IPsec（Internet Protocol Security）是一套用于在IP網(wǎng)絡(luò)中實(shí)現(xiàn)端到端安全通信的協(xié)議套件。它旨在解決在開(kāi)放網(wǎng)絡(luò)環(huán)境中，如互聯(lián)網(wǎng)，數(shù)據(jù)傳輸可能面臨的多種安全威脅，包括數(shù)據(jù)泄露、篡改、偽造和重放攻擊。IPsec通過(guò)為IP層提供一系列安全服務(wù)，確保了數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性、完整性和可用性。在網(wǎng)絡(luò)測(cè)試中，我們主要關(guān)注以下幾個(gè)IPsec的性能指標(biāo)：

IPsec隧道新建速率：

IPsec隧道新建速率是指在一定時(shí)間內(nèi)成功建立IPsec隧道的速度。這個(gè)指標(biāo)通常用來(lái)衡量IPsec設(shè)備（如VPN網(wǎng)關(guān)或防火墻）在處理大量并發(fā)隧道建立請(qǐng)求時(shí)的性能。隧道新建速率對(duì)于網(wǎng)絡(luò)設(shè)備和安全解決方案來(lái)說(shuō)是一個(gè)重要的性能指標(biāo)，尤其是在需要快速響應(yīng)大量遠(yuǎn)程訪問(wèn)連接的場(chǎng)景中。

注意：DH組值的大小對(duì)IKE協(xié)商性能（如隧道新建速率等）有影響，如DH組值越大，IKE協(xié)商性能受到的影響就越大（可能會(huì)導(dǎo)致隧道新建速率明顯降低）。

圖1: IPsec隧道新建速率

IPsec并發(fā)隧道數(shù)：

IPsec（Internet Protocol Security）隧道并發(fā)數(shù)是指在網(wǎng)絡(luò)中同時(shí)活躍的IPsec隧道數(shù)量。這個(gè)概念通常用于描述IPsec VPN（虛擬私人網(wǎng)絡(luò)）環(huán)境中，可以同時(shí)處理和維護(hù)的加密隧道數(shù)量。并發(fā)數(shù)可以反映IPsec設(shè)備的性能，即它能夠處理多少同時(shí)的加密和解密操作。

圖2: IPsec并發(fā)隧道數(shù)

IPSEC隧道吞吐量：

IPsec隧道吞吐量是指在一個(gè)IPsec隧道中，數(shù)據(jù)能夠在單位時(shí)間內(nèi)成功傳輸?shù)淖畲笏俾?。它是一個(gè)衡量IPsec加密和封裝處理能力的關(guān)鍵性能指標(biāo)，通常以每秒傳輸?shù)谋忍財(cái)?shù)（bps）來(lái)表示。

對(duì)于大規(guī)模網(wǎng)絡(luò)，需要選擇具有高吞吐量的IPSec 方案，以支持高并發(fā)的數(shù)據(jù)傳輸。在實(shí)際測(cè)試中，單隧道吞吐量以及整機(jī)吞吐量都是我們需要關(guān)注的性能指標(biāo)。IPsec單隧道吞吐量可以讓我們?cè)u(píng)估單個(gè)安全連接的性能，確保關(guān)鍵業(yè)務(wù)連接的帶寬需求得到滿足；而整機(jī)吞吐量則幫助我們了解設(shè)備整體處理能力，以便于進(jìn)行網(wǎng)絡(luò)容量規(guī)劃和應(yīng)對(duì)高并發(fā)連接需求，保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

圖3: IPsec隧道吞吐量

SSL（安全套接層，Secure Sockets Layer）是一種安全協(xié)議，用于在客戶端和服務(wù)器之間建立加密鏈接，確保在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)保持私密性和完整性。SSL是Netscape公司在1994年開(kāi)發(fā)的，后來(lái)被IETF（互聯(lián)網(wǎng)工程任務(wù)組）標(biāo)準(zhǔn)化為TLS（傳輸層安全，Transport Layer Security）。盡管SSL協(xié)議已經(jīng)基本被TLS取代，但“SSL”這個(gè)術(shù)語(yǔ)仍然經(jīng)常被用來(lái)指代這兩種協(xié)議。在日常測(cè)試中，我們主要關(guān)注以下幾個(gè)性能指標(biāo)：

