隨著互聯(lián)網(wǎng)應(yīng)用類型的不斷增加以及應(yīng)用形式的不斷變化,層出不窮的的安全威脅時(shí)刻發(fā)生在我們身邊。基于服務(wù)的架構(gòu)以及Web2.0使用的普及,使更多的通信只是通過少數(shù)幾個(gè)端口及采用有限的幾個(gè)協(xié)議就可以完成,這就使得基于端口/協(xié)議類安全策略的傳統(tǒng)防火墻無法應(yīng)對(duì)各種新的安全威脅。下一代防火墻就是在這種背景下提出的,相對(duì)于傳統(tǒng)防火墻,下一代防火墻具有以下特點(diǎn):
l 全面的應(yīng)用層流量識(shí)別與管理
l 高精度、高效率的入侵檢測(cè)
l 實(shí)時(shí)的病毒防護(hù)
l 迅捷的URL分類過濾
l 卓越的應(yīng)用層安全處理性能
l 兼容傳統(tǒng)防火墻的所有功能特性
針對(duì)新的功能,我們也提出新的測(cè)試方法,下面將重點(diǎn)從功能測(cè)試、性能測(cè)試兩方面分別進(jìn)行介紹。功能測(cè)試主要從入侵檢測(cè)及應(yīng)用識(shí)別兩方面進(jìn)行描述,其他業(yè)務(wù)測(cè)試方法類似。
一、功能測(cè)試
1.入侵檢測(cè)及防御功能測(cè)試
IPS(Intrusion Prevention System,入侵防御系統(tǒng))是一種可以對(duì)應(yīng)用層攻擊進(jìn)行檢測(cè)并防御的安全防御技術(shù)。在實(shí)際使用中,用戶關(guān)心的是實(shí)際發(fā)生的攻擊IPS能否識(shí)別并進(jìn)行攔截,開啟IPS后對(duì)用戶的正常使用是否會(huì)造成影響,這就是IPS攻擊特征的識(shí)別及誤識(shí)別。入侵?jǐn)r截率即對(duì)流經(jīng)設(shè)備的攻擊成功阻斷的比率,是衡量一款入侵檢測(cè)設(shè)備好壞的重要指標(biāo)。
入侵?jǐn)r截率測(cè)試在測(cè)試前建議更新官方發(fā)布的最新特征庫,在被測(cè)設(shè)備上使能所有攻擊特征,特征匹配的處理動(dòng)作為重置或丟棄并記錄日志。測(cè)試采用BPS(BreakingPoint Systems)測(cè)試儀,構(gòu)造兩部分流量:一部分為正常業(yè)務(wù)的背景流量,要求不影響設(shè)備的性能,不會(huì)引起丟包,一般可設(shè)置為設(shè)備處理性能的10%;一部分為攻擊流量,BPS支持Level 1到Level 5 五個(gè)樣本集,各樣本集中的樣本數(shù)依次增加。在測(cè)試過程中可以依次采用Level 1 到Level 5進(jìn)行測(cè)試。每運(yùn)行一輪后,通過對(duì)設(shè)備產(chǎn)生的日志及BPS測(cè)試儀運(yùn)行報(bào)告進(jìn)行對(duì)比,得出被測(cè)設(shè)備識(shí)別率和誤報(bào)率。
在實(shí)際的攻擊過程中,攻擊者可能會(huì)增加各種逃逸手段,使攻擊逃過IPS系統(tǒng)的檢測(cè),因此我們?cè)跍y(cè)試時(shí)也需要考慮到這種情況。常見的逃逸方式有IP分片、TCP分段、協(xié)議端口重定向、采用特殊的編碼格式、采用分隔符逃逸、采用大小寫逃逸等。在測(cè)試中可以通過測(cè)試儀構(gòu)造各種逃逸手段,對(duì)比沒有逃逸手段時(shí)的測(cè)試結(jié)果,被測(cè)設(shè)備的識(shí)別率應(yīng)該不會(huì)下降。
