防火墻系統(tǒng)性能與安全性測試系統(tǒng)可研報(bào)告

1、目目 錄錄 第一章第一章 總總論論.4 4 1.1.項(xiàng)目概況項(xiàng)目概況 .4 4 1.1 名稱.4 1.2 承辦單位.4 1.3 項(xiàng)目法人代表.4 1.4 承辦單位概況.4 2.2.國內(nèi)外同類研究概況國內(nèi)外同類研究概況 .5 5 3 3項(xiàng)目背景項(xiàng)目背景 .5 5 4 4項(xiàng)目概述項(xiàng)目概述 .6 6 第二章第二章 項(xiàng)目的整體框架和實(shí)施計(jì)劃項(xiàng)目的整體框架和實(shí)施計(jì)劃.9 9 1 1系統(tǒng)設(shè)計(jì)思路系統(tǒng)設(shè)計(jì)思路 .9 9 2 2系統(tǒng)設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)原則 .1010 3 3總體設(shè)計(jì)總體設(shè)計(jì) .1010 4.4. 項(xiàng)目主要研究內(nèi)容項(xiàng)目主要研究內(nèi)容 .1414 5.5.項(xiàng)目技術(shù)路線描述項(xiàng)目技術(shù)路線描述 .1717

2、6.6.項(xiàng)目技術(shù)實(shí)現(xiàn)依據(jù)項(xiàng)目技術(shù)實(shí)現(xiàn)依據(jù) .1818 7.7.關(guān)鍵技術(shù)關(guān)鍵技術(shù) .1919 7.1 真實(shí)環(huán)境模擬技術(shù).19 7.2 防火墻流量控制測試技術(shù) .19 7.3 防火墻包轉(zhuǎn)發(fā)性能測試技術(shù) .19 7.4 防火墻安全測試技術(shù) .19 7.5 安全測試完善技術(shù) .20 8.8.系統(tǒng)運(yùn)行環(huán)境系統(tǒng)運(yùn)行環(huán)境 .2020 8.1 性能分析硬件環(huán)境.20 8.2 軟件環(huán)境.20 第三章第三章 綜合評(píng)價(jià)及結(jié)論綜合評(píng)價(jià)及結(jié)論.2121 金廬-防火墻系統(tǒng)性能與安全性測試系統(tǒng) 可行性研究報(bào)告 第一章第一章 總總論論 1.1.項(xiàng)目概況項(xiàng)目概況 1.1 名稱 金廬-防火墻系統(tǒng)性能與安全性測試系統(tǒng) 1.2 承辦

3、單位 南昌金廬軟件園軟件評(píng)測培訓(xùn)有限公司 1.3 項(xiàng)目法人代表 姓名：王利春 南昌金廬軟件園軟件評(píng)測培訓(xùn)有限公司 董事長 1.4 承辦單位概況 公司擁有一支訓(xùn)練有素、經(jīng)驗(yàn)豐富的測試工程師隊(duì)伍，配備種類 齊全的硬件設(shè)備，搭建了國際水平的軟件測試平臺(tái)，能夠?qū)蛻?服 務(wù)器結(jié)構(gòu)的軟件，基于 WEB 的 Internet 應(yīng)用軟件，嵌入式軟件以及 其它應(yīng)用軟件，按照國標(biāo)、ISO、IEC 等相關(guān)標(biāo)準(zhǔn)，進(jìn)行常規(guī)確認(rèn)測試、 驗(yàn)收測試、鑒定測試、性能測試及高級(jí)確認(rèn)測試等。同時(shí)，我們還積 極與國內(nèi)外權(quán)威測試機(jī)構(gòu)加強(qiáng)合作和交流，不斷提高自身的管理水平 和技術(shù)水平，跟蹤國際尖端技術(shù)，逐步拓展服務(wù)領(lǐng)域。公司秉承金廬

4、軟件園服務(wù)至上的理念，提倡“社會(huì)效益第一，經(jīng)濟(jì)效益第二” ，為 客戶提供優(yōu)質(zhì)服務(wù)。并保證以公正的行為、科學(xué)的手段，準(zhǔn)確的結(jié)果 服務(wù)于企業(yè)，為優(yōu)秀的軟件產(chǎn)品進(jìn)入市場、參與國際競爭，貢獻(xiàn)我們 的力量。 2.2.國內(nèi)外同類研究概況國內(nèi)外同類研究概況 近年來，防火墻產(chǎn)品在許多信息技術(shù)應(yīng)用領(lǐng)域得到了廣泛的應(yīng)用， 防火墻技術(shù)也得到了較大的發(fā)展，怎樣正確評(píng)價(jià)防火墻系統(tǒng)質(zhì)量，一 直是信息化領(lǐng)域非常關(guān)心的問題，同樣在國內(nèi)外仍然是一個(gè)新的領(lǐng)域。 到目前為止，尚未發(fā)現(xiàn)市場上銷售國外的將防火墻系統(tǒng)的性能測 試與安全性測試集成在一起的系統(tǒng)(產(chǎn)品)，安全性測試的國內(nèi)產(chǎn)品空 缺，而僅有性能測試的產(chǎn)品有售，但大多價(jià)格不菲而且

