防火墻系統(tǒng)性能與安全性測試系統(tǒng)可行性研究報(bào)告

1 金廬 可 行 性 研 究 報(bào) 告 南昌金廬軟件園軟件評測培訓(xùn)有限公司 二零零六年四月八日 2 目 錄 第一章 總 論 . 3 . 3 稱 . 3 辦單位 . 3 目法人代表 . 3 辦單位概況 . 3 . 4 3項(xiàng)目背景 . 4 4項(xiàng)目概述 . 5 第二章 項(xiàng)目的整體框架和實(shí)施計(jì)劃 . 8 1系統(tǒng)設(shè)計(jì)思路 . 8 2系統(tǒng)設(shè)計(jì)原則 . 9 3總體設(shè)計(jì) . 9 4. 項(xiàng)目主要研究內(nèi)容 . 13 . 16 . 17 . 18 實(shí)環(huán)境模擬技術(shù) . 18 火墻 流量控制測試技術(shù) . 18 火墻包轉(zhuǎn)發(fā)性能測試技術(shù) . 18 火墻安全測試技術(shù) . 18 全測試完善技術(shù) . 19 . 19 能分析硬件環(huán)境 . 19 件環(huán)境 . 19 第三章 綜合評價(jià)及結(jié)論 . 20 3 金廬 可行性研究報(bào)告 第一章 總 論 稱 金廬 辦單位 南昌金廬軟件園軟件評測培訓(xùn)有限公司 目法人代表 姓名：王利春 南昌金廬軟件園軟件評測培訓(xùn)有限公司 董事長 辦單位概況 公司擁有一支訓(xùn)練有素、經(jīng)驗(yàn)豐富的測 試工程師隊(duì)伍，配備種類齊全的硬件設(shè)備，搭建了國際水平的軟件測試平臺(tái)，能夠?qū)蛻?/服務(wù)器結(jié)構(gòu)的軟件，基于 用軟件，嵌入式軟件以及其它應(yīng)用軟件，按照國標(biāo)、 相關(guān)標(biāo)準(zhǔn)，進(jìn)行常規(guī)確認(rèn)測試、驗(yàn)收測試、鑒定測試、性能測試及高級確認(rèn)測試等。同時(shí)，我們還積極與國內(nèi)外權(quán)威測試機(jī)構(gòu)加強(qiáng)合作和交流，不斷提高自身的管理水平和技術(shù)水平，跟蹤國際尖端技術(shù)，逐步拓展服務(wù)領(lǐng)域。公司秉承 4 金廬軟件園服務(wù)至上的理念，提倡“社會(huì)效益第一，經(jīng)濟(jì)效益第二”，為客戶提供優(yōu)質(zhì)服務(wù)。并保證以公正的行為、科學(xué)的手段，準(zhǔn)確 的結(jié)果服務(wù)于企業(yè)，為優(yōu)秀的軟件產(chǎn)品進(jìn)入市場、參與國際競爭，貢獻(xiàn)我們的力量。 近年來，防火墻產(chǎn)品在許多信息技術(shù)應(yīng)用領(lǐng)域得到了廣泛的應(yīng)用，防火墻技術(shù)也得到了較大的發(fā)展，怎樣正確評價(jià)防火墻系統(tǒng)質(zhì)量，一直是信息化領(lǐng)域非常關(guān)心的問題，同樣在國內(nèi)外仍然是一個(gè)新的領(lǐng)域。 到目前為止，尚未發(fā)現(xiàn)市場上銷售國外的將防火墻系統(tǒng)的性能測試與安全性測試集成在一起的系統(tǒng) (產(chǎn)品 )，安全性測試的國內(nèi)產(chǎn)品空缺，而僅有性能測試的產(chǎn)品有售，但大多價(jià)格不菲而且技術(shù)保密，無自主知識產(chǎn)權(quán)。本防火墻系統(tǒng)性能與安全測試性測試系統(tǒng)就 是基于這樣的一個(gè)目的研制并開發(fā)實(shí)現(xiàn)的。 3項(xiàng)目背景 根據(jù)歐洲安全機(jī)構(gòu)統(tǒng)計(jì)，現(xiàn)在有 90以上的病毒是通過 件和 頁瀏覽進(jìn)行傳播的。