一、方案概要
1.1 防火墙
随着网络安全市场的打开,越来越多的公司加入到网络安全软件、硬件开发行列中,市场上就开始出现各类防火墙,其基本原理就是通过源地址、目标地址互联安全控制来达到目的主机的安全。是否达到这个终极目标,以及防火墙在强力攻击之下是否还能稳定运行,规则判断是否准确无误执行等,这些是需要经过严密的测试与检验才可以得出结论。只有通过严格检验,才能保证核心系统与主机的安全,所以测试对于防火墙产品检验来说是至关重要的。
防火墙对开放系统互联模型(OSI)中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构,关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高,其检查数据包中的信息就越多,因此防火墙所消耗的处理器工作周期就越长,所提供的安全保护等级就越好。
根据防火墙在网络协议栈中的过滤层次不同,通常把防火墙分为三种:包过滤防火墙、电路级网关防火墙和应用级网关防火墙。
目前,防火墙技术也经过了几代的发展后主要包括有IP包过滤技术、应用代理技术、状态检测包过滤技术、NP技术等等。
评价一款防火墙系统、测试一款防火墙设备,主要是从安全功能、安全保证、环境适应性和性能要求四个方面进行。其中安全功能要求是对防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理;安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文档等;环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求;性能要求是对防火墙应达到的性能指标做出规定,包括吞吐量、延迟、最大并发连接数和最大连接速率等。
信而泰测试仪表能够对包过滤防火墙提供全面的测试;能够对应用级网关防火墙提供部分测试解决方案。
1.2 测试解决方案定位
图1:BigTao网络测试仪
图2:DarYu网络测试仪
BigTao系列定位于网络2-3层需求场景的测试,比如:
· 宽带接入产品(PON、EOC、xDSL等)产品及网络测试;
· 数据交换产品(交换机、路由器、POE交换机、分组核心网等)产品及网络测试。
Daryu系列不仅涵盖了BigTao产品的流量测试和协议仿真功能,同时,其在4-7层应用层协议的性能测试表现出色,能够为对应用层设备与应用层服务器进行功能及性能测试,支持大规模回放功能(SPE),定位于网络2-7层需求场景的测试,比如:
· 防火墙产品及网络测试;
· 应用服务器产品及网络测试;
· IDS、VPN、负载均衡设备的应用层仿真/安全测试;
· 工业通讯、特种行业的复杂协议测试。
1.3 主要优势
· 丰富的端口速率:10M/100M/100M,GE/2.5G/5G/10G/25G/40G/50G/100G
· 规模生产测试领域遥遥领先:依托强大的自动化测试套件,为通信设备制造加工企业提供业内最高的测试效率和可靠的测试稳定性,是华为、中兴、华三、烽火、贝尔、锐捷等加工制造的测试解决方案主流供应商
· 研发功能性能测试领域:以最优的测试性价比,帮助网络通信设备厂商降低研发的成本
· 高度可定制化:提供定制化测试解决方案,客户在信而泰都能找到适合其自身的测试产品及解决方案
1.4 功能简介
面向以太网2~7层流量测试与协议仿真,能够快速的对网络设备的性能进行全面评估。如RFC2544、RFC2889和RFC3918基准测试,路由仿真与容量测试,基于应用层的新建连接、并发连接与吞吐量等性能指标检测。
回放功能SPE(ScalablePlaybackEmulation)支持基于Pcap文件的回放与基于流量的回放,能够更加全面有效得满足用户对于应用层业务的测试。
支持如下方面的协议仿真与性能测试:
· 路由:RIPv1/v2,OSPFv2/v3,ISISv4/v6,BGP/BGP+,LDP/L3VPN,L2VPN;
· 接入:PPPoEClient/Server,DHCPv4Client/Server,DHCPv6Client/Server,L2TPv2,DHCPv6PDClient/Server,802.1x,IPv6 Autoconfiguration;
· 组播:IGMPv1/v2/v3,MLDv1/v2,IGMP/MLD Querier,PIM-SM;
· 数据中心:VXLAN,OpenFlow,OVSDB,EVPN;
· Ethernet:802.3ah,802.1ag;
· L4~7:HTTP,HTTPS,FTP,TCP,SIP,DNS,Mail,SSH,TFTP,Telnet,UDP;
· Playback:HTTP、CIFS、DNS、SIP、TELNET、POP3、SMTP、GTP、FTP、RADIUS、NFS、LDAP、FIX、Mysql、NTP、Syslog、Exchange等。
二、测试方案
本方案将针对防火墙设备关注的安全功能测试、环境适应性要求和性能要求三个方面进行阐述。
2.1 安全功能测试
安全功能测试指对防火墙设备进行功能性的测试,验证支持功能的完整性。功能验证测试可以从网络层功能支持程度、应用层协议支持程度、安全性测试三个方面来测试。
2.1.1 网络层控制
防火墙的网络层控制功能是指对流经防火墙的通信进行2-3层网络方面的过滤、分析、管理等,已达到安全访问限制的功能;也包含针对二三层设备应该具有的路由功能、NAT转换功能、状态检测功能。
信而泰测试仪表可以针对防火墙网络层功能进行包含如下单不限于如下内容的测试:
