IPsec（Internet Protocol Security）是一套用于在IP網(wǎng)絡(luò)中實現(xiàn)端到端安全通信的協(xié)議套件。它旨在解決在開放網(wǎng)絡(luò)環(huán)境中，如互聯(lián)網(wǎng)，數(shù)據(jù)傳輸可能面臨的多種安全威脅，包括數(shù)據(jù)泄露、篡改、偽造和重放攻擊。IPsec通過為IP層提供一系列安全服務(wù)，確保了數(shù)據(jù)在傳輸過程中的機密性、完整性和可用性。在網(wǎng)絡(luò)測試中，我們主要關(guān)注以下幾個IPsec的性能指標：

IPsec隧道新建速率：

IPsec隧道新建速率是指在一定時間內(nèi)成功建立IPsec隧道的速度。這個指標通常用來衡量IPsec設(shè)備（如VPN網(wǎng)關(guān)或防火墻）在處理大量并發(fā)隧道建立請求時的性能。隧道新建速率對于網(wǎng)絡(luò)設(shè)備和安全解決方案來說是一個重要的性能指標，尤其是在需要快速響應(yīng)大量遠程訪問連接的場景中。

注意：DH組值的大小對IKE協(xié)商性能（如隧道新建速率等）有影響，如DH組值越大，IKE協(xié)商性能受到的影響就越大（可能會導(dǎo)致隧道新建速率明顯降低）。

圖1: IPsec隧道新建速率

IPsec并發(fā)隧道數(shù)：

IPsec（Internet Protocol Security）隧道并發(fā)數(shù)是指在網(wǎng)絡(luò)中同時活躍的IPsec隧道數(shù)量。這個概念通常用于描述IPsec VPN（虛擬私人網(wǎng)絡(luò)）環(huán)境中，可以同時處理和維護的加密隧道數(shù)量。并發(fā)數(shù)可以反映IPsec設(shè)備的性能，即它能夠處理多少同時的加密和解密操作。

圖2: IPsec并發(fā)隧道數(shù)

IPSEC隧道吞吐量：

IPsec隧道吞吐量是指在一個IPsec隧道中，數(shù)據(jù)能夠在單位時間內(nèi)成功傳輸?shù)淖畲笏俾?。它是一個衡量IPsec加密和封裝處理能力的關(guān)鍵性能指標，通常以每秒傳輸?shù)谋忍財?shù)（bps）來表示。

對于大規(guī)模網(wǎng)絡(luò)，需要選擇具有高吞吐量的IPSec 方案，以支持高并發(fā)的數(shù)據(jù)傳輸。在實際測試中，單隧道吞吐量以及整機吞吐量都是我們需要關(guān)注的性能指標。IPsec單隧道吞吐量可以讓我們評估單個安全連接的性能，確保關(guān)鍵業(yè)務(wù)連接的帶寬需求得到滿足；而整機吞吐量則幫助我們了解設(shè)備整體處理能力，以便于進行網(wǎng)絡(luò)容量規(guī)劃和應(yīng)對高并發(fā)連接需求，保障網(wǎng)絡(luò)穩(wěn)定運行。

圖3: IPsec隧道吞吐量

SSL（安全套接層，Secure Sockets Layer）是一種安全協(xié)議，用于在客戶端和服務(wù)器之間建立加密鏈接，確保在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)保持私密性和完整性。SSL是Netscape公司在1994年開發(fā)的，后來被IETF（互聯(lián)網(wǎng)工程任務(wù)組）標準化為TLS（傳輸層安全，Transport Layer Security）。盡管SSL協(xié)議已經(jīng)基本被TLS取代，但“SSL”這個術(shù)語仍然經(jīng)常被用來指代這兩種協(xié)議。在日常測試中，我們主要關(guān)注以下幾個性能指標：

SSL新建連接速率：

SSL新建連接速率通常指的是在SSL/TLS握手過程中，新建安全連接的速度。一般來說我們使用HTTPS來測試SSL新建鏈接速率，SSL新建速率是評估服務(wù)器或安全設(shè)備處理新SSL連接能力的重要指標。一個高的SSL新建速率意味著設(shè)備能夠快速處理大量并發(fā)的新連接請求。在用戶訪問HTTPS網(wǎng)站時，SSL握手是必須的第一步。如果SSL新建速率低，用戶可能會遇到連接延遲，影響用戶體驗。對于需要處理大量交易或用戶請求的服務(wù)，如電子商務(wù)網(wǎng)站或在線銀行，一個高的SSL新建速率是保證業(yè)務(wù)連續(xù)性的關(guān)鍵。

