e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

下一代防火墙测试

2015/10/4    来源:H3C    作者:徐泽新      
关键字:下一代防火墙  入侵检测  
随着互联网应用类型的不断增加以及应用形式的不断变化,层出不穷的的安全威胁时刻发生在我们身边。基于服务的架构以及Web2.0使用的普及,使更多的通信只是通过少数几个端口及采用有限的几个协议就可以完成,这就使得基于端口/协议类安全策略的传统防火墙无法应对各种新的安全威胁。下一代防火墙就是在这种背景下提出的,相对于传统防火墙,下一代防火墙具有以下特点:
    随着互联网应用类型的不断增加以及应用形式的不断变化,层出不穷的的安全威胁时刻发生在我们身边。基于服务的架构以及Web2.0使用的普及,使更多的通信只是通过少数几个端口及采用有限的几个协议就可以完成,这就使得基于端口/协议类安全策略的传统防火墙无法应对各种新的安全威胁。下一代防火墙就是在这种背景下提出的,相对于传统防火墙,下一代防火墙具有以下特点:
 
下一代防火墙测试
 
    l 全面的应用层流量识别与管理
 
    l 高精度、高效率的入侵检测
 
    l 实时的病毒防护
 
    l 迅捷的URL分类过滤
 
    l 卓越的应用层安全处理性能
 
    l 兼容传统防火墙的所有功能特性
 
    针对新的功能,我们也提出新的测试方法,下面将重点从功能测试、性能测试两方面分别进行介绍。功能测试主要从入侵检测及应用识别两方面进行描述,其他业务测试方法类似。
 
    一、功能测试
 
    1.入侵检测及防御功能测试
 
    IPS(Intrusion Prevention System,入侵防御系统)是一种可以对应用层攻击进行检测并防御的安全防御技术。在实际使用中,用户关心的是实际发生的攻击IPS能否识别并进行拦截,开启IPS后对用户的正常使用是否会造成影响,这就是IPS攻击特征的识别及误识别。入侵拦截率即对流经设备的攻击成功阻断的比率,是衡量一款入侵检测设备好坏的重要指标。
 
    入侵拦截率测试在测试前建议更新官方发布的最新特征库,在被测设备上使能所有攻击特征,特征匹配的处理动作为重置或丢弃并记录日志。测试采用BPS(BreakingPoint Systems)测试仪,构造两部分流量:一部分为正常业务的背景流量,要求不影响设备的性能,不会引起丢包,一般可设置为设备处理性能的10%;一部分为攻击流量,BPS支持Level 1到Level 5 五个样本集,各样本集中的样本数依次增加。在测试过程中可以依次采用Level 1 到Level 5进行测试。每运行一轮后,通过对设备产生的日志及BPS测试仪运行报告进行对比,得出被测设备识别率和误报率。
 
    在实际的攻击过程中,攻击者可能会增加各种逃逸手段,使攻击逃过IPS系统的检测,因此我们在测试时也需要考虑到这种情况。常见的逃逸方式有IP分片、TCP分段、协议端口重定向、采用特殊的编码格式、采用分隔符逃逸、采用大小写逃逸等。在测试中可以通过测试仪构造各种逃逸手段,对比没有逃逸手段时的测试结果,被测设备的识别率应该不会下降。
 
    2.应用识别与流量管理测试
 
    应用识别与流量管理,主要提供以下三个功能:
 
    l 限制最大带宽。如限制P2P、视频等占用大量资源的应用的最大带宽;
 
    l 保障关键业务的保障带宽;
 
    l 应用流量监控统计。
 
    要实现上面三个功能,首先要做的是要把流经设备的应用识别出来。目前提供有两种方式,基于特征的应用识别和基于数据流的应用识别。对应基于特征的识别,由于这些特征都是从样本中提取的,而在选取样本时就可能存在选取的样本不够多不够全面,导致定义的特征不能涵盖该种应用的所有资源,这就会出现不能识别应用的情况;或者定义的特征相对宽泛,这样就会导致误识别的出现,因此对于应用识别是测试的另一重点。
 
