思博伦网络测试培训11-应用层及安全测试方案

思博伦应用层及安全解决方案Page2•基于内容的设备加速了迅速增长•对于内容网络（4-7层）而言，增加产品数量并不是很好的途径，不如加强对这些设备的测试–网络的边缘部分已经成为瓶颈–需要进行4-7层测试的设备包括：•防火墙•入侵检测系统（IDS）•VPN网关•SSL加速器•负载均衡器和Web交换机•Webcache•……快速地传送内容给用户提供安全的、无漏洞的网络为什么测试4-7层？Page3为什么测试4-7层？•即使设备不是基于4-7层的，当处理7层数据流时，负载特征的改变也会造成明显的功能和性能问题•传统的2-3层数据流压力测试是好的，但总是不够充分的•需要将“真实性”引入实验室测试中-协议（HTTP、FTP、SMTP、POP、SSL、…）-环境（数据包丢失、延迟、连接速度、…）Page4安全及应用层测试—4-7层测试技术•测试技术发展情况–业界没有形成系统的测试方法学–测试内容包括功能测试、性能测试、协议分析、网络监控等内容–又分为设备测试、服务器、网络服务测试–有许多厂商都在研究新的测试方法–RFC2647/RFC3511–LightReadingSSLVPN测试•技术发展趋势–所有的网络都需要进行高层业务测试¾网络/设备/服务器–网络安全测试的在多个方面发展¾DoS/病毒/垃圾邮件/系统监控/…–应用层QoS测试–TripPlay测试技术•目前可行的解决方案–应用层性能测试工具–协议分析软件–应用层仿真工具–2-7层集成测试技术•面临的挑战–测试方法学的统一和标准化–网络安全测试与实际网络安全–如何准确评估具有复合业务的网络系统–可靠性测试与系统故障分离–大量新兴应用的出现为测试增加了难度Page5问题：应用和网络结构非常复杂SSL设备路由器防火墙负载均衡器应用服务器数据库服务器Web服务器评估系统的容量非常困难Page6应用性能评估需要仿真用户和InternetDDoS攻击病毒附件/垃圾邮件DDoS攻击病毒附件/垃圾邮件每个用户都有IP地址线路速率延迟丢包每个用户都有IP地址线路速率延迟丢包现实中用户应用的交互不同的浏览器类型用户思考时间用户放弃（HTTPabort）现实中用户应用的交互不同的浏览器类型用户思考时间用户放弃（HTTPabort）Page7实验室环境•有限的数量：•用户/客户端•协议（ftp,http）•服务器/应用•有限的网络影响•延迟、丢包•分片，等•网络设计影响•单个DUT•单个厂商仿真实验室环境•有限的数量：•用户/客户端•协议（ftp,http）•服务器/应用•有限的网络影响•延迟、丢包•分片，等•网络设计影响•单个DUT•单个厂商仿真传统的实验室评估DevicePage8思博伦解决方案—Avalanche/ThreatExPage9系统测试SpirentAvalanche•安全：检验对于病毒和攻击的防护•可用性：在低于峰值负载和超过峰值负载情况下测试•降低成本：精确测量得出系统所需规模Page10网络基础架构测试SpirentAvalanche•安全：检验在极端负载情况下的防护•可用性：测试设备软件的新版本•降低成本：评估来自多个厂商的设备SpirentReflectorPage11测试方案的拓朴结构SSLScalerRouterFirewallLoadBalancerDatabaseServerFileServerApplicationServerWebServer模拟核心网络丢包Internet模拟用户接入速率(56K,512K,等.)用户的个人行为:(思考时间,超时放弃浏览,等)模拟众多子网地址流量真实流量:HTTP1.0/1.1,FTP,SMTP/PoP3,视频,攻击,SOAP,等.)测试仪表模拟所有客户端功能测试仪表:模拟服务器群“真实环境”测试L4-L7网络连接设备Page12Avalanche产品概述Avalanche产品系列是目前业内先进的4-7层（应用层）仿真及性能测试工具。其中Avalanche为网络应用层客户端仿真及性能测试仪，Reflector为网络应用层服务器端仿真及性能测试仪。通过使用该系列产品，网络设备提供商、系统集成商、网络运营商和内容服务提供商可以对其它网络设备和业务网络进行综合的服务质量评估和故障诊断。Avalanche和Reflector支持常用的应用层协议。支持捕获回放（Capture&Replay）功能，通过此功能，Avalanche和Reflector可以模拟非标准协议应用而进行的测试。Avalanche和Reflector支持同时运行多种协议混合测试。Avalanche还支持模拟多种DDoS攻击测试。Avalanche和Reflector软件可以运行在SmartBitsTeraMetrics体系结构上，提供统一标准的2-7层性能分析测试平台。Page13Avalanche支持的协议（7.5）•HTTP1.0/1.1•FTP(passive)•TelnetProtocol•DNSProtocol•SecureHTTP(SSLv2,v3,TLSv2)•RTSP/RTP–RealNetworks的RealSystem–Apple的QuickTime•MicrosoftMediaServer(MMS)•VoDMulticasting•IPSec•POP3MailProtocol•SMTPMailProtocol•Capture/Replay(TCP,UDP)–BT、eDonkey、Kazaa、MSN…•In-lineDDoS•PPP/PPPoE•Radius•GRE•SIPoverTCPandUDP•IPv6•MM4Page14AvalancheintegratedDDoSlibrary•15pre-definedstatelessattacksperinterfaceDDoSsupportARPFloodAttackPingSweepAttackResetFloodAttackSmurfAttackSynFloodAttackTCPPortScanAttackUDPFloodAttackUDPPortScanAttackXMasTreeAttackEvasiveUDPAttackLandAttackPingofDeathAttackRandomUnreachableHostAttackTeardropAttackUnreachableHostAttackPage15•便携式的网络和Internet分析工具•适用于小型企业的较低性能要求•Avalanche220•Reflector220•完整的2-7层测试，在TeraMetrics硬件上运行Avalanche软件•多用途–可以运行其它SmartBits应用•AvalancheSMB•SmartBits6000•SmartBits600•网络和Internet基础设施能力评估•ModelC拥有最高性能•Avalanche2700•Reflector2700•ModelB&C应用产品Avalanche产品定位Page16SpirentTestPlatform•SpirentSoftware“Commander”controlSpirentAvalancheandSpirentReflectorandalsoabletomonitordeviceundertestbySMNP.Page17OtherTestPossibilitiesPage18OtherTestPossibilitiesPage19OtherTestPossibilitiesPage20OtherTestPossibilitiesPage21GroupofDevicesValidation–TCPconnectionpersecondperformance(TCP/SEC)–ConcurrentTCPconnectionperformance(TCPOPEN)–Bandwidthperformance(BWD)–Applicationlevelperformance(HTTP/SEC,…)•SpirentTestMethodologyhelpyoutofindbottleneckforintegrationofmultipledevices.Page22ThreatExThreatEx提供给用户一个完全端到端的解决方案，对单个设备或整个网络进行真实的攻击测试。通过利用来自我们不断更新的知识库（KnowledgeBase）的攻击手法，运行一系列受到控制的攻击，大大提高了测试当今智能网络设备及安全应用程序的效率和正确性。Page23ThreatEx可以做什么？•测试网络&设备的弱点•产生真实的攻击–网络设备–网络和安全基础架构•使网络数据流出现问题–现有数据流–与Avalanche解决方案完美结合–伪装攻击–攻击性测试•生成未知攻击-Fuzzing•研究组通过可订阅的攻击数据库，提供攻击特征Page24应用•部署之前•安全评估•质量保证（QA）•厂商开发•概念验证•横向评测•业内实验室•专业化服务Page25ThreatEx用于设备测试•ThreatEx可用来验证安全设备的保护能力，或者验证网络基础架构处于攻击下的性能。•威胁由ThreatGeneration接口生成，经过网络，在VirtualServer接口上接收。Page26ThreatEx用于服务器测试•ThreatEx可被用来验证不同类型服务器（如：Web、FTP、应用服务器、数据库、邮件服务器，等）上的安全部署。•威胁从ThreatGeneration接口直接生成到服务器。–这必须在实验室环境中做。威胁是真实的，将会影响目标系统。Page27ThreatEx用于服务测试•ThreatEx可在新服务部署之前被用来验证其安全性。•在实验室环境中，对网络上真实的目标服务器生成攻击。Page28ThreatEx&Avalanche•ThreatEx和Avalanche可以指出当网络或应用同时使用时对攻击的影响。•Avalanche生成正常的流量到ThreatEx的PassThru接口。正常数据流与攻击流量被混合，通过ThreatGeneration接口发送到网络或者应用。–Passthrough流量也可以是腐败的，进一步测试安全的适应性和正确性Page29ThreatEx测试环境•ThreatEx硬件机箱由安装在PC上的ThreatEx软件管理。新威胁的更新通过Internet从思博伦网站上下载。Page30ThreatEx组成部分ThreatExDesignerThreatExKnowledgeBaseThreatExApplianceTDL•ThreatExAppliance–攻击生成–有问题的数据流•ThreatExGUI界面–很短时间内创建测试计划•ThreatExKnowledgeBase–基于Web的订阅服务–为用户提供的攻击库•ThreatExDesigner–开发自定义攻击–现有攻击的变种–新的协议–输入/重放–专利的ThreatDesignerLanguage•ThreatWalker-TCL–持续生成攻击–自动化TCL回归工具Page31ThreatEx/2700ApplianceThreatExApplianceWindowsControlConsoleDUT管理网络VirtualServer攻击生成故障注入TrafficStream（可选的）•功能–攻击生成–腐败数据流–VirtualServer（攻击目标）–SNMP监控–评估–Pass-thru端口•测试接口–10/100/1000MbpsCopper–1000MbpsFiber–WiFi802.11a/b/gPage32ThreatExGUI•快速并容易地创建和管理测试•修改测试属性•实时测试统计•测试报告/分析•转换GUI测试到TCLClient-ServerPage33KnowledgeBase攻击数据库每天更新•2000种攻击手法并不断增加–数千个攻击变种•越来越多的复杂攻击–Den