網絡安全專用產品網閘性能測試方法①

李 旋， 顧建新， 李 毅

(公安部第三研究所 檢測中心， 上海 200031)

國家互聯網信息辦公室聯合信息化部、公安部、國家認證認可監督管理委員會等部門于2017年發布了一批網絡關鍵設備和網絡安全專用產品的目錄， 目錄內的設備和產品需按照國家標準的要求進行強制認證和檢測， 進一步體現了國家對網絡安全的重視. 網絡安全產品—安全隔離與信息交換產品(網閘)出現在本次公布的目錄之內， 且在目錄中給出了網閘產品進入網絡安全專用產品需要具備的條件. 條件中明確的對網閘性能進行了要求， 即吞吐量≥1 Gbps， 系統延時≤5 ms[1].

國標《GB/T 20279-2015信息安全技術 網絡和終端隔離產品安全技術要求》中對于網絡隔離產品也具有性能要求， 即交換速率大于1000 Mbps， 硬件切換時間小于5 ms. 本文針對網絡安全專用產品以及國標中的性能要求分別設計了網閘產品的性能測試方法， 并通過實驗進行分析[2，3].

1 網絡隔離產品介紹

1.1 網絡隔離產品分類

網絡隔離產品主要分為網閘和協議隔離. 網閘在結構上以二主機加專用隔離部件的方式組成， 即由內部處理單元、外部處理單元和專用隔離部件組成， 內部處理單元通常連接內部安全域， 外部處理單元連接外部安全域， 專用隔離部件對兩個安全域進行物理上的斷開， 同時滿足數據的交換. 網閘除了實現不同安全域之間的物理斷開之外， 在軟件功能上還具有身份認證、訪問控制、協議剝離等功能， 從而保證不同網絡之間數據交換的安全性.

協議隔離也起到不同安全域之間的安全數據交換，但是在物理結構上只要求二主機， 并沒有強制要求二主機之間具有專有隔離部件， 而是采用協議剝離和轉換的方式保證安全. 即兩個安全域之間進行數據交換時， 協議隔離產品剝離了TCP/IP協議， 轉換為私有協議進行通信和數據傳輸. 因此協議隔離產品是基于隱匿的安全， 相較于網閘， 網閘的安全性更高[4-6].

1.2 網絡隔離產品的性能要求

在2006版國標《GB/T 20279-2006 信息安全技術網絡和終端隔離部件安全技術要求》中并沒有對網絡隔離產品性能作相關要求， 網絡隔離產品也不需要做性能測試， 而在替代其的2015版國家標準中， 對于網絡隔離產品的性能提出可選要求， 即所有網絡隔離產品均需要進行性能測試， 記錄產品的性能測試結果， 但是結果不作為產品是否合格的評價結論. 從國家標準的演進和更新換代來看， 網絡隔離產品的性能受到了重視， 但是還沒有作為產品是否能夠通過認證的測試條目.

網絡隔離產品和其他安全產品類似， 也涉及到數據的交換， 國家互聯網信息辦公室網絡安全專用產品目錄中對網閘產品的性能進行了約束， 通過測試其性能是否滿足標準， 在技術層面限制了被測網閘是否能夠成為網絡安全專用產品， 而且該限制是強制的. 因此網絡隔離產品的性能受到越來越多的重視.

2 網絡隔離產品性能測試方法研究

本節針對網絡安全專用產品和2015版國家標準的要求分別設計網絡隔離產品的性能測試方法， 對于網絡安全專用產品而言， 其性能要求的網絡隔離產品特指網閘.

2.1 網絡安全專用產品測試方法研究

2.1.1 吞吐量

網絡安全專用產品中對網閘性能的第一個要求是吞吐量. 一般的， 吞吐量是指對網絡、設備、端口、虛電路或其他設施， 單位時間內成功地傳送數據的數量(以比特、字節、分組等測量). 對于網閘來說， 吞吐量是指在沒有幀丟失的情況下， 設備能夠接收并轉發的最大數據速率.

