测试防火墙.docVIP

SmartBits如何测试防火墙 作者： ?????【CNW. 专稿】在实际网络中，防火墙位于内部网络和外部网络之间，它既是防范网络攻击和实现网络控制规则的重要关口，也是内外网通信的连接点。作为一个应用层的网关设备，防火墙必须要兼顾安全和性能两个方面。 ???正因为如此，防火墙产品的测试也受到了国内的行业主管、企业用户、第三方实验室和生产厂商的重视。思博伦通信（Spirent Communications）的SmartBits在这些测试中获得了广泛的应用。目前基于SmartBits的安全产品测试解决方案可以对防火墙、入侵检测系统和VPN产品进行性能测试。 ???作为互连网络设备，防火墙的测试通常需要遵从RFC 2544/1242，主要的测试指标包括：吞吐量、延迟、丢包和背对背包（Back to Back）。思博伦通信提供了一个基于SmartBits的自动测试软件SmartApplications，它可以根据用户设定的条件自动完成RFC 2544/1242的测试。 ???在测试过程中，能够考虑对实际应用的网络流量模拟也很重要。思博伦通信为SmartBits的用户提供了一个基于多流的性能测试软件SmartFlow。用户可以用SmartFlow模拟网络中非常复杂的网络流量，不同的包长、协议类型、网络地址，并支持按流量的特性进行分组显示。SmartFlow可以测试的性能指标包括：设备在基于复杂网络流量下吞吐量、延迟、延迟分布、丢包、包顺序、定长时间延迟测试等。 ???同时WebSuite/Firewall能够模拟多种DoS攻击，实现对防火墙安全的检查。用户可以配置每一种攻击的速率、攻击时间、攻击数目等。对于防火墙实施网络规则的检验和性能分析，可以采用SmartWindow或开发基于SmartBits的测试程序。思博伦通信为用户提供基于Tcl语言开发环境ScripterCenter，支持用户在SmartBits上开发测试应用和实现测试方法。 ???除了能够进行防火墙测试以外，基于SmartBits的测试软件TeraVPN可以进行IPSec VPN设备的性能分析和互操作性测试。SmartBits能够模拟复杂的网络流量和多种网络攻击，也可以用于入侵检测系统的测试。另外思博伦通信的WebAvalanche和WebReflector产品也经常被应用于防火墙、负载均衡设备、安全服务器和入侵检测系统等产品的测试。 防火墙测试方法 我们使用的测试仪器是思博伦通信公司的SmartBits 6000B。控制台使用一台配置为PIII 1GHz/128M内存/20G硬盘的惠普台式机。 在测试百兆防火墙性能时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口，将其分别与防火墙的内外网口直连，如图1所示。测试千兆防火墙性能与百兆防火墙基本一样，使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC，通过光纤将其分别与千兆防火墙的内外网口直连。 测试防火墙防攻击能力时，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的4个10/100Base-TX端口，分别连接到港湾的礖ammer24交换机上（该交换机经过我们测试达到线速），防火墙的内外网口也连接到交换机上（千兆防火墙通过光纤与交换机连接）。如图2所示。 测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。 性能测试 我们的性能测试主要依照RFC2544、RFC 2647以及中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络代理服务器的安全技术要求》。 测试吞吐量、延迟和丢包率使用的是SmartFlow 1.50，测试双向性能时，每一个方向设置一个流（flow），单向性能测试设置一个流，测试使用的是UDP包。测试百兆防火墙与千兆防火墙的测试方法相同。测试防火墙双向、单向性能与最大并发连接数时，我们要求防火墙配置为内外网全通，测试起NAT功能后的性能时，防火墙只增加了NAT功能。测试双向性能时，我们选用了64字节、128字节、256字节、512字节、1518字节5种长度的帧，测试单向性能时，选用了64字节、512字节、1518字节3种长度的帧。吞吐量的测试时间为60s，允许的帧丢失率（Acceptable loss）设置为0（我们认为这样测得的数据才是真正意义上的吞吐量），测试延迟和丢包率的时间为120s，测试延迟的压力为10%和该种帧长的吞吐量。测试防火墙的最大