当前位置:文档之家 › 信息安全产品测试方法介绍

信息安全产品测试方法介绍

  • 格式:doc
  • 大小:266.00 KB
  • 文档页数:9

下载文档原格式

  / 9

合集下载

信息安全技术网关设备性能测试方法

信息安全技术网关设备性能测试方法

信息安全技术网关设备性能测试方法网关设备性能测试是信息安全技术中的重要环节,用于评估网关设备的性能指标,包括吞吐量、延迟、并发连接数等。

以下是一种常用的网关设备性能测试方法。

一、测试环境准备为了确保测试结果的准确性和可重复性,需要准备合适的测试环境。

首先搭建一个与实际应用环境尽量接近的测试网络,包括内部网络、外部网络以及模拟攻击网络。

其次,选取一台高性能的测试主机作为测试客户端,它具备足够的计算能力和网络带宽来模拟大量用户同时访问网关设备。

同时,还需要准备足够的测试用户和测试数据,以产生真实的负载。

二、测试指标定义在进行网关设备性能测试之前,需要明确测试的指标和要求。

根据实际需求,可以选择以下几个常用的指标来进行测试:1.吞吐量:指单位时间内设备能够处理的数据量。

通过模拟多个用户同时访问网关设备,记录设备的吞吐量,并与预期的性能指标进行比较。

2.延迟:指从用户发送请求到接收到响应所需的时间。

通过在测试环境中模拟用户请求,并记录请求和响应之间的时间差来评估设备的延迟性能。

3.并发连接数:指设备能够同时处理的连接数量。

通过模拟大量的同时连接,并统计设备的并发连接数来评估设备的并发处理性能。

三、测试负载模拟在进行性能测试之前,需要模拟真实的负载,以便更好地评估设备的性能。

可以通过以下几种方式来进行负载模拟:1.网络流量生成器:使用网络流量生成器生成大量的网络流量,以模拟用户请求。

2.虚拟机:通过创建多个虚拟机,并在每个虚拟机中模拟多个用户,以模拟真实的用户访问行为。

3.模拟攻击工具:使用模拟攻击工具模拟恶意攻击,如DDoS攻击,以测试设备的抗攻击能力。

四、性能测试执行在进行性能测试之前,需要明确测试的流程和步骤。

可以按照以下步骤来执行性能测试:1.建立测试环境:搭建好测试网络,配置好测试客户端和测试数据。

2.设定性能指标:根据实际需求设定好测试的性能指标和要求。

3.运行测试:开始模拟用户访问网关设备,记录测试数据,包括吞吐量、延迟、并发连接数等。

信息安全产品测试报告-内网管理-入侵检测-网络运维-梭子鱼

信息安全产品测试报告-内网管理-入侵检测-网络运维-梭子鱼

信息安全产品测试报告对信息安全产品的测试,从2007年4月份开始至2007年7月底,一共测试了十款产品,其中内网安全管理产品三款,网络运营管理产品两款,防火墙设备三款,入侵保护设备一款,防垃圾邮件设备一款,鉴于我们的测试环境、测试工具以及测试时间的限制,只是对其进行了简单的功能测试、安全性、稳定性测试,具体的性能指标我们没有相关的专业工具无法进行测试,下面就具体的测试情况作一说明。

内网安全管理产品:内网安全产品此次共测试了三款产品:北京圣博润高新技术有限公司的LanSecs内网安全管理系统,南京金鹰软件系统有限公司的APA eosEye易视桌面监控审计系统,北京北信源自动化技术有限公司的北信源内网安全管理系统。