5、技術(shù)保密，無 自主知識(shí)產(chǎn)權(quán)。本防火墻系統(tǒng)性能與安全測試性測試系統(tǒng)就是基于這 樣的一個(gè)目的研制并開發(fā)實(shí)現(xiàn)的。 3 3項(xiàng)目背景項(xiàng)目背景 根據(jù)歐洲安全機(jī)構(gòu)統(tǒng)計(jì)，現(xiàn)在有 90以上的病毒是通過 SMTP 郵 件和 HTTP 網(wǎng)頁瀏覽進(jìn)行傳播的。病毒通過常用的網(wǎng)絡(luò)端口 （80、110）可以輕易進(jìn)入到公司的內(nèi)部網(wǎng)絡(luò)，如果接收人沒有在客 戶端安裝殺毒軟件或殺毒軟件沒有及時(shí)得到升級(jí)，病毒就會(huì)馬上感染 主機(jī)，并在網(wǎng)絡(luò)內(nèi)進(jìn)行瘋狂的傳播和破壞，這種情況在近年來己經(jīng)愈 演愈烈了。每當(dāng)新的網(wǎng)絡(luò)病毒爆發(fā)，企業(yè)的網(wǎng)管人員就會(huì)疲于奔命。 面對(duì)這樣的網(wǎng)絡(luò)應(yīng)用狀況，用戶非常希望擁有一種可以將病毒拒之于 網(wǎng)外的安全網(wǎng)關(guān)類產(chǎn)品。而對(duì)于

6、這些網(wǎng)關(guān)類產(chǎn)品是否真的能切實(shí)保障 安全，則需要有專門的對(duì)安全產(chǎn)品進(jìn)行輔助評(píng)測和驗(yàn)證的軟件。 防火墻技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)受到廣泛重視。目前， 國際上較多應(yīng)用的測試標(biāo)準(zhǔn)和規(guī)范主要是美國、歐洲、加拿大的安全 評(píng)測標(biāo)準(zhǔn)和國際通用準(zhǔn)則(CC)。我國自 1978 年加入國際標(biāo)準(zhǔn)化組織 （ISO） ，尤其是 1989 年實(shí)施“標(biāo)準(zhǔn)化法”以來，以國家信息安全測 評(píng)認(rèn)證中心為首的單位參與制訂了多項(xiàng)有關(guān)信息安全標(biāo)準(zhǔn)化的國家標(biāo) 準(zhǔn)。在測試手段上，防火墻產(chǎn)品的功能測試項(xiàng)目是針對(duì)送檢產(chǎn)品的功 能而言的，不同供應(yīng)商提供的產(chǎn)品(系統(tǒng))功能各異。測試人員必須對(duì) 送檢產(chǎn)品功能詳細(xì)說明書中所聲稱的各項(xiàng)功能進(jìn)行詳細(xì)的測

7、試和 驗(yàn)證。然而，用手工進(jìn)行防火墻系統(tǒng)的性能及安全性進(jìn)行檢測是不現(xiàn) 實(shí)的也是不可靠的，為了在測試中獲得真實(shí)性和一致性，必須借助于 防火墻系統(tǒng)的自動(dòng)檢測工具。國內(nèi)的大多數(shù)測評(píng)機(jī)構(gòu)對(duì)防火墻系統(tǒng)的 安全性測試是借助 ISS 和 SATAN 等一些開放軟件來進(jìn)行的。這種開放 軟件的特點(diǎn)是功能強(qiáng)大，測試也比較全面，不足之處是對(duì)有關(guān)產(chǎn)品的 使用各自為政，難以形成統(tǒng)一的測試規(guī)范。產(chǎn)學(xué)研合作，與學(xué)院共同 研發(fā)，我公司擁有知識(shí)產(chǎn)權(quán)的金廬-防火墻系統(tǒng)性能與安全性測試系 統(tǒng)是符合 GB/T 18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求 、 GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求而設(shè)計(jì)開

