思博伦网络测试培训11-应用层及安全测试方案

思博伦应用层及安全解决方案

为什么测试4-7层？
基于内容的设备加速了www 迅速增长 对于内容网络（4-7层）而言，增加产品数量并不是很好 的途径，不如加强对这些设备的测试
网络的边缘部分已经成为瓶颈 需要进行4-7层测试的设备包括：
防火墙 入侵检测系统（IDS） VPN网关 SSL加速器 负载均衡器和Web交换机 Web cache ……
Page 2
提供安全的、无 漏洞的网络
快速地传送内容 给用户

为什么测试4-7层？
即使设备不是基于4-7层的，当处理7层数据流时，负载 特征的改变也会造成明显的功能和性能问题 传统的2-3层数据流压力测试是好的，但总是不够充分的 需要将“真实性”引入实验室测试中
- 协议（HTTP、FTP、SMTP、POP、SSL、…） - 环境（数据包丢失、延迟、连接速度、…）
Page 3

安全及应用层测试 — 4-7层测试技术
测试技术发展情况
业界没有形成系统的测试方法学 测试内容包括功能测试、性能测试、协 议分析、网络监控等内容 又分为设备测试、服务器、网络服务测 试 有许多厂商都在研究新的测试方法 RFC 2647/RFC 3511 Light Reading SSL VPN测试
技术发展趋势
所有的网络都需要进行高层业务测试 网络/设备/服务器 网络安全测试的在多个方面发展 DoS/病毒/垃圾邮件/系统监控/… 应用层QoS测试 Trip Play测试技术
目前可行的解决方案
应用层性能测试工具 协议分析软件 应用层仿真工具 2-7层集成测试技术
面临的挑战
测试方法学的统一和标准化 网络安全测试与实际网络安全 如何准确评估具有复合业务的网络系统 可靠性测试与系统故障分离 大量新兴应用的出现为测试增加了难度
Page 4

问题：应用和网络结构非常复杂
评估系统的容量 非常困难
防火墙
负载均衡器
路由器
SSL 设备 Web 服务器 应用 服务器 数据库 服务器
Page 5

应用性能评估需要仿真用户和Internet
现实中用户应用的交互 现实中用户应用的交互 不同的浏览器类型 不同的浏览器类型 用户思考时间 用户思考时间 用户放弃（HTTP abort） 用户放弃（HTTP abort） DDoS攻击 DDoS攻击 病毒附件/垃圾邮件 病毒附件/垃圾邮件
每个用户都有IP地址 每个用户都有IP地址 线路速率 线路速率 延迟 延迟 丢包 丢包
Page 6

传统的实验室评估
实验室环境 实验室环境
• •
有限的数量： 有限的数量：
• • • • • • 用户/客户端 用户/客户端 协议（ftp, http） 协议（ftp, http） 服务器/应用 服务器/应用
••
有限的网络影响 有限的网络影响 延迟、丢包 •• 延迟、丢包 分片，等 •• 分片，等 网络设计影响 网络设计影响 单个DUT 单个DUT 单个厂商仿真 单个厂商仿真
Device
•• •• ••
Page 7

思博伦解决方案 — Avalanche/ThreatEx
Page 8

系统测试
Spirent Avalanche
• 安全：检验对于病毒和攻击的防护 • 可用性：在低于峰值负载和超过峰值负载情况下测试 • 降低成本：精确测量得出系统所需规模
Page 9

网络基础架构测试
Spirent Avalanche
Spirent Reflector
• 安全：检验在极端负载情况下的防护 • 可用性：测试设备软件的新版本 • 降低成本：评估来自多个厂商的设备
Page 10

测试方案的拓朴结构

SSL Scaler

Router

Firewall

Load Balancer Database Server

File Server

Application Server

Web Server

模拟核心网络

丢包

Internet

模拟用户接入速率(56K, 512K, 等.)

用户的个人行为:(思考时间, 超时放弃浏览,等)

模拟众多子网地址流量

真实流量: HTTP1.0/1.1, FTP,SMTP/PoP 3, 视频, 攻击, SOAP, 等.)

测试仪表模拟所有客户端功能

测试仪表:模拟服务器群

“真实环境”测试

L4-L7网络连接

设备

Avalanche产品概述

Avalanche产品系列是目前业内先进的4-7层（应用层）仿真及性能测试工具。其中Avalanche为网络应用层客户端仿真及性能测试仪，Reflector为网络应用层服务器端仿真及性能测试仪。通过使用该系列产品，网络设备提供商、系统集成商、网络运营商和内容服务提供商可以对其它网络设备和业务网络进行综合的服务质量评估和故障诊断。

Avalanche和Reflector支持常用的应用层协议。支持捕获回放（Capture & Replay）功能，通过此功能，Avalanche和Reflector可以模拟非标准协议应用而进行的测试。Avalanche和Reflector支持同时运行多种协议混合测试。Avalanche还支持模拟多种DDoS攻击测试。Avalanche和Reflector软件可以运行在SmartBits TeraMetrics体系结构上，提供统一标准的2-7层性能分析测试平台。

Avalanche 支持的协议（7.5）

HTTP 1.0/1.1 FTP (passive) Telnet Protocol DNS Protocol

Secure HTTP (SSLv2, v3, TLSv2) RTSP/RTP

Real Networks 的Real System Apple 的Quick Time

Microsoft Media Server (MMS) VoD Multicasting IPSec

POP3 Mail Protocol SMTP Mail Protocol Capture/Replay (TCP, UDP)

BT 、eDonkey 、Kazaa 、MSN…

In-line DDoS PPP/PPPoE Radius GRE

SIP over TCP and UDP IPv6 MM4