吞吐量與產品的標稱值相關， 通常產品的標稱值為 10 Gbps(萬兆)， 1 Gbps(千兆)和 100 Mbps(百兆)， 即在測試時， 測試產品吞吐量與標稱值切合程度. 測試吞吐量時， 可以使用軟件和硬件兩種測試方法， 在使用軟件進行測試時， 可以使用iPerf軟件進行測試， 使用硬件進行測試時， 可以使用IXIA的IxNetwork模塊.

2.1.2 系統延時

網絡安全專用產品中對網閘產品性能的第二個要求是系統延時. 一般的， 延時是指從設備接收端口接收到數據包到轉發到設備的目的端口之間的時間間隔.對于網閘來說， 系統延時是指產品一端接收到數據包，處理數據包(安全策略、協議剝離等)， 擺渡數據包， 傳輸到對端處理數據包(協議封裝、安全策略)至發送端口的耗時.

測試延時的時候， 同樣可以使用軟件和硬件兩種測試方法， 在使用軟件進行測試時， 使用iPerf軟件發送數據包并使用Wireshark或者Tcpdump網絡協議分析工具捕獲網絡數據包. 使用硬件進行測試時， 同樣可以使用IXIA的IxNetwork模塊.

2.1.3 軟件測試方法

(1) 吞吐量

iPerf軟件是用于主動測量IP網絡上最大可實現帶寬的工具， 因此可以使用其進行產品吞吐量的測試，在測試時， 選擇2臺性能較好的PC機， 此處性能較好指的是不能夠低于被測產品標稱的吞吐量數值， 如使用千兆的PC機去測量萬兆產品的性能， 顯然是無法測試出吞吐量的實際值的. 選擇好PC機后， 還需要選擇一臺時間服務器， 提供NTP服務， 為什么需要NTP服務器， 下文介紹測試延時指標時會再做說明. 測試拓撲如圖1所示， 在PC1和PC2上打開iPerf軟件并分別運行于服務器和客戶端模式， 使用客戶端向服務器發送數據包的方式進行產品吞吐量的測試.

(2) 系統延時

iPerf軟件雖具有測試延時抖動等參數的功能， 但是不具有測試延時的功能. 因此測試時使用網絡協議分析工具配合， 獲取同一個數據包到達接收端口和目標端口的時間， 計算時間差值. 但是使用這種方法時首先要在產品內部設置合適的MTU值或者數據包協議剝離、封裝的模式， 使數據包不要分片， 即保持輸入數據包和輸出數據包的一致性； 其次要保證網閘連接內部安全域主機和連接外部安全域主機的主機時間的一致性， 因此需要用到上文提到的NTP服務器做時間同步. 但是經過多次測試， 受網閘內部晶振等影響， 時間無法保持絕對一致， 總會出現ns級甚至ms級別的誤差， 因此在做實驗前， 除了進行時間同步， 還需要提前計算時間誤差， 在計算延時時， 將時間誤差計算在內，可獲得相對精確的延時測試結果.

2.1.4 硬件測試方法

使用IXIA硬件進行測試時， 環境和配置方法較為簡單便捷， 開啟 IXIA IxNetwork客戶端軟件， 選擇RFC 2544測試模塊， 分別進行流配置(配置端口、IP地址和傳輸方向)， 協議選擇(選擇需要使用的協議，如TCP或者UDP)， 流選項(字節大小、起始延時等)，開始參數(延時的計算方式等)， 測試參數(測試時間、測試的輪數等). 測試拓撲如圖1所示， 設備與IXIA使用網線直連， 由IXIA分別模擬服務器和客戶端進行吞吐量和延時的測試. 測試結束后可由IXIA直接得出被測設備的吞吐量和延時.