病毒通過常用的網(wǎng)絡(luò)端口（ 80、 110）可以輕易進(jìn)入到公司的內(nèi)部網(wǎng)絡(luò)，如果接收人沒有在客戶端安裝殺毒軟件或殺毒軟件沒有及時(shí)得到升級，病毒就會(huì)馬上感染主機(jī)，并在網(wǎng)絡(luò)內(nèi)進(jìn)行瘋狂的傳播和破壞，這種情況在近年來己經(jīng)愈演愈烈了。每當(dāng)新的網(wǎng)絡(luò)病毒爆發(fā)，企業(yè)的網(wǎng)管人員就會(huì)疲于奔命。面對這樣的網(wǎng) 5 絡(luò)應(yīng)用狀況，用戶非常希望擁有一種可以將病毒拒之于網(wǎng)外的安全網(wǎng)關(guān)類產(chǎn)品。而對于這些網(wǎng)關(guān)類產(chǎn) 品是否真的能切實(shí)保障安全，則需要有專門的對安全產(chǎn)品進(jìn)行輔助評測和驗(yàn)證的軟件。 防火墻技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)受到廣泛重視。目前，國際上較多應(yīng)用的測試標(biāo)準(zhǔn)和規(guī)范主要是 美國 、歐洲、加拿大 的安全評測標(biāo)準(zhǔn) 和 國際通用準(zhǔn)則 (我國自 1978 年加入國際標(biāo)準(zhǔn)化組織（ ，尤其是 1989 年實(shí)施 “ 標(biāo)準(zhǔn)化法 ”以來，以 國家信息安全測評認(rèn)證中心 為首的單位 參與制訂 了多項(xiàng)有關(guān) 信息安全標(biāo)準(zhǔn)化 的國家標(biāo)準(zhǔn)。 在測試手段上，防火墻產(chǎn)品的功能測試項(xiàng)目是針對送檢產(chǎn)品的功能而言的，不同供應(yīng)商提供的產(chǎn)品 (系統(tǒng) )功能各異。測試人員必須對送 檢產(chǎn)品功能詳細(xì)說明書中所聲稱的各項(xiàng)功能進(jìn)行詳細(xì)的測試和驗(yàn)證。然而，用手工進(jìn)行防火墻系統(tǒng)的性能及安全性進(jìn)行檢測是不現(xiàn)實(shí)的也是不可靠的，為了在測試中獲得真實(shí)性和一致性，必須借助于防火墻系統(tǒng)的自動(dòng)檢測工具。國內(nèi)的大多數(shù)測評機(jī)構(gòu)對防火墻系統(tǒng)的安全性測試是借助 一些開放軟件來進(jìn)行的。這種開放軟件的特點(diǎn)是功能強(qiáng)大，測試也比較全面，不足之處是對有關(guān)產(chǎn)品的使用各自為政，難以形成統(tǒng)一的測試規(guī)范。產(chǎn)學(xué)研合作，與學(xué)院共同研發(fā)，我公司擁有知識產(chǎn)權(quán)的金廬 B/T 18019息技術(shù)包過濾防火墻安全技術(shù)要求、 18020息技術(shù)應(yīng)用級防火墻安全技術(shù)要求而設(shè)計(jì)開發(fā)的，對于國家安全具有極其重大的意義。 4項(xiàng)目概述 近年來，防火墻產(chǎn)品在許多信息技術(shù)應(yīng)用領(lǐng)域得到了廣泛的應(yīng)用，防火墻技術(shù)也得到了較大的發(fā)展，怎樣正確評價(jià)防火墻系統(tǒng)質(zhì)量， 6 一直是信息化領(lǐng)域非常關(guān)心的問題，同樣在國內(nèi)外仍然是一個(gè)新的領(lǐng)域。 “基于性能與安全性測試的防火墻質(zhì)量評價(jià)系統(tǒng)”是主要針對防火墻產(chǎn)品的質(zhì)量評價(jià)軟件，主要包括了防火墻性能測試子系統(tǒng)、防火墻安全測試子系統(tǒng)以及自動(dòng)化報(bào)告分析系統(tǒng)等 。在性能測試方面能夠根據(jù)具體待測防火墻，模擬配置相應(yīng)測試環(huán)境，并且可以把一個(gè)客戶機(jī)模擬成多個(gè)客戶機(jī)，達(dá)到模擬真實(shí)環(huán)境的效果。