产品简介:1、LanSecs内网安全管理系统LanSecS内网安全管理系统是一套集成了北京圣博润高新技术有限公司多项核心技术的实用安全系统。

该系统着重于内网的安全管理和监控,以系统网络运营管理为基础,以防内网泄密为目标,其核心功能由设备智能探测器、审计监控客户端、安全管理核心平台(包括内网管理、安全审计)协同完成,设备智能探测器能自动搜索内网中的网络设备(包括三层和二层设备),识别网络中所有计算机的IP地址、MAC地址、主机名称等基本设备信息;审计监控客户端负责采集受控计算机的软、硬件配置信息,当受控终端的软件、硬件配置发生变动或用户进行非授权操作时,能够及时向安全管理核心平台发出报警信息;安全管理核心平台是整个系统的控制中心,对整个内网的安全进行统一管理和控制;具有以下几大功能:◆监控内网网络设备、计算机系统的稳定性和可靠性;◆内网系统资源安全管理和监控;◆阻止内网的信息通过网络向外泄漏;◆防止内网中信息通过系统外设向外泄漏;◆自动发现并阻止非法接入内网的计算机;2、APA eosEye易视桌面监控审计系统APA®eosEye™易视桌面监控审计系统是南京金鹰软件系统有限公司APA(应用过程审计平台)系列产品之一,易视桌面监控审计系统是一个具有通用性的操作行为监管和涉密信息资产保护系统,是面向于windows个人桌面的内部信息安全集中监管平台。

