配置防火墙:
以下是一个典型防火墙所需要配置的样例文件。它包含了网络IP地址和策略,也只是简单地完成了“允许http”和“允许ftp”规则设置(每个厂商的语法要求都是有些变化的)。注意到这只是一个例子来演示测试方法;每一家防火墙厂商都会有不同的配置脚本和工具。
ipaddressoutside192.168.0.1255.255.0.0
ipaddressinside10.10.10.1255.255.255.0
static(inside,outside)10.10.10.1010.10.10.10
static(inside,outside)10.10.10.1110.10.10.11
conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0
conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0
routeoutside192.168.0.128255.255.255.128192.168.0.129
routeoutside192.168.0.0255.255.255.128192.168.0.2
timeoutxlate24:00:00conn12:00:00udp0:02:00
timeoutrpc0:10:00h3230:05:00uauth0:05:00
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
3.选择并且复制“FirewallBasic”到“FirewallStressCPS”中
4.修改负载来校准CPS:
使用70%的宣称基准值以确保你有一个成功的结果
图4:决定防火墙的大CPS值
逐步修改测试伊始的Avalanche的CPS值,使用稳定阶段和拆卸阶段的值来确定总共的CPS值——反应了每个测试步骤地总共值(不同的测试阶段)——后测试值应过基准测试值的30-50%。
5.运行“FirewallStressCPS”
6.在Avalanche上的用户配置文件中加入URL,以混合进FTP协议测试,此外还要在Reflector上配置FTP服务器。
和生存周期比较短的HTTP连接相比,FTP交易的生存周期则比较长并且会消耗防火墙内存资源(连接表)。新的连接会消耗防火墙CPU和内存资源。和FTP相关的连接表消耗了防火墙内存资源,你应该关注图4中断点(breakpoint)左侧的CPS数值。图5则展示了CPS动态变化值。
注意:所有的参数值都会保持不变,仅仅是FTP会导致CPS值75%的跌落。你的防火墙会有不同的断点。
防火墙厂商没有必要提供以上这些数据,加入多的协议(例如RTSP/RTP)则会要求防火墙内多的内在资源,从而导致防火墙性能的动态下降。
注意:在图5中:一个URL的HTTP1.0和FTP其连接数和每秒交易数量(TPS)是1:1的关系,因此TPS和CPS的标签是相同的。
图5:CPS受到了多协议测试的影响
7.衡量由于FTP负载所引起的响应时间上升
当逐步提高防火墙的CPS值时,数据防火墙的过程和响应延迟也会逐步提升。既然防火墙是Web服务器访问的看门人,所以提高延迟等同于减缓了用户访问Web服务器的时间,在一些情况下,访问时间会变得不可接受。
图6:由于FTP加入了HTTP交易所已导致响应时间的上升
除了CPS测试(步骤5和步骤6),并发连接也是防火墙基准测试中的关键参数。以下步骤显示了如何进行并发连接数测试:
打开“FirewallStress”测试并将其复制到“FWOpen”。
变化负载配置文件来反映SimUser,将此作为负载而不是CPS。在开始的并发用户数设置为40个。逐步提高并发用户数,直到测试失败。
在运行的样例文件中,SimUser数量的中度提高(45以上)已经导致了事务时。没有完成的事务减少了服务器的可用性并且降低了性能以致后到达了不可接受的地步。
除了CPS和连接数测试,我们也应该利用多协议进行一些诸如PPS(packerspersecond)和吞吐量测试,而这也被称为防火墙压力测试。
4.4“FirewallLoad”-防火墙负载测试
4.4.1目标
定义在多个以IP协议为基础的流量下和DoS攻击下防火墙的操作:防火墙会在负载和攻击下仍然保持可用性吗?