同時(shí)，還可以動(dòng)態(tài)設(shè)置網(wǎng)絡(luò)中服務(wù)的分配比例和網(wǎng)絡(luò)流量分配比例。并且獲取多種不同網(wǎng)絡(luò)環(huán)境下得到的性能參數(shù)，并進(jìn)一步進(jìn)行對比分析得出防火墻的性能報(bào)告。 真實(shí)環(huán)境模擬技術(shù)。 以真實(shí)的業(yè)務(wù)為依據(jù)，選擇有代表性的、關(guān)鍵的業(yè)務(wù)操作設(shè)計(jì)測試案例，以評價(jià)防火墻系統(tǒng)的當(dāng)前性能；通過自動(dòng)負(fù)載測試，在一臺(tái)或幾臺(tái) 上模擬成百或上千的虛擬用戶同時(shí)執(zhí)行業(yè)務(wù)，重復(fù)執(zhí)行和運(yùn)行測試，可以確認(rèn)防火墻性能瓶頸并優(yōu)化和調(diào)整 應(yīng)用，確保啟動(dòng)各項(xiàng)功能的同時(shí)防火墻能夠達(dá)到高性能。 性能測試依據(jù)。 通過對網(wǎng)絡(luò)中的 址、用戶、服務(wù)、時(shí)間、協(xié)議等進(jìn)行流量統(tǒng)計(jì)，并可以與管理器界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果，從而分析網(wǎng)絡(luò)中的運(yùn)行情況，形成防火墻流量控制性能。另外，性能測試是參照 議，從包轉(zhuǎn)發(fā)性能和開發(fā)連接數(shù)對防火墻的性能進(jìn)行評測，其中防火墻包轉(zhuǎn)發(fā)性能包括吞吐量、延遲、丟失包 7 和背對背包等。 動(dòng)態(tài)加載安全測試軟件功能，可以使測試系統(tǒng)在安全測試方面得到不斷更新和完善，達(dá)到更為全面地對防火墻性能進(jìn)行測試的目的。 防火墻測試 技術(shù)是一項(xiàng)全新的技術(shù)，尤其是在性能測試方面，我國尚無成熟產(chǎn)品出現(xiàn)。該防火墻性能測試系統(tǒng)能夠在模擬真實(shí)環(huán)境下對防火墻進(jìn)行 “ 每秒的處理連接速率 ” 、 “ 最大并發(fā)連接總數(shù) ” 、“ 有無防火墻的性能下降百分比 ” 以及 “ 啟用和禁用 能后的性能下降百分比 ” 等幾種重要的性能參數(shù)的測試。 “基于性能與安全性測試的防火墻質(zhì)量評價(jià)系統(tǒng)”所采用的核心技術(shù) “防火墻性能與安全性測試系統(tǒng)”，由國家權(quán)威評測機(jī)構(gòu)中國國家信息安全產(chǎn)品測評認(rèn)證中心華中測評中心測試通過。該系統(tǒng)在防火墻的測試方面，具有實(shí)用、先進(jìn)、穩(wěn)定等特點(diǎn)，填補(bǔ)了我國防火墻產(chǎn) 品多項(xiàng)質(zhì)量特性一站式評價(jià)的空白，創(chuàng)新我省乃至我國防火墻產(chǎn)品一站式自動(dòng)測試與評價(jià)技術(shù)，同時(shí)提高了工作效率和工作質(zhì)量。 科技成果鑒定表明，該系統(tǒng)實(shí)現(xiàn)了基于模擬真實(shí)環(huán)境的防火墻產(chǎn)品的性能和安全性測試與評價(jià)，達(dá)到了國內(nèi)領(lǐng)先水平。 8 第二章 項(xiàng)目的整體框架和實(shí)施計(jì)劃 1系統(tǒng)設(shè)計(jì)思路 隨著我國對科技工作的重視，軟件產(chǎn)業(yè)的發(fā)展越來越迅速。 