2.應(yīng)用識(shí)別與流量管理測(cè)試
應(yīng)用識(shí)別與流量管理,主要提供以下三個(gè)功能:
l 限制最大帶寬。如限制P2P、視頻等占用大量資源的應(yīng)用的最大帶寬;
l 保障關(guān)鍵業(yè)務(wù)的保障帶寬;
l 應(yīng)用流量監(jiān)控統(tǒng)計(jì)。
要實(shí)現(xiàn)上面三個(gè)功能,首先要做的是要把流經(jīng)設(shè)備的應(yīng)用識(shí)別出來。目前提供有兩種方式,基于特征的應(yīng)用識(shí)別和基于數(shù)據(jù)流的應(yīng)用識(shí)別。對(duì)應(yīng)基于特征的識(shí)別,由于這些特征都是從樣本中提取的,而在選取樣本時(shí)就可能存在選取的樣本不夠多不夠全面,導(dǎo)致定義的特征不能涵蓋該種應(yīng)用的所有資源,這就會(huì)出現(xiàn)不能識(shí)別應(yīng)用的情況;或者定義的特征相對(duì)寬泛,這樣就會(huì)導(dǎo)致誤識(shí)別的出現(xiàn),因此對(duì)于應(yīng)用識(shí)別是測(cè)試的另一重點(diǎn)。
目前各廠商基本都能支持幾千種的應(yīng)用特征,對(duì)每種應(yīng)用進(jìn)行遍歷測(cè)試在人力及時(shí)間都比較緊缺的情況下不夠現(xiàn)實(shí),因此比較常見的方法為在現(xiàn)網(wǎng)中選取幾個(gè)使用范圍比較廣的應(yīng)用進(jìn)行測(cè)試,比如迅雷、QQ、微信、微博、主流的在線視頻、Http下載、web mail等進(jìn)行測(cè)試。在測(cè)試中對(duì)同一應(yīng)用的不同版本都需要進(jìn)行驗(yàn)證,對(duì)于下載類應(yīng)用還需要對(duì)各種下載方式及不同的種子進(jìn)行驗(yàn)證。其次需要注意各應(yīng)用的精細(xì)化測(cè)試,比如QQ就包括QQ聊天、QQ文件傳輸、QQ語音、QQ視頻等功能,被測(cè)設(shè)備能否針對(duì)每種功能分別進(jìn)行限速及阻斷也是測(cè)試中需要重點(diǎn)關(guān)注的。
現(xiàn)在Spirent和IXIA測(cè)試儀廠商能夠模擬的應(yīng)用也越來越多,在實(shí)驗(yàn)室環(huán)境下我們可以采用測(cè)試儀模擬真實(shí)的應(yīng)用流量進(jìn)行測(cè)試,對(duì)于測(cè)試儀無法模擬的流量,可以通過現(xiàn)網(wǎng)抓包以報(bào)文回放的方式進(jìn)行測(cè)試。同時(shí)也需要考慮對(duì)分片分段報(bào)文的處理,以及對(duì)于分布式的架構(gòu),需要考慮多引擎處理的情況。
二、性能測(cè)試
防火墻不能成為網(wǎng)絡(luò)的瓶頸,在進(jìn)行深度數(shù)據(jù)包檢測(cè)的時(shí)候也不應(yīng)該成為網(wǎng)絡(luò)的瓶頸,因此下一代防火墻的性能除了需要測(cè)試在開啟應(yīng)用檢測(cè)時(shí)的新建、并發(fā),還需要測(cè)試在開啟IPS及內(nèi)容過濾、病毒防護(hù)時(shí)的新建、并發(fā),并且需要在有攻擊流量背景的情況下進(jìn)行測(cè)試。攻擊背景流量可以采用BPS的ALL Strikes攻擊樣本集。
l 下一代防火墻吞吐量測(cè)試
