当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： NetEye3.0性能测试结果及其分析 为了从不同侧面详尽地反映出防火墙的性能，我们分别测试了防火墙允许的最大数据流量、加载不同规则时对网络传输性能的影响和加载不同条数的IP包过滤规则时对网络传输性能的影响。

 

 

电信行业网络安全解决方案(二)

　　neteye3.0性能测试结果及其分析 【程序编程相关:IDS入侵特征库创建实例解析（2）】

【推荐阅读:IDS入侵特征库创建实例解析(1)】

　　　　为了从不同侧面详尽地反映出防火墙的性能,我们分别测试了防火墙允许的最大数据流量.加载不同规则时对网络传输性能的影响与加载不同条数的ip包过滤规则时对网络传输性能的影响. 【扩展信息:入侵检测系统：理论和实践】

　　

　　

　　桥模式 路由模式

　　最大数据流量（双向） 151mbps 150mbps

　　最大数据流量（单向） 91.5mbps 90mbps

　　最大包流量 19143个/秒 19012个/秒

　　最大连接数 120,000条 120,000条

　　　　通过已有的工具软件http_load与自己编制的工具软件两种方法,对防火墙在两种工作模式（路由,网桥）的性能指标进行测试.测试原理是采用客户机向服务器发请求建立tcp连接,然后读取服务器发来的数据（服务器发送大量数据,尽量填满每一个包）并记录接收数据的速度.测试过程中对两个区（内－外,内－dmz,dmz－外）有数据流与三个区同时有数据流都进行了测试,测试结果显示防火墙的最大数据流量为91.022mbps.

　　　　应用自己编写的软件（客户机服务器模式）进行测试.测试原理是服务器向客户机发送尽量小的udp数据包,客户端接收数据包,并记录收包速度.测试过程中对两个区（内－外,内－dmz,dmz－外）有数据包与三个区同时有数据包都进行了测试,桥模式与路由模式下每秒允许通过的最大数据包数分别为15143个与15012个.

　　　　（2）防火墙对网络性能的影响:为了准确地把握防火墙对网络传输性能的影响,对无防火墙时网络的数据流量（外网的hub与内网的交换机直接相连）与有防火墙（ｉｐ过滤规则规则数为18条,无nat转换规则,无ipmac绑定规则）时的数据流量进行了测试比较,同时还测试了给防火墙加上nat与mac与ip地址绑定功能时的数据流量（ｎａｔ与ｉｐｍａｃ绑定规则数均为6条）.

　　　　内网与dmz区的多个客户向外网的多台服务器发出http请求,不断增加客户机的数目就可以增加通过防火墙的数据流量,使用的工具为http_load,此时在服务器上编写的文件为大小均匀分部的多个文件（为了接近实际应用）.

　　neteye3.0数据流量

　　　　防火墙对数据流量影响较小,加载nat转换规则与ip与mac绑定规则时对通过防火墙的数据流量影响也不大.

　　3.ip过滤规则数对防火墙性能的影响:

　　　　防火墙的ｉｐ过滤规则数对通过防火墙的数据流量的影响通过下图可以体现:

　　客户机数100个,无nat转换,无ip与mac绑定

　　由上图可见规则数对防火墙的性能有一定的影响,但考虑到一般用户加载的规则数不会太多,因此在实际应用中并不会给防火墙的性能造成太大的影响.

　　四.电信运营网面临的网络安全问题

　　　　针对电信实际网络环境,系统设置防火墙后,防火墙系统应该对网络提供各种保护,主要包括以下几方面的内容:

　　1. 拒绝非法访问 neteye可以通过多种方式使非法访问的数据包在到达主机之前就遭到拒绝.

　　2.地址过滤 neteye3.0可以通过定义源地址与目标地址的范围将来自非法网段与主机的访问拒之门外.如骨干网络中的办公网段上的部分主机由于要获得其他办公网所有数据的查询而需要访问其他网段,那么我们可以在防火墙上定义只有这几台主机的ip地址可以访问其他网,而来自其他网段上的ip地址的访问将被拒绝.

　　3.访问发起位置的判断 有些黑客攻击行为可以通过改变数据包的源地址来取得主机服务器.由于neteye严格定义了内网与外网,所以来自外部网络的数据包即使将源地址伪装成内部网络的地址,该访问也会被拒绝.该功能可以有效防止来自外部网络基于ip欺骗的攻击行为.

　　4.过滤网络服务请求 网络中有些工作站是被允许与主机通讯的,但是通讯的内容应该受到限制.如网点可以访问生产网的主机,但是通讯内容应仅限于一些特定的服务.如果从网点发来其他应用的请求,防火墙会拒绝此类访问.

　　5.系统认证---一次性口令认证 系统设置了防火墙后,用户可以在防火墙上针对某些服务定义强制用户认证.当特定访问请求的数据包到达防火墙时,防火墙会要求用户输入usrname与password,只有通过了防火墙的认证后,访问请求才会发往目的主机.该功能对于系统管理十分有用.系统管理常用的telnet.ftp等网络服务在通过防火墙时应该要求认证.防火墙的认证功能与主机上的认证相比功能更加强大.首先,在防火墙上认证可以在访问到达主机前就验证用户身份,避免了针对主机的usrname与password猜测;其次,在防火墙上认证可以实现认证工作的集中管理;另外,除简单的usrname.password认证方式外,防火墙还支持radius认证,使认证的过程更加安全.根据吉通金桥目前的情况,neteye支持radius认证可以与吉通金桥内部的radius认证服务器协同工作.

