《信息安全产品测试方法介绍.docx》由会员分享,可在线阅读,更多相关《信息安全产品测试方法介绍.docx(9页珍藏版)》请在三一办公上搜索。
1、信息安全产品测试方法介绍 摘 要 介绍了常见的IPSec网关,SSL VPN,防火墙,IDS,IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤,并对IXIA在这方面的特点和优势进行了总结。关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试1 引言IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁;在IP网络中进行的信息通信和传输也显得不太安全。IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安
2、全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。为了防范各种各样的安全威胁和进行安全不泄密的通信,个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信,这些安全设备包括防火墙,IDS,IPS,垃圾邮件网关,代理服务器,IPSec网关和SSL VPN网关等。但是这些设备地引入,会对网络的性能造成一定地影响。
3、多个厂家设备地引入,产品的互通性也对网络部署是一个考验。所以,如果评估测试这些安全设备的性能(Performance)和一致性(Conformance)就显得尤其重要,全球领先的IP测试方案供应商美国IXIA公司的测试方案可以全面满足信息安全产品的性能、一致性和功能的测试需求。2 实现安全通信的设备测试目前,实现安全通信的最主要方式是采用VPN技术,VPN技术从实现上主要有三大类,基于MPLS技术的VPN,基于IP技术的VPN和基于应用层技术的SSL VPN等。这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN,L3 VPN和Mult
4、icast VPN等;基于IP技术的VPN包括二层的L2TP技术,PPTP技术和三层的IPSec技术与GRE技术等。本文主要对目前比较流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。IPSec VPN是基于网络层的VPN,对所有的IP应用均透明。但是SSL VPN是基于应用层的VPN,对保护基于Web的应用更有优势。两种VPN技术的简单比较参见表1。由于基于这两种技术的差异性,所以对这两种不同的VPN网关测试方法和指标也有些不同。2.1 IPSec VPN安全网关测试对于IPSec VPN网关来说,性能测试方法有两种,一种是早期的测试方法,这种方法是由
5、两台被测设备直接连接起来,由被测设备之间完成IPSec之间的协商过程并建立IPSec的隧道,然后在建立的隧道上运行流量,来评估设备在有IPSec加密情况下的吞吐量(Throughput)、时延(Latency)和丢包率(Packet Loss)等各项性能指标。测试示意见图1。但是,这种方法有很大地局限性,就是不能评估IPSec网关支持IPSec隧道的数量以及隧道建立的速度等指标。所以,目前最普遍的测试方法是使用测试仪表来仿真IPSec网关,和被测IPSec网关建立IPSec隧道来评估被测设备所支持的IPSec隧道的数量以及隧道建立的速度,在隧道建立成功后,测试仪表还可以同时仿真IPSec网关后
6、的主机以及被保护的网络,以验证隧道之上27层数据和应用的转发性能与QoE指标。IXIA的IPSec网关测试方案完全满足上述两种测试方法。本文主要介绍第二种方法。这种方法的测试原理参见图2,它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec安全网关以及安全网关后面被保护的子网和主机,与被测设备建立IPSec的通信隧道,另外一个端口仿真安全网关内被保护的子网或者主机。在IPSec隧道协商成功后,可以在被保护的子网和主机之间发送和分析流量。(1)IXIA的IPSec性能测试方案能够回答下列关键问题:评估IPSec网关所支持的IPSec隧道的数量。评估IPSec网关建立IPSec隧道的速度
7、。评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行RFC 2544的测试。评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行有状态的(Stateful)应用层流量测试,目前最为关注的就是该特性的测试,可以直接验证IPSec之上承载多种真实业务的能力。2)IXIA的IPSec 性能测试方案具有以下特点: 测试网络安全设备的IPSec Tunnel容量,Tunnel建立速度以及Tunnel建立起来之后的RFC 2544测试和应用层业务承载能力。应用层流量包括HTTP,FTP,E-mail,SIP,MGCP和视频等;每个测试端口最多支持1.6万个IPSec的隧道,160
8、个Tunnel/s的隧道建立速度,超过950Mbit/s以上的吞吐量。支持IPSec的IPv4和IPv6版本。支持AH,ESP或者两者结合的加密算法:Null,DES,3DES,AES 128,AES 192,AES 256等封装算法;MD5,SHA-1认证算法,Certificates,Pre-shared Keys等Phase 1认证模式;GROUP 1,2,5,14,15,16等DH组。支持GRE和VLAN配置,支持GRE over IPSec和IPSec over GRE等特性测试。可以线速加密数据进行RFC 2544基准测试以及长时间地性能测试。支持IKE的版本1和2;支持动态多点V
