Spirent防火墙测试方法

Spirent防火墙测试方法

1.利用Spirent模仿现实环境来测试防火墙

此部分描述了如何利用Spirent的Avalanche/Reflector或者SmartBits平台进行基本的防火墙测试。

你可以在防火墙测试中加入更多的参数选项以提高测试仿真现实网络的能力，此外，还可以在测试中包含进其他的设备。这些测试能力使你的测试更加贴近产品网络从而减少了产品部署的风险。

以下的测试描述包括：

◆“Firewall Basic”-测试结构的工作特性限制。

◆“Firewall Stress”-衡量防火墙的极限工作能力。

◆“Firewall Load”-衡量在一定的负载下防火墙如何更好的维持可用性。

1.1“Firewall Basic”-建立一个可参考的基线测试

1.1.1目标

在你衡量一个防火墙前，必须先知道测试结构的操作限制。基本防火墙测试结构是由可管理交换机连接的背对背Avalanche/Reflecor设备所构成的。交换机必须是可管理的；我们高度建议在加入防火墙到测试结构前，应尽可能地简化网络连接。

一旦你确定了测试设备的工作限制，在Avalanche/Reflector之间“插入”防火墙，这样一来，可以排除测试设备所引起的问题。万一测试失败，我们就可以假设是由防火墙引起的测试失败。

1.1.2 要求

◆Avalanche和Reflector（或者是SmartBit/WebAvalanche卡）

◆可管理的2/3层交换机（交换机吞吐量应该比防火墙的吞吐量大得多）

◆控制接口-有以太网端口的任何PC并且具有具有浏览器、JVM和Adobe acrobat软件。

1.1.3需要设定的工作参数

◆使用HTTP 1.0和FTP的每秒建立连接数（CPS）

◆最大并发连接数（HTTP和FTP）

1.1.4 运行“基本防火墙测试”

1.如图1所示连接Avalanche、Reflector、管理控制端口和3层交换机。

2.确定所有设备有正确的IP地址

◆Avalanche管理地址：192.168.42.2（默认）

◆Reflector管理地址：192.168.42.3（默认）

◆管理控制地址：192.168.42.5（这这次测试的特定地址）

3.复制Reflector上的“Echo”到一个新的测试中，称为“FW Basic Reflector”

图1：定义Avalanche，Reflector操作极限

◆设置服务器支持HTTP 1.0和FTP（1KB文件大小）

◆确保测试可以到达稳定状态

4.在Avalanche上配置“Firewall Basic”测试

选择一个预先配置好的测试（SPI）并复制它到“Firewall Basic”测试中。

你现在可以修改“Firewall Basic”并可以另存为一个新测试。

◆设置客户端流量包括两种协议，在user-profiles中的HTTP 1.0和FTP

◆配置Load Spec来测试你想得到的极限值。

例如，假如防火墙的基准测试结果是每秒新建连接1000个，10000个并发连接数-这是测试后所得的参数-运行两个分离的测试以确保测试结构的结果满足或超过基准测试结果。

使用“连接/秒”作为load-spec，确定你可以超过1000CPS的值来运行测试。

使用同一个load-spec，确保在测试运行的“稳定阶段”可以维持超过10000个的连接。

5.检查网络端口配置并运行Avlanche的“Firewall Basic”

6.调试可能由于不恰当网络配置或者在交换机/设备之间的以太网连接所引起的问题。失败情况可能包括：

◆流量遗漏——特别是假如测试运行在了很长的时间间隔（48小时）—这可能是一个内存遗漏

◆新进入连接超时

当进行有效流量时，进入流量的重置。

7.确保Avalanche/Reflector和以3层为基础的测试床其操作极限要远远高于被测试的防火墙。

当维持过程中没有显示“no failing test”时，逐步提高load-spec。

一定要注意“Firewall Basic”测试中指定的测试床工作极限。

当没有失败测试时，你就应该准备把防火墙加入到测试床中进行压力和负载测试，建立更加贴近现实的“Firewall Basic”测试。

图2：指定测试负载情况下的CPS和最大开放连接数

1.2 “Firewall Stress”-防火墙压力测试

1.2.1 目标

定义防火墙的操作参数极限，例如每秒连接数和开放连接数。

1.2.2 额外的要求

防火墙典型分为外部、内部和DMZ端口

注意：除防火墙进入测试床所引起的必要配置变化以外，应该保证测试床配置变化的最小化。

与“Firewall Basic”相比，防火墙压力测试的焦点则更集中于防火墙本身。

1.2.3 需要建立的操作参数

◆使用HTTP或者FTP的每秒建立连接数（cps）

◆最大的并发连接数（http和FTP）

1.2.4 运行“防火墙压力测试”

1.如图3所示把防火墙连接到测试床中

2.配置适当的网络IP地址

图3：防火墙负载和防火墙压力测试结构图

在Avalanche和Reflector上标明典型防火墙的3个端口，分别是外部（不受保护的）、DMZ（不受保护的）和内部（受保护的）端口。

a）Reflector

i）DMZ（受到的保护比较少）服务器：10.10.10.10 ，虚拟路由器：10.10.10.2

ii）内部（受到保护）服务器：11.11.11.10，虚拟路由器：11.11.11.2

b）Avalanche

i）客户端（未受到保护的）：192.168.0.20-126，虚拟路由器：192.168.0.2

ii）客户端（未受保护的）：192.168.0.130-254，虚拟路由器：192.168.0.129 以上两个客户端源需要创造很大数量的用户，一个客户端源建议生成访问DMZ服务器的流量，另外一个模拟访问Reflector上需要保护的服务器。

防火墙IP地址设置（数据端口）：

a）内网地址（受保护的）：11.11.11.1

b）内部地址（DMZ）：10.10.10.1

c）外部地址（未受保护的）192.168.0.1

d）防火墙配置（在串口上）

配置防火墙：

以下是一个典型防火墙所需要配置的样例文件。它包含了网络IP地址和策略，也只是简单地完成了“允许http”和“允许ftp”规则设置（每个厂商的语法要求都是有些变化的）。注意到这只是一个例子来演示测试方法；每一家防火墙厂商都会有不同的配置脚本和工具。nameif etherneto outside securit0

nameif ethernet1 inside security100

interface etherneto auto

interface ethernet1 auto

ip address outside 192.168.0.1 255.255.0.0

ip address inside 10.10.10.1 255.255.255.0

arp timeout 14400

static(inside,outside) 10.10.10.10 10.10.10.10