实现网络安全的方法有很多,本文主要介绍SSL VPN的相关实现技术及测试方法,重点介绍使用IXIA公司的IXIA400T自动化测试仪表对我们自主研发的SSL VPN安全网关的性能测试。
1 引言
随着互联网在人们的生活、学习、工作中的应用越来越广泛,网络安全问题受到大家越来越多的重视,互联网面临的威胁主要来自于黑客攻击、管理欠缺、网络本身固有的缺陷、应用软件的漏洞以及后门等等。在网络中通信的双方通过不安全的媒介进行通信,必须从以下几个方面保证来保证通信的安全。
(1)秘密性:只有发送者和接收者可以理解所传递的消息的内容。
(2)身份认证:进行通信的双方——发送者和接收者——都需要确认彼此的身份,也就是确认对方真正是所宣称的那个人。
(3)消息完整性:发送者和接收者需要同时确信通信的内容在传输过程中没有被恶意或者无意更改。
实现网络安全的方法有很多,本文主要介绍SSL VPN的相关实现技术及测试方法,重点介绍使用IXIA公司的IXIA400T自动化测试仪表对我们自主研发的SSL VPN安全网关的性能测试。
2 SSL VPN实现技术
SSL VPN一般的实现方式是在企业的防火墙后面,被保护服务器(服务器群)前面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,通过身份验证后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。SSL VPN的主要实现技术有代理、应用转换、端口转发和网络扩展。
(1)代理Proxying:SSL VPN网关将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
(2)应用转换Application Translation:对于非Web页面的文件访问,往往借助于应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端。
(3)端口转发Port Forwarding:端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。
(4)网络扩展Network Extension:SSL VPN网关还可以帮助企业实现网络扩展。它将终端用户连接到企业网,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,却也换来了复杂拓扑结构下网络管理简单的好处。
3 SSL VPN性能测试
全面考察SSL VPN安全网关需要从产品的功能、易用性、稳定性、安全性以及性能5大方面来进行测试。在对我们的SSL VPN安全网关实施性能测试时,我们选择了IXIA公司的IXIA400T自动化测试仪表,IXIA测试仪表具有综合性强、功能多的特点,接口模块可以根据需要进行自主选择,在SSL VPN安全网关的性能测试中我们选用了应用层负载模块ALM1000T8,ALM1000T8是运行四到七层应用软件的专用接口模块,针对状态基的运行做了优化处理,具有很高的测试性能。在ALM接口模块上,有8个高密度排列的RISC处理器,每个处理器具有独立的操作系统、存储器和网络接口。这种独特的结构,有利于高效灵活地测试负载均衡设备、防火墙、服务器、邮件网关、入侵检测、内容交换机等设备及其网络的安全性能。软件模块选用IxLoad,IxLoad支持丰富的SSL协议功能,运行IxLoad模拟基于Web的业务流,对SSL VPN安全网关的性能进行测试。
根据目前业界比较认可的SSL VPN性能指标并结合自身产品的特点,我们选取5项性能指标进行测试,即新建连接速率、最大并发连接数、加密吞吐量、网络延迟和双机切换效率。在测试中每个项目至少进行3次测试,计算出平均值作为最后结果。
3.1 性能测试拓扑图
图1为性能测试环境示意1,图2为性能测试环境示意2。
php?aid=4820" target="_blank">
图1 性能测试环境1
图2 性能测试环境2
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/