9、PN(DMVPN)。在IKE协商的第一阶段,支持Main模式和Aggressive模式,Hash算法(HMAC-MD5,HMAC-SHA1),Xauth用户认证,模式地址分配,用户认证(预先共享密钥及证书),NAT转换(NAT-T),支持隧道模式(Tunnel)和传输模式(Transport)不同的封装方式,Lifetime协商和Re-keying。IKE协商的第二阶段,支持AH,ESP和AH+ESP,Hash算法(HMAC-MD5,HMAC-SHA1),完整转发安全性(PFS),IPSec keep-alives和Dead Peer Detection (DPD)。另外,IXIA公司的安全测
10、试方案还可以在同一平台上实现IPSec的一致性(Conformance)测试。支持的测试协议和测试例参见表2。这些特点为IPSec性能测试和一致性测试提供了有力地保证。2.2 SSL VPN网关测试SSL VPN的技术特点在上面已经和IPSec VPN做了简单地比较,从技术上来说,SSL VPN有很多面向应用的特点,所以在性能测试的方法上也和IPSec有很大不同。从技术上来说,SSL VPN也有三种类型,包括无客户端模式(Clientless Mode)、简化模式(Thin Client Mode)和安装客户端模式(Tunnel Mode)。目前,能够用仪表进行性能测试的,主要是无客户端模式,
11、也就是通常讨论的SSL测试。谈到SSL VPN产品的性能测试,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等,它强调地是性能,目前国内可见的SSL Server产品性能可达2万TPS和400万同时在线用户数;而SSL VPN面向的是远程接入,即管理系统,它强调地是易于使用和管理、安全性等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那
12、样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。Http:/www.vpnc.org中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正地各个厂家能够互通的SSL VPN产品。IXIA公司作为VPNC协会中的惟一测试仪表提供商,一直在跟踪这方面的技术,并且有很好地测试解决方案。相应的VPNC会员列表,请参考下面链接:http:/www.vpnc.org/member-list.html。IXIA的SSL VPN性能测试方案主要有下面的特点:(1)支持SSLv2,SSLv3,TLS1.0。(2)支持全面的密码套件,包括
13、DES,3DES,RC4,MD5,SHA。(3)支持私有密钥和会话重用。(4)用户可配置地客户端密钥和证书。SSL VPN的测试示意如图3所示。这些特点可以用于客户端,也可以用于服务器端,为SSL VPN测试带来很大地灵活性和方便性。SSL VPN性能测试的主要指标包括:(1)在不同加密算法下的有效吞吐量(Goodput)。(2)并发连接数(Concurrent Connection。(3)新建SSL 连接的速率(Connection Rate)。3 保障信息安全产品的测试保障信息安全的产品比较多,比如防火墙,IDS,IPS,防垃圾邮件网关和内容检测系统等等都属于保障信息安全的产品。下面对这些
14、产品的性能测试方法做一简单介绍。3.1 防火墙测试防火墙是应用最广泛地信息安全产品,防火墙测试也是目前信息安全测试领域的一个热点。从功能上来说,防火墙地作用是让合法的流量正常通过,并能够拦截各种非法与攻击流量。防火墙类型比较多,比如无状态包过滤类型(Stateless packet filtering)、有状态包过滤类型 (Stateful Packet Filtering)、基于NAT类型(静态,动态,PAT)、基于代理类型 (Proxy)等。但无论是何种类型,测试防火墙的性能,都要遵守IETF提出的RFC 3511标准,该标准规范了测试防火墙性能的方法和测试项,这些测试项包括:IP吞吐量(
15、IP Throughput),并发的TCP连接数量(Concurrent TCP Connection Capacity),最大地TCP连接建立速度(Maximum TCP Connection Establishment Rate),最大地TCP连接拆除速度(Maximum TCP Connection Tear Down Rate),防火墙对DoS的防范能力(Denial of Service Handling),HTTP转发率(HTTP Transfer Rate),最大地HTTP交易速率(Maximum HTTP Transaction Rate),对“非法”流量地防范能力(Illeg
16、al Traffic Handling),防火墙对IP包分拆组合地处理能力(IP Fragmentation Handling),时延(Latency)。IXIA的防火墙安全测试方案可以满足RFC 3511里面规定的测试项,并且这些测试项已经用自动化地测试脚本实现,可以十分方便快捷地完成相关测试。相关特点包括:(1)测试仪表的每个端口都可以仿真客户端或者服务器端,使用方便。(2)各项性能指标随着端口数量的增加而线性增加,可以产生超千万TCP并发连接数、几十万每秒新增TCP连接数和接近线速地应用层吞吐量,特别是在10G高速率下,IXIA可以产生线速的应用层流量。(3)随着防火墙功能复杂程度越来越
