2023年11月28日发(作者:)
文 档 作 者: ______________ 日期:____/____/____
项 目 经 理: ______________ 日期:____/____/____
主 管 部 长: ______________ 日期:____/____/____
管 理 员: ______________ 日期:____/____/___
文 档 编 号 版本号/修改号 密 级
产品名称: 共 页
防火墙 测试方案
_
广东省电信公司科学技术研究院
数据网络部
目录
1 防火墙测试环境 ....................................................................................................................... 1
1.1 防火墙测试网络拓扑与工具 ................................................................................... 1
1.2 防火墙测试标准 ....................................................................................................... 3
防火墙厂家情况调查 ............................................................................................................... 4 2
参测的防火墙产品配置 ........................................................................................................... 5 3
防火墙产品功能验证测试 ....................................................................................................... 5 4
4.1 防火墙集中管理架构的验证测试 ........................................................................... 6
4.2 防火墙多级管理员工作方式的验证测试 ............................................................... 7
4.3 防火墙系统管理功能的验证测试 ........................................................................... 8
4.4 防火墙组网功能测试 ............................................................................................... 9
4.5 防火墙通信协议兼容性测试 ................................................................................. 10
4.6 防火墙状态检测功能测试 ..................................................................................... 12
4.7 防火墙用户认证功能测试 ..................................................................................... 13
4.8 防火墙应用代理功能测试 ..................................................................................... 14
4.9 防火墙ActiveX/Java过滤功能测试 ..................................................................... 15
4.10 防火墙内容/邮件过滤功能测试 ............................................................................ 16
4.11 防火墙日志审计功能测试 ..................................................................................... 17
4.12 防火墙报警功能测试 ............................................................................................. 19
4.13 防火墙双机热备的功能支持完整性测试 ............................................................. 20
4.14 防火墙抗掉电性测试 ............................................................................................. 21
4.15 防火墙VPN功能测试 ........................................................................................... 22