SSL新建連接速率：

SSL新建連接速率通常指的是在SSL/TLS握手過(guò)程中，新建安全連接的速度。一般來(lái)說(shuō)我們使用HTTPS來(lái)測(cè)試SSL新建鏈接速率，SSL新建速率是評(píng)估服務(wù)器或安全設(shè)備處理新SSL連接能力的重要指標(biāo)。一個(gè)高的SSL新建速率意味著設(shè)備能夠快速處理大量并發(fā)的新連接請(qǐng)求。在用戶訪問(wèn)HTTPS網(wǎng)站時(shí)，SSL握手是必須的第一步。如果SSL新建速率低，用戶可能會(huì)遇到連接延遲，影響用戶體驗(yàn)。對(duì)于需要處理大量交易或用戶請(qǐng)求的服務(wù)，如電子商務(wù)網(wǎng)站或在線銀行，一個(gè)高的SSL新建速率是保證業(yè)務(wù)連續(xù)性的關(guān)鍵。

圖4: SSL隧道新建速率

SSL并發(fā)連接數(shù)：

SSL并發(fā)連接數(shù)是指在某一特定時(shí)間點(diǎn)，服務(wù)器或安全設(shè)備上同時(shí)存在的活躍SSL/TLS連接的數(shù)量。這些連接可能是正在傳輸數(shù)據(jù)的，也可能是已經(jīng)建立但暫時(shí)沒(méi)有數(shù)據(jù)傳輸?shù)摹翱臻e”連接。由于SSL/TLS協(xié)議用于在客戶端和服務(wù)器之間建立加密連接，因此每個(gè)并發(fā)連接都涉及加密和解密數(shù)據(jù)的過(guò)程，這比非加密連接（如HTTP）更消耗服務(wù)器資源。服務(wù)器或安全設(shè)備能夠支持的高并發(fā)連接數(shù)是衡量其性能的一個(gè)重要指標(biāo)。對(duì)于需要處理大量用戶請(qǐng)求的服務(wù)，如電子商務(wù)網(wǎng)站、在線游戲或云服務(wù)，支持高并發(fā)連接數(shù)至關(guān)重要。

圖5: SSL并發(fā)連接數(shù)

SSL吞吐量：

SSL吞吐量是指在網(wǎng)絡(luò)設(shè)備和服務(wù)器上，SSL/TLS加密和解密操作能夠處理的數(shù)據(jù)量，通常以每秒傳輸?shù)淖止?jié)數(shù)（Bytes per Second, Bps）來(lái)衡量。它是衡量網(wǎng)絡(luò)設(shè)備或服務(wù)器在處理SSL/TLS加密通信時(shí)的性能指標(biāo)之一。不同的SSL/TLS算法和協(xié)議版本對(duì)吞吐量的影響也不同。例如，較新的協(xié)議版本（如TLS 1.3）通常比舊版本（如SSL 3.0或TLS 1.0）更高效，因?yàn)樗鼈儨p少了握手過(guò)程中的往返次數(shù)，并支持更快的加密操作。

圖6: SSL吞吐量

SSL卸載測(cè)試：

一般來(lái)說(shuō)客戶端訪問(wèn)服務(wù)器端的時(shí)候是基于HTTPS協(xié)議(加密傳輸?shù)?，當(dāng)客戶端的HTTPS請(qǐng)求發(fā)送到負(fù)載均衡設(shè)備的VIP（virtual service IP）的時(shí)候，由負(fù)載均衡設(shè)備把原始的HTTP請(qǐng)求發(fā)送給后臺(tái)的真實(shí)服務(wù)器，對(duì)于后臺(tái)的真實(shí)服務(wù)器來(lái)說(shuō)就不需要采用加密算法去解密HTTPS報(bào)文，這樣節(jié)省了真實(shí)服務(wù)器的CPU、內(nèi)存、計(jì)算等資源，同時(shí)，客戶端和VIP之間采用HTTPS協(xié)議，保證了數(shù)據(jù)傳輸?shù)陌踩?，這就是SSL卸載的一個(gè)主要的應(yīng)用。對(duì)數(shù)據(jù)安全非常重視的行業(yè)（銀行、運(yùn)營(yíng)商、證券、政務(wù)等）會(huì)非常關(guān)注該性能指標(biāo)，對(duì)該指標(biāo)的性能要求很高。