8、發(fā) 的，對(duì)于國家安全具有極其重大的意義。 4 4項(xiàng)目概述項(xiàng)目概述 近年來，防火墻產(chǎn)品在許多信息技術(shù)應(yīng)用領(lǐng)域得到了廣泛的應(yīng)用， 防火墻技術(shù)也得到了較大的發(fā)展，怎樣正確評(píng)價(jià)防火墻系統(tǒng)質(zhì)量，一 直是信息化領(lǐng)域非常關(guān)心的問題，同樣在國內(nèi)外仍然是一個(gè)新的領(lǐng)域。 “基于性能與安全性測試的防火墻質(zhì)量評(píng)價(jià)系統(tǒng)”是主要針對(duì)防 火墻產(chǎn)品的質(zhì)量評(píng)價(jià)軟件，主要包括了防火墻性能測試子系統(tǒng)、防火 墻安全測試子系統(tǒng)以及自動(dòng)化報(bào)告分析系統(tǒng)等。在性能測試方面能夠 根據(jù)具體待測防火墻，模擬配置相應(yīng)測試環(huán)境，并且可以把一個(gè)客戶 機(jī)模擬成多個(gè)客戶機(jī)，達(dá)到模擬真實(shí)環(huán)境的效果。同時(shí)，還可以動(dòng)態(tài) 設(shè)置網(wǎng)絡(luò)中服務(wù)的分配比例和網(wǎng)絡(luò)流量分配比例

9、。并且獲取多種不同 網(wǎng)絡(luò)環(huán)境下得到的性能參數(shù)，并進(jìn)一步進(jìn)行對(duì)比分析得出防火墻的性 能報(bào)告。 真實(shí)環(huán)境模擬技術(shù)。 以真實(shí)的業(yè)務(wù)為依據(jù)，選擇有代表性的、關(guān)鍵的業(yè)務(wù)操作設(shè)計(jì)測 試案例，以評(píng)價(jià)防火墻系統(tǒng)的當(dāng)前性能；通過自動(dòng)負(fù)載測試，在一臺(tái) 或幾臺(tái) PC 機(jī)上模擬成百或上千的虛擬用戶同時(shí)執(zhí)行業(yè)務(wù)，重復(fù)執(zhí)行 和運(yùn)行測試，可以確認(rèn)防火墻性能瓶頸并優(yōu)化和調(diào)整應(yīng)用，確保啟動(dòng) 各項(xiàng)功能的同時(shí)防火墻能夠達(dá)到高性能。 性能測試依據(jù)。 通過對(duì)網(wǎng)絡(luò)中的 IP 地址、用戶、服務(wù)、時(shí)間、協(xié)議等進(jìn)行流量 統(tǒng)計(jì)，并可以與管理器界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸 出結(jié)果，從而分析網(wǎng)絡(luò)中的運(yùn)行情況，形成防火墻流量控制性能。另

10、外，性能測試是參照 RFC 建議，從包轉(zhuǎn)發(fā)性能和開發(fā)連接數(shù)對(duì)防火墻 的性能進(jìn)行評(píng)測，其中防火墻包轉(zhuǎn)發(fā)性能包括吞吐量、延遲、丟失包 和背對(duì)背包等。 動(dòng)態(tài)加載安全測試軟件功能，可以使測試系統(tǒng)在安全測試方面得 到不斷更新和完善，達(dá)到更為全面地對(duì)防火墻性能進(jìn)行測試的目的。 防火墻測試技術(shù)是一項(xiàng)全新的技術(shù)，尤其是在性能測試方面，我 國尚無成熟產(chǎn)品出現(xiàn)。該防火墻性能測試系統(tǒng)能夠在模擬真實(shí)環(huán)境下 對(duì)防火墻進(jìn)行“每秒的處理連接速率” 、 “最大并發(fā)連接總數(shù)” 、 “有無 防火墻的性能下降百分比” 以及“啟用和禁用 NAT 功能后的性能下 降百分比”等幾種重要的性能參數(shù)的測試。 “基于性能與安全性測試的防火墻質(zhì)

11、量評(píng)價(jià)系統(tǒng)”所采用的核心 技術(shù)“防火墻性能與安全性測試系統(tǒng)” ，由國家權(quán)威評(píng)測機(jī)構(gòu)中 國國家信息安全產(chǎn)品測評(píng)認(rèn)證中心華中測評(píng)中心測試通過。該系統(tǒng)在 防火墻的測試方面，具有實(shí)用、先進(jìn)、穩(wěn)定等特點(diǎn)，填補(bǔ)了我國防火 墻產(chǎn)品多項(xiàng)質(zhì)量特性一站式評(píng)價(jià)的空白，創(chuàng)新我省乃至我國防火墻產(chǎn) 品一站式自動(dòng)測試與評(píng)價(jià)技術(shù)，同時(shí)提高了工作效率和工作質(zhì)量。 科技成果鑒定表明，該系統(tǒng)實(shí)現(xiàn)了基于模擬真實(shí)環(huán)境的防火墻產(chǎn) 品的性能和安全性測試與評(píng)價(jià)，達(dá)到了國內(nèi)領(lǐng)先水平。 第二章第二章 項(xiàng)目的整體框架和實(shí)施計(jì)劃項(xiàng)目的整體框架和實(shí)施計(jì)劃 1 1系統(tǒng)設(shè)計(jì)思路系統(tǒng)設(shè)計(jì)思路 隨著我國對(duì)科技工作的重視，軟件產(chǎn)業(yè)的發(fā)展越來越迅速。當(dāng)前 我國經(jīng)