當(dāng)前我國經(jīng)濟(jì)迅速發(fā)展，對計(jì)算機(jī)軟件提出了大量要求，從國防、航空航天到財(cái)務(wù)金融、從工程設(shè)計(jì)、交通通訊到農(nóng)業(yè)和普通的民用產(chǎn)品都需要開發(fā)高質(zhì)量的軟件。特別是一些大型 項(xiàng) 目，以及涉及到 國家安全、公眾利益的所謂關(guān)鍵軟件，必須保證高可靠性和安全保密性。這些軟件的開發(fā)必須得到質(zhì)量管理和質(zhì)量保證措施的支持。 由于雅虎，微軟， 大型網(wǎng)站接二連三遭到黑客入侵，加上各大媒體的宣傳，防火墻愈發(fā)受到用戶認(rèn)識和青睞，防火墻生產(chǎn)廠商正在大幅度增加市場銷售額。而且防火墻在一段時(shí)期之內(nèi)仍會(huì)出現(xiàn)銷量猛增的局面，其增長的動(dòng)力主要來源于中小型企業(yè)以及家用電腦用戶。今后幾年這一增長趨勢還將繼續(xù)， 以往防火墻主要針對網(wǎng)上交易頻繁且易受黑客攻擊的大型企業(yè)和保密性強(qiáng)的機(jī)構(gòu)，許多安全 產(chǎn)品廠商只是重視大型網(wǎng)絡(luò)安全，對個(gè)人安全市場比較忽視。但隨著黑客攻擊事件的不斷增加（現(xiàn)在世界上平均每 20 秒就有一起黑客事件發(fā)生）和人們對黑客攻擊嚴(yán)重性的意識與日俱增，這種情況近期被打破，防火墻廠商開始研發(fā)低價(jià)位產(chǎn)品。所謂未雨綢繆，許多小型企業(yè)和個(gè)人用戶也開始購買防火墻。 防火墻技術(shù)作為網(wǎng)絡(luò)安全中的一項(xiàng)重要技術(shù)受到廣泛重視。但是到目前為止，尚未發(fā)現(xiàn)市場上銷售國外的將防火墻系統(tǒng)的性能測試與 9 安全性測試集成在一起的系統(tǒng) (產(chǎn)品 )，安全性測試的國內(nèi)產(chǎn)品空缺，而僅有性能測試的產(chǎn)品有售，但大多價(jià)格不菲而且技術(shù)保密，無自主知 識產(chǎn)權(quán)。本防火墻系統(tǒng)性能與安全測試性測試系統(tǒng)就是基于這樣的一個(gè)目的研制并開發(fā)實(shí)現(xiàn)的。 2系統(tǒng)設(shè)計(jì)原則 操作方便原則； 先進(jìn)性原則； 響應(yīng)快速原則； 可擴(kuò)充性原則； 功能封裝原則； 3總體設(shè)計(jì) 防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備，其主要目的就是保證對合法流量的保護(hù)和對非法流量的抵御。為了適應(yīng)網(wǎng)絡(luò)攻擊技術(shù)的變化和防火墻技術(shù)的迅猛發(fā)展態(tài)勢，在網(wǎng)絡(luò)帶寬不斷提速升級的趨勢下，處于網(wǎng)絡(luò)末端的防火墻的性能對最終用戶所能得到的實(shí)際帶寬具有決定性的影響。因此，防火墻的性能測試要求在模擬真 實(shí)環(huán)境測試，以便在測試時(shí)考察其在真實(shí)環(huán)境中的表現(xiàn)，這樣測試出來的數(shù)據(jù)才有實(shí)際意義。研究并開發(fā)的“基于性能與安全性測試的防火墻質(zhì)量評價(jià)系統(tǒng)”是基于市場用戶的應(yīng)用需求，并結(jié)合具體的分組過濾防火墻及應(yīng)用代理防火墻的產(chǎn)品特點(diǎn)，能達(dá)到公正、全面地評價(jià)此類安全產(chǎn)品 10 的目的。 系統(tǒng)的實(shí)現(xiàn)主要分三個(gè)子系統(tǒng)進(jìn)行，即性能測試子系統(tǒng)、安全測試子系統(tǒng)和自動(dòng)化報(bào)告分析系統(tǒng)。分別用來對防火墻系統(tǒng)的性能和安全性作測試及自動(dòng)化報(bào)告文件和個(gè)性化模版。 