17、高,需要验证防火墙在各种应用层业务(包括数据、语音和视频等)和非法流量混合情况下地处理和检测能力(见图4)。IXIA同时可以仿真包括P2P协议在内超过20种应用层的流量以验证防火墙的转发性能。(4)防火墙对一些“私有协议”流量地防范,可以通过IxLoad强大地“Application Replay”功能进行验证。该特点同样可以用于其他相关信息安全产品地性能测试。在这里有一个问题被经常提起,就是在正常流量和非法流量混合的情况下,如何在测试仪表上能够直接观察到防火墙是否对非法流量进行了有效拦截?IxLoad的“Packet Monitor”功能可以回答该问题,其特点是在接收端具有检测功能,验证攻击
18、流量是否被防火墙所丢弃,这个特性对信息安全产品的测试非常重要,可以实时了解防火墙对各种攻击流量的防范能力,该功能同样可用于下面将要介绍的IDS,IPS等产品的测试。3.2 IDS(入侵检测系统)和IPS(入侵防御系统)设备测试IDS本质上是一种监听系统,它依照一定的安全策略,对网络与系统地运行状况进行监测,尽可能发现、报告、记录各种攻击企图、攻击行为或者攻击结果,以保证信息系统的机密性、完整性和可用性。IDS可分为主机型(HIDS)和网络型(NIDS),目前主流IDS产品均采用两者有机结合地混合型架构。IPS串联于通信线路之内,是既具有IDS的检测功能,又能够实时中止网络入侵行为的新型安全技术
19、设备。IPS由检测和防御两大系统组成,具备从网络到主机的防御措施与预先设定的响应设置。从测试方法上来说,这两种设备的测试方法基本相同,都是通过测试仪表(或者其他攻击工具产生攻击)仿真各种类型的攻击数据包(DDoS或者NESSUS漏洞扫描和攻击),同时通过测试仪表产生所需要的压力流量(无状态和有状态的流量),来验证IDS或者IPS的检测和防御能力。测试指标主要包括:(1)检测非法入侵的能力;(2)抗欺骗能力(IDS误报,IDS漏报);(3)自身安全性。但是,IPS除了具有检测功能外,还有对异常或者攻击流量的防御功能,决定了还需要测试其防御特性,这些特点和防火墙的测试方法类似,测试标准同样也需要遵
20、守RFC 3511的规范。所以在这里就不详细介绍。测试拓扑示意如图5所示。3.3 反垃圾邮件网关的测试反垃圾邮件网关作为安全产品的重要组成部分,越来越受到业界地关注,单一的反垃圾邮件网关功能也进一步扩展具有反垃圾邮件、防范蠕虫病毒攻击、防范DDoS攻击和防范漏洞扫描等于一体的综合性信息安全产品。IXIA公司的反垃圾邮件性能测试方案可以测试反垃圾邮件网关系统的各项指标,包括POP3,SMTP和IMAP邮件网关的吞吐量、在一定时间内发送的E-mail的数量、在一定时间内发送的E-mail附件的数量、邮件转发成功率、最大SMTP并发连接数、SMTP请求处理的速度等。从测试方法上来说,首先要进行基准测
21、试,也就是在反垃圾邮件网关上不启用任何过滤规则,验证其上述各项性能指标。然后启用各种过滤规则,分别验证反垃圾邮件网关在启用垃圾邮件扫描、病毒邮件和附件扫描、DDoS攻击扫描等规则下的性能。测试拓扑图和IDS的测试类似,可以参考图5。IXIA的反垃圾邮件网关测试方案有以下特点:(1)支持POP3,APOP3,SMTP,IMAP等常见的邮件协议。(2)POP3协议主要支持下面这些常见的命令来更加真实的仿真接收Email的过程:OPEN,STAT,DELE,NOOP,RSET,LIST,UIDL,RETR,TOP,QUIT等。另外,支持发送E-mail认证(Authentication)的仿真APO
22、P3。(3)SMTP协议主要支持下面这些常见的命令来更加真实地仿真发送E-mail的过程:OPEN,MAIL,NOOP,RSET,SLEEP,QUIT等。(4)IMAP主要支持下面这些常见的命令来更加真实地仿真发送和接收E-mail的过程:LOGIN,SELECT,FETCH,LOGOUT等。(5)IXIA可以十分方便地仿真多个不同的E-mail地址发送给不同的接收者,每个E-mail都可以有不同的主题(Subject);E-mail可以抄送(CC)、暗送(BCC)给不同的人。E-mail的正文可以是文本,HTML或者Random格式。E-mail的附件可以根据你的需要加入自己的文件做为附件。
23、邮件的正文和附件大小可以灵活设置。附件文件可以是病毒(Virus)等。(6)IXIA测试模块的每个端口可以仿真E-mail客户端或者服务器端。一个测试模块就可以仿真海量的E-mail客户端或者服务器来评估高端的反垃圾邮件网关设备。(7)IXIA测试模块的每个端口可以产生超过130k的并发连接数(Concurrent Connections),每秒超过7000的Transaction速率,每秒超过200M的E-mail发送流量。另外,IXIA公司对WLAN无线产品的安全性,802.1x的认证,网络接入控制(NAC-Network Access Control),IEEE 802.1AE MacSec等技术和产品的性能测试都有相应地解决方案,由于篇幅限制,本文未做详细介绍,如果有兴趣,请访问IXIA公司的网站。4 结束语通过IXIA公司的信息安全产品的性能和一致性测试方案,在IXIA一体化的27层测试平台上完全可以满足IPSec网关,SSL VPN网关,防火墙,IDS,IPS和反垃圾邮件网关等相关安全产品地测试。为产品快速推向市场,提升产品性能起到十分重要地推动作用。
