必看（3）打卡10个4-7层网络测试网红指标（下篇）

IPsec（Internet Protocol Security）是一套用于在IP网络中实现端到端安全通信的协议套件。它旨在解决在开放网络环境中，如互联网，数据传输可能面临的多种安全威胁，包括数据泄露、篡改、伪造和重放攻击。IPsec通过为IP层提供一系列安全服务，确保了数据在传输过程中的机密性、完整性和可用性。在网络测试中，我们主要关注以下几个IPsec的性能指标：

IPsec隧道新建速率：

IPsec隧道新建速率是指在一定时间内成功建立IPsec隧道的速度。这个指标通常用来衡量IPsec设备（如VPN网关或防火墙）在处理大量并发隧道建立请求时的性能。隧道新建速率对于网络设备和安全解决方案来说是一个重要的性能指标，尤其是在需要快速响应大量远程访问连接的场景中。

注意：DH组值的大小对IKE协商性能（如隧道新建速率等）有影响，如DH组值越大，IKE协商性能受到的影响就越大（可能会导致隧道新建速率明显降低）。

图1: IPsec隧道新建速率

IPsec并发隧道数：

IPsec（Internet Protocol Security）隧道并发数是指在网络中同时活跃的IPsec隧道数量。这个概念通常用于描述IPsec VPN（虚拟私人网络）环境中，可以同时处理和维护的加密隧道数量。并发数可以反映IPsec设备的性能，即它能够处理多少同时的加密和解密操作。

图2: IPsec并发隧道数

IPSEC隧道吞吐量：

IPsec隧道吞吐量是指在一个IPsec隧道中，数据能够在单位时间内成功传输的最大速率。它是一个衡量IPsec加密和封装处理能力的关键性能指标，通常以每秒传输的比特数（bps）来表示。

对于大规模网络，需要选择具有高吞吐量的IPSec 方案，以支持高并发的数据传输。在实际测试中，单隧道吞吐量以及整机吞吐量都是我们需要关注的性能指标。IPsec单隧道吞吐量可以让我们评估单个安全连接的性能，确保关键业务连接的带宽需求得到满足；而整机吞吐量则帮助我们了解设备整体处理能力，以便于进行网络容量规划和应对高并发连接需求，保障网络稳定运行。

图3: IPsec隧道吞吐量

SSL（安全套接层，Secure Sockets Layer）是一种安全协议，用于在客户端和服务器之间建立加密链接，确保在互联网上传输的数据保持私密性和完整性。SSL是Netscape公司在1994年开发的，后来被IETF（互联网工程任务组）标准化为TLS（传输层安全，Transport Layer Security）。尽管SSL协议已经基本被TLS取代，但“SSL”这个术语仍然经常被用来指代这两种协议。在日常测试中，我们主要关注以下几个性能指标：

SSL新建连接速率：

SSL新建连接速率通常指的是在SSL/TLS握手过程中，新建安全连接的速度。一般来说我们使用HTTPS来测试SSL新建链接速率，SSL新建速率是评估服务器或安全设备处理新SSL连接能力的重要指标。一个高的SSL新建速率意味着设备能够快速处理大量并发的新连接请求。在用户访问HTTPS网站时，SSL握手是必须的第一步。如果SSL新建速率低，用户可能会遇到连接延迟，影响用户体验。对于需要处理大量交易或用户请求的服务，如电子商务网站或在线银行，一个高的SSL新建速率是保证业务连续性的关键。

图4: SSL隧道新建速率

SSL并发连接数：

SSL并发连接数是指在某一特定时间点，服务器或安全设备上同时存在的活跃SSL/TLS连接的数量。这些连接可能是正在传输数据的，也可能是已经建立但暂时没有数据传输的“空闲”连接。由于SSL/TLS协议用于在客户端和服务器之间建立加密连接，因此每个并发连接都涉及加密和解密数据的过程，这比非加密连接（如HTTP）更消耗服务器资源。服务器或安全设备能够支持的高并发连接数是衡量其性能的一个重要指标。对于需要处理大量用户请求的服务，如电子商务网站、在线游戏或云服务，支持高并发连接数至关重要。

图5: SSL并发连接数

SSL吞吐量：

SSL吞吐量是指在网络设备和服务器上，SSL/TLS加密和解密操作能够处理的数据量，通常以每秒传输的字节数（Bytes per Second, Bps）来衡量。它是衡量网络设备或服务器在处理SSL/TLS加密通信时的性能指标之一。不同的SSL/TLS算法和协议版本对吞吐量的影响也不同。例如，较新的协议版本（如TLS 1.3）通常比旧版本（如SSL 3.0或TLS 1.0）更高效，因为它们减少了握手过程中的往返次数，并支持更快的加密操作。

