防火墙系统性能与安全性测试系统可行性实施报告.docx
《防火墙系统性能与安全性测试系统可行性实施报告.docx》由会员分享,可在线阅读,更多相关《防火墙系统性能与安全性测试系统可行性实施报告.docx(16页珍藏版)》请在冰点文库上搜索。
防火墙系统性能与安全性测试系统可行性实施报告
防火墙系统性能与安全性测试系统
可行性研究报告
第一章总 论
1.项目概况
1.1名称
金庐-防火墙系统性能与安全性测试系统
1.2承办单位
金庐软件园软件评测培训
1.3项目法人代表
:
王利春金庐软件园软件评测培训董事长
1.4承办单位概况
公司拥有一支训练有素、经验丰富的测试工程师队伍,配备种类齐全的硬件设备,搭建了国际水平的软件测试平台,能够对客户/服务器结构的软件,基于WEB的Internet应用软件,嵌入式软件以及其它应用软件,按照国标、ISO、IEC等相关标准,进行常规确认测试、验收测试、鉴定测试、性能测试及高级确认测试等。
同时,我们还积极与国外权威测试加强合作和交流,不断提高自身的管理水平和技术水平,跟踪国际尖端技术,逐步拓展服务领域。
公司秉承金庐软件园服务至上的理念,提倡“社会效益第一,经济效益第二”,为客户提供优质服务。
并保证以公正的行为、科学的手段,准确的结果服务于企业,为优秀的软件产品进入市场、参与国际竞争,贡献我们的力量。
2.国外同类研究概况
近年来,防火墙产品在许多信息技术应用领域得到了广泛的应用,防火墙技术也得到了较大的发展,怎样正确评价防火墙系统质量,一直是信息化领域非常关心的问题,同样在国外仍然是一个新的领域。
到目前为止,尚未发现市场上销售国外的将防火墙系统的性能测试与安全性测试集成在一起的系统(产品),安全性测试的国产品空缺,而仅有性能测试的产品有售,但大多价格不菲而且技术保密,无自主知识产权。
本防火墙系统性能与安全测试性测试系统就是基于这样的一个目的研制并开发实现的。
3.项目背景
根据欧洲安全统计,现在有90%以上的病毒是通过SMTP和HTTP网页浏览进行传播的。
病毒通过常用的网络端口(80、110)可以轻易进入到公司的部网络,如果接收人没有在客户端安装杀毒软件或杀毒软件没有及时得到升级,病毒就会马上感染主机,并在网络进行疯狂的传播和破坏,这种情况在近年来己经愈演愈烈了。
每当新的网络病毒爆发,企业的网管人员就会疲于奔命。
面对这样的网络应用状况,用户非常希望拥有一种可以将病毒拒之于网外的安全网关类产品。
而对于这些网关类产品是否真的能切实保障安全,则需要有专门的对安全产品进行辅助评测和验证的软件。
防火墙技术作为网络安全中的一项重要技术受到广泛重视。
目前,国际上较多应用的测试标准和规主要是美国、欧洲、加拿大的安全评测标准和国际通用准则(CC)。
我国自1978年加入国际标准化组织(ISO),尤其是1989年实施“标准化法”以来,以国家信息安全测评认证中心为首的单位参与制订了多项有关信息安全标准化的国家标准。
在测试手段上,防火墙产品的功能测试项目是针对送检产品的功能而言的,不同供应商提供的产品(系统)功能各异。
测试人员必须对送检产品《功能详细说明书》中所声称的各项功能进行详细的测试和验证。
然而,用手工进行防火墙系统的性能及安全性进行检测是不现实的也是不可靠的,为了在测试中获得真实性和一致性,必须借助于防火墙系统的自动检测工具。
国的大多数测评对防火墙系统的安全性测试是借助ISS和SATAN等一些开放软件来进行的。
这种开放软件的特点是功能强大,测试也比较全面,不足之处是对有关产品的使用各自为政,难以形成统一的测试规。
产学研合作,与学院共同研发,我公司拥有知识产权的金庐-防火墙系统性能与安全性测试系统是符合GB/T19-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》而设计开发的,对于国家安全具有极其重大的意义。
4.项目概述
近年来,防火墙产品在许多信息技术应用领域得到了广泛的应用,防火墙技术也得到了较大的发展,怎样正确评价防火墙系统质量,一直是信息化领域非常关心的问题,同样在国外仍然是一个新的领域。
