防火墙测试方案题库.doc

防火墙测试方案 目 录 一 背景介绍 2 二 网络安全设备测试的特点 2 三 测试过程中和DUT 的交互 3 四 典型的测试环境 4 五 测试内容 5 5.1 二/三层基准转发测试 5 5.1.1 吞吐量测试 6 5.1.2 时延测试 7 5.2 TCP基础协议栈性能测试 7 5.2.1 TCP最大并发连接数测试 8 5.2.2 每秒TCP最大新建连接数测试 9 5.2.3 TCP新建时间分布测试 9 5.2.4 TCP 平均响应报文时间 10 5.2.5 TCP 平均关闭时间 10 5.3 应用层测试 11 5.3.1 Http connection rate 11 5.3.2 Http Transaction rate 11 5.3.3 最大Http吞吐量 12 5.3.4 应用层典型带宽混合业务吞吐量测试 13 5.3.5 应用响应时间测试 14 5.4 安全测试 14 5.4.1 分类安全验证--SYN_Flood测 试 14 5.4.2 分类安全验证-- UDP_Flood测 试 15 5.4.3 分类安全验证-- ICMP_Flood测 试 16 5.4.4 安全等级测试 16 5.5 综合测试 17 5.5.1 Fuzzing测试 17 5.5.2 设备的稳定性测试 18 5.5.3 100条策略设备的稳定性测试 19 5.5.4 正常流量转发中增加策略的测试 19 一 背景介绍 基于二三层的流量基准测试方法和技术经过过去进十几年的发展，已经形成了一个非常健全和完善的体系。与此同时，越来越多的网络用户也发现，如果只做二三层的基准测试，还是不能保证网络的健壮性和安全性,尤其是针对网络安全保障的设备。比如，目前网络的www、FTP、P2P、游戏服务的应用迅速增长，对于这些（4-7层）的网络内容而言，进行基准测试时各项指标都是很好，但是网络的使用仍然让很多用户不满意：速度太慢、病毒太多、网络攻击无法防范、系统经常DOWN掉等等。这个时候用户发现只是一味地增加产品数量、扩容网络容量并不是很好的途径。 引进并加强对设备和网络的4-7层测试，变成了一个必要的环节。从实时来看，4-7层的测试目前已经引起越来越多用户的重视和关注。网络上基于4-7层并且需要进行4-7层测试的设备包括：防火墙、入侵检测系统（IDS）、IPS，UTM, VPN网关、SSL加速器、负载均衡器和Web交换机、Web cache、……。即使设备不是基于4-7层的，当处理7层数据流时，负载特征的改变也会造成明显的功能和性能问题。传统的2-3层数据流压力测试是好的，但总是不够充分的。与此同时，由于目前互联网和实践运行环境中的安全问题越来越多，如何能在实验室阶段最大限度地的降低设备和网络安全所带来的隐患，也是目前所面临的一个重大挑战。 其实无论是4-7层还是安全测试，其本质都是对设备或网络的内容识别进行测试，对测试仪表来说需要将真实的业务和协议流量，以及恶意攻击引入实验室测试中： HTTP、FTP、SMTP、POP3、SSL、BT、QQ、Trojan，Worms，DDOS, … 二 网络安全设备测试 从测试的内容方面来说，网络安全设备和以往相比，在测试内容上有了很大的扩展。 一般来说对于网络安全设备我们需要测试关注的结果包括： ? 基础转发性能 ? TCP协议性能 ? 应用层业务吞吐量 ? 恶意攻击的阻断和过滤能力 ? 应用业务内容的匹配和识别能力 ? 垃圾邮件处理测试 … 从测试实现的技术角度来说，网络安全设备测试中，有两个技术关键：真实流量测试和安全攻击模拟。 以P2P，VoIP，Gaming，IPTV为代表的新一代业务应用给网络管理、业务运维、网络安全等方面提出了诸多挑战。网络安全技术就是为了应对这些挑战并提升网络的业务层管控能力，而出现的技术。网络安全术严格来说是需要对报文的L2-7进行内容全面检测和诊断,它能够深度分析数据包所携带的业务内容特征（比如：一些固定字段呈现出特征字节序列）。因此它可以进行深度的报文、流行为分析能力，能够对业务数据类型或行为进行识别，从而使得能够根据策略控制信息对业务数据进行精细化管理；另外这种技术目前在保护网络的缓存溢出攻击，拒绝服务攻击，和少量蠕虫病毒攻击方面也表现得非常有效率。 CVE，OSVDB，BugTraq等组织由于攻击种类的数量众多，因此用户在进行测试的时候，选择什么样的攻击进行测试？如何针对某种特定的攻击技术来保障攻击来进行测试？如何来确定被测设备抗攻击能力的级别？。 在测试过程中随时监控被测设备的状态是非常有必要的可以和被测设备进行直连通信，在测试之前、测试过程中以及测试完成之后查看被测设备的状态，内存和CPU的利用情况，以及对被测设备进行其他管理。测试环境 理想的测试环境