4.16 防火墙地址翻译功能测试 ..................................................................................... 23
防火墙产品性能测试 ............................................................................................................. 24 5
5.1 防火墙吞吐量测试 ................................................................................................. 25
5.2 防火墙背靠背缓存能力测试 ................................................................................. 26
5.3 防火墙最大的联接建立速率测试 ......................................................................... 28
5.4 防火墙最大并发联接数测试 ................................................................................. 29
5.5 防火墙有效通过率测试 ......................................................................................... 30
5.6 混杂非法业务流条件下的防火墙联接建立速率测试 ......................................... 31
5.7 防火墙延时参数测试 ............................................................................................. 32
5.8 防火墙加密隧道的有效通过率测试 ..................................................................... 33
5.9 防火墙加密隧道延时参数测试 ............................................................................. 34
5.10 防火墙对DoS的防范能力测试 ............................................................................ 35
5.11 防火墙内核最小化测试 ......................................................................................... 36
5.12 防火墙双机热备切换时间测试 ............................................................................. 37
5.13 防火墙带宽管理功能测试 ..................................................................................... 38
5.14 防火墙集成IDS的有效通过率测试 .................................................................... 39
5.15 防火墙集成防病毒功能的有效通过率测试 ......................................................... 40
1 防火墙测试环境
1.1 防火墙测试网络拓扑与工具
防火墙产品的测试拓扑分为单机测试条件下的拓扑(图1)和双机热备条件下的测试拓
扑(图2)。
信任区/非军事区
非信任区
信任区/非军事区
测试用服务器测试用服务器
测试主机c
Subnet1
Subnet6
Subnet3
防火墙b
路由器/交换机
Subnet2
防火墙a
Subnet4
Subnet5
测试主机a
测试仪表
测试主机b
图1. 防火墙产品单机测试拓扑
1
非信任区
信任区/非军事区
防火墙a
测试主机
Subnet6
测试用服务器
Subnet5
测试主机
Subnet2
路由器/交换机防火墙b
测试仪表
图2. 双机热备条件下防火墙产品测试拓扑
主要的测试设备包括测试仪表、测试主机/服务器和路由器/交换机三大类。
测试仪表包括IXIA、SmartBits和Caw Network三种仪表。
✓ SmartBits是一款很好的网络性能测试仪表,主要用于吞吐量、背对背帧缓冲能力
的测试以及VPN的性能测试。
✓ IXIA主要是用于防火墙安全防范水平的测试,即利用IXIA的重放功能以及内置的
攻击软件包,测试防火墙抵御拒绝服务攻击的能力。
✓ Caw Network可以仿真批量的HTTPHTTPs、FTP通信业务,主要用于有效通过率、
通信联接建立速率和并发联接数等性能测试。
测试主机/服务器主要作为软件测试工具的承载平台。用到的软件测试工具包括:
✓ 黑客攻击软件,主要是各种DoS软件工具,用于发出实际的DoS攻击流。
✓ 网络嗅探器Sniffer,用于监测和分析网络测试流。
✓ 网络扫描仪Internet Scanner,用于评估防火墙系统内核的安全水平。
路由器/交换机是测试平台的组网设备。
2
1.2 防火墙测试标准
防火墙产品测评指针的制定主要参考了以下标准。
