SSL VPN网关公开比较测试方法

       由于SSL VPN最近几年才逐渐成熟，因此对其进行测试时业界还没有形成一个十分成熟完善的测试方案，我们参照国际上较为认可的方法并结合目前SSL VPN的发展情况，制定出如下测试方法。其中主要包括性能测试、安全测试以及功能测试三个方面。

性能测试
        在性能测试方面，我们使用思博伦通信公司的两台Avalanche 2500进行测试，所有结果均用朴实的数字说话。在所有5个测试项目中，每款设备均测试3遍，结果取其平均值。
        测试指标1：新建用户速率（setup/teardown rate）
        在每项性能指标测试中， 我们都模拟了真实环境中的一系列用户动作，即从用户登录SSL VPN网关到执行各类请求，再到退出。我们把用户动作描述出来，希望读者对我们的测试细节都能够了解得更加清晰。
        指标含义：新建用户速率是指设备每秒钟可以新建立的用户连接数目，也称为会话速率，即每秒钟可以建立和终止的SSL会话数目（会话可以理解为客户端到网关的一次连接，即浏览器的一次Web 页面访问）。这个参数很大程度上决定了用户能够体验到的连接速度。通常，达到100左右数值的会话速率，一般可以满足大部分用户的应用需求。
        测试步骤：第一步，在32秒（一般为30秒，由于结果文件中每4秒统计数值，为了便于记录结果我们将第一步设为32秒）内压力从0 Simusers（Simusers为Avalanche 2500中模拟的用户单位，一个Simuser为一个模拟用户）上升到N Simusers，N为预计的最大速率；第二步，维持第一步的最高压力120秒；第三步，20秒内将压力降为0，测试结束。
        用户动作：测试仪器模拟的用户，在登录后取一个1024Byte的文件后退出。
结果衡量：在第二步维持120秒的后60秒，我们计算该时间段内的平均速率（将成功建立的用户连接数除以60）。

        测试指标2：最大并发用户数
        指标含义：设备同时可以支持的用户连接数。
        最大并发用户数指同时通过SSL VPN 来访问内部网的用户数目。同时在线用户数也是一个非常重要的参数，即同一时间 SSL VPN 所能保持的会话数目，它通常在几百到几千之间，同时在线用户越多，每位用户所感受到的速度越慢。
        测试步骤：第一步，32秒内压力从0 Simusers/秒上升到新建速率的80％；第二步，维持第一步的最高压力300秒；第三步，20秒内将压力降为0，测试结束。
用户动作：测试仪模拟的用户，在登录以后取一个1024Byte的文件，该文件的延迟（文件的延迟时间为用户从发起请求到测试仪器响应用户的时间）为0秒，之后重复取一个延迟为60秒的文件10次，即一个用户至少10分钟后才会退出。

         结果衡量：我们把用户成功取得没有延迟的文件数目作为最大并发用户数（因为每个成功登录的用户都会取得该文件，并且在我们的测试时间内不会退出而形成与所有其他用户的并发）。
        
        测试指标3：OWA性能
        指标含义：设备每秒钟可以完成的邮件系统操作。
        测试步骤：第一步，在32秒内压力从0 Simusers上升到N Simusers；第二步，维持第一步的最高压力120秒；第三步，20秒内将压力降为0，测试结束。
        用户动作：测试仪模拟的用户，在登录以后发出大量的邮件系统请求（测试仪为用户模拟了Outlook的收件箱），请求数量为79个，然后退出。
        结果衡量：在第二步维持120秒的后60秒，我们计算该时间段内的平均速率（将成功建立的用户连接数除以60）。
       
        测试指标4: DDoS攻击下的OWA性能
        指标含义：设备在DDoS攻击下每秒钟可以完成的邮件系统操作。
        测试步骤：测试步骤同OWA性能测试，只是在测试过程中同时对SSL VPN网关设备进行DDoS攻击。我们选择了较为常见的Synflood攻击。
        用户动作：测试仪模拟的用户，在登录以后发出大量的邮件系统请求，请求数量为79个，然后退出。此过程同OWA性能测试，只是在测试过程中测试仪同时向被测设备发送Synflood攻击数据包。
        结果衡量：在第二步维持120的后60秒，我们计算该时间段内的平均速率。

        测试指标5：实际吞吐量（Goodput）
        指标含义：实际吞吐量也称为设备转发速率，它指的是SSL VPN网关最快可以在每秒钟内转发多少数据流量。
        测试步骤：第一步，在32秒内压力从0 Simusers上升到N Simusers；第二步，维持第一步的最高压力120秒；第三步，20秒内将压力降为0，测试结束。
        用户动作：测试仪模拟的用户，在登录以后从一个模拟的Web服务器取一个1MByte的文件，然后从另外一个Web服务器取一个1Mbyte的文件，交替此过程10遍，一共从服务器取20Mbyte数据，然后退出。
        结果衡量：在第二步维持120秒的后60秒，我们将用户从测试仪模拟的Web服务器取得的数据流量进行平均，得出设备的实际吞吐量。

安全测试
        我们认为，安全产品最不能忽视其安全性。
        在安全性测试中，我们使用商业扫描器（Scanner）产品——安氏领信网络扫描器（LinkTrust Network Scanner）对被测设备进行安全测试。测试时只针对一种VPN配置进行，即仅提供最基本的Web应用的情况。
        扫描器会对设备开放端口、警告以及漏洞信息给出详细报告，具体分析每种情况的危害程度以及防范补救措施等。

功能测试
        在功能测试方面我们主要进行了两部分测试。一部分测试设备对应用类型的支持能力，被测设备厂商工程师向我们演示了尽量多的应用类型，包括FTP、网络文件系统、文件服务器、P2P等。另一部分测试设备本身在管理使用方面的功能特性，主要涉及访问控制、认证集成、报告与日志以及配置、安装和易用性等管理特性。

原文转自：http://www.ltesting.net