图6: SSL吞吐量

SSL卸载测试：

一般来说客户端访问服务器端的时候是基于HTTPS协议(加密传输的)，当客户端的HTTPS请求发送到负载均衡设备的VIP（virtual service IP）的时候，由负载均衡设备把原始的HTTP请求发送给后台的真实服务器，对于后台的真实服务器来说就不需要采用加密算法去解密HTTPS报文，这样节省了真实服务器的CPU、内存、计算等资源，同时，客户端和VIP之间采用HTTPS协议，保证了数据传输的安全性，这就是SSL卸载的一个主要的应用。对数据安全非常重视的行业（银行、运营商、证券、政务等）会非常关注该性能指标，对该指标的性能要求很高。

图7: SSL卸载拓扑图

国密SSL性能：

国密SSL（国家商用密码SSL）是指使用中国国家商用密码算法实现的SSL/TLS协议。国密SSL使用的是中国国家标准（GB）中定义的商用密码算法，它采用了我国自主研发的SM系列算法（如SM2、SM3、SM4）进行加密和解密。这是一种专门为国家商用密码设计的加密算法。它的加解密过程完全在国内进行，符合国家密码管理规范。随着中国信息安全的重视程度不断提高，国密SSL的应用正在逐渐扩大。政府和相关机构也在推动国密算法的国际标准化，以促进国密SSL在全球范围内的应用。我司Cyberflood产品目前已经支持了国密算法相关的性能测试，具体测试咨询请详询400-810-9529。

图8: Cyberflood国密配置界面

DDoS（分布式拒绝服务）攻击是一种网络攻击手段，其目的是使目标服务器或网络资源无法为合法用户提供服务。这种攻击通过利用多个被黑客控制的计算机（这些计算机通常组成所谓的“僵尸网络”或“僵尸军团”）向目标发送大量请求，从而耗尽目标的服务器带宽或资源，导致合法用户无法访问服务。大名鼎鼎的《黑神话：悟空》在发售之初，发行平台Steam就于2024年8月24日晚间遭受了大规模的DDoS攻击，这次攻击导致了全球多国玩家无法登录游戏。

延伸阅读：《黑神话：悟空》掀起70Tbps网络洪流，如何才能乘风破浪？

所以对于网络测试来说，DDOS拦截率是一项衡量网络安全设备的重要指标。特别是在正常业务流量负荷下，被测设备对DDOS的防御能力尤为重要。

Cyberflood产品提供了有状态和无状态两种DDoS攻击测试，并混合了正常的业务流量。可以灵活调整DDOS的类型，背景流量占比等参数，可以实现更真实的模拟现网DDOS攻击场景。

图9: Cyberflood 无状态DDoS配置界面

图10: Cyberflood 有状态DDoS配置界面

图11: Cyberflood DDoS混合流量配置界面

如今，网络上的数百万台设备上正运行着数以千计的应用，而且每天都会有数百种新的应用发布，测试团队、研发团队都在竭尽全力，迅速而有效地测试、验证和推广其应用感知系统和网络。安全应用基础设施的部署为我们带来了管理流量、安全性和服务质量（QoS）策略的诸多创新能力。为了准确地测试应用程序感知基础设施和设备的安全有效性，模拟现实的合法流量和黑客流量以充分评估安全控制是否符合您的规范是至关重要的。我们需要格外关注应用、攻击、恶意软件的识别率，对应用程序可以正确识别并放行，对攻击和恶意软件可以识别并拦截。

CyberFlood安全测试可以为您提供一种有效的方法来测试数据库中数以万计的最新应用程序、攻击和恶意软件场景。您可以使用基于ATT&CK框架的规避技术来模拟真实的黑客行为或加密攻击，以将安全解决方案推向其极限。

图12: Cyberflood TestCloud库数量

图13: Cyberflood ATT&CK配置界面

当今通信网络面临的安全挑战日益严峻。随着5G、物联网、云计算等技术的快速发展，网络规模不断扩大，复杂度不断提高，这使得通信网络在信息安全方面面临诸多挑战。一方面，网络基础设施存在安全隐患，如设备漏洞、协议缺陷等，容易导致数据泄露、服务中断等问题。另一方面，网络攻击手段日益翻新，APT（高级持续性威胁）攻击、勒索软件、DDoS（分布式拒绝服务）攻击等频繁发生，给通信网络安全带来极大威胁。如何在如此复杂的网络环境中保证服务的可持续性、稳定性至关重要。这需要网络安全设备能够准确的识别安全流量与威胁流量并迅速做出正确的响应。因此，被测设备在多种协议应用的高吞吐混合流量的背景下具备对DDOS攻击、恶意软件的迅速识别以及拦截的能力是我们综合评估该设备安全能力的重要指标。

Cyberflood提供的Throughput with Mixed Traffic混合流量测试可以自定义流量组合以匹配您的网络场景，可以模拟用户访问数千个应用程序，包括社交媒体游戏，企业应用程序和流媒体，模拟黑客发送大量的恶意软件以及攻击流量。测量客户端所请求内容的平均往返时间(以毫秒为单位)。各协议的访问成功率，验证这些流量混合是如何影响DUT整体性能的。

图14: Cyberflood 混合流量说明

图15: Cyberflood 混合流量配置界面