Spirent防火墙测试方法

　　4.4“Firewall Load”-防火墙负载测试

　　4.4.1 目标

　　定义在多个以IP协议为基础的流量下和DoS攻击下防火墙的操作极限：防火墙会在负载和攻击下仍然保持可用性吗？

　　4.4.2额外要求

　　所有协议软件应被捆绑入DDoS包内。

　　4.4.3 运行“Firewall Load”

　　1.选择并且复制“Firewall Stress”到“Firewall Load”中

　　新建一个流量负载，流量负载代表你的网络流量包含了多个协议。

　　例如，你可以新建用户配置文件，这个文件代表一个流量包括了多个权重的应用流量，如HTTP（20%）、FTP（20%）、SMPT（40%）、RTSP（20%）和HTTPS（20%）。指明的权重是任意的——选择权重来反映现实通过防火墙的流量。

　　Reflector一方需要配置的：

　　再次运行修改过的“Firewall Load”

　　修改指定的负载，假如需要。

　　确定没有失败测试。

　　2.再次配置防火墙以打开多协议

　　以下是修改防火墙配置的例子

　　static(inside,outside)10.10.10.10 10.10.10.10

　　static(inside,outside)10.10.10.11 10.10.10.11

　　static(inside,outside)10.10.10.12 10.10.10.12

　　static(inside,outside)10.10.10.13 10.10.10.13

　　mailhost(inside,outside)10.10.10.14 10.10.10.14 10 11

　　conduit(inside,outside)10.10.10.10 80 tcp 0.0.0.0 0.0.0.0

　　conduit(inside,outside)10.10.10.11 21 tcp 0.0.0.0 0.0.0.0

　　conduit(inside,outside)10.10.10.12 554 tcp 0.0.0.0 0.0.0.0

　　conduit(inside,outside)10.10.10.13 443 tcp 0.0.0.0 0.0.0.0

　　conduit(inside,outside)10.10.10.14 25 tcp 0.0.0.0 0.0.0.0

　　route outside 192.168.0.0 255.255.255.128 192.168.0.21

　　route outside 192.168.0.128 255.255.255.128 192.168.0.129 1

　　timeout xlate 24:00:00 conn 12:00:00 udp 0:02:00

　　timeout rpc 0:10:00 h323 0:05:00 uauth 0:05:00

　　3.运行“Firewall Load”并且监视Avalanche上的实时结果。

　　例如，单击HTTP（见图7）和RSTP标签（见图8）。Avalanche展示了测试过程中每个协议的实时统计数据，并且测试后也有电子表格统计数据。

图7：“Firewall Load”中HTTP实时测试结果

图8：“Firewall Load”中RTSP实时测试结果

　　4.提高用户数量定义性能的下降

　　不断提高虚拟用户的数量（Simusers），可以快速定义受保护Web服务器（用Reflector来模拟）的页面响应时间或者是媒体服务器的流响应时间下降阀值点。

　　仅仅单独提高虚拟用户的数量是不充足的。“实时测试”不仅要求很大数量的用户同时要求多个不同的IP协议以体现独一无二的应用访问。Avalanche可以观察到通过防火墙的每个用户所使用的每个协议的延迟是否能满足你的响应时间要求。这是完全有可能的，利用Avalanche的“实时”测试可以揭示出40个并发用户通过防火墙访问的双向延迟是否是可接受的。无论如何，如以下图9所展示的，对于混合多种应用环境来说（HTTP，HTTPS和FTP），45个或者更多的并发用户可能导致非常高和不规则的响应时间。

　　假如同一个应用条件又包括进RTP/RTSP、Telnet、DNS、SMPT和另外的IP协议（Avalanche支持所有应用类型），通过防火墙的延迟将会变得很糟糕。

图9：提高并发用户数导致“Firewall Load”性能的下降

　　5.将模拟DDoS攻击加入测试中。

　　今日大部分防火墙常常遭到黑客的攻击，这些黑客试图闯入你的网络。DDoS攻击使用假IP地址进行攻击并且持续不断的更换形式。Avalanche可以将DDoS攻击作为流量的一部分通过防火墙，从而更加精确地模拟了现实网络。

