登录界面:
初次登陆web管理界面,观察到的待机负载情况:
桥模式:
该模式也是设备默认模式;
优点:无需改变现有网络结构及网络内IP设置,配置速度快,不会中断业务和服务器间数据交互。
缺点:不支持负载均衡等功能,受广播包影响较大。
桥模式测试过程及结果:
按照拓扑配置完网络后,在防火墙管理界面配置服务:
配置两条禁止访问的alc
对192.168.9.2的deny措施是直接拒绝请求;
对192.168.9.3则选择redirect处理,方便加压同时测试两种功能下的性能。
注:如有过防火墙或负载均衡设备配置经验,这款产品的配置界面还是比较简单,易于操作,个人感觉灵活性不错。
分别在两台client配置攻击参数:
模拟线程增加到100后,测试机(client)cpu100%,网卡使用率100%,测试机(client)几乎无法操作,故没有截图;仅给出当时防火墙的负载数据如下:
常规的flood攻击全部被过滤。
压力测试采用工具”web stress tools”:
模拟1000个用户并发访问5分钟:
脚本执行过程中防火墙的状态:
系统负载状况可以说相当不错,由于桥模式下,处理正常的web请求时梭子鱼460承担着跟交换机差不多的工作,而且并没有增加过多的规则和复杂URL处理,以上数据可以理解。
在攻击测试和压力测试混合进行过程中,防火墙系统意外的出现了错误报警:
此时,WAF设备进入Bypass模式,对业务访问没有造成任何影响,显示了桥模式下Bypass功能的优势。根据提示和在线帮助文档,重启后告警信息消除,设备恢复正常工作模式。WAF设备的界面提示以及在线帮助显示出了梭子鱼产品强大的实用性和易于使用的特性。
桥模式下吞吐量的简单测试:
采用单一200KB静态文档(利用SSI包含若干小文本和图片)进行并发压力测试;
脚本执行过程防火墙负载情况:
脚本执行报告:
Number of hits: 18411
Requests per Second: 61.37
Socket Statistics
--------------------------------------------------------------------------------
Socket Connects: 19116
Total Bytes Sent (in KB): 4665.31
Bytes Sent Rate (in KB/s): 15.55
Total Bytes Recv (in KB): 3390324.97
Bytes Recv Rate (in KB/s): 11301.26
Socket Errors
--------------------------------------------------------------------------------
Connect: 0
Send: 0
Recv: 689
Timeouts: 0
继续增压:
并发上调至10000的情形:
服务器状态如下:
460防火墙的性能状态:
脚本执行报告:
Number of hits: 93143
Requests per Second: 310.48
Socket Statistics
--------------------------------------------------------------------------------
Socket Connects: 102617
Total Bytes Sent (in KB): 25019.48
Bytes Sent Rate (in KB/s): 83.40
Total Bytes Recv (in KB): 1945695.58
Bytes Recv Rate (in KB/s): 6485.72
Socket Errors
--------------------------------------------------------------------------------
Connect: 1260
Send: 0
Recv: 53758
Timeouts: 0
在如此高并发下,有约1/10的请求被当作恶意攻击处理,但未出现超时情况,对比该型号的官方数据支持最高并发6000 来说,结果还是非常不错的。
接下来添加若干安全规则,用“sandcat”配合“HP WebInspect 7.7”进行web应用安全方面的测试:
测试执行过程截图:
最终结果截图:
如上所示,只有一条文件类型欺骗没有被拦截掉,可能跟防火墙规则设置有关,另,该设备支持实时在线升级规则库,该测试环境没有真正连接至internet,无法升级规则库,如进行升级后应该可以完全过滤。