4.4.2额外要求
所有协议软件应被捆绑入DDoS包内。
4.4.3运行“FirewallLoad”
1.选择并且复制“FirewallStress”到“FirewallLoad”中
新建一个流量负载,流量负载代表你的网络流量包含了多个协议。
例如,你可以新建用户配置文件,这个文件代表一个流量包括了多个权重的应用流量,如HTTP(20%)、FTP(20%)、SMPT(40%)、RTSP(20%)和HTTPS(20%)。指明的权重是任意的——选择权重来反映现实通过防火墙的流量。
再次运行修改过的“FirewallLoad”
修改的负载,假如需要。
确定没有失败测试。
以下是修改防火墙配置的例子
static(inside,outside)10.10.10.1010.10.10.10
static(inside,outside)10.10.10.1110.10.10.11
static(inside,outside)10.10.10.1210.10.10.12
static(inside,outside)10.10.10.1310.10.10.13
mailhost(inside,outside)10.10.10.1410.10.10.141011
conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0
conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0
conduit(inside,outside)10.10.10.12554tcp0.0.0.00.0.0.0
conduit(inside,outside)10.10.10.13443tcp0.0.0.00.0.0.0
conduit(inside,outside)10.10.10.1425tcp0.0.0.00.0.0.0
routeoutside192.168.0.0255.255.255.128192.168.0.21
routeoutside192.168.0.128255.255.255.128192.168.0.1291
timeoutxlate24:00:00conn12:00:00udp0:02:00
timeoutrpc0:10:00h3230:05:00uauth0:05:00
3.运行“FirewallLoad”并且监视Avalanche上的实时结果。
例如,单击HTTP(见图7)和RSTP标签(见图8)。Avalanche展示了测试过程中每个协议的实时统计数据,并且测试后也有电子表格统计数据。
图7:“FirewallLoad”中HTTP实时测试结果
图8:“FirewallLoad”中RTSP实时测试结果
不断提高虚拟用户的数量(Simusers),可以定义受保护Web服务器(用Reflector来模拟)的页面响应时间或者是媒体服务器的流响应时间下降阀值点。
仅仅单提高虚拟用户的数量是不充足的。“实时测试”不仅要求很大数量的用户同时要求多个不同的IP协议以体现一**的应用访问。Avalanche可以观察到通过防火墙的每个用户所使用的每个协议的延迟是否能满足你的响应时间要求。这是有可能的,利用Avalanche的“实时”测试可以揭示出40个并发用户通过防火墙访问的双向延迟是否是可接受的。无论如何,如以下图9所展示的,对于混合多种应用环境来说(HTTP,HTTPS和FTP),45个或者多的并发用户可能导致非常高和不规则的响应时间。
假如同一个应用条件又包括进RTP/RTSP、Telnet、DNS、SMPT和另外的IP协议(Avalanche支持所有应用类型),通过防火墙的延迟将会变得很糟糕。
图9:提高并发用户数导致“FirewallLoad”性能的下降
5.将模拟DDoS攻击加入测试中。
今日大部分防火墙常常遭到黑客的攻击,这些黑客试图闯入你的网络。DDoS攻击使用假IP地址进行攻击并且持续不断的换形式。Avalanche可以将DDoS攻击作为流量的一部分通过防火墙,从而加地模拟了现实网络。
现在你可以测试不好的DDoS流量对于正常流量的影响,这可通过变化混合的流量比例来实现