防火墻性能測試系統(tǒng)采用客戶 /服務(wù)器的應(yīng)用模式。我們將系統(tǒng)的組織結(jié)構(gòu)從功能角度分為三個(gè)組成部分 ，管理器（ 客戶應(yīng)用程序（ 及通信線程應(yīng)用程序（ 管理器用來生成任務(wù)表、發(fā)送任務(wù)表、接收測試數(shù)據(jù)、分析測試數(shù)據(jù)和顯示、打印報(bào)告；客戶應(yīng)用程序的主要功能是接收任務(wù)表、填寫協(xié)議參數(shù)、記錄測試數(shù)據(jù)、發(fā)送測試數(shù)據(jù)和顯示測試進(jìn)度；通信線程程序的主要功能是完成創(chuàng)建測試線程、連接登錄服務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù)據(jù)格式和接收測試數(shù)據(jù)。系統(tǒng)結(jié)構(gòu)及功能如下表所示： 組件 功能 安裝位置 管理器（ 生成任務(wù)表、發(fā)送任務(wù)表、接收測試數(shù)據(jù)、分析測試數(shù)據(jù)和顯示打印報(bào)告 模擬測試 環(huán)境中內(nèi)網(wǎng)(一臺(tái)服務(wù)器上。（參考圖 備環(huán)境，下同） 客戶應(yīng)用程序（ 接收任務(wù)表、填寫協(xié)議參數(shù)、記錄測試數(shù)據(jù)、發(fā)送測試數(shù)據(jù)和顯示測試進(jìn)度 模擬測試環(huán)境中內(nèi)網(wǎng)(非軍事區(qū)(外網(wǎng) (的客戶機(jī)上。 通信線程程序（ 創(chuàng)建測試線程、連接登錄服務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù)據(jù)格式轉(zhuǎn)換和接收測試數(shù)據(jù) 與客戶應(yīng)用程序安裝位置相同，并被其調(diào)用。 管理器的功能復(fù)雜，在完成各種參數(shù)設(shè)置，對防火墻系統(tǒng)進(jìn)行性 11 能測試，對相應(yīng)的測試結(jié)果進(jìn)行統(tǒng)計(jì)分 析并且生成性能測試報(bào)告輸出，主要功能模塊可用圖 1 表示： 圖 1：管理器系統(tǒng)性能測試功能 本評價(jià)系統(tǒng)的安全測試子系統(tǒng)大體上分為是對防火墻系統(tǒng)進(jìn)行安全掃描和對其進(jìn)行安全攻擊，安全掃描和安全攻擊同時(shí)又包括了當(dāng)前主要的幾種針對網(wǎng)絡(luò)安全測試的多種工具，從而達(dá)到對測試對象的安全性的測試，其主要功能模塊可用圖 2 表示： 圖 2：管理器系統(tǒng)安全性測試功能 12 同時(shí)本評測系統(tǒng)為了達(dá)到對防火墻安全性更全面的測試與評價(jià)，以適應(yīng)當(dāng)前的高速防火墻安全測試技術(shù)和網(wǎng)絡(luò)安全測試技術(shù)，提供能夠加載各種更新的測試軟件的功能，使本系統(tǒng)的安全測 試功能不斷增強(qiáng)。 系統(tǒng)性能測試流程： 根據(jù)具體的測試環(huán)境對服務(wù)器進(jìn)行設(shè)置； 服務(wù)器根據(jù)具體設(shè)計(jì)生產(chǎn)任務(wù)表； 服務(wù)器發(fā)送任務(wù)表到客戶端； 客戶端程序根據(jù)任務(wù)表進(jìn)行相應(yīng)服務(wù)器訪問 客戶端把接訪問結(jié)果生產(chǎn)文件發(fā)送至服務(wù)器 服務(wù)器發(fā)送測試或結(jié)束測試命令； 服務(wù)器對接收到的數(shù)據(jù)統(tǒng)計(jì)并分析生成測試報(bào)表； 以單一或匯總方式顯示測試報(bào)表 13 4. 