牆對內部網絡的IP地址進行地址翻譯,使用防火牆的IP地址替換內部網絡的源地址向外部網絡發送數據;當外部網絡的響應數據流量返回到防火牆後,防火牆再將目的地址替換爲內部網絡的源地址。NAT模式能夠實現外部網絡不能直接看到內部網絡的IP地址,進一步增強了對內部網絡的安全防護。同時,在NAT模式的網絡中,內部網絡可以使用私網地址,可以解決IP地址數量受限的問題。
針對此類功能測試,信而泰測試儀表可以支持各個模式的測試,支持編輯對應的數據流量進行數據流量轉發,以驗證防火牆對各模式的支持。
2.2.2 下一代互聯網支持
由於IPv4最大的問題在於網絡地址資源有限,嚴重製約了互聯網的應用和發展。IPv6的使用,不僅能解決網絡地址資源數量的問題,而且也解決了多種接入設備連入互聯網的障礙。防火牆作爲重要的網絡安全設備,對於IPv6的支持是必不可少的。針對IPv6的測試,可以從對IPv6純網絡環境中各類協議的支持程度、協議的健壯性和IPv4到IPv6網絡的過渡環境的支持等方面進行測試,以保證防火牆設備能平順穩定的應用到IPv6網絡環境。
信而泰測試儀表可以針對防火牆對IPv6網絡的支持進行包含如下單不限於如下內容的測試:
2.3 性能要求
隨着信息安全要求越來越高,防火牆成爲必不可少的網絡元素。但防火牆設備在網絡中的主要作用不是報文轉發,而是進行報文檢測和訪問控制,防火牆的存在必然會對安全用戶正常使用網絡帶來一定影響。衡量防火牆的性能指標主要包括吞吐量、報文轉發率、最大併發連接數、每秒新建連接數、轉發時延、抖動等。
信而泰測試儀表針對防火牆性能測試,可以給出網絡層、傳輸層和應用層等三個層面衡量的測試方案。
2.3.1 網絡層
防火牆網絡層轉發性能測試項目主要參考RFC2544、RFC3511.
RFC2544協議是RFC組織提出的用於評測網絡互聯設備(防火牆、IDS、Switch等)的國際標準,主要是對性能評測參數的具體測試方法、結果的提交形式作了較詳細的規定。
RFC3511主要是針對防火牆性能評測參數具體測試方法、結果的提交形式作了較詳細的規定。針對網絡層主要規定了IP吞吐量、時延的測試方法。
RFC2544主要包含如下4個測試項目:
吞吐率(Throughput):被測設備在不丟包的情況下,所能轉發的最大數據流量。
丟包率(LostRate):在一定的負載下,由於缺乏資源而未能被轉發的包占應該轉發的包數的百分比。
時延(Latency):反映被測設備處理數據包的速度。
背靠背(Back-to-Back):反映被測設備處理突發數據的能力(數據緩存能力)。
信而泰提供的防火牆轉發性能測試方案,有如下的內容
測試內容:吞吐量,時延,丟包率,背靠背
測試拓撲:1對1,1對多,Backbone,Fullmesh等多種拓撲
特點:配置簡單,多個測試項目順序運行,全自動執行
測試報告:提供詳細的,標準的測試報告,可存爲PDF,XLS格式
信而泰測試儀表可以測試的轉發性能測試包含但不限於如下的內容:
2.3.2 傳輸層
針對防火牆傳輸層性能的評估,RFC3511標準規定了最大TCP併發連接數、最大TCP連接建立速率和最大TCP連接拆除率三個性能參數的測試方案和報告形式。
• 防火牆TCP併發連接數是指穿過被測設備的主機之間或主機與被測設備之間能夠同時維持的最大TCP連接總數。主要反映了被測設備維持多個會話的能力。
• 防火牆最大TCP連接建立速率是指在被測設備能夠成功建立所有請求連接的條件下,所能承受的最大TCP連接建立速度。主要體現了被測設備對於連接請求的實時反應能力。
• 防火牆最大TCP連接拆除率是指在被測設備能夠成功建立所有請求連接時,拆除TCP連接的速率。此項參數指標一般對防火牆性能影響不大。
信而泰測試儀表可以針對防火牆傳輸層性能的測試包含但不限於如下的內容:
2.3.3 應用層
針對防火牆應用層性能的評估,RFC3511標準規定了HTTP傳輸速率、最大HTTP事務處理速率兩個性能參數的測試方案和報告形式。
• 防火牆HTTP傳輸速率也叫做應用層吞吐量(Goodput),在一定連接新建和併發的情況下,單個報文的應用層數據承載量很大程度決定了應用層報文轉發的能力。
• 防火牆最大HTTP事務處理速率這個測試旨在查找用戶可以訪問的最大速率對象。
