網(wǎng)絡(luò)帶寬增加帶來(lái)的對(duì)設(shè)備吞吐量增長(zhǎng)的要求比近期的北京暴雨有過(guò)之無(wú)不及,這也讓吞吐量成為評(píng)價(jià)一款網(wǎng)關(guān)安全設(shè)備的重要指標(biāo)。對(duì)于入侵防御產(chǎn)品來(lái)說(shuō),在100%檢測(cè)漏洞時(shí)的吞吐量所能達(dá)到的峰值,正逐漸成為真實(shí)評(píng)價(jià)產(chǎn)品性能的重要指標(biāo)。
日前,中國(guó)信息安全行業(yè)領(lǐng)導(dǎo)企業(yè)天融信,推出評(píng)價(jià)入侵防御產(chǎn)品性能的新標(biāo)桿指標(biāo):滿檢速率。天融信公司在多年的入侵防御產(chǎn)品研發(fā)和測(cè)試經(jīng)驗(yàn)積累基礎(chǔ)上,結(jié)合國(guó)際測(cè)評(píng)機(jī)構(gòu)的最新技術(shù)進(jìn)展,提出了該評(píng)價(jià)入侵防御產(chǎn)品性能的新標(biāo)桿指標(biāo)。
入侵防御產(chǎn)品性能評(píng)測(cè)方法之前世今生
經(jīng)過(guò)多年的高速度發(fā)展,入侵防御產(chǎn)品得到迅速普及,很多用戶已經(jīng)構(gòu)建起防火墻加入侵防御的網(wǎng)絡(luò)邊界防護(hù)系統(tǒng)。但是時(shí)至今日,一個(gè)問(wèn)題一直困擾著廣大用戶和一些專(zhuān)業(yè)評(píng)測(cè)機(jī)構(gòu),這就是如何評(píng)價(jià)或者說(shuō)如何測(cè)量一款入侵防御產(chǎn)品的真實(shí)性能。
“防火墻與入侵防御產(chǎn)品工作在網(wǎng)絡(luò)的不同層面,不能簡(jiǎn)單地以網(wǎng)絡(luò)層的性能指標(biāo)來(lái)評(píng)價(jià)應(yīng)用層檢測(cè)產(chǎn)品的好壞:
最初的入侵防御產(chǎn)品性能評(píng)測(cè)方法現(xiàn)在還在被很多用戶使用,這就是簡(jiǎn)單的以防火墻性能指標(biāo)加上一個(gè)檢測(cè)率指標(biāo)構(gòu)成。這種方法有很多不合理的地方,要么只實(shí)現(xiàn)簡(jiǎn)單的TCP保續(xù)和報(bào)文之間的拼接檢測(cè),這樣雖然無(wú)法阻止大部分逃逸攻擊手段,但卻會(huì)在連接性能測(cè)試中表現(xiàn)優(yōu)異;要么使得測(cè)試得出的吞吐值與真實(shí)環(huán)境中的實(shí)際性能差異巨大;
還有就是大多數(shù)入侵防御產(chǎn)品為了保障網(wǎng)絡(luò)暢通都設(shè)有內(nèi)部的過(guò)載保護(hù)機(jī)制,即當(dāng)檢測(cè)能力不夠時(shí)不再進(jìn)行檢測(cè),轉(zhuǎn)而直接轉(zhuǎn)發(fā)報(bào)文,在這種機(jī)制作用下,測(cè)試得到的吞吐性能實(shí)際上是設(shè)備不做任何檢測(cè)的最大轉(zhuǎn)發(fā)性能,顯然,這種性能值對(duì)用戶來(lái)講是毫無(wú)意義的。”天融信安全網(wǎng)關(guān)產(chǎn)品線經(jīng)理劉彤說(shuō)。
正是基于這一認(rèn)識(shí),國(guó)內(nèi)某些行業(yè)用戶已經(jīng)改變了對(duì)入侵防御產(chǎn)品性能的評(píng)價(jià)方法,以模擬網(wǎng)站訪問(wèn)的http get數(shù)據(jù)流作為測(cè)試新建連接和吞吐性能的基礎(chǔ)。