“基于性能与安全性测试的防火墙质量评价系统”是主要针对防火墙产品的质量评价软件,主要包括了防火墙性能测试子系统、防火墙安全测试子系统以及自动化报告分析系统等。
在性能测试方面能够根据具体待测防火墙,模拟配置相应测试环境,并且可以把一个客户机模拟成多个客户机,达到模拟真实环境的效果。
同时,还可以动态设置网络中服务的分配比例和网络流量分配比例。
并且获取多种不同网络环境下得到的性能参数,并进一步进行对比分析得出防火墙的性能报告。
真实环境模拟技术。
以真实的业务为依据,选择有代表性的、关键的业务操作设计测试案例,以评价防火墙系统的当前性能;通过自动负载测试,在一台或几台PC机上模拟成百或上千的虚拟用户同时执行业务,重复执行和运行测试,可以确认防火墙性能瓶颈并优化和调整应用,确保启动各项功能的同时防火墙能够达到高性能。
性能测试依据。
通过对网络中的IP地址、用户、服务、时间、协议等进行流量统计,并可以与管理器界面实现挂接,实时或者以统计报表的形式输出结果,从而分析网络中的运行情况,形成防火墙流量控制性能。
另外,性能测试是参照RFC建议,从包转发性能和开发连接数对防火墙的性能进行评测,其中防火墙包转发性能包括吞吐量、延迟、丢失包和背对背包等。
动态加载安全测试软件功能,可以使测试系统在安全测试方面得到不断更新和完善,达到更为全面地对防火墙性能进行测试的目的。
防火墙测试技术是一项全新的技术,尤其是在性能测试方面,我国尚无成熟产品出现。
该防火墙性能测试系统能够在模拟真实环境下对防火墙进行“每秒的处理连接速率”、“最大并发连接总数”、“有无防火墙的性能下降百分比”以及“启用和禁用NAT功能后的性能下降百分比”等几种重要的性能参数的测试。
“基于性能与安全性测试的防火墙质量评价系统”所采用的核心技术——“防火墙性能与安全性测试系统”,由国家权威评测中国国家信息安全产品测评认证中心华中测评中心测试通过。
该系统在防火墙的测试方面,具有实用、先进、稳定等特点,填补了我国防火墙产品多项质量特性一站式评价的空白,创新我省乃至我国防火墙产品一站式自动测试与评价技术,同时提高了工作效率和工作质量。
科技成果鉴定表明,该系统实现了基于模拟真实环境的防火墙产品的性能和安全性测试与评价,达到了国领先水平。
第二章项目的整体框架和实施计划
1.系统设计思路
随着我国对科技工作的重视,软件产业的发展越来越迅速。
当前我国经济迅速发展,对计算机软件提出了大量要求,从国防、航空航天到财务金融、从工程设计、交通通讯到农业和普通的民用产品都需要开发高质量的软件。
特別是一些大型项目,以及涉及到国家安全、公众利益的所谓关键软件,必须保证高可靠性和安全保密性。
这些软件的开发必须得到质量管理和质量保证措施的支持。
由于雅虎,微软,Intel等大型接二连三遭到黑客入侵,加上各大媒体的宣传,防火墙愈发受到用户认识和青睐,防火墙生产厂商正在大幅度增加市场销售额。
而且防火墙在一段时期之仍会出现销量猛增的局面,其增长的动力主要来源于中小型企业以及家用电脑用户。
今后几年这一增长趋势还将继续,而且平均增长率预计可达到38.7%,以往防火墙主要针对网上交易频繁且易受黑客攻击的大型企业和保密性强的,许多安全产品厂商只是重视大型网络安全,对个人安全市场比较忽视。
但随着黑客攻击事件的不断增加(现在世界上平均每20秒就有一起黑客事件发生)和人们对黑客攻击严重性的意识与日俱增,这种情况近期被打破,防火墙厂商开始研发低价位产品。
所谓未雨绸缪,许多小型企业和个人用户也开始购买防火墙。
防火墙技术作为网络安全中的一项重要技术受到广泛重视。
但是到目前为止,尚未发现市场上销售国外的将防火墙系统的性能测试与安全性测试集成在一起的系统(产品),安全性测试的国产品空缺,而仅有性能测试的产品有售,但大多价格不菲而且技术保密,无自主知识产权。
本防火墙系统性能与安全测试性测试系统就是基于这样的一个目的研制并开发实现的。
2.系统设计原则
■操作方便原则;
■先进性原则;
■响应快速原则;
■可扩充性原则;
■功能封装原则;
3.总体设计
防火墙是目前网络安全领域广泛使用的设备,其主要目的就是保证对合法流量的保护和对非法流量的抵御。
