防火墙测试方案

防火墙测试方案目录一背景介绍..................................................................................................................2二网络安全设备测试的特点......................................................................................2三测试过程中和DUT的交互..................................................................................3四典型的测试环境......................................................................................................4五测试内容..................................................................................................................55.1二/三层基准转发测试............................................................................................55.1.1吞吐量测试...................................................55.1.2时延测试.....................................................65.2TCP基础协议栈性能测试...................................................................................75.2.1TCP最大并发连接数测试........................................85.2.2每秒TCP最大新建连接数测试...................................95.2.3TCP新建时间分布测试..........................................95.2.4TCP平均响应报文时间........................................105.2.5TCP平均关闭时间............................................115.3应用层测试......................................................................................................115.3.1Httpconnectionrate........................................125.3.2HttpTransactionrate.......................................125.3.3最大Http吞吐量.............................................135.3.4应用层典型带宽混合业务吞吐量测试............................135.3.5应用响应时间测试............................................145.4安全测试..........................................................................................................155.4.1分类安全验证--SYN_Flood测试...............................155.4.2分类安全验证--UDP_Flood测试..............................165.4.3分类安全验证--ICMP_Flood测试.............................165.4.4安全等级测试................................................175.5综合测试..........................................................................................................185.5.1Fuzzing测试.................................................185.5.2设备的稳定性测试............................................195.5.3100条策略设备的稳定性测试...................................195.5.4正常流量转发中增加策略的测试................................20一背景介绍基于二三层的流量基准测试方法和技术经过过去进十几年的发展，已经形成了一个非常健全和完善的体系。与此同时，越来越多的网络用户也发现，如果只做二三层的基准测试，还是不能保证网络的健壮性和安全性,尤其是针对网络安全保障的设备。比如，目前网络的、FTP、P2P、游戏服务的应用迅速增长，对于这些（4-7层）的网络内容而言，进行基准测试时各项指标都是很好，但是网络的使用仍然让很多用户不满意：速度太慢、病毒太多、网络攻击无法防范、系统经常DOWN掉等等。