《(2020年)产品管理产品规划信息安全产品测试办法介绍》由会员分享,可在线阅读,更多相关《(2020年)产品管理产品规划信息安全产品测试办法介绍(9页珍藏版)》请在金锄头文库上搜索。
1、信息安全产品测试方法介绍 摘 要 介绍了常见的IPSec网关,SSL VPN,防火墙,IDS,IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤,并对IXIA在这方面的特点和优势进行了总结。关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试1 引言IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁;在IP网络中进行的信息通信和传输也显得不太安全。IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安
2、全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。为了防范各种各样的安全威胁和进行安全不泄密的通信,个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信,这些安全设备包括防火墙,IDS,IPS,垃圾邮件网关,代理服务器,IPSec网关和SSL VPN网关等。但是这些设备地引入,会对网络的性能造成一定地影响。
3、多个厂家设备地引入,产品的互通性也对网络部署是一个考验。所以,如果评估测试这些安全设备的性能(Performance)和一致性(Conformance)就显得尤其重要,全球领先的IP测试方案供应商美国IXIA公司的测试方案可以全面满足信息安全产品的性能、一致性和功能的测试需求。2 实现安全通信的设备测试目前,实现安全通信的最主要方式是采用VPN技术,VPN技术从实现上主要有三大类,基于MPLS技术的VPN,基于IP技术的VPN和基于应用层技术的SSL VPN等。这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN,L3 VPN和Mult
4、icast VPN等;基于IP技术的VPN包括二层的L2TP技术,PPTP技术和三层的IPSec技术与GRE技术等。本文主要对目前比较流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。IPSec VPN是基于网络层的VPN,对所有的IP应用均透明。但是SSL VPN是基于应用层的VPN,对保护基于Web的应用更有优势。两种VPN技术的简单比较参见表1。由于基于这两种技术的差异性,所以对这两种不同的VPN网关测试方法和指标也有些不同。2.1 IPSec VPN安全网关测试对于IPSec VPN网关来说,性能测试方法有两种,一种是早期的测试方法,这种方法是由
5、两台被测设备直接连接起来,由被测设备之间完成IPSec之间的协商过程并建立IPSec的隧道,然后在建立的隧道上运行流量,来评估设备在有IPSec加密情况下的吞吐量(Throughput)、时延(Latency)和丢包率(Packet Loss)等各项性能指标。测试示意见图1。但是,这种方法有很大地局限性,就是不能评估IPSec网关支持IPSec隧道的数量以及隧道建立的速度等指标。所以,目前最普遍的测试方法是使用测试仪表来仿真IPSec网关,和被测IPSec网关建立IPSec隧道来评估被测设备所支持的IPSec隧道的数量以及隧道建立的速度,在隧道建立成功后,测试仪表还可以同时仿真IPSec网关后
6、的主机以及被保护的网络,以验证隧道之上27层数据和应用的转发性能与QoE指标。IXIA的IPSec网关测试方案完全满足上述两种测试方法。本文主要介绍第二种方法。这种方法的测试原理参见图2,它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec安全网关以及安全网关后面被保护的子网和主机,与被测设备建立IPSec的通信隧道,另外一个端口仿真安全网关内被保护的子网或者主机。在IPSec隧道协商成功后,可以在被保护的子网和主机之间发送和分析流量。(1)IXIA的IPSec性能测试方案能够回答下列关键问题:评估IPSec网关所支持的IPSec隧道的数量。评估IPSec网关建立IPSec隧道的速度
7、。评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行RFC 2544的测试。评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行有状态的(Stateful)应用层流量测试,目前最为关注的就是该特性的测试,可以直接验证IPSec之上承载多种真实业务的能力。2)IXIA的IPSec 性能测试方案具有以下特点: 测试网络安全设备的IPSec Tunnel容量,Tunnel建立速度以及Tunnel建立起来之后的RFC 2544测试和应用层业务承载能力。应用层流量包括HTTP,FTP,E-mail,SIP,MGCP和视频等;每个测试端口最多支持1.6万个IPSec的隧道,160
8、个Tunnel/s的隧道建立速度,超过950Mbit/s以上的吞吐量。支持IPSec的IPv4和IPv6版本。支持AH,ESP或者两者结合的加密算法:Null,DES,3DES,AES 128,AES 192,AES 256等封装算法;MD5,SHA-1认证算法,Certificates,Pre-shared Keys等Phase 1认证模式;GROUP 1,2,5,14,15,16等DH组。支持GRE和VLAN配置,支持GRE over IPSec和IPSec over GRE等特性测试。可以线速加密数据进行RFC 2544基准测试以及长时间地性能测试。支持IKE的版本1和2;支持动态多点V