項(xiàng)目主要研究內(nèi)容 項(xiàng)目研究內(nèi)容及涉及的關(guān)鍵技術(shù)及技術(shù)指標(biāo)描述 防火墻系統(tǒng)性能與安全性測試系統(tǒng)主要包括以下子系統(tǒng) ： (1)防火墻性能測試子系統(tǒng) (2)防火墻安全性能測試子系統(tǒng)。 防火墻性能測試子系統(tǒng)的測試平臺(tái)控制流程圖如圖 5 所示： 發(fā)送 設(shè)置客戶機(jī) 任務(wù)表 生成 客戶機(jī)群 測試數(shù)據(jù) 測試狀態(tài)碼 發(fā)送 顯示、打印測試報(bào)告 檢測測 試狀態(tài) 測試命令碼 客戶機(jī)測試數(shù)據(jù)文件 打包 接收 分析 測試結(jié)果報(bào)告數(shù)據(jù)文件 任務(wù)表 文件 14 圖 5：防火墻性能測試子系統(tǒng)的測試平臺(tái)控制流程圖 安全測試子系統(tǒng)的測試平臺(tái)控制流程圖如圖 6 所示： 圖 6：安全測試子系統(tǒng)的測試平臺(tái)控制流程圖 （ 1）防火墻性能測試子系統(tǒng) 防火墻性能測試子系統(tǒng)能夠根據(jù)具體待測防火墻，模擬配置相應(yīng)測試環(huán)境，并且可以把一個(gè)客戶機(jī)模擬成多個(gè)客戶機(jī)，達(dá)到模擬真實(shí)環(huán)境的效果。同時(shí)，還可以動(dòng)態(tài)設(shè)置網(wǎng)絡(luò)中服務(wù)的分配 比例和網(wǎng)絡(luò)流量分配比例。并且獲取多種不同網(wǎng)絡(luò)環(huán)境下得到的性能參數(shù)，并進(jìn)一步進(jìn)行對比分析得出防火墻的性能報(bào)告。 （ 2）防火墻安全性測試子系統(tǒng) 防火墻安全性測試子系統(tǒng)集成了幾種主要安全測試工具，能針對 15 有防火墻保護(hù)的網(wǎng)絡(luò)進(jìn)行安全測試，從而測試防火墻的部分安全性。動(dòng)態(tài)加載安全測試軟件功能，可以使測試系統(tǒng)在安全測試方面得到不斷更新和完善，達(dá)到更為全面地對防火墻安全性進(jìn)行測試的目的。 （ 1）計(jì)算機(jī)網(wǎng)絡(luò) 利用計(jì)算機(jī)局域網(wǎng)和廣域網(wǎng)絡(luò)，進(jìn)行命令和數(shù)據(jù)的實(shí)時(shí)傳輸，以標(biāo)準(zhǔn)通用的 P 網(wǎng)絡(luò)傳輸協(xié)議 為主，確保信息傳輸?shù)目煽空_。 （ 2） C/S 模式 隨著計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用和分布協(xié)議同工作的需求，以數(shù)據(jù)為中心的應(yīng)用系統(tǒng)采用客戶 /服務(wù)體系結(jié)構(gòu)，即 C/S 模式?？蛻?/服務(wù)器結(jié)構(gòu)包括連接在一個(gè)網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)。那些處理應(yīng)用程序，請求另一計(jì)算機(jī)服務(wù)的計(jì)算機(jī)稱為客戶機(jī) (而處理數(shù)據(jù)的計(jì)算機(jī)稱為服務(wù)器 (所有用戶都擁有他們自己的計(jì)算機(jī)來處理應(yīng)用程序。 （ 3）網(wǎng)絡(luò)通信編程技術(shù) 系統(tǒng)采用微軟公司的 + 開發(fā)。由于它采用了更好的粒度和更少的代碼負(fù)載，其基本類庫 (行 很快，應(yīng)用程序本身也可以隨 自動(dòng)升級。