测试对象:网闸
什么是网闸呢?网闸在GB/T20279-2006《信息安全技术网络和终端设备隔离部件安全技术要求》中的定义是这样的:“网闸(GAP)”该信息安全部件位于两个不同的安全域之间,通过协议转换手段,以信息摆渡方式实现数据交换,且只有被系统明确要求传输的信息可以通过。其信息流一般是通用应用服务。
上面提到两个概念协议转换和信息摆渡,下面解释两个概念,此概念出自GB/T20279-2006《信息安全技术网络和终端设备隔离部件安全技术要求》
1) 协议转换
在隔离部件中,协议转换的定义是协议的剥离和重建。在所属某一安全域的隔离部件一端,把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离部件的另一端,在将专用协议剥离,并封装成需要的格式。
2) 信息摆渡
信息交换的一种方式,物理传输信道只在传输进行时存在。信息传输时,信息先由信息源所在安全域的一端传输至中间缓存区域,同是断开中间缓存区域与信息目的所在安全区域的链接;随后接通中间缓存区域与信息目的所在安全区域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区的连接。在任一时刻,中间缓存区域只与一端安全区域连接。
测试环境说明:
1) 上述测试环境中内网的客户端PC通过交换机链接到网闸的内网口,外网服务器通过交换机链接到外网口;
2) 内网客户端可以通过网闸的代理访问外网应用服务器;
3) 访问过程中内网客户端需要设置代理指向网闸内网IP。
4) 在这个测试中假设A安装FTP客户端CuteFTP7.0,D安装FTP服务serV-U6.2.3。
测试工具
1) LoadRunner8.1.0.4 开发脚本生成负载;
2) CuteFTP 7.0 FTP客户端,生成FTP业务流;
3) SerV-U6.2 设置FTP服务器破解版(没有并发用户限制),仿真FTP服务;
脚本设计
1) 客户端通过Socks代理访问FTP服务器,正常流程需要在客户端设置socks代理,然后就可以访问外网的FTP服务器;
2) 情况1录制脚本的时候选择FTP协议,直接录制脚本;
3) 情况2选择Winsocks协议,录制脚本;
4) 在情况2时录制脚本后回放确认是否成功。
录制脚本
1. FTP协议录制
1) 打开LR VUG,选择FTP协议开始录制脚本,程序选择CuteFTP7.0;
2) 开始录制,执行用户登录,下载文件,退出;
3) 停止录制,查看脚本;
结果:在录制完成后,查看脚本,VUG中看到没有录制到脚本,当时茫然,但具体分析一下应该是有问题的,首先客户端发出去的请求是发向socks代理服务器的,而不是直接发给FTP服务器,所以交互的信息都是socket信息;这样当然不能生成FTP协议的脚本,因为VUG不能捕捉到正常的FTP交互信息,而这写信息都被封装在socks协议中;经过分析我放弃了这种方法;
2. Winsocks协议录制
1) 重新选择winsocks协议,程序选择CuteFTP7.0;
2) 开始录制,执行用户登录,下载文件,退出;
3) 停止录制,查看脚本,