必看（3）打卡10個4-7層網絡測試網紅指標（下篇）

IPsec（Internet Protocol Security）是一套用于在IP網絡中實現端到端安全通信的協議套件。它旨在解決在開放網絡環(huán)境中，如互聯網，數據傳輸可能面臨的多種安全威脅，包括數據泄露、篡改、偽造和重放攻擊。IPsec通過為IP層提供一系列安全服務，確保了數據在傳輸過程中的機密性、完整性和可用性。在網絡測試中，我們主要關注以下幾個IPsec的性能指標：

IPsec隧道新建速率：

IPsec隧道新建速率是指在一定時間內成功建立IPsec隧道的速度。這個指標通常用來衡量IPsec設備（如VPN網關或防火墻）在處理大量并發(fā)隧道建立請求時的性能。隧道新建速率對于網絡設備和安全解決方案來說是一個重要的性能指標，尤其是在需要快速響應大量遠程訪問連接的場景中。

注意：DH組值的大小對IKE協商性能（如隧道新建速率等）有影響，如DH組值越大，IKE協商性能受到的影響就越大（可能會導致隧道新建速率明顯降低）。

圖1: IPsec隧道新建速率

IPsec并發(fā)隧道數：

IPsec（Internet Protocol Security）隧道并發(fā)數是指在網絡中同時活躍的IPsec隧道數量。這個概念通常用于描述IPsec VPN（虛擬私人網絡）環(huán)境中，可以同時處理和維護的加密隧道數量。并發(fā)數可以反映IPsec設備的性能，即它能夠處理多少同時的加密和解密操作。

圖2: IPsec并發(fā)隧道數

IPSEC隧道吞吐量：

IPsec隧道吞吐量是指在一個IPsec隧道中，數據能夠在單位時間內成功傳輸的最大速率。它是一個衡量IPsec加密和封裝處理能力的關鍵性能指標，通常以每秒傳輸的比特數（bps）來表示。

對于大規(guī)模網絡，需要選擇具有高吞吐量的IPSec 方案，以支持高并發(fā)的數據傳輸。在實際測試中，單隧道吞吐量以及整機吞吐量都是我們需要關注的性能指標。IPsec單隧道吞吐量可以讓我們評估單個安全連接的性能，確保關鍵業(yè)務連接的帶寬需求得到滿足；而整機吞吐量則幫助我們了解設備整體處理能力，以便于進行網絡容量規(guī)劃和應對高并發(fā)連接需求，保障網絡穩(wěn)定運行。

圖3: IPsec隧道吞吐量

SSL（安全套接層，Secure Sockets Layer）是一種安全協議，用于在客戶端和服務器之間建立加密鏈接，確保在互聯網上傳輸的數據保持私密性和完整性。SSL是Netscape公司在1994年開發(fā)的，后來被IETF（互聯網工程任務組）標準化為TLS（傳輸層安全，Transport Layer Security）。盡管SSL協議已經基本被TLS取代，但“SSL”這個術語仍然經常被用來指代這兩種協議。在日常測試中，我們主要關注以下幾個性能指標：

SSL新建連接速率：

SSL新建連接速率通常指的是在SSL/TLS握手過程中，新建安全連接的速度。一般來說我們使用HTTPS來測試SSL新建鏈接速率，SSL新建速率是評估服務器或安全設備處理新SSL連接能力的重要指標。一個高的SSL新建速率意味著設備能夠快速處理大量并發(fā)的新連接請求。在用戶訪問HTTPS網站時，SSL握手是必須的第一步。如果SSL新建速率低，用戶可能會遇到連接延遲，影響用戶體驗。對于需要處理大量交易或用戶請求的服務，如電子商務網站或在線銀行，一個高的SSL新建速率是保證業(yè)務連續(xù)性的關鍵。

圖4: SSL隧道新建速率

SSL并發(fā)連接數：

SSL并發(fā)連接數是指在某一特定時間點，服務器或安全設備上同時存在的活躍SSL/TLS連接的數量。這些連接可能是正在傳輸數據的，也可能是已經建立但暫時沒有數據傳輸的“空閑”連接。由于SSL/TLS協議用于在客戶端和服務器之間建立加密連接，因此每個并發(fā)連接都涉及加密和解密數據的過程，這比非加密連接（如HTTP）更消耗服務器資源。服務器或安全設備能夠支持的高并發(fā)連接數是衡量其性能的一個重要指標。對于需要處理大量用戶請求的服務，如電子商務網站、在線游戲或云服務，支持高并發(fā)連接數至關重要。

圖5: SSL并發(fā)連接數

SSL吞吐量：

SSL吞吐量是指在網絡設備和服務器上，SSL/TLS加密和解密操作能夠處理的數據量，通常以每秒傳輸的字節(jié)數（Bytes per Second, Bps）來衡量。它是衡量網絡設備或服務器在處理SSL/TLS加密通信時的性能指標之一。不同的SSL/TLS算法和協議版本對吞吐量的影響也不同。例如，較新的協議版本（如TLS 1.3）通常比舊版本（如SSL 3.0或TLS 1.0）更高效，因為它們減少了握手過程中的往返次數，并支持更快的加密操作。