　　现在你可以测试不好的DDoS流量对于正常流量的影响，这可通过变化混合的流量比例来实现

　　◆保持DDoS流量不变（例如是5%），而这时改变多协议正常流量的比例（例如是SMTP:FTP:HTTP:HTTPS以45:15:30:10的比例混合）

　　◆变化DDoS流量（例如从3、5到8%），正常流量的比例同上。

　　◆两者都变化——在修改DDoS流量的同时也修改正常流量的比例。

　　以上3种独立测试可以验证你的防火墙在攻击下是否可以继续保持可用性，并且通过防火墙的传输延迟是否也可以保持在一个可接受的水平。

　　以下展示了关于以上描述的测试案例

　　为了将DDoS攻击作为现实流量的一部分，在Avalanche上打开“Firewall Load”并打开“Inline DDoS”选项。（见图10）

　　你将会看到一个测试列表，例如Ping of Death、Smurf、SYN floods和其他一些攻击。

　　单击你所需要的攻击类型并编辑每个攻击相关的变量。关于每个攻击变量编辑的详细内容，您可以使用Avalanche用户手册进行详细查阅。

　　除此之外，你也可以使用脚本功能来操纵以太网帧每个数据包中比特级的详细内容来定义攻击，假如你需要的话。

图10：使用Inline DDoS选项配置一个DDoS攻击

　　图11显示了中等数量的DDoS攻击如何使你的防火墙可用性下降的。注意在一个4~5秒期间（在此例中，大约是从02：50至02：56），在攻击下没有建立新的TCP连接。

图11：在遭受到DDoS攻击下，TCP性能下降。

　　假如在很长的一段时间内，防火墙都不能建立一个新的连接，那么在这段时间内，它就会变得不可用，甚至是在攻击后的恢复阶段。这是一个非常重要的发现，它会帮助你认识到防火墙在攻击下的可用性，在这时防火墙会成为整个IT应用的瓶颈。

图12：在遭受到DDoS攻击下，响应时间也变大

　　通过我们完成包含进DDoS攻击的“Firewall Load”测试后，注意到以下几点：

　　◆在DDoS攻击阶段，HTTP和FTP服务会完全停止！

　　◆一些RTSP流还保持了活动状态而TCP连接开始被重置。

　　某些特别的防火墙在受到攻击后，会优先处理SMPT/E-mail。因此，即使是HTTP和FTP的处理被中断了，防火墙会继续处理邮件。

　　有些防火墙也许会用完全shut down来代替恢复。我们建议运行DDoS注入测试的时间应该保持很长的一段时间，因为目前的防火墙经常会受到来自于公共Internet的攻击。

　　即使是攻击过后，防火墙的恢复时间仍然很长。例如，如图12显示，甚至是在恢复后，HTTP的响应时间达到了一分钟——这对于电子商务类型的应用来说，这是不可接受的。

　　到此为止我们已经讨论完新建防火墙基本测试、压力和负载测试的过程。在利用Avalanche/Reflector测试百兆防火墙的过程中，我们有如下发现：

　　◆HTTP应用的CPS测试值超过了2400，但是混合其他应用（如FTP）以后CPS值则下降了大约75%。

　　◆超大的CPS会导致流量速度减慢，很可能会导致不可接受。

　　◆当开发连接到达120000时——一些事务可能不能完成

　　◆当有40个并发用户数时，混合流量可以满足服务等级协定（Service Level Agreements，SLA），如果要想支持更多的用户要求，则需要对防火墙进行更高等级的性能升级。

　　◆在DDoS攻击期间，防火墙不允许HTTP或者FTP流量的访问。邮件流量是绝对安全的，如果某些防火墙保证SMPT吞吐量有绝对优先级的话。

　　5.总结

　　这篇应用文章提示了我们如何用超常的办法来评估防火墙，此测试方法可以精确的描述出防火墙在一定负载的情况下可用性。这些测试中的重要发现可以帮助我们发现防火墙是否符合安全型和可用性：

　　◆确认你的网络的可用性能

　　◆数据吞吐量（Mbps/Gbps）

　　◆数据转发率（PPS）

　　◆并发TCP连接能力（连接表中的最大实体）

　　◆DDoS攻击下的可用性

　　我们需要认识到，仅仅利用这些实验室测试结果就来评估防火墙的可用性是不够的。因为现实网络中的应用情况是千变万化的，比实验室环境更为复杂。

　　表1:实验室测试VS真实世界条件所需要面临的风险