Просто интересно, есть ли какой-нибудь стресс-тест, который я могу пройти с ASA. Я прошу это не для решения проблемы, а просто для справки.
Я знаю, что могу использовать iperf для отправки через него большого количества трафика, но думал, что могу сделать что-то еще.
Для брандмауэра. Это обычное дело для стресс-тестирования пропускной способности и одновременных подключений (а в некоторых сценариях даже максимального размера таблицы трансляции NAT).
Тогда есть количество новых подключений в единицу времени устройство межсетевого экрана может установить (скорость новых подключений).
Этот параметр имеет огромный значение брандмауэра, и по моему опыту, не многие люди говорят об этом, и, как следствие, не многие люди его тестируют.
Фактически, пару раз я видел, как брандмауэры падали на колени при DDoS-атаке, которая значительно ниже максимальной заявленной пропускной способности брандмауэра, но имеет очень высокую скорость соединения (последнее, что я помню выше ~ 100Kconns / sec).
Когда это происходит, не всегда легко дать объяснение:
«Что вы имеете в виду под DDoS со скоростью 100 Мбит / с, наш брандмауэр упал ???, разве он не должен обрабатывать миллионы Гбит / с пропускной способности?
Престижность даже за мысль о стресс-тестировании. По моему опыту, вам действительно нужно разбить компоненты брандмауэра и разработать тесты для конкретных обстоятельств в зависимости от ваших политик и конфигурации. @jliendo указал на несколько хороших моментов для рассмотрения. Важно подумать о количестве подключений в секунду, а не просто о пропускной способности, и вы можете попробовать это в реальных условиях, загрузив торрент с большим количеством засечек. На вашем устройстве также может быть установлена карта IPS, поэтому, если она установлена, вы захотите тщательно протестировать все политики, которые вы настроили для проверки пакетов с помощью датчика. Вы настроили антивирусное сканирование? Вы хотели бы протестировать пропускную способность этой политики, чтобы увидеть, может ли она не отставать. В общем, цель стресс-теста - проверить ваши политики в большей степени, чем чистую мощность оборудования; поскольку политики могут значительно повлиять на уровни производительности оборудования.
Имея в виду вышеизложенное, вы найдете набор инструментов, таких как iperf, которые помогут вам проанализировать конкретные случаи. Iperf может помочь вам протестировать ваши политики контроля штормов. Чайка - полезный генератор трафика, который может протестировать большинство других ваших политик. (Не забудьте проверить, работает ли он так, как задумано, И блокирует ли он трафик должным образом) В зависимости от вашей среды вы также можете проверить задержку и плохие сетевые соединения (возможно, 5505 - это межсетевой экран филиала?), Чтобы помочь вам отрегулируйте таймауты. Пробная версия Netlimiter очень помогает в этом отношении.
Таким образом, я хотел бы еще раз подойти к вашему вопросу с точки зрения вашей конфигурации. Если вы настроили поле для разрешения или запрета трафика в определенной ситуации, спросите себя, как проверить, работает ли это должным образом. После тестирования на этом уровне попробуйте протестировать несколько политик (например, HTTP через AV Scan во вторичную подсеть в VLAN). Затем бомбардируйте устройство генератором трафика, найдите слабые места в потоке и настройте качество обслуживания, чтобы обезопасить себя в случае чрезвычайных ситуаций.