1. GB/T 18020-1999 信息技术应用级防火墙安全技术要求
2. GB/T 18019-1999 信息技术包过滤防火墙安全技术要求
3. FWPD:Firewall Product Certification Criteria Version 3.0a
4. Internet Draft:Benchmarking Methodology for Firewall Performance.
5. RFC2544:Benchmarking Methodology for Network Interconnect Devices.
3
2 防火墙厂家情况调查
防火墙厂家的情况调查主要包括:生产厂家及其售后服务、产品技术资料和产品的市场
评价等内容。防火墙厂家在测试前,应当如实回答以下问题:
1) 是否持有生产销售该产品的合法营业执照?
2) 已通过何种质量管理体系认证?
3) 企业向市场提供那些安全产品?
4) 企业生产经营防火墙产品的时间?
5) 防火墙产品在同类产品中的市场占有率如何?(注明数据出处)
6) 是否提供产品使用的相关培训和技术支持?
9) 防火墙产品是否通过国家权威机构的认证?
3 参测的防火墙产品配置
产品型号 操作系统和版本 防火墙软件版本
首信防火墙CF2000 CG-600 linux CF2000 V2.1
CPU类型与数目 存储类型和容量 电源与环境要求
施乐 2.4G 内存 Kingstone 电源:400W以上服务器冗余电源
数目:1个 内存容量:2G 工作温度:0℃-40℃
硬盘:40G 存储温度:-40℃-55℃
工作相对湿度:30%-90%
气压:86KPA-106KPA
重量:15KG
4 防火墙产品功能验证测试
防火墙功能验证测试部分主要是通过实际配置防火墙系统,检查配置参数,尝试性操作
以及发送验证业务流等手段,验证防火墙提供功能的合理性和完整性。
5
4.1 防火墙集中管理架构的验证测试
测试编号:
测试组:防火墙集中管理架构的验证测试
测试依据:
测试目的:验证防火墙系统体系架构层次的合理性
测试步骤:
1. 搭建防火墙的集中管理平台;
2. 针对测试表格的要求,验证防火墙的集中管理架构。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
3层的管理体系 Yes()No()
带外管理 Yes()No()
带内管理 Yes()No()
管理信道加密 Yes()No()
管理架构 <3层 Yes()No()
集中管理拓扑生成 Yes()No()
能力
全局策略定制 Yes()No()
全局配置分发 Yes()No()
全局集中日志审计 Yes()No()
全局系统升级 Yes()No()
全局集中监控 Yes()No()
测试人员:
厂商代表:
6
4.2 防火墙多级管理员工作方式的验证测试
测试编号:
测试组:防火墙多级管理员工作方式的验证测试
测试依据:
测试目的:验证防火墙管理员权限的分割能力、管理员工作的保密性和操作界面的友好程度
测试步骤:
3. 创建防火墙的各级管理员账号,并进行相关的管理操作;
4. 针对测试表格的要求,验证防火墙的多级管理员工作方式。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
管理员分<3级 Yes()No()
级
大于3级的管理员体系 Yes()No()
自定义方式实现多级管理员体系 Yes()No()
管理员的一次性口令 Yes()No()
接入安全
静态口令 Yes()No()
口令长度大于7 Yes()No()
口令长度小于等于7 Yes()No()
有登录尝试次数限制 Yes()No()
信道加密 Yes()No()
密钥长度128位以上 Yes()No()
密钥长度56为以下 Yes()No()
管理员操
作界面
未优化的命令行 Yes()No()
优化的命令行 Yes()No()
英文窗口 Yes()No()
汉化窗口 Yes()No()
测试人员:
厂商代表:
7
4.3 防火墙系统管理功能的验证测试
测试编号:
测试组:防火墙系统管理功能的测试
测试依据:
测试目的:测试防火墙提供的系统管理功能的完善程度
测试步骤:
5. 利用防火墙网管系统远程配置防火墙;
6. 针对测试表格的要求,验证防火墙管理系统的管理功能。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
网络接口网络拓扑显示 Yes()No()
与系统功
能配置
(子)接口IP/MAC地址配置 Yes()No()
路由配置 Yes()No()
VPN功能配置 Yes()No()
NAT功能配置 Yes()No()
添加/清除虚拟防火墙 Yes()No()
故障监测 实时监控 Yes()No()
告警指示 Yes()No()
系统升级 全局分发 Yes()No()
在线升级 Yes()No()
管理员账账号增、删、改 Yes()No()
号的创建
账号的分发 Yes()No()
安全策略支持基于端口、IP、对象、组的策略配置 Yes()No()
配置
策略增、删、改 Yes()No()
策略全局分发 Yes()No()
日志审计 日志查阅、删除 Yes()No()
不同管理系统日志审计的隔离 Yes()No()
测试人员:
厂商代表:
8
4.4 防火墙组网功能测试
测试编号:
测试组:防火墙组网功能的测试
测试依据:
测试目的:测试防火墙参与网络组织的能力
测试步骤:
7. 配置防火墙;
8. 针对测试表格的要求,验证防火墙系统配置。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
接口 ≤4个接口 Yes()No(√)
>4个接口 Yes(√)No()
支持子接口而且安Yes()No()
全分区与接口无关
组网协议 静态路由 Yes(√)No()