◆保持DDoS流量不变(例如是5%),而这时改变多协议正常流量的比例(例如是SMTP:FTP:HTTP:HTTPS以45:15:30:10的比例混合)
◆变化DDoS流量(例如从3、5到8%),正常流量的比例同上。
◆两者都变化——在修改DDoS流量的同时也修改正常流量的比例。
以上3种立测试可以验证你的防火墙在攻击下是否可以继续保持可用性,并且通过防火墙的传输延迟是否也可以保持在一个可接受的水平。
以下展示了关于以上描述的测试案例
为了将DDoS攻击作为现实流量的一部分,在Avalanche上打开“FirewallLoad”并打开“InlineDDoS”选项。(见图10)
你将会看到一个测试列表,例如PingofDeath、Smurf、SYNfloods和其他一些攻击。
单击你所需要的攻击类型并编辑每个攻击相关的变量。关于每个攻击变量编辑的详细内容,您可以使用Avalanche用户手册进行详细查阅。
除此之外,你也可以使用脚本功能来操纵以太网帧每个数据包中比的详细内容来定义攻击,假如你需要的话。
图10:使用InlineDDoS选项配置一个DDoS攻击
图11显示了中等数量的DDoS攻击如何使你的防火墙可用性下降的。注意在一个4~5秒期间(在此例中,大约是从02:50至02:56),在攻击下没有建立新的TCP连接。
图11:在遭受到DDoS攻击下,TCP性能下降。
假如在很长的一段时间内,防火墙都不能建立一个新的连接,那么在这段时间内,它就会变得不可用,甚至是在攻击后的恢复阶段。这是一个非常重要的发现,它会帮助你认识到防火墙在攻击下的可用性,在这时防火墙会成为整个IT应用的瓶颈。
图12:在遭受到DDoS攻击下,响应时间也变大
通过我们完成包含进DDoS攻击的“FirewallLoad”测试后,注意到以下几点:
◆在DDoS攻击阶段,HTTP和FTP服务会停止!
◆一些RTSP流还保持了活动状态而TCP连接开始被重置。
某些特别的防火墙在受到攻击后,会处理SMPT/E-mail。因此,即使是HTTP和FTP的处理被中断了,防火墙会继续处理邮件。
有些防火墙也许会用shutdown来代替恢复。我们建议运行DDoS注入测试的时间应该保持很长的一段时间,因为目前的防火墙经常会受到来自于公共Internet的攻击。
即使是攻击过后,防火墙的恢复时间仍然很长。例如,如图12显示,甚至是在恢复后,HTTP的响应时间达到了一分钟——这对于电子商务类型的应用来说,这是不可接受的。
到此为止我们已经讨论完新建防火墙基本测试、压力和负载测试的过程。在利用Avalanche/Reflector测试百兆防火墙的过程中,我们有如下发现:
◆HTTP应用的CPS测试值过了2400,但是混合其他应用(如FTP)以后CPS值则下降了大约75%。
◆大的CPS会导致流量速度减慢,很可能会导致不可接受。
◆当开发连接到达120000时——一些事务可能不能完成
◆当有40个并发用户数时,混合流量可以满足服务等级协定(ServiceLevelAgreements,SLA),如果要想支持多的用户要求,则需要对防火墙进行高等级的性能升级。
◆在DDoS攻击期间,防火墙不允许HTTP或者FTP流量的访问。邮件流量是安全的,如果某些防火墙保证SMPT吞吐量有级的话。
这篇应用文章提示了我们如何用常的办法来评估防火墙,此测试方法可以的描述出防火墙在一定负载的情况下可用性。这些测试中的重要发现可以帮助我们发现防火墙是否符合安全型和可用性:
◆确认你的网络的可用性能
◆数据吞吐量(Mbps/Gbps)
◆数据转发率(PPS)
◆并发TCP连接能力(连接表中的大实体)
◆DDoS攻击下的可用性
我们需要认识到,仅仅利用这些实验室测试结果就来评估防火墙的可用性是不够的。因为现实网络中的应用情况是千变万化的,比实验室环境为复杂。
实验室环境真实世界环境面临风险
单个设备多个设备互操作性端到端的安全性和可用性
受控的流量复杂不受控的流量混合多协议、性能不稳定、安全性和可用性
较少的安全策略分层的安全策略多个安全策略下的行为
单个网络复杂的Internet行为延迟,包丢失(还有其他)
受控的负载测试变化的负载负载范围变化很广情况下的性能
表1:实验室测试VS真实世界条件所需要面临的风险