12、濟(jì)迅速發(fā)展，對(duì)計(jì)算機(jī)軟件提出了大量要求，從國防、航空航 天到財(cái)務(wù)金融、從工程設(shè)計(jì)、交通通訊到農(nóng)業(yè)和普通的民用產(chǎn)品都需 要開發(fā)高質(zhì)量的軟件。特別是一些大型項(xiàng)目，以及涉及到國家安全、 公眾利益的所謂關(guān)鍵軟件，必須保證高可靠性和安全保密性。這些軟 件的開發(fā)必須得到質(zhì)量管理和質(zhì)量保證措施的支持。 由于雅虎，微軟，Intel 等大型網(wǎng)站接二連三遭到黑客入侵，加 上各大媒體的宣傳，防火墻愈發(fā)受到用戶認(rèn)識(shí)和青睞，防火墻生產(chǎn)廠 商正在大幅度增加市場銷售額。而且防火墻在一段時(shí)期之內(nèi)仍會(huì)出現(xiàn) 銷量猛增的局面，其增長的動(dòng)力主要來源于中小型企業(yè)以及家用電腦 用戶。今后幾年這一增長趨勢(shì)還將繼續(xù)，而且平均增長率預(yù)計(jì)可達(dá)到

13、 38.7%， 以往防火墻主要針對(duì)網(wǎng)上交易頻繁且易受黑客攻擊的大型企 業(yè)和保密性強(qiáng)的機(jī)構(gòu)，許多安全產(chǎn)品廠商只是重視大型網(wǎng)絡(luò)安全，對(duì) 個(gè)人安全市場比較忽視。但隨著黑客攻擊事件的不斷增加（現(xiàn)在世界 上平均每 20 秒就有一起黑客事件發(fā)生）和人們對(duì)黑客攻擊嚴(yán)重性的 意識(shí)與日俱增，這種情況近期被打破，防火墻廠商開始研發(fā)低價(jià)位產(chǎn) 品。所謂未雨綢繆，許多小型企業(yè)和個(gè)人用戶也開始購買防火墻。 防火墻技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)受到廣泛重視。但是 到目前為止，尚未發(fā)現(xiàn)市場上銷售國外的將防火墻系統(tǒng)的性能測試與 安全性測試集成在一起的系統(tǒng)(產(chǎn)品)，安全性測試的國內(nèi)產(chǎn)品空缺， 而僅有性能測試的產(chǎn)品有售，但大多價(jià)

14、格不菲而且技術(shù)保密，無自主 知識(shí)產(chǎn)權(quán)。本防火墻系統(tǒng)性能與安全測試性測試系統(tǒng)就是基于這樣的 一個(gè)目的研制并開發(fā)實(shí)現(xiàn)的。 2 2系統(tǒng)設(shè)計(jì)原則系統(tǒng)設(shè)計(jì)原則 操作方便原則； 先進(jìn)性原則； 響應(yīng)快速原則； 可擴(kuò)充性原則； 功能封裝原則； 3 3總體設(shè)計(jì)總體設(shè)計(jì) 防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是保 證對(duì)合法流量的保護(hù)和對(duì)非法流量的抵御。為了適應(yīng)網(wǎng)絡(luò)攻擊技術(shù)的 變化和防火墻技術(shù)的迅猛發(fā)展態(tài)勢(shì)，在網(wǎng)絡(luò)帶寬不斷提速升級(jí)的趨勢(shì) 下，處于網(wǎng)絡(luò)末端的防火墻的性能對(duì)最終用戶所能得到的實(shí)際帶寬具 有決定性的影響。因此，防火墻的性能測試要求在模擬真實(shí)環(huán)境測試， 以便在測試時(shí)考察其在真實(shí)環(huán)境中的表現(xiàn)，這

15、樣測試出來的數(shù)據(jù)才有 實(shí)際意義。研究并開發(fā)的“基于性能與安全性測試的防火墻質(zhì)量評(píng)價(jià) 系統(tǒng)”是基于市場用戶的應(yīng)用需求，并結(jié)合具體的分組過濾防火墻及 應(yīng)用代理防火墻的產(chǎn)品特點(diǎn)，能達(dá)到公正、全面地評(píng)價(jià)此類安全產(chǎn)品 的目的。 系統(tǒng)的實(shí)現(xiàn)主要分三個(gè)子系統(tǒng)進(jìn)行，即性能測試子系統(tǒng)、安全測 試子系統(tǒng)和自動(dòng)化報(bào)告分析系統(tǒng)。分別用來對(duì)防火墻系統(tǒng)的性能和安 全性作測試及自動(dòng)化報(bào)告文件和個(gè)性化模版。 防火墻性能測試系統(tǒng)采用客戶/服務(wù)器的應(yīng)用模式。我們將系統(tǒng) 的組織結(jié)構(gòu)從功能角度分為三個(gè)組成部分，管理器（fwtest） 、客戶 應(yīng)用程序（fwmain）以及通信線程應(yīng)用程序（fwtester） 。管理器用 來生成任務(wù)表、