要達(dá)到設(shè)計(jì)目的，必須用通信程序來模擬合適的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。而要實(shí)現(xiàn)客戶機(jī) /服務(wù)器方式的計(jì)算機(jī)通信，對于 用 程是一種比較普遍的選擇。筆者選用了 行套接字水平的編程。 過“套接字”使不同的應(yīng)用程序可跨網(wǎng)通信。微軟基本類 ( 復(fù)雜性封裝到類里，這使得編寫應(yīng)用程序更容易。 （ 4）多線程、多進(jìn)程通信仿真模擬技術(shù)。 創(chuàng)建測試線程、連接登錄服 務(wù)器、發(fā)送測試數(shù)據(jù)、數(shù)據(jù)格式轉(zhuǎn)換和接收測試數(shù)據(jù)。 （ 5）網(wǎng)絡(luò)安全測試技術(shù) 當(dāng)前已經(jīng)存在的各種針對網(wǎng)絡(luò)安全的安全掃描工具和網(wǎng)絡(luò)安全攻擊工具。 16 性能測試主要是分測試服務(wù)器和測試客戶端。 測試服務(wù)器的技術(shù)主要有測試環(huán)境設(shè)置和測試客戶端的任務(wù)（網(wǎng)絡(luò)服務(wù)）分配和協(xié)調(diào)運(yùn)行和總體測試報(bào)告的生成；建立合理的環(huán)境設(shè)置結(jié)構(gòu)和任務(wù)分配模式和運(yùn)行統(tǒng)一控制技術(shù)和測試報(bào)告結(jié)構(gòu)的合理生成；防火墻性能測試平臺(tái)如圖 7 所示。 圖 7：防火墻性能測試平臺(tái) 測試客戶端的主要有任務(wù)的執(zhí)行和性能信息的收集； 安全測試 子系統(tǒng)，由于安全測試和攻擊的多樣和復(fù)雜性，系統(tǒng)主要集成常見和基本的安全掃描測試和攻擊測試方法，同時(shí)提供外部測試攻擊的接口對于外部程序進(jìn)行掛接。防火墻安全性測試平臺(tái)如圖 8所示。 圖 8：防火墻安全性測試平臺(tái) 17 設(shè)計(jì)思想依據(jù) 金廬 對防火墻系統(tǒng)的性能和安全性進(jìn)行比較全面的測試，同時(shí)由于防火墻測試技術(shù)以及網(wǎng)絡(luò)安全技術(shù)是在不斷發(fā)展的，為了使系統(tǒng)在測試的準(zhǔn)確和全面等方面能得到隨時(shí)更新，特別表現(xiàn)在防 火墻的安全測試方面。 主要參考文獻(xiàn)如下： 1、防火墻安全測試系統(tǒng)的研究與實(shí)現(xiàn) 湯文亮 丁振凡 等 華東交通大學(xué)學(xué)報(bào) 2002， 19（ 3） 68 文中介紹了防火墻安全測試的內(nèi)容以及防火墻安全測試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，并對系統(tǒng)中采用的安全測試方法如信息收集、系統(tǒng)破解、拒絕服務(wù)攻擊、特洛伊木馬、 洞攻擊等進(jìn)行了原理分析，闡述了使用 +具體實(shí)現(xiàn)該系統(tǒng)的若干關(guān)鍵技術(shù)。 2、應(yīng)用級防火墻測試規(guī)范的研究 湯文亮 李正凡 華東交通大學(xué)學(xué)報(bào) . 2001， 18（ 4） 68 文中介紹應(yīng)用級防火墻產(chǎn)品的產(chǎn)生是源于信息網(wǎng)絡(luò)安全的需求，而測試為產(chǎn)品的評估和認(rèn)可提供了最可信的依據(jù)，因此，有必要對這類產(chǎn)品的測試作較為深入的研究。本論文描述了測試應(yīng)用級防火墻所依據(jù)的測試準(zhǔn)則以及測試中常用的工具，并對應(yīng)用級防火墻測試體系作了較為詳細(xì)的論述。 3、基于模擬真實(shí)環(huán)境的防火墻性能測試系統(tǒng)的實(shí)現(xiàn) 湯文亮 袁可風(fēng) 丁振凡 華東交通大學(xué)學(xué)報(bào) . 