这个时候用户发现只是一味地增加产品数量、扩容网络容量并不是很好的途径。引进并加强对设备和网络的4-7层测试，变成了一个必要的环节。从实时来看，4-7层的测试目前已经引起越来越多用户的重视和关注。网络上基于4-7层并且需要进行4-7层测试的设备包括：防火墙、入侵检测系统（IDS）、IPS，UTM,VPN网关、SSL加速器、负载均衡器和Web交换机、Webcache、……。即使设备不是基于4-7层的，当处理7层数据流时，负载特征的改变也会造成明显的功能和性能问题。传统的2-3层数据流压力测试是好的，但总是不够充分的。与此同时，由于目前互联网和实践运行环境中的安全问题越来越多，如何能在实验室阶段最大限度地的降低设备和网络安全所带来的隐患，也是目前所面临的一个重大挑战。其实无论是4-7层还是安全测试，其本质都是对设备或网络的内容识别进行测试，对测试仪表来说需要将真实的业务和协议流量，以及恶意攻击引入实验室测试中：HTTP、FTP、SMTP、POP3、SSL、BT、QQ、Trojan，Worms，DDOS,…二网络安全设备测试的特点从测试的内容方面来说，网络安全设备和以往相比，在测试内容上有了很大的扩展。一般来说对于网络安全设备我们需要测试关注的结果包括：•基础转发性能•TCP协议性能•应用层业务吞吐量•恶意攻击的阻断和过滤能力•应用业务内容的匹配和识别能力•垃圾邮件处理测试…从测试实现的技术角度来说，网络安全设备测试中，有两个技术关键：真实流量测试和安全攻击模拟。以P2P，VoIP，Gaming，IPTV为代表的新一代业务应用给网络管理、业务运维、网络安全等方面提出了诸多挑战。网络安全技术就是为了应对这些挑战并提升网络的业务层管控能力，而出现的技术。网络安全术严格来说是需要对报文的L2-7进行内容全面检测和诊断,它能够深度分析数据包所携带的业务内容特征（比如：一些固定字段呈现出特征字节序列）。因此它可以进行深度的报文、流行为分析能力，能够对业务数据类型或行为进行识别，从而使得能够根据策略控制信息对业务数据进行精细化管理；另外这种技术目前在保护网络的缓存溢出攻击，拒绝服务攻击，和少量蠕虫病毒攻击方面也表现得非常有效率。CVE，OSVDB，BugTraq等组织都会定期发布互联网的安全和漏洞信息，测试仪表能否保持一个同步的攻击库手法，是安全测试的关键。同时由于攻击种类的数量众多，因此用户在进行测试的时候，选择什么样的攻击进行测试？如何针对某种特定的攻击技术来保障攻击来进行测试？如何来确定被测设备抗攻击能力的级别？这些都是需要在测试设计中解决的问题，优秀的安全测试仪表应该可以帮助用户解决这些问题。针对网络安全的测试来说，其关键是：网络安全设备能否识别和阻断其应该阻断的流量？网络安全设备有足够的资源来转发所有通过的业务流量？这些都要求测试仪表可以提供：真实的基于协议栈的业务流量，足够多混合的应用协议来仿真真实网络，攻击流量和真实业务的混合测试能力。三测试过程中和DUT的交互在测试过程中随时监控被测设备的状态是非常有必要的，尤其是针对网络安全设备。测试仪表可以和被测设备进行直连通信（通过专门的控制端口，独立于测试端口），在测试之前、测试过程中以及测试完成之后查看被测设备的状态，内存和CPU的利用情况，以及对被测设备进行其他管理。典型的做法是，通过Telnet,SNMP,SSH,Serial等通用协议或手段，登陆到DUT,事先录制好对DUT进行检测的命令，测试开始前，测试过程中（每隔20秒），测试结束后，分别给出被测设备的各种状态信息。以达到将主动测试结果和被测设备时时状态反馈信息关联的结果。四典型的测试环境理想的测试环境越接近实际的网络部署越好。但是考虑到诸如路由器、交换机或者别的网络设备会带来的延迟和丢包等影响，可能会对被测网络安全设备性能产生影响。所以建议直接将测试工具与被测网络安全设备进行直连。将测试仪的端口1接入网络安全设备的端口1，并将测试仪端口2接入网络安全设备的端口2.组成环路。同时通过管理接口对被测设备进行时时监控，如下图。为了验证网络安全设备的各种应该具备的能力，测试仪表应该可以同时发出应用业务流，恶意攻击流和２-3层基本性能转发流量。五测试内容此次防火墙测试主要目的是为了验证防火墙在基准转发、TCP连接、应用层协议以及抗攻击能力等性能指标，并且要验证正常流量与攻击流量混合时的性能指标。每一项测试都是遵照相应的国际标准执行。二/三基准转发测试主要依照RFC2544标准；TCP及应用协议性能测试、DDOS攻击测试主要依照RFC3511标准；另外，测试项目也参考了中华人民共和国通信行业标准：《YD/T1707-2007防火墙设备测试方法》。此次防火墙设备测试采用4个万兆接口，接口为光口，同时支持850nm多模和1310nm单模光纤接入。L2-L3层测试流量为30G，TCP并发连接需达到1000万。防火墙需配置在NAT模式下进行测试。5.1二/三层基准转发测试一切网络设备测试基础，也称之为基准测试，主要基于RFC2544。网络安全设备在进行此类测试时续关闭各种策略和匹配规则，测量其最大转发性能。5.1.1吞吐量测试测试项目：L2-3_吞吐量测试测试目的：测试网络安全设备通过L2或L3的非状态流量的最大流量，即吞吐量，使用UDP不基于状态基的报文作为测试流量。测试拓扑：测试思路：1.将防火墙的4个10G端口与测试仪的4个10G端口分别连接2.按照RFC2544标准规定，选择1514字节长度进行测试3.测试仪总共发送30Gbit/s的双向流量进行测试4.分别使用单模和多模的XFP模块进行测试5.观察流量的丢包情况测试结果：测试预期：在30G流量的压力测试下，防火墙能够正确转发，没有丢包5.1.2时延测试测试项目：L2-3_时延测试。测试目的：测试网络安全设备通过非状态流量所产生时延。使用UDP不基于状态基的报文作为测试流量。测试拓扑：测试思路：1.将防火墙的4个10G端口与测试仪的4个10G端口分