信息安全测试方法和注意事项

信息安全测试方法和注意事项

信息安全测试方法和注意事项
介绍
随着数字时代的到来,信息安全越来越受到人们的关注。

信息安全测试是一种测试技术,通过检测信息系统的安全性来确保保护敏感信息免受攻击。

本文将介绍信息安全测试的方法和注意事项。

测试方法
以下是常用的信息安全测试方法:
1. 渗透测试:通过模拟黑客攻击来测试系统的弱点。

2. 黑盒测试:测试人员没有系统的内部信息,以用户的身份测试系统的安全性。

3. 正向测试:测试人员设定输入,评估输出,然后证实其工作的方式。

4. 逆向测试:评估系统中的代码或二进制文件。

5. 极限测试:测试工具会将系统推向其极限,以尝试破坏它。

注意事项
在进行信息安全测试时,需要注意以下事项:
* 准备:确定测试的目的和范围,收集测试所需数据和工具。

同时,也要通知系统管理员和网络安全团队。

* 专业技能:信息安全测试需要专业技能,包括对系统组成部
分的理解和知识,熟悉攻击技巧和追踪事件的方法等。

* 合法性:在进行测试时必须遵守法律法规和组织的规定,不
得越权或进行非法攻击。

* 评估和记录:在测试后,评估测试结果并提出改进建议。


录所有测试数据和结果。

结论
信息安全测试可以为组织提供安全的保护措施。

在进行测试时,需要明确测试的目的和范围,了解测试方法和注意事项,同时遵守
法律法规和组织的规定,以确保测试的合法和有效性。

信息安全中的网络渗透测试

信息安全中的网络渗透测试

信息安全中的网络渗透测试网络渗透测试是信息安全领域中一项重要的技术手段,旨在评估系统、网络及应用程序的安全性并发现潜在的安全漏洞。

本文将对网络渗透测试的定义、目的以及常用的渗透测试方法进行介绍,并讨论其在信息安全中的重要性和应用。

一、网络渗透测试的定义和目的网络渗透测试是一种授权的攻击测试方法,通过模拟黑客攻击手段,检测系统和网络中的潜在漏洞。

渗透测试的目的是发现弱点,以便及时修复和加强安全保护措施,从而提升系统和网络的安全性。

二、常用的渗透测试方法1. 信息收集:渗透测试的第一步是收集目标系统和网络的信息,包括IP地址、域名、系统版本等。

这些信息有助于测试人员了解目标系统的架构和潜在的安全风险。

2. 漏洞扫描:在信息收集的基础上,渗透测试人员使用漏洞扫描工具对目标系统进行扫描,以发现可能存在的安全漏洞。

这些漏洞可能包括弱密码、未安装补丁、未授权的访问权限等。

3. 漏洞利用:一旦发现系统中的漏洞,渗透测试人员将利用这些漏洞进行攻击,以验证漏洞的严重性和影响范围。

这通常需要一定的黑客技术和攻击工具,确保测试过程不会对目标系统造成损害。

4. 访问控制测试:渗透测试还包括对目标系统的访问控制机制进行测试,以确认系统是否能够有效防御未授权访问和权限提升攻击。

这包括测试密码策略、访问控制列表等安全机制的有效性。

5. 社会工程学测试:渗透测试人员还可利用社会工程学手段,如钓鱼邮件、伪造身份等,诱骗系统用户泄露敏感信息或进行不安全的操作,以评估系统的安全防护能力。

三、信息安全中的网络渗透测试的重要性1. 预防安全事故:通过网络渗透测试,企业可以发现系统和网络的潜在漏洞并及时修复,从而预防黑客攻击和安全事故的发生,保护企业的机密数据和财产安全。

2. 符合合规要求:根据相关法律法规和行业标准,许多组织要求进行网络渗透测试以确保其系统和网络的安全性。

通过渗透测试,企业能够满足合规要求,避免可能的法律和经济风险。

3. 提升安全意识:网络渗透测试能够提高企业员工对安全风险和攻击手段的认识,增强其安全意识和防范能力。

移动终端信息安全测试方法

移动终端信息安全测试方法

移动终端信息安全测试方法
移动终端信息安全测试是检查移动终端信息安全状况的重要手段,确保移动终端信息安全可靠性。

本文将介绍移动终端信息安全测试的基本原理和方法。

一、移动终端信息安全测试原理移动终端信息安全测试是一种研究移动终端信息安全性的方法,主要通过模拟攻击和安全检测的方式,来检查移动终端的安全状况。

1、模拟攻击:通过模拟可能发生的攻击行为,以检测移动终端的安全弱点,主要包括密码破解、病毒攻击、应用程序漏洞攻击等。

2、安全检测:通过软件和硬件的安全检测,检查移动终端内部的软硬件设置、数据备份系统、安全防护技术、网络安全等,以确保移动终端信息安全可靠性。

二、移动终端信息安全测试方法
1、硬件安全检测:主要检测硬件设备的安全性,包括移动终端的硬件结构、硬件设备设置、数据备份系统、安全防护技术等,主要通过实验室测试来进行,以确保移动终端的安全性。

2、软件安全检测:主要检测移动终端的软件设置、程序安全性、病毒安全性、操作系统安全性等,主要通过模拟攻击和安全检测软件来进行,以确保移动终端的安全性。

3、网络安全检测:主要检测移动终端的网络安全性,包括网络安全设置、网络通信安全性等,主要通过网络攻击模拟和网络安全检测软件来进行,以确保移动终端的安全性。

综上所述,移动终端信息安全测试主要通过模拟攻击和安全检测的方式,来检查移动终端的安全状况,包括硬件安全检测、软件安全检测和网络安全检测等,以确保移动终端信息安全可靠性。

