一、方案概要
1.1 防火墙
随着网络安全市场的打开,越来越多的公司加入到网络安全软件、硬件开发行列中,市场上就开始出现各类防火墙,其基本原理就是通过源地址、目标地址互联安全控制来达到目的主机的安全。是否达到这个终极目标,以及防火墙在强力攻击之下是否还能稳定运行,规则判断是否准确无误执行等,这些是需要经过严密的测试与检验才可以得出结论。只有通过严格检验,才能保证核心系统与主机的安全,所以测试对于防火墙产品检验来说是至关重要的。
防火墙对开放系统互联模型(OSI)中各层协议所产生的数据流进行检查。要知道防火墙是哪种类型的结构,关键是要知道防火墙工作于OSI模型中的哪一层。防火墙工作于OSI模型的层次越高,其检查数据包中的信息就越多,因此防火墙所消耗的处理器工作周期就越长,所提供的安全保护等级就越好。
根据防火墙在网络协议栈中的过滤层次不同,通常把防火墙分为三种:包过滤防火墙、电路级网关防火墙和应用级网关防火墙。
目前,防火墙技术也经过了几代的发展后主要包括有IP包过滤技术、应用代理技术、状态检测包过滤技术、NP技术等等。
评价一款防火墙系统、测试一款防火墙设备,主要是从安全功能、安全保证、环境适应性和性能要求四个方面进行。其中安全功能要求是对防火墙应具备的安全功能提出具体要求,包括网络层控制、应用层控制和安全运维管理;安全保证要求针对防火墙的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发和指导性文档等;环境适应性要求是对防火墙的部署模式和应用环境提出具体的要求;性能要求是对防火墙应达到的性能指标做出规定,包括吞吐量、延迟、最大并发连接数和最大连接速率等。
信而泰测试仪表能够对包过滤防火墙提供全面的测试;能够对应用级网关防火墙提供部分测试解决方案。
1.2 测试解决方案定位
图1:BigTao网络测试仪
图2:DarYu网络测试仪
BigTao系列定位于网络2-3层需求场景的测试,比如:
· 宽带接入产品(PON、EOC、xDSL等)产品及网络测试;
· 数据交换产品(交换机、路由器、POE交换机、分组核心网等)产品及网络测试。
Daryu系列不仅涵盖了BigTao产品的流量测试和协议仿真功能,同时,其在4-7层应用层协议的性能测试表现出色,能够为对应用层设备与应用层服务器进行功能及性能测试,支持大规模回放功能(SPE),定位于网络2-7层需求场景的测试,比如:
· 防火墙产品及网络测试;
· 应用服务器产品及网络测试;
· IDS、VPN、负载均衡设备的应用层仿真/安全测试;
· 工业通讯、特种行业的复杂协议测试。
1.3 主要优势
· 丰富的端口速率:10M/100M/100M,GE/2.5G/5G/10G/25G/40G/50G/100G
· 规模生产测试领域遥遥领先:依托强大的自动化测试套件,为通信设备制造加工企业提供业内最高的测试效率和可靠的测试稳定性,是华为、中兴、华三、烽火、贝尔、锐捷等加工制造的测试解决方案主流供应商
· 研发功能性能测试领域:以最优的测试性价比,帮助网络通信设备厂商降低研发的成本
· 高度可定制化:提供定制化测试解决方案,客户在信而泰都能找到适合其自身的测试产品及解决方案
1.4 功能简介
面向以太网2~7层流量测试与协议仿真,能够快速的对网络设备的性能进行全面评估。如RFC2544、RFC2889和RFC3918基准测试,路由仿真与容量测试,基于应用层的新建连接、并发连接与吞吐量等性能指标检测。
回放功能SPE(ScalablePlaybackEmulation)支持基于Pcap文件的回放与基于流量的回放,能够更加全面有效得满足用户对于应用层业务的测试。
支持如下方面的协议仿真与性能测试:
· 路由:RIPv1/v2,OSPFv2/v3,ISISv4/v6,BGP/BGP+,LDP/L3VPN,L2VPN;
· 接入:PPPoEClient/Server,DHCPv4Client/Server,DHCPv6Client/Server,L2TPv2,DHCPv6PDClient/Server,802.1x,IPv6 Autoconfiguration;
· 组播:IGMPv1/v2/v3,MLDv1/v2,IGMP/MLD Querier,PIM-SM;
· 数据中心:VXLAN,OpenFlow,OVSDB,EVPN;
· Ethernet:802.3ah,802.1ag;
· L4~7:HTTP,HTTPS,FTP,TCP,SIP,DNS,Mail,SSH,TFTP,Telnet,UDP;
· Playback:HTTP、CIFS、DNS、SIP、TELNET、POP3、SMTP、GTP、FTP、RADIUS、NFS、LDAP、FIX、Mysql、NTP、Syslog、Exchange等。