信息安全产品-测试方法介绍.doc

信息安全产品测试方法介绍 摘? 要? 介绍了常见的IPSec网关，SSL VPN，防火墙，IDS，IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤，并对IXIA在这方面的特点和优势进行了总结。 关键词? IPSec网关? SSL VPN? 防火墙? IDS IPS? 反垃圾邮件网关测试 1? 引言 IP网络的最大优势是它的开放性，并最大限度地支持终端的智能，这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时，IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁；在IP网络中进行的信息通信和传输也显得不太安全。 IP网络的安全威胁有两个方面，一是主机（包括用户主机和应用服务器等)的安全，二是网络自身(主要是网络设备，包括路由器、交换机等)的安全。用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击，即所谓病毒。网络设备主要面对的是基于TCP/IP协议的攻击。信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。 为了防范各种各样的安全威胁和进行安全不泄密的通信，个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信，这些安全设备包括防火墙，IDS，IPS，垃圾邮件网关，代理服务器，IPSec网关和SSL VPN网关等。 但是这些设备地引入，会对网络的性能造成一定地影响。多个厂家设备地引入，产品的互通性也对网络部署是一个考验。所以，如果评估测试这些安全设备的性能（Performance）和一致性（Conformance）就显得尤其重要，全球领先的IP测试方案供应商美国IXIA公司的测试方案可以全面满足信息安全产品的性能、一致性和功能的测试需求。 2? 实现安全通信的设备测试 目前，实现安全通信的最主要方式是采用VPN技术，VPN技术从实现上主要有三大类，基于MPLS技术的VPN，基于IP技术的VPN和基于应用层技术的SSL VPN等。这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。基于MPLS技术的VPN包括L2 VPN，L3 VPN和Multicast VPN等；基于IP技术的VPN包括二层的L2TP技术，PPTP技术和三层的IPSec技术与GRE技术等。本文主要对目前比较流行的基于三层IP技术的IPSec VPN以及基于应用层技术的SSL VPN测试进行介绍。 IPSec VPN是基于网络层的VPN，对所有的IP应用均透明。但是SSL VPN是基于应用层的VPN，对保护基于Web的应用更有优势。两种VPN技术的简单比较参见表1。 由于基于这两种技术的差异性，所以对这两种不同的VPN网关测试方法和指标也有些不同。 2.1? IPSec VPN安全网关测试 对于IPSec VPN网关来说，性能测试方法有两种，一种是早期的测试方法，这种方法是由两台被测设备直接连接起来，由被测设备之间完成IPSec之间的协商过程并建立IPSec的隧道，然后在建立的隧道上运行流量，来评估设备在有IPSec加密情况下的吞吐量（Throughput）、时延（Latency）和丢包率（Packet Loss）等各项性能指标。测试示意见图1。 ? 但是，这种方法有很大地局限性，就是不能评估IPSec网关支持IPSec隧道的数量以及隧道建立的速度等指标。所以，目前最普遍的测试方法是使用测试仪表来仿真IPSec网关，和被测IPSec网关建立IPSec隧道来评估被测设备所支持的IPSec隧道的数量以及隧道建立的速度，在隧道建立成功后，测试仪表还可以同时仿真IPSec网关后的主机以及被保护的网络，以验证隧道之上2~7层数据和应用的转发性能与QoE指标。 IXIA的IPSec网关测试方案完全满足上述两种测试方法。本文主要介绍第二种方法。这种方法的测试原理参见图2，它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec安全网关以及安全网关后面被保护的子网和主机，与被测设备建立IPSec的通信隧道，另外一个端口仿真安全网关内被保护的子网或者主机。在IPSec隧道协商成功后，可以在被保护的子网和主机之间发送和分析流量。 （1）IXIA的IPSec性能测试方案能够回答下列关键问题： ●评估IPSec网关所支持的IPSec隧道的数量。 ●评估IPSec网关建立IPSec隧道的速度。 ●评估IPSec网关在建立IPSec隧道成功后，在IPSec上运行RFC 2544的测试。 ●评估IPSec网关在建立IPSec隧道成功后，在IPSec上运行有状态的（Stateful）应用层流量测试，目前最为关注的就是该特性的测试，可以直接验证IPSec之上承载多种真实业务的能力。 2）IXIA的IPSec 性能测试方案具有