信息安全评估与测试方法

信息安全评估与测试方法

信息安全评估与测试方法信息安全在当今社会已经变得至关重要。

无论是个人用户还是企业组织,对信息安全都有着迫切的需求。

为了保护信息安全,评估和测试方法成为了必不可少的手段。

本文将介绍几种常见的信息安全评估与测试方法。

一、风险评估方法风险评估是信息安全工作的重要组成部分。

通过风险评估,可以全面了解信息系统的弱点和威胁,确定关键资产的价值,为安全措施的部署提供依据。

常见的风险评估方法包括:1. 漏洞扫描:使用专业工具对信息系统进行全面扫描,检测系统中存在的安全漏洞。

2. 威胁建模:通过分析可能的攻击者和攻击手段,对系统进行威胁建模,确定潜在威胁。

3. 安全测试:通过模拟攻击和渗透测试,检测系统在真实环境下的安全性能。

二、合规性测试方法合规性测试旨在确保信息系统和组织的运作符合相关法规和标准的要求。

常见的合规性测试方法包括:1. 安全策略审查:对组织的安全策略进行全面审查,评估其与相关法规和标准的合规性。

2. 确认性测试:检查组织是否按照安全策略制定了相应的措施,并对其有效性进行测试。

3. 文件审核:检查组织对安全管理的文档、记录和报告等是否符合相关法规和标准的要求。

三、安全性能评估方法安全性能评估旨在评估信息系统在抵御恶意攻击和未授权访问等方面的能力。

常见的安全性能评估方法包括:1. 网络拓扑评估:评估网络基础设施的可用性、完整性和保密性,并提供相应改进建议。

2. 安全配置审查:检查信息系统的安全配置,评估是否存在安全漏洞和不安全设置。

3. 认证与授权测试:测试系统的身份认证和访问授权机制,评估其在真实环境下的有效性和可行性。

四、安全意识评估方法安全意识评估是评估组织成员对信息安全的认知和行为的方法。

常见的安全意识评估方法包括:1. 安全行为观察:通过观察组织成员在日常工作中的安全行为,评估其对信息安全的重视程度。

2. 调查问卷:设计相关的问卷调查,了解组织成员对信息安全的知识和态度。

五、移动设备安全评估方法随着移动设备的普及,移动设备的安全性评估显得尤为重要。

信息安全渗透测试详解

信息安全渗透测试详解信息安全渗透测试是一种用来评估计算机系统、网络系统或应用程序的安全性能的技术手段。

它旨在模拟黑客攻击的方式,发现系统中的漏洞和弱点,并提供解决方案以加强系统的安全性。

本文将详细介绍信息安全渗透测试的背景、原理、方法和实施步骤。

一、背景随着互联网的普及和信息技术的发展,网络攻击与隐私泄露等安全问题日益突出。

传统的防火墙和安全软件已经无法满足对抗新型网络攻击的需求。

因此,信息安全渗透测试应运而生。

它通过模拟攻击行为,寻找系统的漏洞和弱点,以提前发现并解决潜在的安全风险。

二、原理信息安全渗透测试基于黑盒测试和白盒测试原理。

黑盒测试是指测试人员对被测系统一无所知,通过模拟黑客攻击的方式,发现系统的安全性弱点。

白盒测试则是指测试人员具备对系统的内部结构和代码有一定了解,在此基础上检测系统存在的安全漏洞。

三、方法1. 信息收集:渗透测试前,需要收集被测系统的相关信息,包括IP 地址、子网掩码、操作系统、网络拓扑等。

这些信息有助于测试人员了解系统的组成和结构,有针对性地进行测试。

2. 漏洞扫描:通过使用漏洞扫描工具,测试人员可以发现系统中存在的已知漏洞和弱点。

这些工具通过扫描系统的端口和服务,检测系统中的安全隐患。

3. 渗透测试:测试人员以黑客的身份,模拟各种攻击手段,包括SQL注入、跨站点脚本攻击(XSS)、拒绝服务攻击(DDoS)等,发现系统中的漏洞和弱点。

同时,测试人员还会测试密码强度、权限控制、加密算法等安全措施的有效性。

4. 报告编写:测试人员会根据测试结果,撰写详细的测试报告,包括发现的漏洞和弱点、修复建议以及测试过程中的操作记录。

报告编写要求准确、详尽,以便系统管理员能够理解并采取必要的修复措施。

四、实施步骤1. 确定测试目标和范围:系统管理员与测试人员共同确定测试目标和范围,明确被测系统的功能和漏洞的类型。

2. 信息收集和分析:测试人员收集系统信息,并进行分析,为后续的渗透测试做准备。

