2.1.3 安全性测试
防火墙在授权管理员的正确配置下,应该能抵抗多数对受保护网络内部和自身系统的攻击,即防火墙应该具有入侵检测的能力,这类攻击包括IP地址欺骗攻击、ICMP攻击、IP分片攻击、DoS(拒绝服务)攻击、口令字探询攻击、邮件诈骗攻击等。防火墙应该具备防御外部攻击(人侵检测)的能力,以达到保护内部网络系统的目的,同时记录安全事件日志,向管理员报警,切断入侵源的连接。
信而泰测试仪表可以支持如下类型的攻击,对防火墙具备的抗拒绝服务攻击功能进行验证:
IP地址欺骗攻击、ICMP攻击、IP分片攻击、DOS(拒绝服务攻击(ICMP Flood攻击、UDP Flood攻击、SYN Flood攻击、Tear Drop攻击、Land攻击、超大ICMP数据攻击))等。
*病毒库攻击目前还未支持,后续可根据项目进行补充支持。
2.2 环境适应性要求
2.2.1 传输模式
防火墙是为加强网络安全防护能力在网络中部署的硬件设备,有多种部署方式,常见的有桥模式、网管模式和NAT模式等。
1、桥模式
桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
2、网关模式
网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。
3、NAT模式
NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。
针对此类功能测试,信而泰测试仪表可以支持各个模式的测试,支持编辑对应的数据流量进行数据流量转发,以验证防火墙对各模式的支持。
2.2.2 下一代互联网支持
由于IPv4最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入设备连入互联网的障碍。防火墙作为重要的网络安全设备,对于IPv6的支持是必不可少的。针对IPv6的测试,可以从对IPv6纯网络环境中各类协议的支持程度、协议的健壮性和IPv4到IPv6网络的过渡环境的支持等方面进行测试,以保证防火墙设备能平顺稳定的应用到IPv6网络环境。
信而泰测试仪表可以针对防火墙对IPv6网络的支持进行包含如下单不限于如下内容的测试:
2.3 性能要求
随着信息安全要求越来越高,防火墙成为必不可少的网络元素。但防火墙设备在网络中的主要作用不是报文转发,而是进行报文检测和访问控制,防火墙的存在必然会对安全用户正常使用网络带来一定影响。衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动等。
信而泰测试仪表针对防火墙性能测试,可以给出网络层、传输层和应用层等三个层面衡量的测试方案。
2.3.1 网络层
防火墙网络层转发性能测试项目主要参考RFC2544、RFC3511.
RFC2544协议是RFC组织提出的用于评测网络互联设备(防火墙、IDS、Switch等)的国际标准,主要是对性能评测参数的具体测试方法、结果的提交形式作了较详细的规定。
RFC3511主要是针对防火墙性能评测参数具体测试方法、结果的提交形式作了较详细的规定。针对网络层主要规定了IP吞吐量、时延的测试方法。
RFC2544主要包含如下4个测试项目:
吞吐率(Throughput):被测设备在不丢包的情况下,所能转发的最大数据流量。
丢包率(LostRate):在一定的负载下,由于缺乏资源而未能被转发的包占应该转发的包数的百分比。
时延(Latency):反映被测设备处理数据包的速度。
背靠背(Back-to-Back):反映被测设备处理突发数据的能力(数据缓存能力)。
信而泰提供的防火墙转发性能测试方案,有如下的内容
测试内容:吞吐量,时延,丢包率,背靠背
测试拓扑:1对1,1对多,Backbone,Fullmesh等多种拓扑
特点:配置简单,多个测试项目顺序运行,全自动执行
测试报告:提供详细的,标准的测试报告,可存为PDF,XLS格式
信而泰测试仪表可以测试的转发性能测试包含但不限于如下的内容:
2.3.2 传输层
针对防火墙传输层性能的评估,RFC3511标准规定了最大TCP并发连接数、最大TCP连接建立速率和最大TCP连接拆除率三个性能参数的测试方案和报告形式。
? 防火墙TCP并发连接数是指穿过被测设备的主机之间或主机与被测设备之间能够同时维持的最大TCP连接总数。主要反映了被测设备维持多个会话的能力。
? 防火墙最大TCP连接建立速率是指在被测设备能够成功建立所有请求连接的条件下,所能承受的最大TCP连接建立速度。主要体现了被测设备对于连接请求的实时反应能力。
? 防火墙最大TCP连接拆除率是指在被测设备能够成功建立所有请求连接时,拆除TCP连接的速率。此项参数指标一般对防火墙性能影响不大。
信而泰测试仪表可以针对防火墙传输层性能的测试包含但不限于如下的内容:
2.3.3 应用层
针对防火墙应用层性能的评估,RFC3511标准规定了HTTP传输速率、最大HTTP事务处理速率两个性能参数的测试方案和报告形式。
? 防火墙HTTP传输速率也叫做应用层吞吐量(Goodput),在一定连接新建和并发的情况下,单个报文的应用层数据承载量很大程度决定了应用层报文转发的能力。
? 防火墙最大HTTP事务处理速率这个测试旨在查找用户可以访问的最大速率对象。