圖4: SSL隧道新建速率

SSL并發(fā)連接數(shù)：

SSL并發(fā)連接數(shù)是指在某一特定時間點，服務(wù)器或安全設(shè)備上同時存在的活躍SSL/TLS連接的數(shù)量。這些連接可能是正在傳輸數(shù)據(jù)的，也可能是已經(jīng)建立但暫時沒有數(shù)據(jù)傳輸?shù)摹翱臻e”連接。由于SSL/TLS協(xié)議用于在客戶端和服務(wù)器之間建立加密連接，因此每個并發(fā)連接都涉及加密和解密數(shù)據(jù)的過程，這比非加密連接（如HTTP）更消耗服務(wù)器資源。服務(wù)器或安全設(shè)備能夠支持的高并發(fā)連接數(shù)是衡量其性能的一個重要指標。對于需要處理大量用戶請求的服務(wù)，如電子商務(wù)網(wǎng)站、在線游戲或云服務(wù)，支持高并發(fā)連接數(shù)至關(guān)重要。

圖5: SSL并發(fā)連接數(shù)

SSL吞吐量：

SSL吞吐量是指在網(wǎng)絡(luò)設(shè)備和服務(wù)器上，SSL/TLS加密和解密操作能夠處理的數(shù)據(jù)量，通常以每秒傳輸?shù)淖止?jié)數(shù)（Bytes per Second, Bps）來衡量。它是衡量網(wǎng)絡(luò)設(shè)備或服務(wù)器在處理SSL/TLS加密通信時的性能指標之一。不同的SSL/TLS算法和協(xié)議版本對吞吐量的影響也不同。例如，較新的協(xié)議版本（如TLS 1.3）通常比舊版本（如SSL 3.0或TLS 1.0）更高效，因為它們減少了握手過程中的往返次數(shù)，并支持更快的加密操作。

圖6: SSL吞吐量

SSL卸載測試：

一般來說客戶端訪問服務(wù)器端的時候是基于HTTPS協(xié)議(加密傳輸?shù)?，當(dāng)客戶端的HTTPS請求發(fā)送到負載均衡設(shè)備的VIP（virtual service IP）的時候，由負載均衡設(shè)備把原始的HTTP請求發(fā)送給后臺的真實服務(wù)器，對于后臺的真實服務(wù)器來說就不需要采用加密算法去解密HTTPS報文，這樣節(jié)省了真實服務(wù)器的CPU、內(nèi)存、計算等資源，同時，客戶端和VIP之間采用HTTPS協(xié)議，保證了數(shù)據(jù)傳輸?shù)陌踩裕@就是SSL卸載的一個主要的應(yīng)用。對數(shù)據(jù)安全非常重視的行業(yè)（銀行、運營商、證券、政務(wù)等）會非常關(guān)注該性能指標，對該指標的性能要求很高。

圖7: SSL卸載拓撲圖

國密SSL性能：

國密SSL（國家商用密碼SSL）是指使用中國國家商用密碼算法實現(xiàn)的SSL/TLS協(xié)議。國密SSL使用的是中國國家標準（GB）中定義的商用密碼算法，它采用了我國自主研發(fā)的SM系列算法（如SM2、SM3、SM4）進行加密和解密。這是一種專門為國家商用密碼設(shè)計的加密算法。它的加解密過程完全在國內(nèi)進行，符合國家密碼管理規(guī)范。隨著中國信息安全的重視程度不斷提高，國密SSL的應(yīng)用正在逐漸擴大。政府和相關(guān)機構(gòu)也在推動國密算法的國際標準化，以促進國密SSL在全球范圍內(nèi)的應(yīng)用。我司Cyberflood產(chǎn)品目前已經(jīng)支持了國密算法相關(guān)的性能測試，具體測試咨詢請詳詢400-810-9529。

圖8: Cyberflood國密配置界面

DDoS（分布式拒絕服務(wù)）攻擊是一種網(wǎng)絡(luò)攻擊手段，其目的是使目標服務(wù)器或網(wǎng)絡(luò)資源無法為合法用戶提供服務(wù)。這種攻擊通過利用多個被黑客控制的計算機（這些計算機通常組成所謂的“僵尸網(wǎng)絡(luò)”或“僵尸軍團”）向目標發(fā)送大量請求，從而耗盡目標的服務(wù)器帶寬或資源，導(dǎo)致合法用戶無法訪問服務(wù)。大名鼎鼎的《黑神話：悟空》在發(fā)售之初，發(fā)行平臺Steam就于2024年8月24日晚間遭受了大規(guī)模的DDoS攻擊，這次攻擊導(dǎo)致了全球多國玩家無法登錄游戲。

