SSL VPN的相關實現技術及測試方法

摘要

實現網絡安全的方法有很多，本文主要介紹SSL VPN的相關實現技術及測試方法，重點介紹使用IXIA公司的IXIA400T自動化測試儀表對我們自主研發的SSL VPN安全網關的性能測試。

1  引言

隨著互聯網在人們的生活、學習、工作中的應用越來越廣泛，網絡安全問題受到大家越來越多的重視，互聯網面臨的威脅主要來自于黑客攻擊、管理欠缺、網絡本身固有的缺陷、應用軟件的漏洞以及后門等等。在網絡中通信的雙方通過不安全的媒介進行通信，必須從以下幾個方面保證來保證通信的安全。

（1）秘密性：只有發送者和接收者可以理解所傳遞的消息的內容。

（2）身份認證：進行通信的雙方——發送者和接收者——都需要確認彼此的身份，也就是確認對方真正是所宣稱的那個人。

（3）消息完整性：發送者和接收者需要同時確信通信的內容在傳輸過程中沒有被惡意或者無意更改。

實現網絡安全的方法有很多，本文主要介紹SSL VPN的相關實現技術及測試方法，重點介紹使用IXIA公司的IXIA400T自動化測試儀表對我們自主研發的SSL VPN安全網關的性能測試。

2  SSL VPN實現技術

SSL VPN一般的實現方式是在企業的防火墻后面，被保護服務器（服務器群）前面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，通過身份驗證后SSL代理服務器將提供一個遠程用戶與各種不同的應用服務器之間連接。SSL VPN的主要實現技術有代理、應用轉換、端口轉發和網絡擴展。

（1）代理Proxying：SSL VPN網關將來自遠端瀏覽器的頁面請求（采用HTTPS協議）轉發給Web服務器，然后將服務器的響應回傳給終端用戶。

（2）應用轉換Application Translation：對于非Web頁面的文件訪問，往往借助于應用轉換。SSL VPN網關與企業網內部的微軟CIFS或FTP服務器通信，將這些服務器對客戶端的響應轉化為HTTPS協議和HTML格式發往客戶端。

（3）端口轉發Port Forwarding：端口轉發用于端口定義明確的應用。它需要在終端系統上運行一個非常小的Java或ActiveX程序作為端口轉發器，監聽某個端口上的連接。當數據包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網關，SSL VPN網關解開封裝的數據包，將它們轉發給目的應用服務器。使用端口轉發器，需要終端用戶指向他希望運行的本地應用程序，而不必指向真正的應用服務器。

（4）網絡擴展Network Extension：SSL VPN網關還可以幫助企業實現網絡擴展。它將終端用戶連接到企業網，并根據網絡層信息（如目的IP地址和端口號）進行接入控制。雖然犧牲了高級別的安全性，卻也換來了復雜拓撲結構下網絡管理簡單的好處。

3  SSL VPN性能測試

全面考察SSL VPN安全網關需要從產品的功能、易用性、穩定性、安全性以及性能5大方面來進行測試。在對我們的SSL VPN安全網關實施性能測試時，我們選擇了IXIA公司的IXIA400T自動化測試儀表，IXIA測試儀表具有綜合性強、功能多的特點，接口模塊可以根據需要進行自主選擇，在SSL VPN安全網關的性能測試中我們選用了應用層負載模塊ALM1000T8，ALM1000T8是運行四到七層應用軟件的專用接口模塊，針對狀態基的運行做了優化處理，具有很高的測試性能。在ALM接口模塊上，有8個高密度排列的RISC處理器，每個處理器具有獨立的操作系統、存儲器和網絡接口。這種獨特的結構，有利于高效靈活地測試負載均衡設備、防火墻、服務器、郵件網關、入侵檢測、內容交換機等設備及其網絡的安全性能。軟件模塊選用IxLoad，IxLoad支持豐富的SSL協議功能，運行IxLoad模擬基于Web的業務流，對SSL VPN安全網關的性能進行測試。

根據目前業界比較認可的SSL VPN性能指標并結合自身產品的特點，我們選取5項性能指標進行測試，即新建連接速率、最大并發連接數、加密吞吐量、網絡延遲和雙機切換效率。在測試中每個項目至少進行3次測試，計算出平均值作為最后結果。

3.1  性能測試拓撲圖

圖1為性能測試環境示意1，圖2為性能測試環境示意2。
php?aid=4820" target="_blank">


圖1  性能測試環境1



圖2  性能測試環境2

原文轉自：http://www.kjueaiud.com