为了适应网络攻击技术的变化和防火墙技术的迅猛发展态势,在网络带宽不断提速升级的趋势下,处于网络末端的防火墙的性能对最终用户所能得到的实际带宽具有决定性的影响。
因此,防火墙的性能测试要求在模拟真实环境测试,以便在测试时考察其在真实环境中的表现,这样测试出来的数据才有实际意义。
研究并开发的“基于性能与安全性测试的防火墙质量评价系统”是基于市场用户的应用需求,并结合具体的分组过滤防火墙及应用代理防火墙的产品特点,能达到公正、全面地评价此类安全产品的目的。
系统的实现主要分三个子系统进行,即性能测试子系统、安全测试子系统和自动化报告分析系统。
分别用来对防火墙系统的性能和安全性作测试及自动化报告文件和个性化模版。
防火墙性能测试系统采用客户/服务器的应用模式。
我们将系统的组织结构从功能角度分为三个组成部分,管理器(fwtest)、客户应用程序(fwmain)以及通信线程应用程序(fwtester)。
管理器用来生成任务表、发送任务表、接收测试数据、分析测试数据和显示、打印报告;客户应用程序的主要功能是接收任务表、填写协议参数、记录测试数据、发送测试数据和显示测试进度;通信线程程序的主要功能是完成创建测试线程、连接登录服务器、发送测试数据、数据格式和接收测试数据。
系统结构及功能如下表所示:
组件
功能
安装位置
管理器(fwtest)
生成任务表、发送任务表、接收测试数据、分析测试数据和显示打印报告
模拟测试环境中网(private)的一台服务器上。
(参考图2.1设备环境,下同)
客户应用程序(fwmain)
接收任务表、填写协议参数、记录测试数据、发送测试数据和显示测试进度
模拟测试环境中网(private)、非军事区(DMZ)、外网(public)的客户机上。
通信线程程序(fwtester)
创建测试线程、连接登录服务器、发送测试数据、数据格式转换和接收测试数据
与客户应用程序安装位置相同,并被其调用。
管理器的功能复杂,在完成各种参数设置,对防火墙系统进行性能测试,对相应的测试结果进行统计分析并且生成性能测试报告输出,主要功能模块可用图1表示:
图1:
管理器系统性能测试功能
本评价系统的安全测试子系统大体上分为是对防火墙系统进行安全扫描和对其进行安全攻击,安全扫描和安全攻击同时又包括了当前主要的几种针对网络安全测试的多种工具,从而达到对测试对象的安全性的测试,其主要功能模块可用图2表示:
图2:
管理器系统安全性测试功能
同时本评测系统为了达到对防火墙安全性更全面的测试与评价,以适应当前的高速防火墙安全测试技术和网络安全测试技术,提供能够加载各种更新的测试软件的功能,使本系统的安全测试功能不断增强。
系统性能测试流程:
根据具体的测试环境对服务器进行设置;
服务器根据具体设计生产任务表;
服务器发送任务表到客户端;
客户端程序根据任务表进行相应服务器访问
客户端把接访问结果生产文件发送至服务器
服务器发送测试或结束测试命令;
服务器对接收到的数据统计并分析生成测试报表;
以单一或汇总方式显示测试报表
4.项目主要研究容
◆项目研究容及涉及的关键技术及技术指标描述
1.金庐-防火墙系统性能与安全性测试系统主要包括以下子系统:
(1)防火墙性能测试子系统
(2)防火墙安全性能测试子系统。
防火墙性能测试子系统的测试平台控制流程图如图5所示:
图5:
防火墙性能测试子系统的测试平台控制流程图
安全测试子系统的测试平台控制流程图如图6所示:
图6:
安全测试子系统的测试平台控制流程图
(1)防火墙性能测试子系统
防火墙性能测试子系统能够根据具体待测防火墙,模拟配置相应测试环境,并且可以把一个客户机模拟成多个客户机,达到模拟真实环境的效果。
同时,还可以动态设置网络中服务的分配比例和网络流量分配比例。
并且获取多种不同网络环境下得到的性能参数,并进一步进行对比分析得出防火墙的性能报告。
(2)防火墙安全性测试子系统
防火墙安全性测试子系统集成了几种主要安全测试工具,能针对有防火墙保护的网络进行安全测试,从而测试防火墙的部分安全性。
动态加载安全测试软件功能,可以使测试系统在安全测试方面得到不断更新和完善,达到更为全面地对防火墙安全性进行测试的目的。