16、發(fā)送任務(wù)表、接收測試數(shù)據(jù)、分析測試數(shù)據(jù)和顯示、 打印報(bào)告；客戶應(yīng)用程序的主要功能是接收任務(wù)表、填寫協(xié)議參數(shù)、 記錄測試數(shù)據(jù)、發(fā)送測試數(shù)據(jù)和顯示測試進(jìn)度；通信線程程序的主要 功能是完成創(chuàng)建測試線程、連接登錄服務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù)據(jù)格 式和接收測試數(shù)據(jù)。系統(tǒng)結(jié)構(gòu)及功能如下表所示： 組件功能安裝位置 管理器 （fwtest） 生成任務(wù)表、發(fā)送任務(wù)表、 接收測試數(shù)據(jù)、分析測試數(shù) 據(jù)和顯示打印報(bào)告 模擬測試環(huán)境中內(nèi)網(wǎng) (private)的一臺(tái)服務(wù)器 上。 （參考圖 2.1 設(shè)備環(huán) 境，下同） 客戶應(yīng)用 程序 （fwmain） 接收任務(wù)表、填寫協(xié)議參 數(shù)、記錄測試數(shù)據(jù)、發(fā)送測 試數(shù)據(jù)和顯示測試進(jìn)度 模擬

17、測試環(huán)境中內(nèi)網(wǎng) (private)、非軍事區(qū) (DMZ)、外網(wǎng)(public) 的客戶機(jī)上。 通信線程 程序 （fwtester ） 創(chuàng)建測試線程、連接登錄 服務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù) 據(jù)格式轉(zhuǎn)換和接收測試數(shù)據(jù) 與客戶應(yīng)用程序安裝 位置相同，并被其調(diào)用。 管理器的功能復(fù)雜，在完成各種參數(shù)設(shè)置，對(duì)防火墻系統(tǒng)進(jìn)行性 能測試，對(duì)相應(yīng)的測試結(jié)果進(jìn)行統(tǒng)計(jì)分析并且生成性能測試報(bào)告輸出， 主要功能模塊可用圖 1 表示： 圖 1：管理器系統(tǒng)性能測試功能 本評(píng)價(jià)系統(tǒng)的安全測試子系統(tǒng)大體上分為是對(duì)防火墻系統(tǒng)進(jìn)行安 全掃描和對(duì)其進(jìn)行安全攻擊，安全掃描和安全攻擊同時(shí)又包括了當(dāng)前 主要的幾種針對(duì)網(wǎng)絡(luò)安全測試的多種工具，從

18、而達(dá)到對(duì)測試對(duì)象的安 全性的測試，其主要功能模塊可用圖 2 表示： 圖 2：管理器系統(tǒng)安全性測試功能 同時(shí)本評(píng)測系統(tǒng)為了達(dá)到對(duì)防火墻安全性更全面的測試與評(píng)價(jià)， 以適應(yīng)當(dāng)前的高速防火墻安全測試技術(shù)和網(wǎng)絡(luò)安全測試技術(shù)，提供能 夠加載各種更新的測試軟件的功能，使本系統(tǒng)的安全測試功能不斷增 強(qiáng)。 系統(tǒng)性能測試流程： 根據(jù)具體的測試環(huán)境對(duì)服務(wù)器進(jìn)行設(shè)置； 服務(wù)器根據(jù)具體設(shè)計(jì)生產(chǎn)任務(wù)表； 服務(wù)器發(fā)送任務(wù)表到客戶端； 客戶端程序根據(jù)任務(wù)表進(jìn)行相應(yīng)服務(wù)器訪問 客戶端把接訪問結(jié)果生產(chǎn)文件發(fā)送至服務(wù)器 服務(wù)器發(fā)送測試或結(jié)束測試命令； 服務(wù)器對(duì)接收到的數(shù)據(jù)統(tǒng)計(jì)并分析生成測試報(bào)表； 以單一或匯總方式顯示測試報(bào)表 發(fā)送