眾所周知,http是互聯(lián)網(wǎng)最廣泛使用的協(xié)議,承載了大量的應(yīng)用,也存在著嚴(yán)重的安全隱患,沒(méi)有哪一款入侵防御產(chǎn)品能夠忽略對(duì)其的檢測(cè),所以以http get 32k文件作為測(cè)試流可以考察入侵防御產(chǎn)品真實(shí)的對(duì)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的檢測(cè)能力。
但是吞吐與檢測(cè)率之間仍然是分離的,測(cè)試吞吐時(shí)不測(cè)試檢測(cè)率,測(cè)試檢測(cè)率時(shí)不測(cè)試吞吐,這給很多入侵防御產(chǎn)品廠商帶來(lái)了“操作空間”,有些甚至設(shè)置了特殊“開(kāi)關(guān)”用來(lái)在吞吐與檢測(cè)率測(cè)試之間進(jìn)行狀態(tài)轉(zhuǎn)換,以取得各自的極限性能值。實(shí)際上,對(duì)于入侵防御產(chǎn)品來(lái)說(shuō)吞吐與檢測(cè)率是同樣重要的性能指標(biāo),也是不可分割的一對(duì)共同體,那么有沒(méi)有一種方法能夠?qū)烧呓Y(jié)合起來(lái)形成一個(gè)標(biāo)準(zhǔn)的標(biāo)桿指標(biāo)呢?答案是肯定的。
天融信公司推出的滿檢速率,滿足了吞吐與檢測(cè)率兩項(xiàng)同樣重要的性能指標(biāo)。
滿檢速率的定義是:在入侵防御產(chǎn)品100%具有漏洞檢測(cè)能力的前提條件下能夠達(dá)到的最大應(yīng)用層吞吐性能值。這里有兩個(gè)指標(biāo),一個(gè)是100%具有漏洞檢測(cè)能力,另一個(gè)是應(yīng)用層吞吐,兩者必須同時(shí)達(dá)到,缺一不可。
滿檢速率的測(cè)試方法
滿檢速率的測(cè)試方法如下圖所示,分為三個(gè)步驟:
第一步是使用測(cè)試儀器測(cè)試入侵防御設(shè)備的檢測(cè)率,得到入侵防御設(shè)備能夠檢測(cè)的漏洞列表,應(yīng)至少包括常見(jiàn)的嚴(yán)重漏洞,以及能夠阻止各種常用的逃逸方法,數(shù)量上至少達(dá)到1000種漏洞檢測(cè)能力;
第二步是把設(shè)備能夠檢測(cè)的漏洞列表組成一個(gè)攻擊檢測(cè)流,持續(xù)地低速循環(huán)輸入入侵防御設(shè)備,因?yàn)檫@些攻擊都是設(shè)備檢測(cè)率之內(nèi)的攻擊,此時(shí)設(shè)備應(yīng)具有100%檢測(cè)出來(lái)的能力,否則應(yīng)視為產(chǎn)品故障;
第三步是使用測(cè)試儀器打入一個(gè)標(biāo)準(zhǔn)的http get 32k隨機(jī)文件的應(yīng)用層吞吐流,并不斷加大這個(gè)流量直到入侵防御設(shè)備無(wú)法檢測(cè)出攻擊,即不再具有100%漏洞檢測(cè)能力為止,此時(shí)的http get流量即可作為滿檢速率性能值。
推薦閱讀
網(wǎng)上高價(jià)收銀行卡埋隱患 亂象凸顯信息安全軟肋
現(xiàn)實(shí)生活中,幾乎每個(gè)人都有好幾張銀行卡,其中也不乏很少使用的“閑置卡”。而正是這些不被“重用”的銀行卡,卻成了不法分子眼中的“香餑餑”。近日以來(lái),犯罪分子“高價(jià)收購(gòu)銀行卡”的行為日益猖獗,不少持卡人也>>>詳細(xì)閱讀
本文標(biāo)題:天融信滿檢速率成評(píng)價(jià)IPS性能新標(biāo)桿
地址:http://www.oumuer.cn/a/11/20120726/78254.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示