网络安全评估探讨

1  引言

随着互联网的普及、电子商务的广泛应用和云虚拟网络建设步伐的加快，人们对网络安全的需求也变得越来越强烈。由于网络安全问题的日益突出，这就促使网络安全产品不断采用最新安全技术，供应商不断推出满足用户需求以及可以应对当前复杂环境的安全设备；同时，这也进一步促进了网络安全技术和网络安全评估测试技术的发展。
 
近几年来，网络安全产品已经从简单的包过滤防火墙发展到最新面向应用层设计，能够精确识别用户、应用和内容，并具备完整安全防护能力等全面功能的网络安全系统。这在技术上已经实现了巨大革新，也为我们在构建网络安全体系方面提供了更加多样化的选择。但是，我们如何来评估和检测新一代网络安全设备的性能、功能和安全性呢？本文将初步探讨网络系统安全测试及评估的要点、测试技术方案和方法。
 

2  ATI（Application and Treat Intelligence）智能网络威胁

当前网络环境中，应用已成为网络的主要载体，而网络安全的威胁则更多地来源于应用层。因此，用户对于网络安全的控制提出了更高的要求，例如在多样、复杂的用户应用层流量中，如何确保网络安全设备能够精确识别出应用、阻断有安全隐患的应用、保证合法应用正常使用以及防止端口盗用等，已成为现阶段用户在网络安全评估方面关注的焦点。ATI网络智能威胁。
另一个重要问题是：在网络部署之前，如何模拟复杂并真实的应用场景流量，以验证网络安全设备配置的每个要素，从而减少昂贵的回滚和故障排除所带来的风险。
 

3  网络安全评估测试技术方案  

3.1  测试评估面临的挑战

真实用户流量和攻击安全威胁的多变性和复杂性，使得现有的实验室仿真测试方法存在如下诸多问题和挑战。
（1）真实场景仿真难度高

要模拟真实的使用场景，包括：

1. 应用流量：VOIP、视频、电子邮件、上网、以及企业应用等。
2. 异常流量：异常及错误的报文、冗余的报文或数据帧等。
3. 安全攻击流量：DDOS、后门、木马、蠕虫、系统工具和病毒等。
4. 携带攻击和病毒的异常应用层流量。
5. 噪音流量和干扰流量。

以往的测试往往只关注2、3、4层的基础转发性能和简单应用协议的功能验证。但是，网络安全评估测试的真正挑战是验证从复杂纷繁的流量中甄别出异常和威胁的效能。
 
（2）测试评估的过程复杂
需要验证的场景和组网复杂，并且验证的业务多种多样，导致了现场组网复杂、涉及的知识面广、测试效率低下、使用设备多，过多的精力都浪费在环境的搭建和测试设备使用上。
 
（3）测试评估标准的发展
随着技术的快速发展，网络安全设备的评测标准也正在不断演进和扩展。从之前主要针对网络通用设备的测试标准RFC2544、RFC3511到相关安全测试国际标准，以及正在酝酿和筹备的IETF相关测试标准等，这些都为我们提供了新的方法和测试思路。而作为网络安全系统又必须从性能、功能和安全性等多方面综合考量，增加了结果评判的难度。
 
IXIA公司推出的BreakingPoint CTM测试系统和ASI（Actionable Security Intelligence）智能动态安全评估可以很好地应对上述挑战。下面将结合BreakingPoint CTM测试系统讨论网络安全设备和系统在当前技术发展条件下测试的具体方法。
3.2  网络安全评估测试要点和方法 
网络安全系统是网络架构中的核心单元，我们将对其从性能、安全攻击、稳定性以及如何使用弹性分数评判结果等几个方面来讨论。
 
3.2.1  性能测试
对于网络安全设备和系统而言，性能测试虽然只是众多测试指标中的一个，但其重要性是很高的。只有在高性能的保障下，网络安全设备和系统才能在部署使用时充分发挥其在安全方面的效能。而作为安全类设备，其吞吐性能、TCP性能、HTTP性能、应用仿真混合流量性能等，也是我们需要考量的因素。
通过模拟网络的部署配置、真实环境下的业务流量以及大量的客户访问场景，可以评测出网络安全设备的最大性能指标。测试的性能指标包括以几点：