延伸閱讀：《黑神話：悟空》掀起70Tbps網(wǎng)絡(luò)洪流，如何才能乘風(fēng)破浪？

所以對于網(wǎng)絡(luò)測試來說，DDOS攔截率是一項衡量網(wǎng)絡(luò)安全設(shè)備的重要指標。特別是在正常業(yè)務(wù)流量負荷下，被測設(shè)備對DDOS的防御能力尤為重要。

Cyberflood產(chǎn)品提供了有狀態(tài)和無狀態(tài)兩種DDoS攻擊測試，并混合了正常的業(yè)務(wù)流量?？梢造`活調(diào)整DDOS的類型，背景流量占比等參數(shù)，可以實現(xiàn)更真實的模擬現(xiàn)網(wǎng)DDOS攻擊場景。

圖9: Cyberflood 無狀態(tài)DDoS配置界面

圖10: Cyberflood 有狀態(tài)DDoS配置界面

圖11: Cyberflood DDoS混合流量配置界面

如今，網(wǎng)絡(luò)上的數(shù)百萬臺設(shè)備上正運行著數(shù)以千計的應(yīng)用，而且每天都會有數(shù)百種新的應(yīng)用發(fā)布，測試團隊、研發(fā)團隊都在竭盡全力，迅速而有效地測試、驗證和推廣其應(yīng)用感知系統(tǒng)和網(wǎng)絡(luò)。安全應(yīng)用基礎(chǔ)設(shè)施的部署為我們帶來了管理流量、安全性和服務(wù)質(zhì)量（QoS）策略的諸多創(chuàng)新能力。為了準確地測試應(yīng)用程序感知基礎(chǔ)設(shè)施和設(shè)備的安全有效性，模擬現(xiàn)實的合法流量和黑客流量以充分評估安全控制是否符合您的規(guī)范是至關(guān)重要的。我們需要格外關(guān)注應(yīng)用、攻擊、惡意軟件的識別率，對應(yīng)用程序可以正確識別并放行，對攻擊和惡意軟件可以識別并攔截。

CyberFlood安全測試可以為您提供一種有效的方法來測試數(shù)據(jù)庫中數(shù)以萬計的最新應(yīng)用程序、攻擊和惡意軟件場景。您可以使用基于ATT&CK框架的規(guī)避技術(shù)來模擬真實的黑客行為或加密攻擊，以將安全解決方案推向其極限。

圖12: Cyberflood TestCloud庫數(shù)量

圖13: Cyberflood ATT&CK配置界面

當(dāng)今通信網(wǎng)絡(luò)面臨的安全挑戰(zhàn)日益嚴峻。隨著5G、物聯(lián)網(wǎng)、云計算等技術(shù)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴大，復(fù)雜度不斷提高，這使得通信網(wǎng)絡(luò)在信息安全方面面臨諸多挑戰(zhàn)。一方面，網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在安全隱患，如設(shè)備漏洞、協(xié)議缺陷等，容易導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等問題。另一方面，網(wǎng)絡(luò)攻擊手段日益翻新，APT（高級持續(xù)性威脅）攻擊、勒索軟件、DDoS（分布式拒絕服務(wù)）攻擊等頻繁發(fā)生，給通信網(wǎng)絡(luò)安全帶來極大威脅。如何在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中保證服務(wù)的可持續(xù)性、穩(wěn)定性至關(guān)重要。這需要網(wǎng)絡(luò)安全設(shè)備能夠準確的識別安全流量與威脅流量并迅速做出正確的響應(yīng)。因此，被測設(shè)備在多種協(xié)議應(yīng)用的高吞吐混合流量的背景下具備對DDOS攻擊、惡意軟件的迅速識別以及攔截的能力是我們綜合評估該設(shè)備安全能力的重要指標。

Cyberflood提供的Throughput with Mixed Traffic混合流量測試可以自定義流量組合以匹配您的網(wǎng)絡(luò)場景，可以模擬用戶訪問數(shù)千個應(yīng)用程序，包括社交媒體游戲，企業(yè)應(yīng)用程序和流媒體，模擬黑客發(fā)送大量的惡意軟件以及攻擊流量。測量客戶端所請求內(nèi)容的平均往返時間(以毫秒為單位)。各協(xié)議的訪問成功率，驗證這些流量混合是如何影響DUT整體性能的。

圖14: Cyberflood 混合流量說明

圖15: Cyberflood 混合流量配置界面