1、CSTC测试方法学测试方法学议程议程l为什么要进行测试?为什么要进行测试?l测试通用步骤测试通用步骤l如何进行测试如何进行测试我们为什么要进行测试?我们为什么要进行测试?Internet 是由大量的设备如路由器、交换机、HUB、防火墙以及主机等构成。广大的设备制造商及网络服务提供商需要向Internet保持兼容性。设备制造商和网络服务提供商需要一些形式的测试来对自己的产品进行分析和改进广大的用户也需要进行一些测试或者得到一些测试指标数据在项目的前期对所选型的产品进行测试网络规划的初期到网络建成的整个过程中对网络进行模拟、分析、排错、改进后期对网络运行的效果进行验收测试互联网承载更多业务的同时,
2、也成为承载网络攻击的平台?安全的威胁也在不断加大攻击/系统缺陷在增长网络攻击应用攻击混合攻击内部及外部无法用户满足现在与未来的需求 更高的安全性以面对随时更新的安全威胁产品与网络的性能 可管理性 安全事件类型的分布未经授权的个人未经授权的个人DMZDMZ地区分支地区分支小办公室小办公室/业务伙伴业务伙伴应用服务器应用服务器财务服务器财务服务器(远程用户远程用户(未授权的无线未授权的无线用户用户未授权的无线未授权的无线用户用户被感染的计算机被感染的计算机“特洛伊特洛伊”/不高兴的、不高兴的、不诚实的员工不诚实的员工 首要威胁首要威胁蠕虫蠕虫/被感染的被感染的服务器服务器企业网络处于无处不在的攻击
3、之中企业网络处于无处不在的攻击之中带来损失的网络安全事件与所发生的安全事件的对比 病毒、蠕虫或病毒、蠕虫或特洛伊木马,特洛伊木马,分别为分别为75.3%75.3%和和48.8%48.8%国家计算机网络应急技术处理协调中心发布的全国网络安全状况调查中显示:病毒威胁依然造成巨大经济损失的同时病毒威胁依然造成巨大经济损失的同时 550亿美元 2003130亿美元2001250亿美元2002*来源:Reuters 2004 http:/ 网络故障造成巨大损失据统计,以金融领域为例,由于网络故障所造成的损失计算起来每年高达:$5,256,000。其它典型代表有国家机构、军事应用、新闻机构、航空管理等重要
4、的网络,网络故障的代价是不能以金钱来衡量的。2006年初某银行通信网络和主机出现故障,造成广州、深圳、北京、上海、南京、天津等全国大部分地区跨行交易全部中断,ATM机不能跨行取款、POS机不能刷卡消费、网上跨行交易不成功,8小时的网络瘫痪所带来的经济损失和社会影响难以估价。网络一旦瘫痪,企业所承担直接损失和间接网络一旦瘫痪,企业所承担直接损失和间接影响往往是巨大的影响往往是巨大的l某年4月11日10时左右,我国某运营商发生了一起全国性的断网事件,业务中断达近20分钟,产生的经济损失无法估计。网络故障!网络故障!来自应用的威胁来自应用的威胁VoIP 中断VoIP网络运行降低VoIP服务质量窃听D
5、DoS和DoS(拒绝服务攻击)主叫方ID欺骗P2P应用对网络中的影响注:图中红色部分为Bittorrent应用,占据的总带宽的95左右,其他有效应用的带宽资源被消耗,在图中表现为流量被挤压。注:图中BT流量降低部分为测试开始时暂时启用SCE的BT流量控制所致CNCERT/CC在今年发布的网络安全工作报告中的调查数据:SPAM造成的影响中国互联网协会反垃圾邮件工作报告中国互联网协会反垃圾邮件工作报告(2006.02)(2006.02)互联网用户平均每周收到垃圾邮件数量为19.33封平均每个用户每周处理垃圾邮件时间为13.15分钟垃圾邮件每年给中国GDP造成60.69亿元的损失 网络和安全问题如此
6、缤纷复杂,我们该怎网络和安全问题如此缤纷复杂,我们该怎么办?么办?1.1.确保网络正常运行确保网络正常运行What We Need?2.快速有效地解决所快速有效地解决所有的故障有的故障科学公正的网络测试是用户正确选择产品、保障网络健康运行的有效解决办法!4.具有更高的安全性具有更高的安全性5.网络稳定性网络稳定性6.网络性能网络性能7.易于管理易于管理3.进行合理的区域划进行合理的区域划分和策略设置分和策略设置但是一些厂商的市场运作轻描淡写性能指标发布了很多的数据很多英文缩写的技术名词给予了用户很大的想象空间Goals迫使非技术接收者给予技术接收者深刻印象“我们支持一系列专业缩写词”国内评测业