1. 2~3层吞吐量测试：测试网络安全设备的基础转发性能。
2. 2~3层时延测试：测试网络安全设备的基础转发性能。
3. TCP每秒新建连接数（CPS）：测试设备每秒钟最大能够处理TCP连接的能力。大部分的用户流量都是基于TCP协议传输的，并且安全设备还需要对每一个TCP连接状态进行检测。
4. TCP最大并发连接数（CC）：测试设备最多能处理TCP连接的能力。
5. HTTP每秒新建连接数：HTTP为日常最常用的应用层协议，而且大多数安全设备都能对HTTP报文进行不同程度的处理
6. 应用仿真混合流量性能，在用户真实环境中运行的性能才是设备的真实性能， 所以测试的初始条件就是：模拟部署配置和部署真实环境的流量，对设备的真实性能进行测试。

 
在整个性能测试的关注要点中，应用仿真混合流量性能是测试的重点。通过基础性能测试，不仅可以对比出设备在真实环境中的仿真能力，而且在后面的攻击性能测试中，应用仿真混合流量性能也是一个关键的用来判断对比性能的指标。我们可以通过一个简单的测试结果看到应用仿真混合流量性能和基础性能测试的对比情况。
Ixia公司的BreakingPoint CTM测试系统预置了用于性能基准测试的测试集，可以很便捷地应用于上述性能指标的测试；针对应用仿真混合流量性能以及系统内多种内置场景，BreakingPoint CTM测试系统可以非常方便地建立多种用户场景的模拟。
 
3.2.2 安全攻击性能测试评估
随着安全测试技术的发展，攻击测试的手段也越来越丰富，它不再仅仅局限于通过流量回放的方式进行攻击测试；而是通过多种攻击方式和类型的组合，引入背景流量对比攻击测试，这样可以最真实地反映网络安全系统的安全性和真实性能。

• 攻击模拟测试。通过分析和模拟部署真实环境，将多种应用层攻击和DDOS攻击混合进行测试，从而得到设备的攻击安全指标。
• 攻击性能测试。在攻击模拟测试中同时混入应用仿真混合流量，不仅可以对比各单项测试，确认在有攻击测试时应用仿真 混合流量性能的变化；而且还可在有应用仿真混合流量时，确认攻击安全指标的变化。 

 
模拟攻击往往是测试中的关键和重点。因为攻击分布非常广泛，如果逐一进行实现和模拟牵扯的精力太多；如果通过回放的方式进行模拟，往往不能得到设备的真实安全指标。不仅如此，被测设备在进行攻击防御时，整个网络安全系统的性能也是我们需要重点关注的。下面，我们来查看攻击测试和应用仿真混合流量测试之间的相互影响。
 
Ixia公司的BreakingPoint CTM有专门的安全研究团队负责攻击研究，并且每一周或每两周会发布一次最新攻击方法、恶意软件及病毒代码库。根据技术实现或者攻击对象的不同，攻击也可以被进行多种类型的灵活分类。用户可以非常轻松地根据测试对象和所测试的协议种类，来选择不同的攻击群进行攻击测试，如Backdoor Strikes、ClientSide Strikes、DCERPC Strikes、Denial of Service Strikes、Exploit Strikes、FTP Strikes、HTTP Stikes、NetBIOS and SMB/CIFS、Protocol Fuzzers、Reconnaissance Stikes、SUNRPC Stikes、Shellcode Stikes、Video and Voice、Worm Strikes、Live Malware等，还可以自动在HTTP、SMTP、POP、IMAP、FTP中以多种压缩格式，如ZIP、Gzip、Tar等，将丰富的恶意软件及病毒代码以doc、pdf、ppt、xls、exe的形式发送，从而轻松模拟多种真实的恶意流量。
 
3.2.3 稳定性和弹性分数评估测试 
稳定性测试往往需要耗费大量时间，构造复杂的混合流量模型；而测试结果评估涉及到对多项结果进行综合对比分析。Ixia公司的BreakingPoint CTM测试系统通过弹性分数评估系统很好地将这两项工作结合在一起，可以为用户节约大量测试时间和资源。
 
弹性分数（Resiliency Score）综合了US-CERT、IEEE、IETF等标准组织的测试方法和测试结果评断方法。它将性能测试、攻击病毒攻击测试、压力测试、Fuzzing测试和最大负载测试长时间运行，然后对分项测试结果进行加权平均，从而得到不同类型安全设备的测试评分。它既统一了测试标准又节省了测试时间。
 

４ 结束语

我们在上述的章节详细探讨了网络安全系统性能测试的方法和方案，并且举例说明了如何对关键结果进行评估。随着网络安全问题的日益突出，用户如何研发、验证、评估和选择安全产品及系统，成为非常重要的课题。希望本文能起到抛砖引玉的效果，同时也期待Ixia的BreakingPoint CTM测试方案能为网络安全测试评估做出贡献。