    目前各厂商基本都能支持几千种的应用特征,对每种应用进行遍历测试在人力及时间都比较紧缺的情况下不够现实,因此比较常见的方法为在现网中选取几个使用范围比较广的应用进行测试,比如迅雷、QQ、微信、微博、主流的在线视频、Http下载、web mail等进行测试。在测试中对同一应用的不同版本都需要进行验证,对于下载类应用还需要对各种下载方式及不同的种子进行验证。其次需要注意各应用的精细化测试,比如QQ就包括QQ聊天、QQ文件传输、QQ语音、QQ视频等功能,被测设备能否针对每种功能分别进行限速及阻断也是测试中需要重点关注的。
 
    现在Spirent和IXIA测试仪厂商能够模拟的应用也越来越多,在实验室环境下我们可以采用测试仪模拟真实的应用流量进行测试,对于测试仪无法模拟的流量,可以通过现网抓包以报文回放的方式进行测试。同时也需要考虑对分片分段报文的处理,以及对于分布式的架构,需要考虑多引擎处理的情况。
 
    二、性能测试
 
    防火墙不能成为网络的瓶颈,在进行深度数据包检测的时候也不应该成为网络的瓶颈,因此下一代防火墙的性能除了需要测试在开启应用检测时的新建、并发,还需要测试在开启IPS及内容过滤、病毒防护时的新建、并发,并且需要在有攻击流量背景的情况下进行测试。攻击背景流量可以采用BPS的ALL Strikes攻击样本集。
 
    l 下一代防火墙吞吐量测试
 
    吞吐量是指在没有丢包的情况下,设备能够接收并转发的最大数据速率。对于下一代防火墙来说,应用识别是默认开启的,为了尽量贴近真实场景,单一负载大小和协议的传统性能测试方法不再适用。这里可以采用BPS测试仪中混合流量场景来作为模拟现实环境的应用层性能测试场景,可以选择几个比较有代表性的场景如高校教育场景、企业数据中心场景和企业内网场景,分别测试只开启应用识别、开启IPS、开启内容过滤及URL过滤时的吞吐量。
 
    l HTTP新建速率及并发测试
 
    HTTP新建速率是指在每一秒内防火墙能够处理的HTTP新建连接请求的数量,并发连接数指的是防火墙最大能够同时处理的连接会话个数。HTTP新建和并发测试方法同传统防火墙方法基本相同,都可以采用Avalanche或者IxiaLoad进行测试,对于下一代防火墙需要分别测试开启应用识别、开启IPS、开启内容过滤及URL过滤时的新建、并发性能。
 
    l 日志输出性能测试
 
    下一代防火墙的一个主要功能是用户行为审计功能,在大量业务访问时,日志能否完整记录用户的访问过程,因此日志输出速率是我们测试需要关注的另一个性能指标。在测试时可以采用测试仪模拟URL访问,设备上开启URL过滤功能,并增加自定义特征使测试仪模拟的URL能够匹配,设置规则的动作为方向并记录日志,设置日志输出到日志服务器(要求日志服务器不会成为瓶颈)。测试仪以一定的速率访问URL请求,在日志服务器能完整收到所有日志时最大的URL请求速率即为日志输出的最大速率。
 
    结束语
 
    本文主要从功能及性能两方简要描述下一代防火墙测试方法,下一代防火墙测试的难点在于如何去模拟用户的真实使用环境,以及对特征库的识别率及误报率的测试。参照以往的经验只能通过收集各个局点的流量模型报文,然后再在实验室进行报文回放测试,通过局点报文的抓取来逐渐丰富我们的应用库,但是这也只能去应付问题,不能解决根本问题,还需要进一步探究。下一代防火墙的审计功能是给用户对现网网络流量最直观的呈现,日志的准确性、报表的直观性、用户的体验感也是在测试中需要重点关注的。
责任编辑:王慧敏
本文为作者授权转载文章,任何人未经原作者同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