2.关键技术及技术指标描述
(1)计算机网络
利用计算机局域网和广域网络,进行命令和数据的实时传输,以标准通用的TCP/IP网络传输协议为主,确保信息传输的可靠正确。
(2)C/S模式
随着计算机网络的应用和分布协议同工作的需求,以数据为中心的应用系统采用客户/服务体系结构,即C/S模式。
客户/服务器结构包括连接在一个网络中的多台计算机。
那些处理应用程序,请求另一计算机服务的计算机称为客户机(Client)。
而处理数据的计算机称为服务器(Server)。
所有用户都拥有他们自己的计算机来处理应用程序。
(3)网络通信编程技术
系统采用微软公司的VisualC++6.0来开发。
由于它采用了更好的粒度和更少的代码负载,其基本类库(MFC)运行很快,应用程序本身也可以随MFC而自动升级。
要达到设计目的,必须用通信程序来模拟合适的计算机网络环境。
而要实现客户机/服务器方式的计算机通信,对于Windows程序设计员来说,使用WindowsSockets(WinSock)编程是一种比较普遍的选择。
笔者选用了WinSock进行套接字水平的编程。
WinSock通过“套接字”使不同的应用程序可跨网通信。
微软基本类(MFC)把WinSockAPI的复杂性封装到类里,这使得编写应用程序更容易。
(4)多线程、多进程通信仿真模拟技术。
创建测试线程、连接登录服务器、发送测试数据、数据格式转换和接收测试数据。
(5)网络安全测试技术
当前已经存在的各种针对网络安全的安全扫描工具和网络安全攻击工具。
5.项目技术路线描述
性能测试主要是分测试服务器和测试客户端。
测试服务器的技术主要有测试环境设置和测试客户端的任务(网络服务)分配和协调运行和总体测试报告的生成;建立合理的环境设置结构和任务分配模式和运行统一控制技术和测试报告结构的合理生成;防火墙性能测试平台如图7所示。
图7:
防火墙性能测试平台
测试客户端的主要有任务的执行和性能信息的收集;
安全测试子系统,由于安全测试和攻击的多样和复杂性,系统主要集成常见和基本的安全扫描测试和攻击测试方法,同时提供外部测试攻击的接口对于外部程序进行挂接。
防火墙安全性测试平台如图8所示。
图8:
防火墙安全性测试平台
6.项目技术实现依据
◆设计思想依据
金庐-防火墙系统性能与安全性测试系统的设计是根据对当前现有的防火墙测试技术以及网络通信技术进行设计的,能对防火墙系统的性能和安全性进行比较全面的测试,同时由于防火墙测试技术以及网络安全技术是在不断发展的,为了使系统在测试的准确和全面等方面能得到随时更新,特别表现在防火墙的安全测试方面。
主要参考文献如下:
1、防火墙安全测试系统的研究与实现汤文亮丁振凡等
华东交通大学学报2002,19(3).-62-65,68
文中介绍了防火墙安全测试的容以及防火墙安全测试系统的设计与实现,并对系统中采用的安全测试方法如信息收集、系统破解、拒绝服务攻击、特洛伊木马、WIN9X漏洞攻击等进行了原理分析,阐述了使用VisualC++具体实现该系统的若干关键技术。
2、应用级防火墙测试规的研究汤文亮正凡
华东交通大学学报.2001,18(4).-36-39,68
文中介绍应用级防火墙产品的产生是源于信息网络安全的需求,而测试为产品的评估和认可提供了最可信的依据,因此,有必要对这类产品的测试作较为深入的研究。
本论文描述了测试应用级防火墙所依据的测试准则以及测试中常用的工具,并对应用级防火墙测试体系作了较为详细的论述。
3、基于模拟真实环境的防火墙性能测试系统的实现汤文亮袁可风丁振凡
华东交通大学学报.2005,02-0050-05
防火墙产品的性能测试对于用户选购和正确配置防火墙有重要的指导意义。
本文介绍的防火墙性能测试系统是一种基于模拟真实环境测试防火墙产品性能的测试工具,文章对该测试系统的具体实现作了较详细的论述。
◆关键技术实现的依据
计算机网络技术、客户/服务体系技术、网络通讯编程技术、网络安全测试技术等技术标准。
7.关键技术
以下各项主要技术用于防火墙性能与安全测试系统的关键部位,解决了防火墙性能和安全性测试中的关键问题。
其中关键技术包括:
7.1真实环境模拟技术