信息安全技术信息系统安全审计产品技术要求和测试评价方法

信息安全技术信息系统安全审计产品技术要求和测试评价方法信息安全技术在现代社会中扮演着至关重要的角色,而信息系统安全审计产品则是确保信息系统安全的关键工具。

本文将介绍信息系统安全审计产品的技术要求和测试评价方法,帮助读者了解该领域的核心知识。

一、信息系统安全审计产品的技术要求1. 完整性要求:信息系统安全审计产品应能够确保被审计系统的数据和程序的完整性,防止未经授权的篡改或修改。

产品需要能够记录系统数据和程序的变动,并及时报告任何异常情况。

2. 可扩展性要求:信息系统安全审计产品应能够适应不同规模和复杂度的系统,具备良好的可扩展性。

产品需要能够同时监测多个系统,并支持大量并发审计请求。

3. 可靠性要求:信息系统安全审计产品应具备高度的可靠性,能够保证审计数据的完整和准确。

产品需要能够自动进行周期性的备份和恢复操作,以应对意外故障或灾难恢复。

4. 实时性要求:信息系统安全审计产品应能够实时监测被审计系统的安全状态,及时发现和报告任何安全事件。

产品需要具备高效的数据采集和处理能力,能够在短时间内生成详细的审计报告。

5. 可视化要求:信息系统安全审计产品应提供直观的用户界面,能够清晰地展示被审计系统的安全状态和审计结果。

产品需要支持图表、报表等多种形式的数据展示方式,便于用户进行分析和决策。

二、信息系统安全审计产品的测试评价方法1. 功能测试:通过模拟实际场景,测试产品在实时监测、异常报告、数据采集等方面的功能是否完整和准确。

评价产品是否能够满足安全审计的基本需求。

2. 性能测试:测试产品在大规模系统和并发审计请求下的性能表现。

评估产品的扩展性和响应速度是否满足实际需求。

3. 安全测试:通过模拟恶意攻击和渗透测试,评估产品的安全性和可靠性。

确保产品能够有效地防御各类攻击,并保证审计数据的机密性和完整性。

4. 用户体验测试:通过用户调研和用户界面评估,评估产品的易用性和可视化效果。

确保产品的操作界面简洁友好,能够满足不同用户的需求。

信息安全技术—防火墙安全技术要求和测试评价方法

信息安全技术—防火墙安全技术要求和测试评价方法防火墙是一种网络安全设备,用于保护网络免受未经授权的访问和恶意攻击。

为了确保防火墙的安全性和功能性,需要遵循一些安全技术要求,并进行相应的测试评价。

下面将详细介绍防火墙安全技术要求和测试评价方法。

防火墙安全技术要求:1.访问控制:防火墙应具备访问控制功能,能够识别和控制网络流量。

要求能够实现细粒度的访问控制策略,包括根据源IP地址、目的IP地址、端口号等进行过滤。

2.用户认证和授权:防火墙应支持用户认证和授权机制,只有授权的用户才能使用防火墙进行配置和管理。

可以通过用户账号、口令或其他认证方式来验证用户身份。

3.审计和日志记录:防火墙应具备审计和日志记录功能,能够记录所有的事件和操作信息。

要求能够记录网络流量信息、用户登录信息以及防火墙配置和管理操作等,以便进行后续的审计和分析。

4.安全策略管理:防火墙应提供安全策略管理功能,可以对防火墙配置和管理进行集中管理。

要求能够实现策略的添加、修改、删除等操作,并能够对策略进行分类和分组管理。

5.防御功能:防火墙应具备多种防御功能,包括流量过滤、阻断非法入侵、检测和阻止恶意代码等。

要求能够及时识别和应对各类网络攻击,并及时更新和维护防火墙的防御规则。

防火墙安全测试评价方法:1.功能测试:通过验证防火墙的各项功能是否正常运行来评价其安全性。

例如,测试访问控制策略的实际效果,验证认证和授权机制是否可靠,检查日志记录和审计功能是否完善等。

2.性能测试:评估防火墙的性能和响应速度。

可以进行压力测试,模拟高负载环境下的流量情况,观察防火墙的性能表现。

还可以测试防火墙对于各种攻击的反应速度和效果。

3.安全漏洞扫描:通过使用漏洞扫描工具,对防火墙进行扫描,检测是否存在已知的安全漏洞。

可以通过定期的漏洞扫描来及时发现并修复安全漏洞,提高防火墙的安全性。

4.审计和日志分析:对防火墙的审计和日志进行分析,以判断是否存在异常行为和安全事件。

