防火墙测试方案的设计

作者：朱军红　周海军　蒋丽

来源：《电子技术与软件工程》2016年第04期

        摘 要 对于防火墙来说，主要是通过外部地址与内部地址间安全隔离实现安全防御与威胁，但是若是在内部间的数据访问与攻击，则防火墙为力，且防火墙属于被动防御型安全设置，只是在系统访问时符合规则的通过，不符合规的拒绝访问判断机制。它无法主动判断数据通信中是否具有攻击行为。所以防火墙中若加入入侵检测功能就可以实现安全互补，若能实现两者的结合则可以最大限度的保证系统安全，本论文就是在两者结合解决方案下的防火墙安全系统检测。

        【关键词】防火墙 网络安全 控制程序 测试方案

        随着网络安全市场的打开，越来越多的公司加入到网络安全软件、硬件开发行列中，市场上就开始出现各类防火墙，其基本原理也就是通过源地址、目标地址互联安全控制来达到目的主机的安全。是否到达这个终极目标、以及防火墙在强力攻击之下能否还能稳定运行，规则判断能否准确而无误执行等，这些是需要经过严密的测试与检验才可以得出结论。只用通过严格检验，才能保证核心系统与主机的安全，所以测试对于产品检验来说是致关重要。

        1 防火墙功简介

        1.1 防火墙信息安全与属性

        防火墙作为企业内中间安全监测点，为了实现数据通信安全审查与访问的隔离，防火墙就必须具备如下几个功能：

        （1）通过地址访问控制，执行本地网络安全策略。

        （2）防火墙自身的安全性保障，该功能是防火墙本身需要具备的重要一个原则。

        （3）对网络中的各种行为提供日志和统计功能。

        （4）防火墙的效率和可用性，其执行效率直接影响内的通信效率和。

        （5）能提供统一、集中的网络安全和管理。

        1.2 防火墙核心参数与测试方法

        吞吐量：吞吐量主要体现防火墙数据转发能力，测试防火墙吞吐量主要通过试仪端口数量进行体现，测试中涉及的配置情况包括：透明模式，路由模式，配置NAT，配置policy，配置AV扫描，配置QoS等。一般情况下设备在配置大量policy的情况下的吞吐量不会有太大变化。在配置双向或者单向NAT后吞吐量大约是路由模式的98%左右。透明模式的吞吐量大约是路由模式吞吐量的80%左右。

        时延：时延所测试的是系统处理数据包所需要的时间。防火墙的时延测试的是其存储转发（Store and Forward）的性能（另一种是Cut and Through）。时延的测试通常会选用测试仪所对应的RFC测试套件进行测试。

        丢包率：丢包率是测试系统在一定负载的情况下丢包数量多少的测试。测试的意义在于通过过载的流量来考查对设备正常转发性能的影响。包率的测试通常会选用测试仪所对应的RFC测试套件进行测试。

        系统恢复时间：系统恢复时间的测试包括：系统重起的时间测试，系统断电重起的时间测试，HA倒换时间测试，HA恢复时间测试，系统过载恢复测试（这个一般很少见），在HA倒换时间测试中测试包括主->备切换时间测试，备->主恢复时间测试。通用的测试方法为：使用测试仪发送恒定速率的流量穿过DUT，DUT进行reset，或者断电操作，直到流量恢复正常。恢复时间=丢包数量/发包速率。另外一种测试方法是通过ping包丢弃的数量来衡量倒换的时间

        2 防火墙强测试方案设计

        2.1 防火墙性能测试架构

        性能测试部分主要利用SmartBits6000B专业测试仪，依照RFC2544定义的规范，对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中，需要综合验证防火墙桥接模式的性能表现，其拓扑图采用图1所示方案。

        吞吐量测试是测试防火墙在正常工作时的数据传输处理能力的重要指标，更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。单条规则，2GE，1G双向流量测试 无小包加速结果。（吞吐量测试结果）帧长（字节）分别为，128，256，512，1024，1280，1518。分别得到桥接模式双向零丢包率吞吐率（%） 为14.48，25.87，45.10，87.50，100，100，100。

        2.2 防火墙压力仿真测试

        考虑到防火墙在实际应用中的复杂性，在本次的测试方案中，我们需要进行压力仿真测试，模拟实际应用的复杂度。考虑到测试时间及测试环境的，压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓扑图采取以下方案。本次测试以100条控制规则压力为前提进行，性能考虑吞吐量和延迟和丢包率。单机吞吐率（100条规则，2个GE口，1Gbps双向流量测试 无小包加速结果）。（单机吞吐量）帧长（字节）为，128，256，512，1024，1280，1518；分别得到桥接模式双向零丢包率，压力吞吐率（%）为14.48，25.87，45.10，79.17，100，100，100。

        3 结束语

        防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制，系统测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。

        参考文献

        [1]沈伟峰，陈维均.基于防火墙的构建[J].微型电脑应用，2012，17（1）：23-25.

        [2]黄力，谢翠兰.多线程防火墙过滤模块的设计与实现[J].广西民族大学学报：自然科学版，2011（1）：70-74.

        [3]王永强，刘世栋，戴浩.入侵检测系统测试方法的缺陷与建议[J].信息网络安全，2013（12）：24-26.

        作者简介

        朱军红，男，甘肃省平凉市人。现为中国石油东方公司研究院长庆分院工程师，从事计算机系统维护工作。

        作者单位

        中国石油东方公司研究院长庆分院 陕西省西安市 710021