19、 設(shè)置客 戶機(jī)IP 地址 任務(wù)表 生成 客戶機(jī)群 測試數(shù)據(jù) 測試狀態(tài) 碼 發(fā)送 顯示、打印 測試報(bào)告 檢測測試狀態(tài) 測試命令碼 客戶機(jī)測 試數(shù)據(jù)文 件 打包接收 分析 測試結(jié)果 報(bào)告數(shù)據(jù) 文件 任務(wù)表 文件 4.4. 項(xiàng)目主要研究內(nèi)容項(xiàng)目主要研究內(nèi)容 項(xiàng)目研究內(nèi)容及涉及的關(guān)鍵技術(shù)及技術(shù)指標(biāo)描述項(xiàng)目研究內(nèi)容及涉及的關(guān)鍵技術(shù)及技術(shù)指標(biāo)描述 1.金廬-防火墻系統(tǒng)性能與安全性測試系統(tǒng)主要包括以下子系統(tǒng)： (1)防火墻性能測試子系統(tǒng) (2)防火墻安全性能測試子系統(tǒng)。 防火墻性能測試子系統(tǒng)的測試平臺(tái)控制流程圖如圖 5 所示： 圖 5：防火墻性能測試子系統(tǒng)的測試平臺(tái)控制流程圖 安全測試子系統(tǒng)的測試平臺(tái)控制流

20、程圖如圖 6 所示： 圖 6：安全測試子系統(tǒng)的測試平臺(tái)控制流程圖 （1）防火墻性能測試子系統(tǒng) 防火墻性能測試子系統(tǒng)能夠根據(jù)具體待測防火墻，模擬配置相應(yīng) 測試環(huán)境，并且可以把一個(gè)客戶機(jī)模擬成多個(gè)客戶機(jī)，達(dá)到模擬真實(shí) 環(huán)境的效果。同時(shí)，還可以動(dòng)態(tài)設(shè)置網(wǎng)絡(luò)中服務(wù)的分配比例和網(wǎng)絡(luò)流 量分配比例。并且獲取多種不同網(wǎng)絡(luò)環(huán)境下得到的性能參數(shù)，并進(jìn)一 步進(jìn)行對(duì)比分析得出防火墻的性能報(bào)告。 （2）防火墻安全性測試子系統(tǒng) 防火墻安全性測試子系統(tǒng)集成了幾種主要安全測試工具，能針對(duì) 有防火墻保護(hù)的網(wǎng)絡(luò)進(jìn)行安全測試，從而測試防火墻的部分安全性。 動(dòng)態(tài)加載安全測試軟件功能，可以使測試系統(tǒng)在安全測試方面得到不 斷更新和完善

21、，達(dá)到更為全面地對(duì)防火墻安全性進(jìn)行測試的目的。 2.2.關(guān)鍵技術(shù)及技術(shù)指標(biāo)描述關(guān)鍵技術(shù)及技術(shù)指標(biāo)描述 （1）計(jì)算機(jī)網(wǎng)絡(luò) 利用計(jì)算機(jī)局域網(wǎng)和廣域網(wǎng)絡(luò)，進(jìn)行命令和數(shù)據(jù)的實(shí)時(shí)傳輸，以 標(biāo)準(zhǔn)通用的 TCP/IP 網(wǎng)絡(luò)傳輸協(xié)議為主，確保信息傳輸?shù)目煽空_。 （2）C/S 模式 隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用和分布協(xié)議同工作的需求，以數(shù)據(jù)為中心 的應(yīng)用系統(tǒng)采用客戶/服務(wù)體系結(jié)構(gòu)，即 C/S 模式?？蛻?服務(wù)器結(jié)構(gòu) 包括連接在一個(gè)網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)。那些處理應(yīng)用程序，請(qǐng)求另一 計(jì)算機(jī)服務(wù)的計(jì)算機(jī)稱為客戶機(jī)(Client)。而處理數(shù)據(jù)的計(jì)算機(jī)稱為 服務(wù)器(Server)。所有用戶都擁有他們自己的計(jì)算機(jī)來處理應(yīng)用程序。

22、（3）網(wǎng)絡(luò)通信編程技術(shù) 系統(tǒng)采用微軟公司的 Visual C+ 6.0 來開發(fā)。由于它采用了更 好的粒度和更少的代碼負(fù)載，其基本類庫(MFC)運(yùn)行很快，應(yīng)用程序 本身也可以隨 MFC 而自動(dòng)升級(jí)。要達(dá)到設(shè)計(jì)目的，必須用通信程序來 模擬合適的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。而要實(shí)現(xiàn)客戶機(jī)/服務(wù)器方式的計(jì)算機(jī) 通信，對(duì)于 Windows 程序設(shè)計(jì)員來說，使用 Windows Sockets(WinSock)編程是一種比較普遍的選擇。筆者選用了 WinSock 進(jìn)行套接字水平的編程。WinSock 通過“套接字”使不同的應(yīng)用程序 可跨網(wǎng)通信。微軟基本類(MFC)把 WinSock API 的復(fù)雜性封裝到類里， 這使

