防火牆測試是針對防火牆產品所做的一些列測試,涉及到的內容較多,包括測試的網路環境、測試的方法、測試的工具以及測試的準則等。
基本介紹
- 中文名:防火牆測試
- 外文名:Firewall test
- 學科:計算機套用
- 方法:建立測試準則、搭建環境等
- 評估:管理技術、安全性、功能水平
- 套用:檢測防火牆安全性
簡介,測試方法,建立測試準則,搭建測試環境,確定測試項目,性能測試,評測結果點評,管理技術水平,安全性技術水平,功能技術水平,
簡介
近幾年防火牆產品在許多信息技術套用領域得到了廣泛發展,防火牆技術也經過了幾代發展,這些技術主要包括IP包過濾技術、套用代理技術、狀態檢測包過濾技術、NP技術等。而怎樣正確評價一款防火牆系統,如何對一款防火牆進行正確測試,一直是信息安全領域非常關心的問題。從目前對防火牆的評價體系來看,主要包括四個方面:可管理特性、實現功能、能夠達到的性能指標以及在安全性上的具體表現。理論上,防火牆的可管理性越簡單、邏輯關係越清楚越好,功能越多越好,性能越高越好,安全性越強越好。
但實際上,這四個方面之間卻往往相互矛盾。比如功能多管理就不能非常簡單,同時,安全性好且功能多的防火牆往往對性能產生影響。因此,幾乎所有研發防火牆產品的廠商都專門成立防火牆測試組,通過對產品的全方位測試後才定型並投放市場面向用戶,而最終用戶卻無法了解整個產品的技術指標,當系統全部安裝上防火牆後才知道能不能滿足自己的網路套用,這樣,在廠商和用戶之間就需要一個雙方都信賴的測試機構進行網路套用的評估和產品的測試,基於第三方的測試客觀地了解產品的特性,選擇最終產品。例如銀行、證券、保險等行業都成功地採用了這種方式來選擇防火牆。防火牆的測試涉及到的內容較多,包括測試的網路環境、測試的方法、測試的工具以及測試的準則等。研發過程中的測試各個廠商都在進行,但由於測試環境和測試工具的限制,大多數只能進行一些功能實現、管理界面的設定和調整等,對吞吐能力、數據延遲以及抵抗攻擊等方面還不能進行完全測試,因此,也不能保證對自己產品的完全了解。對於第三方測試機構的測試,雖然也建立了測試環境、具有較高端測試工具、測試方法和準則,但只能對產品的套用進行測試,無法對系統代碼進行測試。例如代碼編寫時由於疏漏可能出現快取溢出漏洞等,例如國外某著名硬體防火牆就出現了這樣的漏洞,經過多個測試機構都無法測試到這樣的結果。
因此,第三方的測試主要是套用測試,深層次的測試仍然無法進行。總體來說,防火牆測試在國內還是一個新的領域,測試方法和手段仍不完善,專門測試機構仍在探索科學的測試方法和測試工具,但無論如何,通過測試,能夠檢測出防火牆系統存在的某些問題,不但幫助廠商完善了防火牆系統,還推動了防火牆新技術的推廣和套用,同時,也有利於整個信息安全產業的發展。
測試方法
防火牆的測試主要包含以下幾個方面:
建立測試準則
防火牆測試準則包含的內容較多,但主要體現在防火牆測試規範的形成上,它一直是信息安全關注的焦點。規範的建立應包含包過濾防火牆、套用級防火牆及複合型防火牆產品或系統的安全技術要求,並適用於防火牆安全功能的研製、開發、測試、評估和產品採購,同時也適用於對各類防火牆的測試。
目前國家實行的標準有GB/T18019一1999、GB/T18020一1999和GB/T17900一1999。GB/T18019一1999《信息技術包過濾防火牆安全技術要求》規定了包過濾防火牆的最低安全需求,指出該類防火牆應對付的威脅,定義其實現的安全目標及環境,提出安全功能和安全保證要求。GB/T18020一1999((信息技術套用級防火牆安全技術要求》規定了套用級防火牆在低風險(敏感但不保密)環境下的最低安全要求。明確了套用級防火牆應阻止的威脅,定義了它的安全目標和使用環境,提出了套用級防火牆的安全功能和安全保證要求。同時,說明了防火牆安全目標及功能和保證要求的基本原則。GB/T17900一1999((網路代理伺服器的安全技術要求》規定了網路代理伺服器在低風險環境下的最低安全要求。指出由該類代理伺服器所能防止的威脅,定義其實現的安全目標、使用環境以及安全功能和安全保證要求。總的來說,這些國家標準是防火牆產品最基本的要求,大多數防火牆開發商研製、開發的防火牆功能、性能、安全性等各方面都超過了這兩個標準所規定的指圖功能及管理測試環境示意圖被測防火牆控制·暴到SmartBits6000B圖性能及安全性測試環境示意圖示,而這些指標的測試目前國內尚無一個完整的規範來描述、衡量和比較,這也正是防火牆測試準則建立的任務所在。
