网络安全测试

思博伦通信

安全设备测试方案

思博伦通信曲博

一、防火墙测试 (2)

二、IDS/IPS测试 (7)

三、VPN（IPSec、SSL）测试 (9)

1. IPSec VPN测试 (9)

2. SSL VPN测试 (12)

一、 防火墙测试

在防火墙的测试中，性能测试虽然不是测试的关键，但对于那些功能和安全性达到标准要求的防火墙设备，在实际使用环境中是否真的可用，能否胜任指定环境的处理能力需求，即在正常情况下是否具备较好的可用性，性能测试正是了解和回答这一问题的重要依据。因此，性能测试也是防火墙测试工作中极其重要的一部分。

思博伦通信在防火墙测试领域进行了大量的研究和测试，具有丰富的测试经验，并且参与了防火墙性能基准测试方法学RFC 3511的编写工作。与防火墙性能基准测试相关的RFC标准有4个：

z Benchmarking Terminology for Network Interconnection Devices，RFC 1242

z Benchmarking Methodology for Network Interconnect Devices，RFC 2544

z Benchmarking Terminology for Firewall Performance，RFC 2647

z Benchmarking Methodology for Firewall Performance，RFC 3511

其中，RFC 1242和RFC 2544是网络连接设备（包括防火墙）的通用性能基准测试术语和方法；RFC 2647和RFC 3511是防火墙性能基准测试术语和方法，思博伦通信的B. Hickman（第一作者）和S. Tadjudin（第三作者）参与了RFC 3511的编写工作。

RFC 3511一共涉及10个防火墙性能基准测试指标，其中，使用SmartBits 进行测试的指标为：

z 5.1 IP Throughput：

z 5.10 Latency。

SmartBits的免费软件SmartApplications是按照RFC 2544的要求编写的，可以完成吞吐量、延迟、丢包率和背靠背的测试，其中吞吐量、延迟被RFC 3511采纳用来测试防火墙的性能。

吞吐量（IP Throughput）测试原理如下图：

SmartBits

z如果X=Y, 增加发送数据包的速率

DUT

流量生成：流量分析：X为发送的Y为收到的

数据帧数

数据帧数

z 如果X>Y , 降低发送数据包的速率

z 使用二分法（Binary Search ）来确定在X=Y 时的最大发送数据包速率 延迟（Latency ）测试原理如下图：

SmartBits

z 数据帧速率 <= 吞吐量速率

z 做了标记的数据帧被插入到传输数据流当中

z 将这个数据帧的延迟值得到 FIFO 的延迟（Cut-Through Latency ）

z 用FIFO 的延迟减去该数据帧的比特时间得到 LIFO 的延迟值（Store and

Forward Latency ）

使用Avalanche 进行测试的指标为：

z 5.2 Concurrent TCP Connection Capacity ；

z 5.3 Maximum TCP Connection Establishment Rate ；

z 5.4 Maximum TCP Tear Down Rate ；

z 5.5 Denial Of Service Handling ；

z 5.6 HTTP Transfer Rate ；

z 5.7 Maximum HTTP Transaction Rate ；

z 5.8 Illegal Traffic Handling ；

z 5.9 IP Fragmentation Handling 。

Avalanche 测试防火墙的拓扑图如下：

DUT

其中，5.2并发TCP连接能力、5.3最大TCP连接建立速率、5.6HTTP传输速率、5.7最大HTTP事务处理速率既可以使用Avalanche分别进行测试；也可以使用Avalanche提供的自动化防火墙测试方法学测试工具进行测试，如下图所示。

5.4最大TCP 拆除速率，可以使用Avalanche 先建立连接，然后再进行拆除测试。

5.5拒绝服务攻击测试，测试对防火墙的TCP 连接建立和（或）HTTP 传输速率的影响，必须在5.3节和（或）5.6节的测试获得基准测试结果之后进行。TCP SYN flood 攻击利用TCP 的三次握手机制，通过利用攻击源主机产生的随机源地址的TCP SYN 包，发往受害主机，以消耗其资源；使用Avalanche 的DDOS 攻击模块进行测试，如下图所示：

Avalanche 支持15种DDoS 攻击，除了SYN Flood 攻击外，还支持：ARP Floo 5.8非法流量处理，测试防火墙对合法和非法（混合）两种数据流的处理能力。5.9IP 分片处理，MTU （最大传输单元）小于此IP 数据包大小时，网络设备将对d 、Evasive UDP 、Land 、Ping of Death 、Ping Sweep 、Random UnReachable Host 、Reset Flood 、Smurf Attack 、TCP Port Scan 、Tear Drop 、UDP Flood 、UDP Port Scan 、UnReachable Host 、Xmas Tree 。

注意：这里所指的非法数据流不是指攻击数据流，而是指策略设置要求丢弃的数据流。参数设置：非法数据流百分比：在HTTP 连接（1.1或更高版本号）中非法连接所占的百分比。Avalanche 虚拟的客户端必须发起均匀地连接请求（包括合法的和非法的）。通常防火墙可以根据不同数据流参数（如IP 地址、端口号等）进行过滤。也可以对防火墙配置使用不同的过滤规则进行测试。

该IP 数据包进行分片。这就要求防火墙在进行规则检查前，先对已经分片的IP 数据包进行重组。不论针对于防火墙本身或者是其内部主机，IP 碎片做为一种常规攻击,主要是用来测试防火墙对分片重组进行转发所增加的处理能力。Avalanche 可以构造3种不同分片包：正常分片包、分片后只发出第一个包、发出顺序号重叠的包（如下图所示），其中后面两种构成了攻击。