9、PN(DMVPN)。在IKE协商的第一阶段,支持Main模式和Aggressive模式,Hash算法(HMAC-MD5,HMAC-SHA1),Xauth用户认证,模式地址分配,用户认证(预先共享密钥及证书),NAT转换(NAT-T),支持隧道模式(Tunnel)和传输模式(Transport)不同的封装方式,Lifetime协商和Re-keying。IKE协商的第二阶段,支持AH,ESP和AH+ESP,Hash算法(HMAC-MD5,HMAC-SHA1),完整转发安全性(PFS),IPSec keep-alives和Dead Peer Detection (DPD)。另外,IXIA公司的安全测
10、试方案还可以在同一平台上实现IPSec的一致性(Conformance)测试。支持的测试协议和测试例参见表2。这些特点为IPSec性能测试和一致性测试提供了有力地保证。2.2 SSL VPN网关测试SSL VPN的技术特点在上面已经和IPSec VPN做了简单地比较,从技术上来说,SSL VPN有很多面向应用的特点,所以在性能测试的方法上也和IPSec有很大不同。从技术上来说,SSL VPN也有三种类型,包括无客户端模式(Clientless Mode)、简化模式(Thin Client Mode)和安装客户端模式(Tunnel Mode)。目前,能够用仪表进行性能测试的,主要是无客户端模式,
11、也就是通常讨论的SSL测试。谈到SSL VPN产品的性能测试,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等,它强调地是性能,目前国内可见的SSL Server产品性能可达2万TPS和400万同时在线用户数;而SSL VPN面向的是远程接入,即管理系统,它强调地是易于使用和管理、安全性等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那
12、样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。Http:/www.vpnc.org中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正地各个厂家能够互通的SSL VPN产品。IXIA公司作为VPNC协会中的惟一测试仪表提供商,一直在跟踪这方面的技术,并且有很好地测试解决方案。相应的VPNC会员列表,请参考下面链接:http:/www.vpnc.org/member-list.html。IXIA的SSL VPN性能测试方案主要有下面的特点:(1)支持SSLv2,SSLv3,TLS1.0。(2)支持全面的密码套件,包括
13、DES,3DES,RC4,MD5,SHA。(3)支持私有密钥和会话重用。(4)用户可配置地客户端密钥和证书。SSL VPN的测试示意如图3所示。这些特点可以用于客户端,也可以用于服务器端,为SSL VPN测试带来很大地灵活性和方便性。SSL VPN性能测试的主要指标包括:(1)在不同加密算法下的有效吞吐量(Goodput)。(2)并发连接数(Concurrent Connection。(3)新建SSL 连接的速率(Connection Rate)。3 保障信息安全产品的测试保障信息安全的产品比较多,比如防火墙,IDS,IPS,防垃圾邮件网关和内容检测系统等等都属于保障信息安全的产品。下面对这些
14、产品的性能测试方法做一简单介绍。3.1 防火墙测试防火墙是应用最广泛地信息安全产品,防火墙测试也是目前信息安全测试领域的一个热点。从功能上来说,防火墙地作用是让合法的流量正常通过,并能够拦截各种非法与攻击流量。防火墙类型比较多,比如无状态包过滤类型(Stateless packet filtering)、有状态包过滤类型 (Stateful Packet Filtering)、基于NAT类型(静态,动态,PAT)、基于代理类型 (Proxy)等。但无论是何种类型,测试防火墙的性能,都要遵守IETF提出的RFC 3511标准,该标准规范了测试防火墙性能的方法和测试项,这些测试项包括:IP吞吐量(
15、IP Throughput),并发的TCP连接数量(Concurrent TCP Connection Capacity),最大地TCP连接建立速度(Maximum TCP Connection Establishment Rate),最大地TCP连接拆除速度(Maximum TCP Connection Tear Down Rate),防火墙对DoS的防范能力(Denial of Service Handling),HTTP转发率(HTTP Transfer Rate),最大地HTTP交易速率(Maximum HTTP Transaction Rate),对“非法”流量地防范能力(Illeg
16、al Traffic Handling),防火墙对IP包分拆组合地处理能力(IP Fragmentation Handling),时延(Latency)。IXIA的防火墙安全测试方案可以满足RFC 3511里面规定的测试项,并且这些测试项已经用自动化地测试脚本实现,可以十分方便快捷地完成相关测试。相关特点包括:(1)测试仪表的每个端口都可以仿真客户端或者服务器端,使用方便。(2)各项性能指标随着端口数量的增加而线性增加,可以产生超千万TCP并发连接数、几十万每秒新增TCP连接数和接近线速地应用层吞吐量,特别是在10G高速率下,IXIA可以产生线速的应用层流量。(3)随着防火墙功能复杂程度越来越高,需要验证防火墙在各种应用层业务(包括数据、语音和视频等)和非法流量混合情况下地处理和检测能力(见
