网络安全 频道

Spirent防火墙测试方法

1.总论  

  对于安全和网络工程师要保护的网络计算资源来说,正面对着越来越复杂和数量不断提高的安全威胁。防火墙——全局企业安全策略中最为关键的一环,它处于防止未经授权流量进入企业防线的第一线。防火墙厂商也会尝试着模仿不同的网络攻击来试验产品本身,这是因为对于每个企业网络的安全需求都不是一成不变的。由于这个原因,安全和网络工程师都会基于自己的网络状况设计测试床以确保网络操作的安全和可用性。

  这篇文章将会帮助你将防火墙加入到Spirent测试框架中。你会学习到如何新建和运行防火墙基本、压力和负载测试。因此你就可以将实际的产品网络和实验室测试环境有机的结合起来。通过完成这篇文章中的测试样例,你可确保防火墙满足你的网络安全和可用性标准。此外,借助于测试设备还可建立全面的端到端测试框架、多设备真实测试环境。同时,你也可以扩展其他网络设备混合进防火墙测试环境中,如服务器负载均衡(SLB)和入侵检测系统(IDS)
 
2.绪论

  防火墙的作用就是把受保护与不受保护的网络分离开,例如将Internet和一个受保护的企业网络分离开。一个企业定义了一套安全策略来保护企业网络流量,不论是进还是出防火墙的流量都必须接受防火墙的盘查。安全策略保证防火墙有条件的允许流量通过防火墙。防火墙策略一般和网络的OSI 4~7层模型相关。

  防火墙策略包括了认证、包过滤和应用网关技术来构成一个全局安全策略。认证是受保护网络验证所连接的网络是否是它所希望的连接实体的一个过程(或者说成是验证希望连接网络的实体)。包过滤是防火墙分析进入和出来的数据是否符合过滤条件(安全策略)来决定是否放行数据。应用网关则是阻止网络(不受保护的)与网络(受保护)之间的直接相连,网络之间的直连会提高网络所面临的危害。

  以下防火墙类型也从一定角度上反映了防火墙的演变历史:

  ◆包过滤——分析传输层的数据是否符合定义数据流的过滤条件。这种类型的防火墙目前非常少,因为它仅仅工作在传输层而不是应用层。既然它对连接状态知道的不多,那么它也被称为‘无状态’的防火墙。

  ◆状态检测——基于建立的会话进程来观察是否符合安全策略进而允许数据流通过。在一个进程表中包含了活动进程。如果数据包所相关的会话进程不在表中,那么数据包就会被丢弃(就是不被允许通过防火墙)。这比包过滤防火墙更为安全,因为策略定义是和什么类型的数据包通过防火墙紧密相关的。之所以说它安全,还因为它每次都验证数据是否符合数据库中的策略,它不仅仅是基于传输层和进程限制数据通过,它还可以达到应用层。状态防火墙支持4~7层测试可以确保他们的适用性。

  ◆应用代理——包括了两个TCP连接,一个是在源包和防火墙之间,另外一个是在目的包和防火墙之间。代理就像一个看门人,它基于应用规则来决定进入的数据包是否可以到达目的地。每一个不同的应用都有自己的代理。既然包检测发生在网络层,所以就要求一个应用代理有更多的额外开销。更深一步说,一个代理防火墙需要处理通过它的每一个协议——因此这就限制了它的可测量性。基于这些原因,即使一个应用代理可以比状态检测提供更多的细节控制,然而状态检测防火墙仍然是我们这篇文章中所需要特别强调描述的。

  基于我们以上所陈述的,状态防火墙仍然是全局企业安全策略的一部分。一个防火墙需要与其他网络安全设备具有无缝的互操作性,因为一个网络的安全设备可能来自于多个厂商。因此测试一款防火墙在一个企业IT环境中的表现是非常必要的——不管厂商的宣称值是多少或者是第三方测试结构的测试结果。

  目前一个非常有趣的趋势是,防火墙成为一个安全平台,集成进额外的安全产品,例如IPSec VPN网关和IDS。这些集成的防火墙会提供高可用性和一体化的新技术,例如深度包检测,以下几个关键问题可以帮助你决定集成防火墙平台是否适合你:

  ◆你的集成平台渴望需要状态防火墙功能吗?

  ◆集成平台的CPU和内存是否会成为整个IT系统的瓶颈点,特别是成为线内设备时,是否会影响系统结构的可用性?

  ◆你的集成防火墙评估结构包括了可测量性测试了吗?真实情况下的负载是否包含了不同速率下的多个不同协议——大部分集成平台会共享一个CPU和内存资源吗?——你的集成防火墙可以在一个可接受的安全和可用性级别下操作吗?

  ◆由于包含了多个设备,你的集成防火墙可以实实在在的简化端到端安全测试吗?集成防火墙可以满足新的测试要求或复杂度吗?你的测试结构可以帮助你从一个分布式的防火墙迁移过来吗?

  由于将产品的实际应用环境和精确的实验室环境测试结合了起来,所以Spirent提供了广泛的测试方法和详细测试来帮助你解决这些问题。

0
相关文章