　　6.日志功能 neteye工作在数据链路层,是外部网络与内部网络之间的中介,维护内部往来与外部网络及dmz区间之间的通讯.因此,防火墙可以对通过通过防火墙的所有数据进行全面的记录.neteye健壮的日志功能,可以记录通讯过程的所有内容,如访问的发起方.访问的事件.传输的数据量.访问执行的具体操作以及哪些访问通过了防火墙哪些没能通过防火墙.便于用户对日志文件进行分析,统计发现防火墙安全策略上存在的问题.同时可以分析网络流量.

　　7.实时报警功能: neteye提供及时的管理端与e_mail报警的功能,一旦内部网络遭到攻击或者防火墙遭到攻击,系统会及时给网络管理人员发送报警消息,同时采取相应的安全措施. 8.支持vlan的领先技术: neteye可以很好的支持划分vlan的环境,特别是可以在设置trunk的端口安装防火墙,目前尚未发现其他产品具有类似功能.吉通金桥网络中使用vlan划分子网十分普遍,支持trunk的防火墙在部署上会带来非常大的方便性,如不需要增加端口的占用数量,不需要修改网络结构,只需要一个防火墙就可以控制多个vlan间的访问等. 充分考虑电信企业实际网络环境情况下,我们推荐采用neteye作为电信运营网络中的防火墙产品.

　　2 入侵检测产品与安全扫描产品 随着internet/intranet技术的飞速发展与广泛应用,网络安全问题愈来愈突出,已成为本世纪末下世纪初的一大技术热点.黑客技术的公开与有组织化,以及网络的开放性使得网络受到攻击的威胁越来越大.而我们对这一问题的严重性的认识与所具备的应付能力还远远不够.通常人们对内部网络的安全程度不了解,而实际情况是网络中的隐患到处都是;网络的环境在不断变化,加上管理不当,应用人员水平参差不齐,没有有效的方式控制网络的安全状况,我们理想中的安全与实际的安全程度存在巨大的安全缝隙.

　　　　随着业务的拓展,网络不断的扩展与日趋复杂,对外服务不断增多,因此保障网络的安全运行是非常重要的.如果网络在安全方面稍微有点漏洞,就有可能被黑客抓住,捣毁数据及网络,这样就会影响网络业务正常运行,直接带来无法估量的经济损失.

　　　　面对动态的.复杂的网络环境,传统的静态技术,如防火墙.加密与认证等已经远远不能有效地保护网络,人们需要一种能够动态地适应网络变化的安全技术.iss公司率先提出了"可适应网络安全管理体系",并已在全球3000家客户的大型网络中实施,其管理思想及产品的功能与性能得到了广泛的认可.

　　　　在这种情况下,东大阿尔派针对金桥网络复杂.庞大不易管理的特点,跟踪国际先进安全技术,决定在电信企业安全解决方案中选用国际最著名的网络安全公司-iss公司的入侵检测产品--realsecure与风险评估.漏洞检测产品--internet system scanner.

　　　　备选方案为美国computer associates公司的etrust intrusion detection产品与东大阿尔派的入侵检测产品neteye ids.

　　一.入侵检测技术简介 大多数传统入侵检测系统（ids）采取基于网络或基于主机的办法来辩认并躲避攻击.在任何一种情况下,该产品都要寻找"攻击标志",即一种代表恶意或可疑意图攻击的模式.当ids在网络中寻找这些模式时,它是基于网络的.而当ids在记录文件中寻找攻击标志时,它是基于主机的.每种方法都有其优势与劣势,两种方法互为补充.一种真正有效的入侵检测系统应将二者结合.本节讨论了基于主机与基于网络入侵检测技术的不同之处,以说明如何将这二种方式融合在一起,以提供更加有效的入侵检测与保护措施.

　　（1）基于网络的入侵检测

　　　　基于网络的入侵检测系统使用原始网络包作为数据源.基于网络的ids通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务.它的攻击辩识模块通常使用四种常用技术来识别攻击标志: ·模式.表达式或字节匹配 ·频率或穿越阀值 ·低级事件的相关性 ·规统学意义上的非常规现象检测

　　　　一旦检测到了攻击行为,ids的响应模块就提供多种选项以通知.报警并对攻击采取相应的反应.反应因产品而异,但通常都包括通知管理员.中断连接并且/或为法庭分析与证据收集而做的会话记录.

　　（2）基于主机的入侵检测

　　　　基于主机的入侵检测出现在80年代初期,那时网络还没有今天这样普遍.复杂,且网络之间也没有完全连通.在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作.由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击.

　　　　现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选择合适的方法去抵御未来的攻击.基于主机的ids仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术.通常,基于主机的ids可监探系统.事件与window nt下的安全记录以及unix环境下的系统记录.当有文件发生变化时,ids将新的记录条目与攻击标记相比较,看它们是否匹配.如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施.

　　　　基于主机的ids在发展过程中融入了其它技术.对关键系统文件与可执行文件的入侵检测的一个常用方法,是通过定期检查校验与来进行的,以便发现意外的变化.反应的快慢与轮询间隔的频率有直接的关系.最后,许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警.这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中.

　　（3）将基于网络与基于主机的入侵检测结合起来 基于网络与基于主机的ids方案都有各自特有的优点,并且互为补充.因此,下一代的ids必须包括集成的主机与网络组件.将这两项技术结合,必将大幅度提高网络对攻击与错误使用的抵抗力,使安全策略的实施更加有效,并使设置选项更加灵活.

　　　　有些事件只能用网络方法检测到,另外一些只能用主机方式检测到,有一些则需要二者共同发挥作用,才能检测到.

　　2.iss公司简介（internet security systems）

　　　　iss公司（国际互联网安全系统）是业界领先的可适应性网络安全系统方案供应商.它为企业之间的信息传递提供了一流的安全保护方案.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：