圖7: SSL卸載拓?fù)鋱D

國(guó)密SSL性能：

國(guó)密SSL（國(guó)家商用密碼SSL）是指使用中國(guó)國(guó)家商用密碼算法實(shí)現(xiàn)的SSL/TLS協(xié)議。國(guó)密SSL使用的是中國(guó)國(guó)家標(biāo)準(zhǔn)（GB）中定義的商用密碼算法，它采用了我國(guó)自主研發(fā)的SM系列算法（如SM2、SM3、SM4）進(jìn)行加密和解密。這是一種專門為國(guó)家商用密碼設(shè)計(jì)的加密算法。它的加解密過(guò)程完全在國(guó)內(nèi)進(jìn)行，符合國(guó)家密碼管理規(guī)范。隨著中國(guó)信息安全的重視程度不斷提高，國(guó)密SSL的應(yīng)用正在逐漸擴(kuò)大。政府和相關(guān)機(jī)構(gòu)也在推動(dòng)國(guó)密算法的國(guó)際標(biāo)準(zhǔn)化，以促進(jìn)國(guó)密SSL在全球范圍內(nèi)的應(yīng)用。我司Cyberflood產(chǎn)品目前已經(jīng)支持了國(guó)密算法相關(guān)的性能測(cè)試，具體測(cè)試咨詢請(qǐng)?jiān)斣?00-810-9529。

圖8: Cyberflood國(guó)密配置界面

DDoS（分布式拒絕服務(wù)）攻擊是一種網(wǎng)絡(luò)攻擊手段，其目的是使目標(biāo)服務(wù)器或網(wǎng)絡(luò)資源無(wú)法為合法用戶提供服務(wù)。這種攻擊通過(guò)利用多個(gè)被黑客控制的計(jì)算機(jī)（這些計(jì)算機(jī)通常組成所謂的“僵尸網(wǎng)絡(luò)”或“僵尸軍團(tuán)”）向目標(biāo)發(fā)送大量請(qǐng)求，從而耗盡目標(biāo)的服務(wù)器帶寬或資源，導(dǎo)致合法用戶無(wú)法訪問(wèn)服務(wù)。大名鼎鼎的《黑神話：悟空》在發(fā)售之初，發(fā)行平臺(tái)Steam就于2024年8月24日晚間遭受了大規(guī)模的DDoS攻擊，這次攻擊導(dǎo)致了全球多國(guó)玩家無(wú)法登錄游戲。

延伸閱讀：《黑神話：悟空》掀起70Tbps網(wǎng)絡(luò)洪流，如何才能乘風(fēng)破浪？

所以對(duì)于網(wǎng)絡(luò)測(cè)試來(lái)說(shuō)，DDOS攔截率是一項(xiàng)衡量網(wǎng)絡(luò)安全設(shè)備的重要指標(biāo)。特別是在正常業(yè)務(wù)流量負(fù)荷下，被測(cè)設(shè)備對(duì)DDOS的防御能力尤為重要。

Cyberflood產(chǎn)品提供了有狀態(tài)和無(wú)狀態(tài)兩種DDoS攻擊測(cè)試，并混合了正常的業(yè)務(wù)流量?？梢造`活調(diào)整DDOS的類型，背景流量占比等參數(shù)，可以實(shí)現(xiàn)更真實(shí)的模擬現(xiàn)網(wǎng)DDOS攻擊場(chǎng)景。

