必看(3)打卡10個4-7層網(wǎng)絡(luò)測試網(wǎng)紅指標(biāo)(下篇)
大家好,在上一篇文章里我們打卡了4-7層網(wǎng)絡(luò)測試網(wǎng)紅指標(biāo)的前5個,如果還沒有看過的同學(xué)可以參見下方鏈接:
必看(1)打卡10個4-7層網(wǎng)絡(luò)測試網(wǎng)紅指標(biāo)(上篇)
在上一篇文章里,我們詳細(xì)介紹了:
CPS(Connections/Second)新建連接數(shù)
CC(Concurrent Connections)并發(fā)連接數(shù)
TPS(Transactions/Second)每秒事務(wù)數(shù)
Throughput 吞吐量
Response Time響應(yīng)時間
綜合這5個網(wǎng)絡(luò)測試指標(biāo),不難看出我們給出的TOP5的指標(biāo)更側(cè)重于網(wǎng)絡(luò)性能方面。本篇文章我們將繼續(xù)給大家?guī)硎O碌?個網(wǎng)紅指標(biāo),下半場的解說將更加側(cè)重于網(wǎng)絡(luò)安全方面。
IPsec(Internet Protocol Security)是一套用于在IP網(wǎng)絡(luò)中實現(xiàn)端到端安全通信的協(xié)議套件。它旨在解決在開放網(wǎng)絡(luò)環(huán)境中,如互聯(lián)網(wǎng),數(shù)據(jù)傳輸可能面臨的多種安全威脅,包括數(shù)據(jù)泄露、篡改、偽造和重放攻擊。IPsec通過為IP層提供一系列安全服務(wù),確保了數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性和可用性。在網(wǎng)絡(luò)測試中,我們主要關(guān)注以下幾個IPsec的性能指標(biāo):
IPsec隧道新建速率:
IPsec隧道新建速率是指在一定時間內(nèi)成功建立IPsec隧道的速度。這個指標(biāo)通常用來衡量IPsec設(shè)備(如VPN網(wǎng)關(guān)或防火墻)在處理大量并發(fā)隧道建立請求時的性能。隧道新建速率對于網(wǎng)絡(luò)設(shè)備和安全解決方案來說是一個重要的性能指標(biāo),尤其是在需要快速響應(yīng)大量遠(yuǎn)程訪問連接的場景中。
注意:DH組值的大小對IKE協(xié)商性能(如隧道新建速率等)有影響,如DH組值越大,IKE協(xié)商性能受到的影響就越大(可能會導(dǎo)致隧道新建速率明顯降低)。
圖1: IPsec隧道新建速率
IPsec并發(fā)隧道數(shù):
IPsec(Internet Protocol Security)隧道并發(fā)數(shù)是指在網(wǎng)絡(luò)中同時活躍的IPsec隧道數(shù)量。這個概念通常用于描述IPsec VPN(虛擬私人網(wǎng)絡(luò))環(huán)境中,可以同時處理和維護(hù)的加密隧道數(shù)量。并發(fā)數(shù)可以反映IPsec設(shè)備的性能,即它能夠處理多少同時的加密和解密操作。
圖2: IPsec并發(fā)隧道數(shù)
IPSEC隧道吞吐量:
IPsec隧道吞吐量是指在一個IPsec隧道中,數(shù)據(jù)能夠在單位時間內(nèi)成功傳輸?shù)淖畲笏俾?。它是一個衡量IPsec加密和封裝處理能力的關(guān)鍵性能指標(biāo),通常以每秒傳輸?shù)谋忍財?shù)(bps)來表示。