23、得編寫應(yīng)用程序更容易。 （4）多線程、多進(jìn)程通信仿真模擬技術(shù)。 創(chuàng)建測試線程、連接登錄服務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù)據(jù)格式轉(zhuǎn)換 和接收測試數(shù)據(jù)。 （5）網(wǎng)絡(luò)安全測試技術(shù) 當(dāng)前已經(jīng)存在的各種針對(duì)網(wǎng)絡(luò)安全的安全掃描工具和網(wǎng)絡(luò)安全攻 擊工具。 5.5.項(xiàng)目技術(shù)路線描述項(xiàng)目技術(shù)路線描述 性能測試主要是分測試服務(wù)器和測試客戶端。 測試服務(wù)器的技術(shù)主要有測試環(huán)境設(shè)置和測試客戶端的任務(wù)（網(wǎng)絡(luò)服 務(wù)）分配和協(xié)調(diào)運(yùn)行和總體測試報(bào)告的生成；建立合理的環(huán)境設(shè)置結(jié) 構(gòu)和任務(wù)分配模式和運(yùn)行統(tǒng)一控制技術(shù)和測試報(bào)告結(jié)構(gòu)的合理生成； 防火墻性能測試平臺(tái)如圖 7 所示。 圖 7：防火墻性能測試平臺(tái) 測試客戶端的主要有任務(wù)的執(zhí)行和性能

24、信息的收集； 安全測試子系統(tǒng)，由于安全測試和攻擊的多樣和復(fù)雜性，系統(tǒng)主 要集成常見和基本的安全掃描測試和攻擊測試方法，同時(shí)提供外部測 試攻擊的接口對(duì)于外部程序進(jìn)行掛接。防火墻安全性測試平臺(tái)如圖 8 所示。 圖 8：防火墻安全性測試平臺(tái) 6.6.項(xiàng)目技術(shù)實(shí)現(xiàn)依據(jù)項(xiàng)目技術(shù)實(shí)現(xiàn)依據(jù) 設(shè)計(jì)思想依據(jù)設(shè)計(jì)思想依據(jù) 金廬-防火墻系統(tǒng)性能與安全性測試系統(tǒng)的設(shè)計(jì)是根據(jù)對(duì)當(dāng)前現(xiàn) 有的防火墻測試技術(shù)以及網(wǎng)絡(luò)通信技術(shù)進(jìn)行設(shè)計(jì)的，能對(duì)防火墻系統(tǒng) 的性能和安全性進(jìn)行比較全面的測試，同時(shí)由于防火墻測試技術(shù)以及 網(wǎng)絡(luò)安全技術(shù)是在不斷發(fā)展的，為了使系統(tǒng)在測試的準(zhǔn)確和全面等方 面能得到隨時(shí)更新，特別表現(xiàn)在防火墻的安全測試方面。

25、主要參考文獻(xiàn)如下：主要參考文獻(xiàn)如下： 1、防火墻安全測試系統(tǒng)的研究與實(shí)現(xiàn) 湯文亮 丁振凡 等 華東交通大學(xué)學(xué)報(bào) 2002，19（3）.-62-65，68 文中介紹了防火墻安全測試的內(nèi)容以及防火墻安全測試系統(tǒng)的設(shè) 計(jì)與實(shí)現(xiàn)，并對(duì)系統(tǒng)中采用的安全測試方法如信息收集、系統(tǒng)破解、 拒絕服務(wù)攻擊、特洛伊木馬、WIN9X 漏洞攻擊等進(jìn)行了原理分析，闡 述了使用 Visual C+具體實(shí)現(xiàn)該系統(tǒng)的若干關(guān)鍵技術(shù)。 2、應(yīng)用級(jí)防火墻測試規(guī)范的研究 湯文亮 李正凡 華東交通大學(xué)學(xué)報(bào). 2001，18（4）.-36-39，68 文中介紹應(yīng)用級(jí)防火墻產(chǎn)品的產(chǎn)生是源于信息網(wǎng)絡(luò)安全的需求， 而測試為產(chǎn)品的評(píng)估和認(rèn)可提供了

26、最可信的依據(jù)，因此，有必要對(duì)這 類產(chǎn)品的測試作較為深入的研究。本論文描述了測試應(yīng)用級(jí)防火墻所 依據(jù)的測試準(zhǔn)則以及測試中常用的工具，并對(duì)應(yīng)用級(jí)防火墻測試體系 作了較為詳細(xì)的論述。 3、基于模擬真實(shí)環(huán)境的防火墻性能測試系統(tǒng)的實(shí)現(xiàn) 湯文亮 袁可風(fēng) 丁振凡 華東交通大學(xué)學(xué)報(bào). 2005，02-0050-05 防火墻產(chǎn)品的性能測試對(duì)于用戶選購和正確配置防火墻有重要的 指導(dǎo)意義。本文介紹的防火墻性能測試系統(tǒng)是一種基于模擬真實(shí)環(huán)境 測試防火墻產(chǎn)品性能的測試工具，文章對(duì)該測試系統(tǒng)的具體實(shí)現(xiàn)作了 較詳細(xì)的論述。 關(guān)鍵技術(shù)實(shí)現(xiàn)的依據(jù)關(guān)鍵技術(shù)實(shí)現(xiàn)的依據(jù) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、客戶/服務(wù)體系技術(shù)、網(wǎng)絡(luò)通訊編程技術(shù)、網(wǎng) 絡(luò)安