安全测试的方法和技巧

安全测试的方法和技巧随着互联网技术的快速发展,网络安全问题日益凸显,安全测试成为保护信息安全的重要手段。

本文将为您介绍安全测试的方法和技巧,以帮助您更好地应对安全挑战。

一、安全测试方法1. 漏洞扫描漏洞扫描是一种常用的安全测试方法,通过扫描目标系统中存在的漏洞,及时发现并修复漏洞,从而提高系统的安全性。

漏洞扫描可以手动进行,也可以借助各种安全测试工具进行自动化扫描。

2. 渗透测试渗透测试是一种模拟攻击的方法,通过模拟黑客攻击的方式,检测系统的安全性,及时发现潜在的安全风险。

在进行渗透测试时,需要遵循法律规定,获得系统所有者的授权。

3. 代码审查代码审查是一种静态安全测试方法,通过分析源代码,发现其中潜在的安全隐患。

代码审查可以手动进行,也可以利用各种静态代码分析工具辅助进行。

4. 安全评估安全评估是对整个系统进行全面的安全性评估,包括硬件、软件、网络等多个方面。

通过安全评估,可以发现系统中存在的安全威胁,并提出相应的解决方案。

二、安全测试技巧1. 制定详细的测试计划在进行安全测试之前,制定详细的测试计划是非常重要的。

测试计划应包括测试的目标、范围、方法、工具等内容,以确保测试的准确性和全面性。

2. 确保测试环境的安全在进行安全测试时,需要搭建一个安全的测试环境,以防止测试过程中对真实系统造成影响。

同时,测试环境中需要模拟真实环境中的各种攻击场景,以确保测试的有效性。

3. 多种技术手段相结合安全测试需要综合多种技术手段来应对不同的安全问题。

例如,可以结合源代码审查、漏洞扫描和渗透测试等多种手段,以增强测试的全面性和准确性。

4. 持续监控和更新安全测试不应只是一次性的工作,而应是一个持续的过程。

及时监控系统的安全状况,并及时更新安全策略和防护措施,以应对不断变化的安全威胁。

总结:通过本文的介绍,我们了解到安全测试的方法和技巧对于保护信息安全至关重要。

漏洞扫描、渗透测试、代码审查和安全评估等安全测试方法可以帮助发现系统中的潜在安全隐患,而制定详细的测试计划、确保测试环境的安全、多种技术手段相结合以及持续监控和更新则是提高测试效果的关键。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全产品测试方法介绍摘要介绍了常见的IPSec网关,SSL VPN,防火墙,IDS,IPS和反垃圾邮件网关等信息安全产品的测试方法和测试步骤,并对IXIA在这方面的特点和优势进行了总结。

关键词 IPSec网关 SSL VPN 防火墙 IDS IPS 反垃圾邮件网关测试1 引言IP网络的最大优势是它的开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。

但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁;在IP网络中进行的信息通信和传输也显得不太安全。

IP网络的安全威胁有两个方面,一是主机(包括用户主机和应用服务器等)的安全,二是网络自身(主要是网络设备,包括路由器、交换机等)的安全。

用户主机所感知的安全威胁主要是针对特定操作系统(主要是Windows系统)的攻击,即所谓病毒。

网络设备主要面对的是基于TCP/IP协议的攻击。

信息通信和交换的泄密主要来自信息在交换和传输过程中没有加密而被窃取或盗听。

为了防范各种各样的安全威胁和进行安全不泄密的通信,个人终端、企业网络和运营商都安装或者部署了各种各样的安全软件和设备来防范来自主机和网络的威胁或者实现安全加密的通信,这些安全设备包括防火墙,IDS,IPS,垃圾邮件网关,代理服务器,IPSec网关和SSL VPN网关等。

但是这些设备地引入,会对网络的性能造成一定地影响。

多个厂家设备地引入,产品的互通性也对网络部署是一个考验。

所以,如果评估测试这些安全设备的性能(Performance)和一致性(Conformance)就显得尤其重要,全球领先的IP测试方案供应商美国IXIA公司的测试方案可以全面满足信息安全产品的性能、一致性和功能的测试需求。