圖6: SSL吞吐量

SSL卸載測試：

一般來說客戶端訪問服務器端的時候是基于HTTPS協議(加密傳輸的)，當客戶端的HTTPS請求發(fā)送到負載均衡設備的VIP（virtual service IP）的時候，由負載均衡設備把原始的HTTP請求發(fā)送給后臺的真實服務器，對于后臺的真實服務器來說就不需要采用加密算法去解密HTTPS報文，這樣節(jié)省了真實服務器的CPU、內存、計算等資源，同時，客戶端和VIP之間采用HTTPS協議，保證了數據傳輸的安全性，這就是SSL卸載的一個主要的應用。對數據安全非常重視的行業(yè)（銀行、運營商、證券、政務等）會非常關注該性能指標，對該指標的性能要求很高。

圖7: SSL卸載拓撲圖

國密SSL性能：

國密SSL（國家商用密碼SSL）是指使用中國國家商用密碼算法實現的SSL/TLS協議。國密SSL使用的是中國國家標準（GB）中定義的商用密碼算法，它采用了我國自主研發(fā)的SM系列算法（如SM2、SM3、SM4）進行加密和解密。這是一種專門為國家商用密碼設計的加密算法。它的加解密過程完全在國內進行，符合國家密碼管理規(guī)范。隨著中國信息安全的重視程度不斷提高，國密SSL的應用正在逐漸擴大。政府和相關機構也在推動國密算法的國際標準化，以促進國密SSL在全球范圍內的應用。我司Cyberflood產品目前已經支持了國密算法相關的性能測試，具體測試咨詢請詳詢400-810-9529。

圖8: Cyberflood國密配置界面

DDoS（分布式拒絕服務）攻擊是一種網絡攻擊手段，其目的是使目標服務器或網絡資源無法為合法用戶提供服務。這種攻擊通過利用多個被黑客控制的計算機（這些計算機通常組成所謂的“僵尸網絡”或“僵尸軍團”）向目標發(fā)送大量請求，從而耗盡目標的服務器帶寬或資源，導致合法用戶無法訪問服務。大名鼎鼎的《黑神話：悟空》在發(fā)售之初，發(fā)行平臺Steam就于2024年8月24日晚間遭受了大規(guī)模的DDoS攻擊，這次攻擊導致了全球多國玩家無法登錄游戲。

延伸閱讀：《黑神話：悟空》掀起70Tbps網絡洪流，如何才能乘風破浪？

所以對于網絡測試來說，DDOS攔截率是一項衡量網絡安全設備的重要指標。特別是在正常業(yè)務流量負荷下，被測設備對DDOS的防御能力尤為重要。

Cyberflood產品提供了有狀態(tài)和無狀態(tài)兩種DDoS攻擊測試，并混合了正常的業(yè)務流量。可以靈活調整DDOS的類型，背景流量占比等參數，可以實現更真實的模擬現網DDOS攻擊場景。

圖9: Cyberflood 無狀態(tài)DDoS配置界面

圖10: Cyberflood 有狀態(tài)DDoS配置界面

圖11: Cyberflood DDoS混合流量配置界面

如今，網絡上的數百萬臺設備上正運行著數以千計的應用，而且每天都會有數百種新的應用發(fā)布，測試團隊、研發(fā)團隊都在竭盡全力，迅速而有效地測試、驗證和推廣其應用感知系統(tǒng)和網絡。安全應用基礎設施的部署為我們帶來了管理流量、安全性和服務質量（QoS）策略的諸多創(chuàng)新能力。為了準確地測試應用程序感知基礎設施和設備的安全有效性，模擬現實的合法流量和黑客流量以充分評估安全控制是否符合您的規(guī)范是至關重要的。我們需要格外關注應用、攻擊、惡意軟件的識別率，對應用程序可以正確識別并放行，對攻擊和惡意軟件可以識別并攔截。

CyberFlood安全測試可以為您提供一種有效的方法來測試數據庫中數以萬計的最新應用程序、攻擊和惡意軟件場景。您可以使用基于ATT&CK框架的規(guī)避技術來模擬真實的黑客行為或加密攻擊，以將安全解決方案推向其極限。

圖12: Cyberflood TestCloud庫數量

圖13: Cyberflood ATT&CK配置界面

當今通信網絡面臨的安全挑戰(zhàn)日益嚴峻。隨著5G、物聯網、云計算等技術的快速發(fā)展，網絡規(guī)模不斷擴大，復雜度不斷提高，這使得通信網絡在信息安全方面面臨諸多挑戰(zhàn)。一方面，網絡基礎設施存在安全隱患，如設備漏洞、協議缺陷等，容易導致數據泄露、服務中斷等問題。另一方面，網絡攻擊手段日益翻新，APT（高級持續(xù)性威脅）攻擊、勒索軟件、DDoS（分布式拒絕服務）攻擊等頻繁發(fā)生，給通信網絡安全帶來極大威脅。如何在如此復雜的網絡環(huán)境中保證服務的可持續(xù)性、穩(wěn)定性至關重要。這需要網絡安全設備能夠準確的識別安全流量與威脅流量并迅速做出正確的響應。因此，被測設備在多種協議應用的高吞吐混合流量的背景下具備對DDOS攻擊、惡意軟件的迅速識別以及攔截的能力是我們綜合評估該設備安全能力的重要指標。

Cyberflood提供的Throughput with Mixed Traffic混合流量測試可以自定義流量組合以匹配您的網絡場景，可以模擬用戶訪問數千個應用程序，包括社交媒體游戲，企業(yè)應用程序和流媒體，模擬黑客發(fā)送大量的惡意軟件以及攻擊流量。測量客戶端所請求內容的平均往返時間(以毫秒為單位)。各協議的訪問成功率，驗證這些流量混合是如何影響DUT整體性能的。

圖14: Cyberflood 混合流量說明

圖15: Cyberflood 混合流量配置界面