圖9: Cyberflood 無(wú)狀態(tài)DDoS配置界面

圖10: Cyberflood 有狀態(tài)DDoS配置界面

圖11: Cyberflood DDoS混合流量配置界面

如今，網(wǎng)絡(luò)上的數(shù)百萬(wàn)臺(tái)設(shè)備上正運(yùn)行著數(shù)以千計(jì)的應(yīng)用，而且每天都會(huì)有數(shù)百種新的應(yīng)用發(fā)布，測(cè)試團(tuán)隊(duì)、研發(fā)團(tuán)隊(duì)都在竭盡全力，迅速而有效地測(cè)試、驗(yàn)證和推廣其應(yīng)用感知系統(tǒng)和網(wǎng)絡(luò)。安全應(yīng)用基礎(chǔ)設(shè)施的部署為我們帶來(lái)了管理流量、安全性和服務(wù)質(zhì)量（QoS）策略的諸多創(chuàng)新能力。為了準(zhǔn)確地測(cè)試應(yīng)用程序感知基礎(chǔ)設(shè)施和設(shè)備的安全有效性，模擬現(xiàn)實(shí)的合法流量和黑客流量以充分評(píng)估安全控制是否符合您的規(guī)范是至關(guān)重要的。我們需要格外關(guān)注應(yīng)用、攻擊、惡意軟件的識(shí)別率，對(duì)應(yīng)用程序可以正確識(shí)別并放行，對(duì)攻擊和惡意軟件可以識(shí)別并攔截。

CyberFlood安全測(cè)試可以為您提供一種有效的方法來(lái)測(cè)試數(shù)據(jù)庫(kù)中數(shù)以萬(wàn)計(jì)的最新應(yīng)用程序、攻擊和惡意軟件場(chǎng)景。您可以使用基于ATT&CK框架的規(guī)避技術(shù)來(lái)模擬真實(shí)的黑客行為或加密攻擊，以將安全解決方案推向其極限。

圖12: Cyberflood TestCloud庫(kù)數(shù)量

圖13: Cyberflood ATT&CK配置界面

當(dāng)今通信網(wǎng)絡(luò)面臨的安全挑戰(zhàn)日益嚴(yán)峻。隨著5G、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，復(fù)雜度不斷提高，這使得通信網(wǎng)絡(luò)在信息安全方面面臨諸多挑戰(zhàn)。一方面，網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在安全隱患，如設(shè)備漏洞、協(xié)議缺陷等，容易導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等問(wèn)題。另一方面，網(wǎng)絡(luò)攻擊手段日益翻新，APT（高級(jí)持續(xù)性威脅）攻擊、勒索軟件、DDoS（分布式拒絕服務(wù)）攻擊等頻繁發(fā)生，給通信網(wǎng)絡(luò)安全帶來(lái)極大威脅。如何在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中保證服務(wù)的可持續(xù)性、穩(wěn)定性至關(guān)重要。這需要網(wǎng)絡(luò)安全設(shè)備能夠準(zhǔn)確的識(shí)別安全流量與威脅流量并迅速做出正確的響應(yīng)。因此，被測(cè)設(shè)備在多種協(xié)議應(yīng)用的高吞吐混合流量的背景下具備對(duì)DDOS攻擊、惡意軟件的迅速識(shí)別以及攔截的能力是我們綜合評(píng)估該設(shè)備安全能力的重要指標(biāo)。

Cyberflood提供的Throughput with Mixed Traffic混合流量測(cè)試可以自定義流量組合以匹配您的網(wǎng)絡(luò)場(chǎng)景，可以模擬用戶訪問(wèn)數(shù)千個(gè)應(yīng)用程序，包括社交媒體游戲，企業(yè)應(yīng)用程序和流媒體，模擬黑客發(fā)送大量的惡意軟件以及攻擊流量。測(cè)量客戶端所請(qǐng)求內(nèi)容的平均往返時(shí)間(以毫秒為單位)。各協(xié)議的訪問(wèn)成功率，驗(yàn)證這些流量混合是如何影響DUT整體性能的。

圖14: Cyberflood 混合流量說(shuō)明

圖15: Cyberflood 混合流量配置界面