從目前的防火牆測試來看,賽迪評測已經修訂完《防火牆測試規範》第二版,作為目前防火牆測試的依據,它根據新的網路套用對防火牆的更高安全需求,針對目前防火牆類型現狀編寫測試準則對於防火牆的測試是非常重要的。
搭建測試環境
防火牆測試環境的搭建應能滿足各種網路套用的需求,圖一和圖二是一個典型的測試環境。對防火牆性能及安全性測試採用Spirent公司的網路性能分析儀smartBits6000B及相應的測試軟體在測試時,用雙絞線把SmartiBts6000B上的兩個測試連線埠分別與防火牆的兩個測試接口相連,在防火牆上進行相應的規則配置,運行SmartiBst6000B控制台上相應的應用程式,從SmartiBst6000B的一個連線埠傳送一定類型和數量的數據包通過防火牆,另一個連線埠監測並記錄接收到的數據,進行測試,自動生成測試結果。
確定測試項目
確定測試項目是防火牆測試的重要內容之一,一定程度上是對一款防火牆產品的定位,通過測試,能夠確定出對用戶網路套用產生的影響。下面就主要測試內容分別進行討論。工作模式的測試是針對用戶常見的網路環境及實際需求而進行。測試模式有兩種:一種是路由模式,另一種是橋接模式。防火牆工作模式切換時,要求如果防火牆必須重啟參數才能生效,防火牆應該給出必要的提示信息,並由用戶來選擇是否重啟防火牆。NAT測試分正向NAT和反向NAT兩個方面進行測試。正向NAT測試內容包括將多個內部地址轉換為同一個外部地址;將多個內部地址轉換為多個外部地址;將每一個內部地址轉換為不同的外部地址。反向NAT測試內容包括將一個外部地址轉換為一個內部地址;將一個外部地址的服務連線埠轉換為一個內部地址的服務連線埠;將一個外部地址的連線埠動態轉換為一組內部地址的同一個服務連線埠。
套用代理測試主要包含以下內容:HTTP代理測試主要包含對HTTP協定的支持、數據完整性測試、容錯能力測試、伺服器兼容性測試、客戶端兼容性測試。SMTP代理測試主要包括對SMTP協定的支持、對多種媒體格式的支持、數據完整性測試、容錯能力測試、伺服器兼容性測試、客戶端兼容性測試。POP3代理測試主要包括對POP3協定的支持、對多種媒體格式的支持、數據完整性測試、容錯能力測試、伺服器兼容性測試、客戶端兼容性測試。
Telnet代理測試主要包括對Telnet協定的支持、對多種媒體格式的支持、容錯能力測試、伺服器兼容性測試、客戶端兼容性測試。FTP代理測試包括對FTP協定的支持、數據完整性測試、容錯能力測試、伺服器兼容性測試、客戶端兼容性測試等。內容過濾測試主要包括HTTP內容過濾;FTP內容過濾;SMTP內容過濾等。
VPN功能測試主要包括防火牆與防火牆之間隧道的建立和通過客戶端與防火牆隧道的建立,密鑰算法不在測試內容內。防火牆與IDS(人侵檢測系統)聯動,可以對網路進行動靜結合的保護,對網路行為進行細顆粒的檢查,並對網路內外兩個部分都進行可靠管理。主要測試其有效性。
流量控制測試防火牆一般是通過對IP位址、用戶、服務、時間、協定等進行流量統計,並可以與管理界面實現掛接,實時或者以統討一報表的形式輸出結果,從而方便管理員查看和分析網路的運行情況,也非常容易實現流量計費。雙機熱備測試主要包括當主防火牆發生意外DOWN機、網路故障、硬體故障等情況時,主從防火牆自動切換工作狀態,從防火牆代替主防火牆正常工作,從而保證了網路的正常使用。負載均衡可看作動態的連線埠映射,它將一個外部地址的某一TCP或UDP連線埠映射到一組內部地址或安全服務區的某一連線埠,它所適用的某項服務如:HTTP、FTP等分攤到內部或SSN區的伺服器上實現負載均衡。
防火牆管理測試指具有對防火牆管理許可權的管理員的行為和防火牆對運行狀態的管理。管理員的行為主要包括:通過防火牆的身份鑑別,編寫防火牆安全規則,配置防火牆的安全參數,查看防火牆日誌。在管理測試中還包括管理方式、管理分級、管理認證、遠程管理、通信加密、安全措施、集中管理、日誌審計、日誌分類、日誌分析、日誌管理、狀態監控、系統升級等。
