網(wǎng)絡(luò)帶寬增加帶來的對設(shè)備吞吐量增長的要求比近期的北京暴雨有過之無不及,這也讓吞吐量成為評價一款網(wǎng)關(guān)安全設(shè)備的重要指標(biāo)。對于入侵防御產(chǎn)品來說,在100%檢測漏洞時的吞吐量所能達(dá)到的峰值,正逐漸成為真實(shí)評價產(chǎn)品性能的重要指標(biāo)。
日前,中國信息安全行業(yè)領(lǐng)導(dǎo)企業(yè)天融信,推出評價入侵防御產(chǎn)品性能的新標(biāo)桿指標(biāo):滿檢速率。天融信公司在多年的入侵防御產(chǎn)品研發(fā)和測試經(jīng)驗(yàn)積累基礎(chǔ)上,結(jié)合國際測評機(jī)構(gòu)的最新技術(shù)進(jìn)展,提出了該評價入侵防御產(chǎn)品性能的新標(biāo)桿指標(biāo)。
入侵防御產(chǎn)品性能評測方法之前世今生
經(jīng)過多年的高速度發(fā)展,入侵防御產(chǎn)品得到迅速普及,很多用戶已經(jīng)構(gòu)建起防火墻加入侵防御的網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)。但是時至今日,一個問題一直困擾著廣大用戶和一些專業(yè)評測機(jī)構(gòu),這就是如何評價或者說如何測量一款入侵防御產(chǎn)品的真實(shí)性能。
“防火墻與入侵防御產(chǎn)品工作在網(wǎng)絡(luò)的不同層面,不能簡單地以網(wǎng)絡(luò)層的性能指標(biāo)來評價應(yīng)用層檢測產(chǎn)品的好壞:
最初的入侵防御產(chǎn)品性能評測方法現(xiàn)在還在被很多用戶使用,這就是簡單的以防火墻性能指標(biāo)加上一個檢測率指標(biāo)構(gòu)成。這種方法有很多不合理的地方,要么只實(shí)現(xiàn)簡單的TCP保續(xù)和報文之間的拼接檢測,這樣雖然無法阻止大部分逃逸攻擊手段,但卻會在連接性能測試中表現(xiàn)優(yōu)異;要么使得測試得出的吞吐值與真實(shí)環(huán)境中的實(shí)際性能差異巨大;
還有就是大多數(shù)入侵防御產(chǎn)品為了保障網(wǎng)絡(luò)暢通都設(shè)有內(nèi)部的過載保護(hù)機(jī)制,即當(dāng)檢測能力不夠時不再進(jìn)行檢測,轉(zhuǎn)而直接轉(zhuǎn)發(fā)報文,在這種機(jī)制作用下,測試得到的吞吐性能實(shí)際上是設(shè)備不做任何檢測的最大轉(zhuǎn)發(fā)性能,顯然,這種性能值對用戶來講是毫無意義的。”天融信安全網(wǎng)關(guān)產(chǎn)品線經(jīng)理劉彤說。
正是基于這一認(rèn)識,國內(nèi)某些行業(yè)用戶已經(jīng)改變了對入侵防御產(chǎn)品性能的評價方法,以模擬網(wǎng)站訪問的http get數(shù)據(jù)流作為測試新建連接和吞吐性能的基礎(chǔ)。
眾所周知,http是互聯(lián)網(wǎng)最廣泛使用的協(xié)議,承載了大量的應(yīng)用,也存在著嚴(yán)重的安全隱患,沒有哪一款入侵防御產(chǎn)品能夠忽略對其的檢測,所以以http get 32k文件作為測試流可以考察入侵防御產(chǎn)品真實(shí)的對網(wǎng)絡(luò)數(shù)據(jù)報文的檢測能力。
但是吞吐與檢測率之間仍然是分離的,測試吞吐時不測試檢測率,測試檢測率時不測試吞吐,這給很多入侵防御產(chǎn)品廠商帶來了“操作空間”,有些甚至設(shè)置了特殊“開關(guān)”用來在吞吐與檢測率測試之間進(jìn)行狀態(tài)轉(zhuǎn)換,以取得各自的極限性能值。實(shí)際上,對于入侵防御產(chǎn)品來說吞吐與檢測率是同樣重要的性能指標(biāo),也是不可分割的一對共同體,那么有沒有一種方法能夠?qū)烧呓Y(jié)合起來形成一個標(biāo)準(zhǔn)的標(biāo)桿指標(biāo)呢?答案是肯定的。
天融信公司推出的滿檢速率,滿足了吞吐與檢測率兩項(xiàng)同樣重要的性能指標(biāo)。
滿檢速率的定義是:在入侵防御產(chǎn)品100%具有漏洞檢測能力的前提條件下能夠達(dá)到的最大應(yīng)用層吞吐性能值。這里有兩個指標(biāo),一個是100%具有漏洞檢測能力,另一個是應(yīng)用層吞吐,兩者必須同時達(dá)到,缺一不可。
滿檢速率的測試方法
滿檢速率的測試方法如下圖所示,分為三個步驟:
第一步是使用測試儀器測試入侵防御設(shè)備的檢測率,得到入侵防御設(shè)備能夠檢測的漏洞列表,應(yīng)至少包括常見的嚴(yán)重漏洞,以及能夠阻止各種常用的逃逸方法,數(shù)量上至少達(dá)到1000種漏洞檢測能力;
第二步是把設(shè)備能夠檢測的漏洞列表組成一個攻擊檢測流,持續(xù)地低速循環(huán)輸入入侵防御設(shè)備,因?yàn)檫@些攻擊都是設(shè)備檢測率之內(nèi)的攻擊,此時設(shè)備應(yīng)具有100%檢測出來的能力,否則應(yīng)視為產(chǎn)品故障;
第三步是使用測試儀器打入一個標(biāo)準(zhǔn)的http get 32k隨機(jī)文件的應(yīng)用層吞吐流,并不斷加大這個流量直到入侵防御設(shè)備無法檢測出攻擊,即不再具有100%漏洞檢測能力為止,此時的http get流量即可作為滿檢速率性能值。
推薦閱讀
現(xiàn)實(shí)生活中,幾乎每個人都有好幾張銀行卡,其中也不乏很少使用的“閑置卡”。而正是這些不被“重用”的銀行卡,卻成了不法分子眼中的“香餑餑”。近日以來,犯罪分子“高價收購銀行卡”的行為日益猖獗,不少持卡人也>>>詳細(xì)閱讀
本文標(biāo)題:天融信滿檢速率成評價IPS性能新標(biāo)桿
地址:http://www.sdlzkt.com/a/11/20120726/78254.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報
品牌展示