网络性能测试与分析第6章-网络安全性能测试.pptVIP

1.防火墙 防火墙的性能指标体现了防火墙能否满足特定环境的安全防范和处理能力需求，是否具备较好的可用性。通常遵从RFC2544、RFC2647和RFC3511标准，主要性能指标包括：吞吐量、丢包率、时延、背靠背、最大并发连接数、最大TCP连接建立速率等。2.入侵检测系统IDS1每秒数据流量（Mbps或Gbps）2每秒抓包数（pps）3每秒处理的事件数4每秒监控的网络连接数第四节网络安全性能测试的基本方法1、基础环境测试基础环境测试拓扑图测试环境新建TCP连接性能测试结果2、防火墙压力测试防火墙压力测试拓扑结构图******SYNFlood是当前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）。问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。**?2009WenzhouUniversity,Allrightsreserved.NetworkPerformanceTestingandAnalysis*第六章网络安全性能测试本章教学提要教学目标：了解网络安全的概念了解网络安全的常用技术了解拒绝服务攻击的常用方法掌握网络安全性能的技术指标掌握网络安全性能测试的基本方法教学难点/重点：网络安全的性能技术指标、网络安全的测试方法教学时数：理论4学时第一节网络安全测试的必要性本节关注问题1、网络安全的重要性网络安全威胁的不断增加威胁网络安全的技术手段日趋复杂，并且表现出高度的多样性你有过经历吗？？？2、对企业而言：网络安全是风险与收益平衡的结果网络安全是网络的功能和脆弱性折衷的结果在开放的互联网环境中，绝对安全的网络是不存在的3、网络安全是4~7层测试的关注点1、了解具有安全部署的网络在面对不安全因素时的性能表现，以及网络是否具备一定的响应机制和恢复机能，以确保业务的正常开展2、提供网络安全防护产品的测试评估， 通过网络安全测试，能够准确地衡量防火墙、IDS和IPS系统的真实性能，从而帮助生产厂商改进产品、提供可信度高的宣传数据，帮助用户更深入真实地了解产品性能，为网络安全系统的设计和部署提供更有价值的参考。第二节网络安全概述网络的物理安全网络拓扑结构安全网络系统安全应用系统安全网络管理的安全本章关注：网络入侵(NetworkIntrusion)物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护，是网络信息安全的基