圖2 IXIA硬件測試拓撲圖

2.2 國標性能測試方法研究

2.2.1 交換速率

一般的， 交換速率又稱傳輸速度， 指單位時間內在數據傳輸設備傳送的比特、字符或消息的平均值. 因此交換速率更加接近于設備實際工作時的傳輸速度，即吞吐量測試設備的極限值， 而交換速率測試設備的實際工作值. 交換速率可以以兩個指標來衡量， 最大交換速率(吞吐量)和實際工作交換速率.

最大交換速率的測試方法， 上節已有介紹， 可以使用軟件或者硬件進行測試， 下面簡要說明實際工作交換速率的測試方法.

根據網閘實現機制和支持的協議的不同， 網閘的實際工作方式多樣. 但是目前網閘基本都支持文件交互或同步(個別應用于工控領域的網閘不支持文件傳輸)， 因此在測試網閘的實際交換速率的時候， 可以使用傳輸文件的方式進行測試， 計算整個文件同步完成后， 所消耗的時間， 根據文件大小計算網閘在實際應用環境中的交換速率， 來確定交換速率是否達到國家標準中交換速率大于1000 Mbps的要求.

2.2.2 硬件切換時間

因網閘特殊的硬件結構， 如2.1節所述， 網閘內部具有切換開關， 用來斷開內外部安全域的直接相連， 因此硬件開關的切換速度， 切換時所消耗的時間， 關系到網閘的傳輸性能， 切換時間可以使用如下方法計算.

網閘內部結構圖如圖3所示， 查閱隔離部件內部緩存大小， 設為C， 使用上節計算的交換速率， 設為V，則切換時間的計算公式為T=C/V. 這種計算方法在已計算出交換速率的情況下， 通過查閱隔離部件內部緩存大小的方法計算得出隔離開關在整個打開到閉合結束的時間. 但是這種計算方法并不準確， 誤差出現在隔離部件內部緩存大小標稱不準確和每次進行數據交換時， 向隔離部件內(擺渡區)寫入的數據量不可能完全相同. 因此這種計算方式存在的誤差較大. 目前國家標準中關于切換時間的性能指標被系統延時取代， 即使用網絡安全專用產品的性能指標， 因為該指標包括了硬件切換時間和網閘對數據包的處理所消耗的時間，更能體現網閘的真實延時性能[7，8].

圖3 網閘產品內部結構圖

3 性能測試實驗

前一章中已經介紹了網閘的性能測試方法， 本章根據上一章介紹的方法對網絡安全專用產品中要求的網閘性能進行測試并進行結果分析.

以標稱值為千兆的網閘產品為例， 分別使用軟件和硬件的測試方法進行吞吐量和系統延時測試.

3.1 軟件方法測試

測試拓撲如圖1所示， 選擇2臺千兆性能的測試PC(PC1 和 PC2)， 均安裝 iPerf軟件. 在 PC1 上啟用iPerf軟件并設置為服務器模式， 在PC2上啟用iPerf軟件并設置為客戶端模式， 使用六類線將兩臺PC直連， 測試PC機的最大數據包傳輸速率. 確認兩臺PC直連數據包傳輸速率能夠到達1 Gbps， 即能夠達到千兆網閘吞吐量的標稱值[9，10].

測試步驟如下:

步驟1. 網閘工作于代理模式， 并配置一條從外到內的單向UDP全通策略， 使基于UDP的數據流能夠正常通過網閘， 而不被網閘阻斷(注: 個別產品需要配置UDP源和目的端口)；

步驟2. 對網閘的內部、外部安全域主機(簡稱內部主機和外部主機)進行與NTP服務器的校時， 校時結束后， 記錄2臺主機之間的時間誤差， 如圖4所示；

圖4 使用NTP校時后的網閘內、外部主機時間

步驟3. 將網閘串聯在PC1和PC2之間， 并使PC1連接網閘內部主機， PC2連接網閘外部主機， 并在網閘的內部、外部主機上開啟流量分析軟件(如Wireshark或Tcpdump)；

步驟4. 在PC1上運行iPerf服務器指令iperf -s -u-p 5000 -t 30， 使用UDP協議并開啟UDP的5000端口， 每30秒統計一次流量；

步驟5. 在PC2上運行iPerf客戶端指令iperf -c 192.168.0.1 -u -p 5000 -5 -P 1 -l 1518 -b 1000 M， 連接 192.168.0.1的服務器， 并以一個線程向服務器的UDP 5000端口發送流量帶寬為1000 Mbps， 字節大小為1518 KB的數據流；

步驟6. 重復發送3次， 記錄服務器端的統計結果，并求三次的平均值， 如圖5.