吞吐量是指在沒有丟包的情況下,設(shè)備能夠接收并轉(zhuǎn)發(fā)的最大數(shù)據(jù)速率。對(duì)于下一代防火墻來說,應(yīng)用識(shí)別是默認(rèn)開啟的,為了盡量貼近真實(shí)場(chǎng)景,單一負(fù)載大小和協(xié)議的傳統(tǒng)性能測(cè)試方法不再適用。這里可以采用BPS測(cè)試儀中混合流量場(chǎng)景來作為模擬現(xiàn)實(shí)環(huán)境的應(yīng)用層性能測(cè)試場(chǎng)景,可以選擇幾個(gè)比較有代表性的場(chǎng)景如高校教育場(chǎng)景、企業(yè)數(shù)據(jù)中心場(chǎng)景和企業(yè)內(nèi)網(wǎng)場(chǎng)景,分別測(cè)試只開啟應(yīng)用識(shí)別、開啟IPS、開啟內(nèi)容過濾及URL過濾時(shí)的吞吐量。
l HTTP新建速率及并發(fā)測(cè)試
HTTP新建速率是指在每一秒內(nèi)防火墻能夠處理的HTTP新建連接請(qǐng)求的數(shù)量,并發(fā)連接數(shù)指的是防火墻最大能夠同時(shí)處理的連接會(huì)話個(gè)數(shù)。HTTP新建和并發(fā)測(cè)試方法同傳統(tǒng)防火墻方法基本相同,都可以采用Avalanche或者IxiaL
OAd進(jìn)行測(cè)試,對(duì)于下一代防火墻需要分別測(cè)試開啟應(yīng)用識(shí)別、開啟IPS、開啟內(nèi)容過濾及URL過濾時(shí)的新建、并發(fā)性能。
l 日志輸出性能測(cè)試
下一代防火墻的一個(gè)主要功能是用戶行為審計(jì)功能,在大量業(yè)務(wù)訪問時(shí),日志能否完整記錄用戶的訪問過程,因此日志輸出速率是我們測(cè)試需要關(guān)注的另一個(gè)性能指標(biāo)。在測(cè)試時(shí)可以采用測(cè)試儀模擬URL訪問,設(shè)備上開啟URL過濾功能,并增加自定義特征使測(cè)試儀模擬的URL能夠匹配,設(shè)置規(guī)則的動(dòng)作為方向并記錄日志,設(shè)置日志輸出到日志服務(wù)器(要求日志服務(wù)器不會(huì)成為瓶頸)。測(cè)試儀以一定的速率訪問URL請(qǐng)求,在日志服務(wù)器能完整收到所有日志時(shí)最大的URL請(qǐng)求速率即為日志輸出的最大速率。
結(jié)束語
本文主要從功能及性能兩方簡(jiǎn)要描述下一代防火墻測(cè)試方法,下一代防火墻測(cè)試的難點(diǎn)在于如何去模擬用戶的真實(shí)使用環(huán)境,以及對(duì)特征庫的識(shí)別率及誤報(bào)率的測(cè)試。參照以往的經(jīng)驗(yàn)只能通過收集各個(gè)局點(diǎn)的流量模型報(bào)文,然后再在實(shí)驗(yàn)室進(jìn)行報(bào)文回放測(cè)試,通過局點(diǎn)報(bào)文的抓取來逐漸豐富我們的應(yīng)用庫,但是這也只能去應(yīng)付問題,不能解決根本問題,還需要進(jìn)一步探究。下一代防火墻的審計(jì)功能是給用戶對(duì)現(xiàn)網(wǎng)網(wǎng)絡(luò)流量最直觀的呈現(xiàn),日志的準(zhǔn)確性、報(bào)表的直觀性、用戶的體驗(yàn)感也是在測(cè)試中需要重點(diǎn)關(guān)注的。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:下一代防火墻測(cè)試
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839518730.html