2005， 02火墻產(chǎn)品的性能測試對于用戶選購和正確配置防火墻有重要的指導(dǎo)意義。本文介紹的防火墻性能測試系統(tǒng)是一種基于模擬真實(shí)環(huán)境測試防火 墻產(chǎn)品性能的測試工具，文章對該測試系統(tǒng)的具體實(shí)現(xiàn)作了較詳細(xì)的論述。 關(guān)鍵技術(shù)實(shí)現(xiàn)的依據(jù) 18 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、客戶 /服務(wù)體系技術(shù)、網(wǎng)絡(luò)通訊編程技術(shù)、網(wǎng)絡(luò)安全測試技術(shù)等技術(shù)標(biāo)準(zhǔn)。 以下各項(xiàng)主要技術(shù)用于防火墻性能與安全測試系統(tǒng)的關(guān)鍵部位，解決了防火墻性能和安全性測試中的關(guān)鍵問題。其中關(guān)鍵技術(shù)包括： 實(shí)環(huán)境模擬技術(shù) 以真實(shí)的業(yè)務(wù)為依據(jù)，選擇有代表性的、關(guān)鍵的業(yè)務(wù)操作設(shè)計(jì)測試案例，以評價(jià)防火墻系統(tǒng)的當(dāng)前性能；通過自動(dòng)負(fù)載測試，在一臺(tái)或幾臺(tái) 上模擬成百或上千的虛擬用戶同時(shí)執(zhí)行業(yè)務(wù)，重復(fù)執(zhí)行和運(yùn)行測 試，可以確認(rèn)防火墻性能瓶頸并優(yōu)化和調(diào)整應(yīng)用，確保啟動(dòng)各項(xiàng)功能的同時(shí)防火墻能夠達(dá)到高性能。 火墻流量控制測試技術(shù) 通過對網(wǎng)絡(luò)中的 址、用戶、服務(wù)、時(shí)間、協(xié)議等進(jìn)行流量統(tǒng)計(jì)，并可以與管理器界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果，從而分析網(wǎng)絡(luò)中的運(yùn)行情況，形成防火墻流量控制性能。 火墻包轉(zhuǎn)發(fā)性能測試技術(shù) 性能測試是參照 議，從包轉(zhuǎn)發(fā)性能和開發(fā)連接數(shù)對防火墻的性能進(jìn)行評測，其中防火墻包轉(zhuǎn)發(fā)性能包括吞吐量、延遲、丟失包和背對背包等。包轉(zhuǎn)發(fā)性能是假定提供給防火墻的數(shù)據(jù)和防火墻轉(zhuǎn)發(fā)的 數(shù)據(jù)之間為一對一的通信，并不包括防火墻提供多播服務(wù)的情況。 火墻安全測試技術(shù) 防火墻安全測試主要表現(xiàn)在運(yùn)行的穩(wěn)定和安全漏洞方面。通過在 19 測試平臺(tái)的內(nèi)網(wǎng)或外網(wǎng)上安裝現(xiàn)有的掃描工具和攻擊工具，利用所有可能的方式對被測產(chǎn)品進(jìn)行掃描和攻擊測試，其中各種安全掃描和攻擊測試工具的編制主要利用當(dāng)前 程技術(shù)和網(wǎng)絡(luò)安全技術(shù)，根據(jù)掃描和攻擊結(jié)果評測防火墻系統(tǒng)的安全性，從而達(dá)到對防火墻的安全性測試。 全測試完善技術(shù) 由于防火墻安全測試方法的局限性，需要及時(shí)把當(dāng)前最優(yōu)秀的安全測試軟件集成到本防火墻測 試系統(tǒng)中。 能分析硬件環(huán)境 服務(wù)器推薦配置： 強(qiáng) 1G 以上，內(nèi)存 512M 以上 30G 硬盤；推薦專用服務(wù)器。 客戶端推薦配置： 上，內(nèi)存 128M 以上。 件環(huán)境 服務(wù)器：操