2 实现安全通信的设备测试目前,实现安全通信的最主要方式是采用VPN技术,VPN技术从实现上主要有三大类,基于MPLS技术的VPN,基于IP技术的VPN和基于应用层技术的SSL VPN等。

这些VPN技术和设备的测试都可以很方便地通过IXIA公司的工具来实现。

基于MPLS技术的VPN包括L2 VPN,L3 VPN和Multicast VPN等;基于IP技术的VPN包括二层的L2TP技术,PPTP技术和三层的IPSec技术与GRE技术等。

本文主要对目前比较流行的基于三层IP技术的IPSec VPN 以及基于应用层技术的SSL VPN测试进行介绍。

IPSec VPN是基于网络层的VPN,对所有的IP应用均透明。

但是SSL VPN是基于应用层的VPN,对保护基于Web的应用更有优势。

两种VPN技术的简单比较参见表1。

由于基于这两种技术的差异性,所以对这两种不同的VPN网关测试方法和指标也有些不同。

2.1 IPSec VPN安全网关测试对于IPSec VPN网关来说,性能测试方法有两种,一种是早期的测试方法,这种方法是由两台被测设备直接连接起来,由被测设备之间完成IPSec之间的协商过程并建立IPSec 的隧道,然后在建立的隧道上运行流量,来评估设备在有IPSec加密情况下的吞吐量(Throughput)、时延(Latency)和丢包率(Packet Loss)等各项性能指标。

测试示意见图1。

但是,这种方法有很大地局限性,就是不能评估IPSec网关支持IPSec隧道的数量以及隧道建立的速度等指标。

所以,目前最普遍的测试方法是使用测试仪表来仿真IPSec网关,和被测IPSec网关建立IPSec隧道来评估被测设备所支持的IPSec隧道的数量以及隧道建立的速度,在隧道建立成功后,测试仪表还可以同时仿真IPSec网关后的主机以及被保护的网络,以验证隧道之上2~7层数据和应用的转发性能与QoE指标。

IXIA的IPSec网关测试方案完全满足上述两种测试方法。

本文主要介绍第二种方法。

这种方法的测试原理参见图2,它是通过IXIA IP性能测试仪的一个端口来仿真多个IPSec 安全网关以及安全网关后面被保护的子网和主机,与被测设备建立IPSec的通信隧道,另外一个端口仿真安全网关内被保护的子网或者主机。

在IPSec隧道协商成功后,可以在被保护的子网和主机之间发送和分析流量。

(1)IXIA的IPSec性能测试方案能够回答下列关键问题:●评估IPSec网关所支持的IPSec隧道的数量。

●评估IPSec网关建立IPSec隧道的速度。

●评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行RFC 2544的测试。

●评估IPSec网关在建立IPSec隧道成功后,在IPSec上运行有状态的(Stateful)应用层流量测试,目前最为关注的就是该特性的测试,可以直接验证IPSec之上承载多种真实业务的能力。

2)IXIA的IPSec 性能测试方案具有以下特点:●测试网络安全设备的IPSec Tunnel容量,Tunnel建立速度以及Tunnel建立起来之后的RFC 2544测试和应用层业务承载能力。

应用层流量包括HTTP,FTP,E-mail,SIP,MGCP 和视频等;每个测试端口最多支持1.6万个IPSec的隧道,160个Tunnel/s的隧道建立速度,超过950Mbit/s以上的吞吐量。

●支持IPSec的IPv4和IPv6版本。

●支持AH,ESP或者两者结合的加密算法:Null,DES,3DES,AES 128,AES 192,AES 256等封装算法;MD5,SHA-1认证算法,Certificates,Pre-shared Keys等Phase 1认证模式;GROUP 1,2,5,14,15,16等DH组。

●支持GRE和VLAN配置,支持GRE over IPSec和IPSec over GRE等特性测试。

●可以线速加密数据进行RFC 2544基准测试以及长时间地性能测试。

●支持IKE的版本1和2;支持动态多点VPN(DMVPN)。

●在IKE协商的第一阶段,支持Main模式和Aggressive模式,Hash算法(HMAC-MD5,HMAC-SHA1),Xauth用户认证,模式地址分配,用户认证(预先共享密钥及证书),NAT转换(NAT-T),支持隧道模式(Tunnel)和传输模式(Transport)不同的封装方式,Lifetime 协商和Re-keying。