安全性測試主要包含穩定性與可靠性、操作測試、自身抗攻擊等。防火牆在授權管理員的正確配置下,應該能抵抗多數對受保護網路內部和自身系統的攻擊,即防火牆應該具有人侵檢測的能力,這壑攻擊包括IP位址欺騙攻擊、ICMP攻擊、IP分片攻擊、DoS(拒絕服務)攻擊、口令字探詢攻擊、郵件詐欺攻擊等。防火牆應該具備防禦外部攻擊(人侵檢測)的能力,以達到保護內部網路系統的目的,同時記錄安全事件日誌,向管理員報警,切斷入侵源的連線。
性能測試
性能測試是參照RFC建議,從包轉發性能和並發連線數對防火牆的性能進行評測,其中防火牆包轉發性能包括吞吐量、延遲、丟包率和背對背包等。包轉發性能是假定提供給防火牆的數據和防火牆轉發的數據之間為一對一的通信,並不包括防火牆提供多播服務的清況。
測試平台為Spirent公司的網路性能分析儀SmartBist 6000B及相應的軟體。由於SmartBits測試儀的限制,防火牆性能(包括:吞吐量、延遲、丟包率、背對背包和並發連線數)的測試是針對包過濾防火牆而言的。套用級防火牆的性能測試比較複雜,需要一些專門的軟體和工具,不提供具體的作為網路中的訪問控制設備,可以通過在防火牆上配置規則集或稱訪問控制表(ACL)來實現安全策略。防火牆處理規則時需要占用一定的系統資源,為了比較安全規則對包轉發性能的影響,要在防火牆上載入多條規則和一條規則,分別測試其吞吐量。
延遲是指按照防火牆的規則集應該轉發的數據包最後一個比特進入防火牆接口到該數據包第一比特出現在正確的目的接口上的時間間隔。所測試的延遲是指測試儀發出數據包到經過防火牆後收到該數據包的時間間隔。延遲有兩種:存儲轉發延遲和直通轉發延遲,是在給定的速率下(保證防火牆在此速率下不丟包)考察防火牆存儲轉發的延遲。丟包率是指防火牆在持續負載下,由於缺少資源,應該被轉發而沒有被轉發的數據包占全部數據包的百分比。
丟包率測試是在給定速率下對防火牆進行測試的,並規定對給定速率的設定必須滿足在每一種幀長下的吞吐量速率大於或等於給定丟包率速率。根據RFC建議,背對背包的定義為:對於給定的傳輸媒介,從空閒狀態開始,以最小的合法時間/幀間隔傳送連續的固定長度的數據幀。背對背包反映了防火牆設備緩衝數據包的能力。在實際套用中,使用NFS協定進行遠程磁碟數據存取、數據備份和路由更新等之類的操作,會導致網路上出現較大數據流量,造成網路擁塞,防火牆的緩衝可以減小這種突發數據造成網路擁塞的不良影響。因此,進行此項測試可以考查防火牆緩衝數據包的能力。
並發連線數是指穿越防火牆的主機之間或主機與防火牆之間能同時建立的最大連線數。最大並發連線數指的是防火牆能夠同時處理的點對點連線的最大數目。它反映了防火牆對多個連線的訪問控制能力和連線狀態跟蹤能力,以及防火牆對業務信息流的處理能力。並發連線是指能同時轉發數據的連線,如果在某個連線上不能傳送數據,那么該連線就不能計人並發連線數中去。所指的連線不僅僅指TCP連線,雖然UDP是無連線的協定,但在主機傳送UDP數據包穿過防火牆到另一主機的過程中,如果目的主機正在正確的UDP連線埠監聽,它就能收到UDP數據包,規定認為這是一個連線。
評測結果點評
管理技術水平
目前防火牆的管理方式分為三種:
一是基於瀏覽器的Web界面管理方式;
二是基於管理端軟體的GUI界面;
三是基於命令行的CLI管理方式。
Web管理方式,提供了簡單的管理界面,適合那些功能不是很多的防火牆的管理工作;GUl的管理方式比較直觀,適合對防火牆進行複雜的配置,管理多台防火牆,同時支持豐富的審計和日誌的功能;CLI管理方式,不太適合對防火牆進行管理,事實上,不太可能通過命令行的方式對一個具有複雜功能的防火牆進行很好的配置,它比較適合高級用戶或者廠商對防火牆進行調試,以確定防火牆故障所在。
安全性技術水平
目前防火牆的安全性主要表現在運行的穩定、未發現安全漏洞。從目前對國內防火牆產品的測試結果來看,國內市場上防火牆產品的抗攻擊能力表現良好。
功能技術水平
目前防火牆功能除包過濾和代理功能以外,其附加功能主要有:NAT(網路地址轉換)功能、VPN(虛擬區域網路)功能、頻寬管理功能、URL過濾功能舊志分析功能、內容掃描功能、防病毒功能、負載均衡功能、雙機熱備功能等。