對于大規(guī)模網(wǎng)絡(luò),需要選擇具有高吞吐量的IPSec 方案,以支持高并發(fā)的數(shù)據(jù)傳輸。在實際測試中,單隧道吞吐量以及整機(jī)吞吐量都是我們需要關(guān)注的性能指標(biāo)。IPsec單隧道吞吐量可以讓我們評估單個安全連接的性能,確保關(guān)鍵業(yè)務(wù)連接的帶寬需求得到滿足;而整機(jī)吞吐量則幫助我們了解設(shè)備整體處理能力,以便于進(jìn)行網(wǎng)絡(luò)容量規(guī)劃和應(yīng)對高并發(fā)連接需求,保障網(wǎng)絡(luò)穩(wěn)定運行。
圖3: IPsec隧道吞吐量
SSL(安全套接層,Secure Sockets Layer)是一種安全協(xié)議,用于在客戶端和服務(wù)器之間建立加密鏈接,確保在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)保持私密性和完整性。SSL是Netscape公司在1994年開發(fā)的,后來被IETF(互聯(lián)網(wǎng)工程任務(wù)組)標(biāo)準(zhǔn)化為TLS(傳輸層安全,Transport Layer Security)。盡管SSL協(xié)議已經(jīng)基本被TLS取代,但“SSL”這個術(shù)語仍然經(jīng)常被用來指代這兩種協(xié)議。在日常測試中,我們主要關(guān)注以下幾個性能指標(biāo):
SSL新建連接速率:
SSL新建連接速率通常指的是在SSL/TLS握手過程中,新建安全連接的速度。一般來說我們使用HTTPS來測試SSL新建鏈接速率,SSL新建速率是評估服務(wù)器或安全設(shè)備處理新SSL連接能力的重要指標(biāo)。一個高的SSL新建速率意味著設(shè)備能夠快速處理大量并發(fā)的新連接請求。在用戶訪問HTTPS網(wǎng)站時,SSL握手是必須的第一步。如果SSL新建速率低,用戶可能會遇到連接延遲,影響用戶體驗。對于需要處理大量交易或用戶請求的服務(wù),如電子商務(wù)網(wǎng)站或在線銀行,一個高的SSL新建速率是保證業(yè)務(wù)連續(xù)性的關(guān)鍵。
圖4: SSL隧道新建速率
SSL并發(fā)連接數(shù):
SSL并發(fā)連接數(shù)是指在某一特定時間點,服務(wù)器或安全設(shè)備上同時存在的活躍SSL/TLS連接的數(shù)量。這些連接可能是正在傳輸數(shù)據(jù)的,也可能是已經(jīng)建立但暫時沒有數(shù)據(jù)傳輸?shù)摹翱臻e”連接。由于SSL/TLS協(xié)議用于在客戶端和服務(wù)器之間建立加密連接,因此每個并發(fā)連接都涉及加密和解密數(shù)據(jù)的過程,這比非加密連接(如HTTP)更消耗服務(wù)器資源。服務(wù)器或安全設(shè)備能夠支持的高并發(fā)連接數(shù)是衡量其性能的一個重要指標(biāo)。對于需要處理大量用戶請求的服務(wù),如電子商務(wù)網(wǎng)站、在線游戲或云服務(wù),支持高并發(fā)連接數(shù)至關(guān)重要。
圖5: SSL并發(fā)連接數(shù)
SSL吞吐量:
SSL吞吐量是指在網(wǎng)絡(luò)設(shè)備和服務(wù)器上,SSL/TLS加密和解密操作能夠處理的數(shù)據(jù)量,通常以每秒傳輸?shù)淖止?jié)數(shù)(Bytes per Second, Bps)來衡量。它是衡量網(wǎng)絡(luò)設(shè)備或服務(wù)器在處理SSL/TLS加密通信時的性能指標(biāo)之一。不同的SSL/TLS算法和協(xié)議版本對吞吐量的影響也不同。例如,較新的協(xié)議版本(如TLS 1.3)通常比舊版本(如SSL 3.0或TLS 1.0)更高效,因為它們減少了握手過程中的往返次數(shù),并支持更快的加密操作。
圖6: SSL吞吐量
SSL卸載測試:
一般來說客戶端訪問服務(wù)器端的時候是基于HTTPS協(xié)議(加密傳輸?shù)?,當(dāng)客戶端的HTTPS請求發(fā)送到負(fù)載均衡設(shè)備的VIP(virtual service IP)的時候,由負(fù)載均衡設(shè)備把原始的HTTP請求發(fā)送給后臺的真實服務(wù)器,對于后臺的真實服務(wù)器來說就不需要采用加密算法去解密HTTPS報文,這樣節(jié)省了真實服務(wù)器的CPU、內(nèi)存、計算等資源,同時,客戶端和VIP之間采用HTTPS協(xié)議,保證了數(shù)據(jù)傳輸?shù)陌踩?,這就是SSL卸載的一個主要的應(yīng)用。對數(shù)據(jù)安全非常重視的行業(yè)(銀行、運營商、證券、政務(wù)等)會非常關(guān)注該性能指標(biāo),對該指標(biāo)的性能要求很高。
圖7: SSL卸載拓?fù)鋱D
國密SSL性能:
國密SSL(國家商用密碼SSL)是指使用中國國家商用密碼算法實現(xiàn)的SSL/TLS協(xié)議。國密SSL使用的是中國國家標(biāo)準(zhǔn)(GB)中定義的商用密碼算法,它采用了我國自主研發(fā)的SM系列算法(如SM2、SM3、SM4)進(jìn)行加密和解密。這是一種專門為國家商用密碼設(shè)計的加密算法。它的加解密過程完全在國內(nèi)進(jìn)行,符合國家密碼管理規(guī)范。隨著中國信息安全的重視程度不斷提高,國密SSL的應(yīng)用正在逐漸擴(kuò)大。政府和相關(guān)機(jī)構(gòu)也在推動國密算法的國際標(biāo)準(zhǔn)化,以促進(jìn)國密SSL在全球范圍內(nèi)的應(yīng)用。我司Cyberflood產(chǎn)品目前已經(jīng)支持了國密算法相關(guān)的性能測試,具體測試咨詢請詳詢400-810-9529。
圖8: Cyberflood國密配置界面
DDoS(分布式拒絕服務(wù))攻擊是一種網(wǎng)絡(luò)攻擊手段,其目的是使目標(biāo)服務(wù)器或網(wǎng)絡(luò)資源無法為合法用戶提供服務(wù)。這種攻擊通過利用多個被黑客控制的計算機(jī)(這些計算機(jī)通常組成所謂的“僵尸網(wǎng)絡(luò)”或“僵尸軍團(tuán)”)向目標(biāo)發(fā)送大量請求,從而耗盡目標(biāo)的服務(wù)器帶寬或資源,導(dǎo)致合法用戶無法訪問服務(wù)。大名鼎鼎的《黑神話:悟空》在發(fā)售之初,發(fā)行平臺Steam就于2024年8月24日晚間遭受了大規(guī)模的DDoS攻擊,這次攻擊導(dǎo)致了全球多國玩家無法登錄游戲。
延伸閱讀:《黑神話:悟空》掀起70Tbps網(wǎng)絡(luò)洪流,如何才能乘風(fēng)破浪?