以真实的业务为依据,选择有代表性的、关键的业务操作设计测试案例,以评价防火墙系统的当前性能;通过自动负载测试,在一台或几台PC机上模拟成百或上千的虚拟用户同时执行业务,重复执行和运行测试,可以确认防火墙性能瓶颈并优化和调整应用,确保启动各项功能的同时防火墙能够达到高性能。
7.2防火墙流量控制测试技术
通过对网络中的IP地址、用户、服务、时间、协议等进行流量统计,并可以与管理器界面实现挂接,实时或者以统计报表的形式输出结果,从而分析网络中的运行情况,形成防火墙流量控制性能。
7.3防火墙包转发性能测试技术
性能测试是参照RFC建议,从包转发性能和开发连接数对防火墙的性能进行评测,其中防火墙包转发性能包括吞吐量、延迟、丢失包和背对背包等。
包转发性能是假定提供给防火墙的数据和防火墙转发的数据之间为一对一的通信,并不包括防火墙提供多播服务的情况。
7.4防火墙安全测试技术
防火墙安全测试主要表现在运行的稳定和安全漏洞方面。
通过在测试平台的网或外网上安装现有的扫描工具和攻击工具,利用所有可能的方式对被测产品进行扫描和攻击测试,其中各种安全扫描和攻击测试工具的编制主要利用当前WinSock编程技术和网络安全技术,根据扫描和攻击结果评测防火墙系统的安全性,从而达到对防火墙的安全性测试。
7.5安全测试完善技术
由于防火墙安全测试方法的局限性,需要及时把当前最优秀的安全测试软件集成到本防火墙测试系统中。
8.系统运行环境
8.1性能分析硬件环境
服务器推荐配置:
PIII志强1G以上,存512M以上30G硬盘;推荐专用服务器。
客户端推荐配置:
PIII650以上,存128M以上。
8.2软件环境
服务器:
操作系统Window2000Server
数据库SQLServer2000
客户端:
Window2000/XP,IE5.0以上。
第三章综合评价及结论
本项目采用各种成熟的理念与技术,已在金庐软件园软件评测培训使用,运行情况良好。
2005年7月14日至8月9日项目产品通过中国信息安全产品测评认证中心华中测评中心的技术检测,其检测意见是“金庐-防火墙系统性能与安全性测试系统”是一种基于C/S模式的性能及安全性测试系统。
该系统由管理器和分布在外网段的客户机组成,通过管理器向客户机发送测试任务,客户机向WEB和FTP服务器发送测试数据来测试网络性能。
该系统在管理器下达任务时可以配置客户机发送WEB和FTP流量的比例,各个网段之间的流量比例,同时具备通过改变客户机模拟的主机数来调节网络流量的功能。
该系统测试无防火墙和有防火墙情况下的网络性能,将性能测试报告进行汇总,通过对比分析有无防火墙情况下网络性能的差异来体现防火墙性能的好坏。
此外,该系统还具备主机扫描(ping),端口扫描,网络信息查询,消息发送等踩点扫描工具以及加载测试工具的功能,具备一定的功能可扩展性。
经过测试,“金庐-防火墙系统性能与安全性测试系统”基本具备性能测试功能(网络带宽)部分安全测试功能。
同时,采用“金庐-防火墙系统性能与安全性测试系统”应用于公司的信息化工程测试工作,对防火墙系统的性能、安全进行测试研究中,该系统在防火墙的测试方面,具有实用、先进、稳定等特点,填补了我国在模拟真实环境下利用同一软件完成对防火墙进行性能及安全性测试的空白,创新我省乃至我国防火墙产品自动测试技术,同时提高了工作效率和工作质量。
2005年9月10日,省科技厅在市组织有关专家对《金庐-防火墙系统性能与安全性测试系统的设计及实现》课题进行了鉴定,鉴定意见如下:
1.提供的资料基本齐全,符合鉴定要求。
2.该项目首次在国将防火墙性能测试和防火墙安全性测试以系统软件的形式集成到一起,形成了一个防火墙综合测试软件。
3.该项目使用防火墙流量控制测试技术、防火墙包转发性能测试技术在模拟真实环境下对防火墙性能进行测试,提高了测试效率和准确性。
4.该系统集成了当前流行的针对网络安全的测试软件,同时提供了动态加载安全测试软件的功能,有较好的扩展性。
综上所述,该项目实现了基于模拟真实环境的防火墙性能和安全性测试,达到国领先水平,一致同意通过鉴定。
建议进一步明确系统的测试指标体系,完善系统报表,加快推广应用。
升级会员 