测试Unidirectional Gateway/ 数据二极管
产品测试非常重要,因为只有这样才能确保产品符合行业和公司提出的标准。
在测试单向网关时,最重要的是确保数据不丢失,传输前和传输后的数据完全相同。同样的原则也适用于数据二极管测试。
测试单向网关/数据二极管会遇到一些挑战,我们必须找到解决方案:
1.该产品可与两个不同的网络连接,但它们之间不可能有任何连接。
2.TCP、UDP、OPCUA、MODBUS 等测试协议难以手动测试。
3.测试 FTP 和 CIFS(文件传输)等协议。虽然可以进行人工测试,但仅靠人工测试不可能确保传输文件的每个位都与原始文件完全相同。
4.使用自动测试时,由于可信域和不可信域的测试脚本无法通信,因此必须找到一种方法来保持它们之间的同步。
5.必须对单向网关/数据二极管进行压力测试,这就要求传输大量数据。
OPSWAT 的单向网关解决方案是MetaDefender Unidirectional Security Gateway USG),在此我们将介绍如何对其进行测试,并提供上述问题的解决方案。
什么是MetaDefender Unidirectional Security Gateway USG)?
NetWall 是一种将数据从可信域(蓝)传输到不可信域(红)的产品。NetWall 由两台通过高速数据链路互连的实体计算机组成。两台实体计算机之间没有网络连接。跨NetWall 的数据传输使用专有的内部非路由协议。
NetWall NetWall 还克服了数据二极管的固有问题:无法保证数据的传输。
为什么说NetWall 比Firewall更好?
如果坏人进入了防火墙,他就可以根据自己的需要配置防火墙,并完全进入可信域。NetWall然而,在受信任域(蓝色)和不受信任域(红色)之间存在一个完整的协议和网络断点。 如果坏人控制了NetWall 的非信任域(红色)端,他们就无法访问信任域,因为在信任域(蓝色)和非信任域(红色)NetWall 计算机之间不存在网络连接。
深入探讨:数据二极管与防火墙--比较网络安全性、数据流和合规性
NetWall 使用案例
NetWall 用于数据必须从可信域传输到不可信域,且可信域的安全性必须得到保护的任何环境。
例如,一家公司可能有一个或多个水厂,这些水厂位于无法访问互联网的可信区域内。该公司需要随时了解水厂的状态或已生产了多少水。要在不影响可信域的情况下获取这些信息,解决方案是使用NetWall 。
如何测试NetWall
测试包括对NetWall 进行压力测试。这意味着在一段时间内将产品推向极限,并确保其行为符合预期。
该产品能够使用 FTP 或 CIFS 将文件从受信任端移动到不受信任端。它还能使用 TCP、UDP、MODBUS、OPCUA 和 SMTP 协议。测试将同时使用所有这些技术。
脚本生成的数据将通过NetWall 从可信域转移到不可信域。
测试记录了NetWall 从可信域发送的数据。测试还记录了NetWall 在不受信任域中接收的数据。
测试结束后,对记录的结果进行比较。任何数据丢失都会在测试结果中注明。
FTP、CIFS 测试
这两种协议都用于移动文件。
NetWall 将受信任域中 FTP 或 CIFS 文件夹中的文件移动到不受信任域中的 FTP 或 CIFS 文件夹。
测试模拟用户将文件放入可信域中的 FTP 和 CIFS 文件夹。它通过创建许多正在写入小文件的用户、一些正在写入中等大小文件的用户和一些正在写入大文件的用户来模拟真实情况。
受信任域上的测试脚本会为传输的每个文件记录以下信息:
- 文件名
- NetWall 从可信域获取文件的时间
- 文件的哈希代码
不信任域上的测试脚本会记录从NetWall Blue 收到的每个文件的以下信息:
- 文件名
- 文件的哈希代码
- 收到文件的时间
测试结束后,将来自受信任域的记录与来自不受信任域的记录进行比较。比较在 Blue 上生成的哈希代码和在 Red 上生成的哈希代码,以验证NetWall Red 上接收到的文件的完整性。比较结果将生成类似于下面的 Excel 文件:
TCP 测试
NetWall 支持从可信域发出、在不可信域终止的单向 TCP 流。
我们编写了一个测试代码,可在NetWall 外部的机器上运行,包括可信域和不可信域。该测试代码在可信域上创建一个文件,然后使用NetWall 上的 TCP 通道将文件数据传输到不可信域中的测试代码。
测试周期结束时,会生成一个 Excel 文件来发布测试结果。Excel 文件的外观如下所示。
UDP 测试
NetWall 还支持 UDP 数据流。
我们编写了一个测试代码,可在NetWall 外部的机器上运行,包括可信域和不可信域。该测试代码在可信域上创建数据信息,然后使用NetWall 上的 UDP 通道将文件数据传输到不可信域中的测试代码。
测试周期结束时,会生成一个 Excel 文件来发布测试结果。Excel 文件的外观如下所示。
Modbus 测试
在 Modbus 测试中,蓝色侧线圈和寄存器中的值会被修改。更改后的值会被记录下来,当它们被传输到红色端时,也会被记录下来。测试完成后,将对数值进行比较,并生成 Excel 文件:
OPCUA 测试
要启动 OPCUA 测试,就要更改蓝方节点的值。这些值会被记录下来,当它们到达红方时,也会被记录下来。在红方,一些节点被读取,另一些节点则将新值推送给订阅客户端。最后,当测试结束时,对两条记录进行比较,并生成 Excel 文档:
SMTP 测试
在进行 SMTP 测试时,脚本会从受信任域侧向不受信任域的服务器发送数百封邮件。在这里,要验证所有邮件是否到达。
结论
NetWall 发布的每个版本都经过这些测试程序以及其他测试程序的认证。我们相信,NetWall 将始终保持稳定和高效。