圖5 服務器端的測試結果

通過以上步驟能夠測試出該網閘的吞吐量和系統延時， 在計算系統延時的時候， 需要將內、外部主機上獲取的對應的數據包時間差再減去內外網主機之間的時間誤差.

3.2 硬件方法測試

3.2.1 實驗步驟

測試拓撲如圖2所示， 測試步驟如下:

步驟1. 網閘工作于代理模式， 并配置一條從外到內的單向UDP全通策略， 使基于UDP的數據流能夠正常通過網閘， 而不被網閘阻斷(注: 個別產品需要配置UDP源和目的端口)；

步驟2. 將網閘的內外部主機測試網口與IXIA直連， 使用IxNetwork配置IXIA的測試參數；

步驟3. 在IXIA上選擇測試端口， 并配置IP地址，填入網閘的內外網主機地址作為網關地址；

步驟4. 配置流方向， 將IXIA的數據流打向網閘的代理端口， 選擇快速測試中的 RFC2544， 吞吐量/延時測試用例， 在用例中進行參數配置， 選擇二分法， 使用固定1518字節的UDP數據包測試吞吐量， 并同時計算延時， 測試三次， 取平均值. 配置界面如圖6所示，測試結果如圖7所示.

由測試結果可以看出， 被測網閘在千兆環境下能夠按照線速進行數據包轉發， 即千兆速率下未丟包， 但是L2層的統計結果卻顯示986 Mbps， 小于1000 Mbps， 是因為IXIA在進行發包測試時插入了前導碼，且發包時也具有幀間隙， 導致了統計結果略小.

圖6 IXIA IxNetwork參數配置界面

圖7 測試結果

理論上， 通過使用硬件和軟件的測試方法均能夠測試出網閘的性能參數， 但是通過測試結果分析， 使用硬件測試的結果更能夠體現網閘性能的極限值， 且硬件設備配置過程簡單， 可以直接得出實驗結果， 系統延時不需要進行計算， 但是在不具有昂貴的硬件設備的情況下， 軟件測試方法的測試結果同樣在合理范圍內.

3.2.2 統計結果及分析

使用硬件測試方法對2款百兆網閘、10款千兆網閘和2款萬兆網閘的的吞吐量和系統延時分別進行測試， 測試結果的分布如圖8所示.

本文基于網絡安全專用產品目錄中對網閘性能的要求和網絡隔離產品國家標準中對網閘性能的要求入手， 設計了基于軟件和硬件的性能測試方法， 并使用設計的測試方法對網閘的吞吐量和系統延時進行了測試，證明了測試方法的有效性. 同時， 隨機選取了14款網閘， 包括2臺百兆性能、2臺萬兆性能和10臺千兆性能的產品， 對其性能進行了測試， 得出了性能的分布情況和網閘的性能瓶頸.

4 結語

本文基于網絡安全專用產品目錄中對網閘性能的要求和網絡隔離產品國家標準中對網閘性能的要求入手， 設計了基于軟件和硬件的性能測試方法， 并使用設計的測試方法對網閘的吞吐量和系統延時進行了測試，證明了測試方法的有效性. 同時， 隨機選取了14款網閘， 包括2臺百兆性能、2臺萬兆性能和10臺千兆性能的產品， 對其性能進行了測試， 得出了性能的分布情況和網閘的性能瓶頸.

圖8 14款網閘性能測試結果統計