7、务发展阶段国内评测业务发展阶段业业务务成成熟熟度度生命周期生命周期导入阶段导入阶段成长阶段成长阶段成熟阶段成熟阶段衰退阶段衰退阶段ConsultingTrainingTestingq 国内评测业务整体上处于稳定增长阶段主要参与者:包括赛迪、赛宝、太极等在内的主要参与者:包括赛迪、赛宝、太极等在内的137家家信息化监理、各省市及行业资质认证与评测机构、以信息化监理、各省市及行业资质认证与评测机构、以及信息化咨询与培训服务机构及信息化咨询与培训服务机构SIAuthenticationInformatizationSupervision测试方法学测试孤立的网络节点测试孤立的网络节点确定任何网络节点的
8、性能瓶颈优化配置解决功能性问题在可控制的有限范围内测试多个网络节点在可控制的有限范围内测试多个网络节点找到设备兼容性问题,并加以解决检查是否性能会受到影响进行端到端的网络性能测试进行端到端的网络性能测试确认端到端的服务质量网络建设中的测试网络建设中的测试网络系统的建设一般经历规划、设计、部署、运行和升级五个阶段,测试是网络建设中的重要环节,网络测试应贯穿其中的每个阶段。测试能够为用户的网络提供一个客观的技术参数,为用户在网络建设之前发现网络建设方案中的缺陷提供帮助。测试能够帮助用户进行网络运行后的验收,验证网络是否符合标准和设计要求。测试还能够为用户提供未来网络规划和业务开展的依据。把网络分为
9、三个不同的层次:设备层、系统层和应用层,因此网络测试正是针对这三个层次来进行的。完整的网络测试包含完成上述三个层次的所有测试。网络设备测试网络设备测试对被测多的网络设备(DUT)各方面特性、功能进行衡量,网络设备测试主要包括功能测试、性能测试、一致性和互通性测试等几个方面:一致性测试:检测被测设备相关协议的实现是否遵循了协议的规范。功能测试:验证设备是否支持声明的全部功能。性能测试:通常可以被看成是一种“压力测试”,目的是衡量设备在业务压力下的表现。互通性测试:验证不同设备的信息共享能力,验证多种网络下的互通性。网络系统测试网络系统测试对网络系统进行综合的评估,主要包括:物理连通性、功能测试、
10、一致性测试:检测被测网络系统的实现是否符合了网络系统的设计要求和国际标准。网络系统的规划验证测试:在网络实际建设之前,为了了解网络特性或发现规划设计中的缺陷,建立虚拟的网络系统,模拟实际的网络运行状况,对于网络系统的规划进行验证和评价,大大降低网络建设的风险。模拟和仿真是主要的测试手段。性能测试:通常可以被看成是一种“压力测试”,目的是衡量网络系统在业务压力下的表现。流量测试、模型化:从网络中采集数据进行科学的分析,利用一些计算工具和丰富的网络经验建立流量模型。网络应用测试网络应用测试网络应用测试是测试网络系统支持各种应用的能力。在完成设备层和系统层面上的测试以后,在网络上加载各种应用,主要测
11、试IP网络对应用的支持水平,各种网络应用的性能水平与网络的类型、网络本身的性能有直接关系,例如:网络应用的性能服务质量。在部署VoIP时,需要测试网络中的交换机和路由器设备能否有效地支持语音流量和语音QoS等在测试用于视频传输的网络时,需要测试视频传输在IP网络中的性能以及网络用户是否能够得到满意的视频质量等网络安全性的测试IP网络应用测试和网络应用本身直接相关,对于不同的网络应用,有不同的测试内容和测试方法。,网络安全测试网络安全测试安全设备评估防火墙、IDS/IPS、深度数据包检测(Deep-Packet Inspection,DPI)、统一威胁管理(Unified Threat Mana