2.1.2 应用层协议控
应用层防火墙应具备对常见应用层协议的支持,例如HTTP、TELNET、FTP等协议,应用内容访问控制,用户管控等应用层功能。
信而泰测试仪表可以针对防火墙应用层功能进行包含如下单不限于如下内容的测试:
2.1.3 安全性测试
防火墙在授权管理员的正确配置下,应该能抵抗多数对受保护网络内部和自身系统的攻击,即防火墙应该具有入侵检测的能力,这类攻击包括IP地址欺骗攻击、ICMP攻击、IP分片攻击、DoS(拒绝服务)攻击、口令字探询攻击、邮件诈骗攻击等。防火墙应该具备防御外部攻击(人侵检测)的能力,以达到保护内部网络系统的目的,同时记录安全事件日志,向管理员报警,切断入侵源的连接。
信而泰测试仪表可以支持如下类型的攻击,对防火墙具备的抗拒绝服务攻击功能进行验证:
IP地址欺骗攻击、ICMP攻击、IP分片攻击、DOS(拒绝服务攻击(ICMP Flood攻击、UDP Flood攻击、SYN Flood攻击、Tear Drop攻击、Land攻击、超大ICMP数据攻击))等。
*病毒库攻击目前还未支持,后续可根据项目进行补充支持。
2.2 环境适应性要求
2.2.1 传输模式
防火墙是为加强网络安全防护能力在网络中部署的硬件设备,有多种部署方式,常见的有桥模式、网管模式和NAT模式等。
1、桥模式
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
2、网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
3、NAT模式
NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
针对此类功能测试,信而泰测试仪表可以支持各个模式的测试,支持编辑对应的数据流量进行数据流量转发,以验证防火墙对各模式的支持。
2.2.2 下一代互联网支持
由于IPv4最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。防火墙作为重要的网络安全设备,对于IPv6的支持是必不可少的。针对IPv6的测试,可以从对IPv6纯网络环境中各类协议的支持程度、协议的健壮性和IPv4到IPv6网络的过渡环境的支持等方面进行测试,以保证防火墙设备能平顺稳定的应用到IPv6网络环境。
信而泰测试仪表可以针对防火墙对IPv6网络的支持进行包含如下单不限于如下内容的测试:
2.3 性能要求
随着信息安全要求越来越高,防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发,而是进行报文检测和访问控制,防火墙的存在必然会对安全用户正常使用网络带来一定影响。衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动等。
信而泰测试仪表针对防火墙性能测试,可以给出网络层、传输层和应用层等三个层面衡量的测试方案。
2.3.1 网络层
防火墙网络层转发性能测试项目主要参考RFC2544、RFC3511.
RFC2544协议是RFC组织提出的用于评测网络互联设备(防火墙、IDS、Switch等)的国际标准,主要是对性能评测参数的具体测试方法、结果的提交形式作了较详细的规定。
RFC3511主要是针对防火墙性能评测参数具体测试方法、结果的提交形式作了较详细的规定。针对网络层主要规定了IP吞吐量、时延的测试方法。
RFC2544主要包含如下4个测试项目:
吞吐率(Throughput):被测设备在不丢包的情况下,所能转发的最大数据流量。
丢包率(LostRate):在一定的负载下,由于缺乏资源而未能被转发的包占应该转发的包数的百分比。
时延(Latency):反映被测设备处理数据包的速度。
背靠背(Back-to-Back):反映被测设备处理突发数据的能力(数据缓存能力)。
信而泰提供的防火墙转发性能测试方案,有如下的内容
测试内容:吞吐量,时延,丢包率,背靠背
测试拓扑:1对1,1对多,Backbone,Fullmesh等多种拓扑
特点:配置简单,多个测试项目顺序运行,全自动执行
测试报告:提供详细的,标准的测试报告,可存为PDF,XLS格式
信而泰测试仪表可以测试的转发性能测试包含但不限于如下的内容:
2.3.2 传输层
针对防火墙传输层性能的评估,RFC3511标准规定了最大TCP并发连接数、最大TCP连接建立速率和最大TCP连接拆除率三个性能参数的测试方案和报告形式。
• 防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP连接总数。主要反映了被测设备维持多个会话的能力。
• 防火墙最大TCP连接建立速率是指在被测设备能够成功建立所有请求连接的条件下,所能承受的最大TCP连接建立速度。主要体现了被测设备对于连接请求的实时反应能力。
• 防火墙最大TCP连接拆除率是指在被测设备能够成功建立所有请求连接时,拆除TCP连接的速率。此项参数指标一般对防火墙性能影响不大。
信而泰测试仪表可以针对防火墙传输层性能的测试包含但不限于如下的内容:
2.3.3 应用层
针对防火墙应用层性能的评估,RFC3511标准规定了HTTP传输速率、最大HTTP事务处理速率两个性能参数的测试方案和报告形式。
• 防火墙HTTP传输速率也叫做应用层吞吐量(Goodput),在一定连接新建和并发的情况下,单个报文的应用层数据承载量很大程度决定了应用层报文转发的能力。
• 防火墙最大HTTP事务处理速率这个测试旨在查找用户可以访问的最大速率对象。