所以對于網(wǎng)絡(luò)測試來說,DDOS攔截率是一項衡量網(wǎng)絡(luò)安全設(shè)備的重要指標(biāo)。特別是在正常業(yè)務(wù)流量負(fù)荷下,被測設(shè)備對DDOS的防御能力尤為重要。
Cyberflood產(chǎn)品提供了有狀態(tài)和無狀態(tài)兩種DDoS攻擊測試,并混合了正常的業(yè)務(wù)流量??梢造`活調(diào)整DDOS的類型,背景流量占比等參數(shù),可以實現(xiàn)更真實的模擬現(xiàn)網(wǎng)DDOS攻擊場景。
圖9: Cyberflood 無狀態(tài)DDoS配置界面
圖10: Cyberflood 有狀態(tài)DDoS配置界面
圖11: Cyberflood DDoS混合流量配置界面
如今,網(wǎng)絡(luò)上的數(shù)百萬臺設(shè)備上正運行著數(shù)以千計的應(yīng)用,而且每天都會有數(shù)百種新的應(yīng)用發(fā)布,測試團(tuán)隊、研發(fā)團(tuán)隊都在竭盡全力,迅速而有效地測試、驗證和推廣其應(yīng)用感知系統(tǒng)和網(wǎng)絡(luò)。安全應(yīng)用基礎(chǔ)設(shè)施的部署為我們帶來了管理流量、安全性和服務(wù)質(zhì)量(QoS)策略的諸多創(chuàng)新能力。為了準(zhǔn)確地測試應(yīng)用程序感知基礎(chǔ)設(shè)施和設(shè)備的安全有效性,模擬現(xiàn)實的合法流量和黑客流量以充分評估安全控制是否符合您的規(guī)范是至關(guān)重要的。我們需要格外關(guān)注應(yīng)用、攻擊、惡意軟件的識別率,對應(yīng)用程序可以正確識別并放行,對攻擊和惡意軟件可以識別并攔截。
CyberFlood安全測試可以為您提供一種有效的方法來測試數(shù)據(jù)庫中數(shù)以萬計的最新應(yīng)用程序、攻擊和惡意軟件場景。您可以使用基于ATT&CK框架的規(guī)避技術(shù)來模擬真實的黑客行為或加密攻擊,以將安全解決方案推向其極限。
圖12: Cyberflood TestCloud庫數(shù)量
圖13: Cyberflood ATT&CK配置界面
當(dāng)今通信網(wǎng)絡(luò)面臨的安全挑戰(zhàn)日益嚴(yán)峻。隨著5G、物聯(lián)網(wǎng)、云計算等技術(shù)的快速發(fā)展,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,復(fù)雜度不斷提高,這使得通信網(wǎng)絡(luò)在信息安全方面面臨諸多挑戰(zhàn)。一方面,網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在安全隱患,如設(shè)備漏洞、協(xié)議缺陷等,容易導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等問題。另一方面,網(wǎng)絡(luò)攻擊手段日益翻新,APT(高級持續(xù)性威脅)攻擊、勒索軟件、DDoS(分布式拒絕服務(wù))攻擊等頻繁發(fā)生,給通信網(wǎng)絡(luò)安全帶來極大威脅。如何在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中保證服務(wù)的可持續(xù)性、穩(wěn)定性至關(guān)重要。這需要網(wǎng)絡(luò)安全設(shè)備能夠準(zhǔn)確的識別安全流量與威脅流量并迅速做出正確的響應(yīng)。因此,被測設(shè)備在多種協(xié)議應(yīng)用的高吞吐混合流量的背景下具備對DDOS攻擊、惡意軟件的迅速識別以及攔截的能力是我們綜合評估該設(shè)備安全能力的重要指標(biāo)。
Cyberflood提供的Throughput with Mixed Traffic混合流量測試可以自定義流量組合以匹配您的網(wǎng)絡(luò)場景,可以模擬用戶訪問數(shù)千個應(yīng)用程序,包括社交媒體游戲,企業(yè)應(yīng)用程序和流媒體,模擬黑客發(fā)送大量的惡意軟件以及攻擊流量。測量客戶端所請求內(nèi)容的平均往返時間(以毫秒為單位)。各協(xié)議的訪問成功率,驗證這些流量混合是如何影響DUT整體性能的。
圖14: Cyberflood 混合流量說明
圖15: Cyberflood 混合流量配置界面
至此,L4-7層網(wǎng)絡(luò)測試網(wǎng)紅指標(biāo)的全部打卡內(nèi)容就介紹到這里。希望通過這次分享,大家能夠?qū)W(wǎng)絡(luò)測試的關(guān)鍵指標(biāo)有更深入的了解,并在實際工作中更好地應(yīng)用和理解這部分內(nèi)容。在此,感謝大家的關(guān)注與支持,未來我們將繼續(xù)為大家?guī)砀鄬嵱玫木W(wǎng)絡(luò)技術(shù)干貨。