●IKE协商的第二阶段,支持AH,ESP和AH+ESP,Hash算法(HMAC-MD5,HMAC-SHA1),完整转发安全性(PFS),IPSec keep-alives和Dead Peer Detection (DPD)。

另外,IXIA公司的安全测试方案还可以在同一平台上实现IPSec的一致性(Conformance)测试。

支持的测试协议和测试例参见表2。

这些特点为IPSec性能测试和一致性测试提供了有力地保证。

2.2 SSL VPN网关测试SSL VPN的技术特点在上面已经和IPSec VPN做了简单地比较,从技术上来说,SSL VPN 有很多面向应用的特点,所以在性能测试的方法上也和IPSec有很大不同。

从技术上来说,SSL VPN也有三种类型,包括无客户端模式(Clientless Mode)、简化模式(Thin Client Mode)和安装客户端模式(Tunnel Mode)。

目前,能够用仪表进行性能测试的,主要是无客户端模式,也就是通常讨论的SSL测试。

谈到SSL VPN产品的性能测试,首先要区分的是SSL Server和SSL VPN,SSL Server 相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等,它强调地是性能,目前国内可见的SSL Server产品性能可达2万TPS和400万同时在线用户数;而SSL VPN面向的是远程接入,即管理系统,它强调地是易于使用和管理、安全性等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。

中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正地各个厂家能够互通的SSL VPN产品。

IXIA 公司作为VPNC协会中的惟一测试仪表提供商,一直在跟踪这方面的技术,并且有很好地测试解决方案。

相应的VPNC会员列表,请参考下面链接:/member-list.html。

IXIA的SSL VPN性能测试方案主要有下面的特点:(1)支持SSLv2,SSLv3,TLS1.0。

(2)支持全面的密码套件,包括DES,3DES,RC4,MD5,SHA。

(3)支持私有密钥和会话重用。

(4)用户可配置地客户端密钥和证书。

SSL VPN的测试示意如图3所示。

这些特点可以用于客户端,也可以用于服务器端,为SSL VPN测试带来很大地灵活性和方便性。

SSL VPN性能测试的主要指标包括:(1)在不同加密算法下的有效吞吐量(Goodput)。

(2)并发连接数(Concurrent Connection。

(3)新建SSL 连接的速率(Connection Rate)。

3 保障信息安全产品的测试保障信息安全的产品比较多,比如防火墙,IDS,IPS,防垃圾邮件网关和内容检测系统等等都属于保障信息安全的产品。

下面对这些产品的性能测试方法做一简单介绍。

3.1 防火墙测试防火墙是应用最广泛地信息安全产品,防火墙测试也是目前信息安全测试领域的一个热点。

从功能上来说,防火墙地作用是让合法的流量正常通过,并能够拦截各种非法与攻击流量。

防火墙类型比较多,比如无状态包过滤类型(Stateless packet filtering)、有状态包过滤类型(Stateful Packet Filtering)、基于NAT类型(静态,动态,PAT)、基于代理类型(Proxy)等。

但无论是何种类型,测试防火墙的性能,都要遵守IETF提出的RFC 3511标准,该标准规范了测试防火墙性能的方法和测试项,这些测试项包括:IP吞吐量(IP Throughput),并发的TCP连接数量(Concurrent TCP Connection Capacity),最大地TCP连接建立速度(Maximum TCP Connection Establishment Rate),最大地TCP连接拆除速度(Maximum TCP Connection Tear Down Rate),防火墙对DoS的防范能力(Denial of Service Handling),HTTP转发率(HTTP Transfer Rate),最大地HTTP交易速率(Maximum HTTP Transaction Rate),对“非法”流量地防范能力(Illegal Traffic Handling),防火墙对IP包分拆组合地处理能力(IP Fragmentation Handling),时延(Latency)。