12、gement,UTM)平台、IPSec VPN、SSL VPN、路由器、交换机、负载均衡器、缓存、代理、URL过滤系统、内容过滤器、防病毒系统、防间谍软件、防垃圾邮件系统、SMTP Relay、Reverse-Proxy、SSL/HTTP/HTTPS加速器、Packet Shaper。安全协议NAC、802.1x、Radius、SSL&IPSec交换机、路由器、语音设备安全测试网络安全测试标准网络安全测试标准网络安全测试标准网络安全测试标准 可用于安全设备基准测试的可用于安全设备基准测试的RFCRFCBenchmarking Terminology for Network Interconne
13、ction Devices(RFC 1242)Benchmarking Methodology for Network Interconnect Devices(RFC 2544)吞吐量、延迟、丢包率、背靠背Benchmarking Terminology for Firewall Performance(RFC 2647)Benchmarking Methodology for Firewall Performance(RFC 3511)最大并发TCP连接数、最大TCP连接建立速率、最大HTTP事务处理速率、GoodputTerminology for Benchmarking IPsec
14、Devices(Draft-10)Methodology for Benchmarking IPsec Devices(Draft-03)国标国标GB/T 20281-2006 信息安全技术防火墙技术要求和测试评价方法(国标规定防火墙安全功能要求、安全审计、管理、性能)GB/T 20275-2006 信息安全技术入侵检测系统技术要求和测试评价方法GB/T 20280-2006 信息安全技术网络脆弱性扫描产品测试评价方法GB/T 20278-2006 信息安全技术网络脆弱性扫描产品技术要求行标行标CSTCQBYAJB016 信息安全(防火墙产品)测试规范 CSTCQBYAJB015 信息安全产品
15、(入侵检测)测试规范 防火墙国标简介(1)功能要求包过滤策略路由状态检测带宽管理深度包检测双机热备应用代理负载均衡NATVPN流量统计协同联动IP/MAC地址绑定安全审计动态开放端口管理防火墙国标简介(2)性能要求吞吐量时延最大并发连接数最大连接速率防火墙国标简介(3)安全要求保证要求抗渗透恶意代码防御支撑系统非正常关机配置管理交付与运行安全功能开发过程指导性文档生命周期支持测试脆弱性评定防火墙测试物理特性测试功能测试基础功能测试缺省配置工作模式包过滤IP/MAC地址绑定规则检查网络地址转换应用代理扩展功能管理功能测试管理认证通信加密安全措施集中管理日志分类、分析、管理管理方式与分级状态监控系
16、统升级其它功能安全性测试稳定与可靠性抗攻击性网络性能测试传输性能测试(桥接、路由、NAT三种模式)吞吐、延迟、丢包率应用层性能测试并发连接数每秒新建连接速率HTTP响应时间、可用带宽防火墙测试方法功能测试测试环境Firewall测试工具lSpirent Avalanche/Reflector,test centerlAgilent test centerlDMZ内网内网外网外网。NAT测试测试抓包工具抓包工具PC机机交换机交换机交换机交换机PC机机DUT网络性能测试测试环境测试工具Spirent Smartbitsixia chariot,ixload外部网络接口外部网络接口内部网络接口内部网络接口最大TCP连接建立速率并发TCP连接能力TCP连接速率检查最大HTTP事务处理速率HTTP传输速率(Goodput)实例用Spirent smartbits测试吞吐量安全性测试测试环境测试工具lSmartbits websuite外部网络接口外部网络接口内部网络接口内部网络接口实例测试DDoS攻击应用层性能测试测试环境测试工具Sprirent Avalanche/Reflector外部网络接口外部网络接口内部网络接口内部网络接口实例测试并发连接数CSTCThanks
浙ICP备2021020529号-1 | 浙B2-20240490 
