我只是想知道是否有任何一种压力测试可以让 ASA 进行。我问这个问题不是为了解决问题,而是为了参考。
我知道我可以使用 iperf 通过它发送大量流量,但我想我可以做更多的事情。
答案1
对于防火墙设备来说,对吞吐能力和同时连接数(在某些情况下甚至是 NAT 转换表的最大大小)进行压力测试是很常见的。
然后是单位时间内新连接的数量防火墙设备可以建立(新连接率)。
此参数巨大的防火墙的重要性,而且根据我的经验,很少有人谈论它,因此,也没有多少人对其进行测试。
事实上,我曾多次看到防火墙在 DDoS 攻击下崩溃,虽然防火墙的吞吐量远低于其宣传的最大吞吐量,但连接率却非常高(我记得上次超过了 ~100Kconns/sec)。
当这种情况发生时,解释并不总是那么容易:
“什么意思,100Mbps DDoS 攻击就导致我们的防火墙瘫痪???它不是可以处理数以万亿 Gbps 的吞吐量吗???我现在就想和销售工程师谈谈!”
答案2
值得称赞的是,您甚至考虑了压力测试。根据我的经验,您确实必须分解防火墙的组件,并根据您的策略和配置针对特定情况设计测试。@jliendo 指出了一些值得考虑的好项目。每秒连接数而不仅仅是吞吐量是需要考虑的重要因素,您可以通过下载大量种子的 torrent 来尝试进行实际测试。您的设备可能还安装了 IPS 卡,因此如果安装了,您需要彻底测试您为使用传感器进行数据包检查而设置的任何策略的压力。您是否设置了防病毒扫描?您需要测试该策略的吞吐量以查看它是否可以跟上。通常,压力测试的目标是测试您的策略,而不是硬件的原始能力;因为策略会显著影响硬件的性能水平。
考虑到以上情况,您会发现一系列工具(如 iperf)可帮助您分析具体情况。Iperf 可以帮助您测试风暴控制策略。 海鸥是一个有用的流量生成器,可以测试您的大多数其他策略。(请记住测试它是否按预期工作,以及它是否按预期阻止流量)根据您的环境,您可能还需要测试延迟和不良网络连接(也许 5505 是分支机构防火墙?)以帮助您调整超时。网络限制器在这方面非常有帮助。
总之,我会从您的配置角度重新审视您的问题。如果您已将盒子配置为在特定情况下允许或拒绝流量,那么请问自己如何测试它是否按预期工作。在此级别进行测试后,请尝试测试多个策略(例如通过 AV 扫描将 HTTP 发送到 VLAN 上的辅助子网)。然后使用流量生成器轰炸设备,找到流量中的薄弱点,并设置服务质量以在极端情况下保护自己。