27、全測試技術(shù)等技術(shù)標(biāo)準(zhǔn)。 7.7.關(guān)鍵技術(shù)關(guān)鍵技術(shù) 以下各項(xiàng)主要技術(shù)用于防火墻性能與安全測試系統(tǒng)的關(guān)鍵部位， 解決了防火墻性能和安全性測試中的關(guān)鍵問題。其中關(guān)鍵技術(shù)包括： 7.1 真實(shí)環(huán)境模擬技術(shù) 以真實(shí)的業(yè)務(wù)為依據(jù)，選擇有代表性的、關(guān)鍵的業(yè)務(wù)操作設(shè)計(jì)測 試案例，以評(píng)價(jià)防火墻系統(tǒng)的當(dāng)前性能；通過自動(dòng)負(fù)載測試，在一臺(tái) 或幾臺(tái) PC 機(jī)上模擬成百或上千的虛擬用戶同時(shí)執(zhí)行業(yè)務(wù)，重復(fù)執(zhí)行 和運(yùn)行測試，可以確認(rèn)防火墻性能瓶頸并優(yōu)化和調(diào)整應(yīng)用，確保啟動(dòng) 各項(xiàng)功能的同時(shí)防火墻能夠達(dá)到高性能。 7.2 防火墻流量控制測試技術(shù) 通過對(duì)網(wǎng)絡(luò)中的 IP 地址、用戶、服務(wù)、時(shí)間、協(xié)議等進(jìn)行流量 統(tǒng)計(jì)，并可以與管理器界面

28、實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸 出結(jié)果，從而分析網(wǎng)絡(luò)中的運(yùn)行情況，形成防火墻流量控制性能。 7.3 防火墻包轉(zhuǎn)發(fā)性能測試技術(shù) 性能測試是參照 RFC 建議，從包轉(zhuǎn)發(fā)性能和開發(fā)連接數(shù)對(duì)防火墻 的性能進(jìn)行評(píng)測，其中防火墻包轉(zhuǎn)發(fā)性能包括吞吐量、延遲、丟失包 和背對(duì)背包等。包轉(zhuǎn)發(fā)性能是假定提供給防火墻的數(shù)據(jù)和防火墻轉(zhuǎn)發(fā) 的數(shù)據(jù)之間為一對(duì)一的通信，并不包括防火墻提供多播服務(wù)的情況。 7.4 防火墻安全測試技術(shù) 防火墻安全測試主要表現(xiàn)在運(yùn)行的穩(wěn)定和安全漏洞方面。通過在 測試平臺(tái)的內(nèi)網(wǎng)或外網(wǎng)上安裝現(xiàn)有的掃描工具和攻擊工具，利用所有 可能的方式對(duì)被測產(chǎn)品進(jìn)行掃描和攻擊測試，其中各種安全掃描和攻 擊測試工

29、具的編制主要利用當(dāng)前 WinSock 編程技術(shù)和網(wǎng)絡(luò)安全技術(shù)， 根據(jù)掃描和攻擊結(jié)果評(píng)測防火墻系統(tǒng)的安全性，從而達(dá)到對(duì)防火墻的 安全性測試。 7.5 安全測試完善技術(shù) 由于防火墻安全測試方法的局限性，需要及時(shí)把當(dāng)前最優(yōu)秀的安 全測試軟件集成到本防火墻測試系統(tǒng)中。 8.8.系統(tǒng)運(yùn)行環(huán)境系統(tǒng)運(yùn)行環(huán)境 8.1 性能分析硬件環(huán)境 服務(wù)器推薦配置：PIII 志強(qiáng) 1G 以上，內(nèi)存 512M 以上 30G 硬盤； 推薦專用服務(wù)器。 客戶端推薦配置：PIII650 以上，內(nèi)存 128M 以上。 8.2 軟件環(huán)境 服務(wù)器：操作系統(tǒng) Window 2000 Server 數(shù)據(jù)庫 SQL Server 2000 客戶端：Window 2000/XP，IE5.0 以上。 第三章第三章 綜合評(píng)價(jià)及結(jié)論綜合評(píng)價(jià)及結(jié)論 本項(xiàng)目采用各種成熟的理念與技術(shù)，已在南昌金廬軟件園軟件評(píng) 測培訓(xùn)有限公司使用，運(yùn)行情況良好。 2