动态路由 Yes()No(√)
Yes(√)No() 物理结构 符合标准机架要求
Yes()No(√) 虚拟防火墙
测试人员:
厂商代表:
9
4.5 防火墙通信协议兼容性测试
测试编号:
测试组:防火墙通信协议兼容性测试
测试依据:
测试目的:测试防火墙支持的通信服务协议类型
测试步骤:
1. 从防火墙的内区到外区方向,建立相关协议的允许规则;
2. 从内区的测试主机向外区主机,进行规定协议的通信,同时,内区的测试主机根据允许
规则向所设定的目的地址主机发送规定协议以外的数据包;
3. 在通信过程中以及通信结束后,检查防火墙的日志,同时,利用Sniffer在外区监控业务
数据流;
4. 根据测试表格的要求抽样检查常规的通信协议。
预期测试结果:可以成功地进行规定协议的通信,但是,规定以外的其他协议数据包应当被
阻断。
测试准备:需要准备测试主机和服务器。
测试说明:
10
测试结果:
测试项 测试用例 测试结果 备注
DNS 代理 Yes()No(√) 支持指定端口或指定端口范围
FTP 代理 Yes()No(√)
HTTP 代理 Yes()No(√)
HTTPs 代理 Yes()No(√)
RTTP 代理 Yes()No(√)
IGMP 代理 Yes()No(√)
NTP 代理 Yes()No(√)
SNMP 代理 Yes()No(√)
SIP 代理 Yes()No(√)
H.323 代理 Yes()No(√)
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
状态检测 Yes(√)No()
的TCP或UDP状态检测。
Yes()No(√) TCP任意 代理
Yes(√)No() 状态检测
Yes()No(√) UDP任代理
Yes(√)No() 状态检测
Yes()No(√) 支持ICMP过滤、IP包过滤。 其它任意 代理
Yes(√)No() 状态检测
意
测试人员:
厂商代表:
11
4.6 防火墙状态检测功能测试
测试编号:
测试组:防火墙状态检测功能的测试
测试依据:
测试目的:测试防火墙状态检测功能的完备性
测试步骤:
5. 从防火墙的内区到外区方向,建立HTTP和TFTP的允许规则;
6. 从内区的测试主机访问外区的测试服务器,进行网页浏览和TFTP文件下载操作,同时,
内区的测试主机根据允许规则向所设定的目的地址主机发送规定协议以外的数据包;
7. 在通信过程中以及通信结束后,检查防火墙的日志以及状态联接表,同时,利用Sniffer
在外区监控业务数据流;
8. 在上述操作过程中,根据测试表格的要求检查系统的配置功能。
预期测试结果:在网页浏览和TFTP文件下载操作过程中,应生成相应的状态联接表项,但
是,内区向外区发送的规定以外的其他协议数据包应当被阻断;在通信结束后,相应的状态
联接表项随后也被清除。
测试准备:需要准备测试主机和测试服务器。
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
条件域 源地址/端口 Yes(√)No()
目的地址/端口 Yes(√)No()
协议 Yes(√)No()
Yes(√)No() 选项域 日志
Yes(√)No() 时间
Yes()No(√) 告警
Yes(√)No() 动作域 允许
Yes(√)No() 禁止
Yes(√)No() 状态检测 TCP
Yes(√)No() UDP
ICMP协议过滤 Yes(√)No()
测试人员:
厂商代表:
12
4.7 防火墙用户认证功能测试
测试编号:
测试组:防火墙用户认证的测试
测试依据:
测试目的:测试防火墙用户认证功能实现方式的完整性
测试步骤:
1. 配置认证服务器,建立认证用户账号;
2. 利用测试主机和测试服务器,仿真用户在认证后通过防火墙访问服务器的通信过程,查
看防火墙日志记录,确认用户成功认证;
3. 针对测试表格的要求,完成上述测试过程。
预期测试结果:
测试准备:需要准备测试主机和测试服务器。
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
Radius认证 会话认证 Yes()No(√) 采用自主开发的一次
事前认证 Yes()No(√)
Windows NT会话认证 Yes()No(√)
域用户认证
事前认证 Yes()No(√)
性口令认证技术,支持
事前认证。
测试人员:
厂商代表:
13
4.8 防火墙应用代理功能测试
测试编号:
测试组:防火墙应用代理功能测试
测试依据:
测试目的:测试防火墙的应用代理功能的覆盖范围和工作方式
测试步骤:
1. 配置防火墙的应用代理功能;
2. 利用测试主机与测试服务器建立通信过程;
3. 检查代理状态,确认代理按配置要求正常工作;
4. 根据测试表格的要求,完成各项代理功能的测试。
预期测试结果:
测试准备:需要准备测试主机和测试服务器,用于生成验证业务流。
测试说明:
测试结果:不支持。
测试项 测试用例 测试结果 备注
HTTP 透明代理 Yes()No()
可以切换到状态检测模式 Yes()No()
Yes()No() FTP 透明代理
Yes()No() 可以切换到状态检测模式
Yes()No() TELNET 透明代理
Yes()No() 可以切换到状态检测模式
Yes()No() SMTP 透明代理
Yes()No() 可以切换到状态检测模式
Yes()No() POP3 透明代理
Yes()No() 可以切换到状态检测模式
测试人员:
厂商代表:
14
4.9 防火墙ActiveX/Java过滤功能测试
测试编号:
测试组:防火墙ActiveX/Java过滤功能的测试
测试依据:
测试目的:测试ActiveX/Java过滤功能与防火墙功能的集成度以及功能的有效性。
测试步骤:
1. 配置防火墙功能和ActiveX/Java过滤功能,使之正常工作;
2. 传送非法URL或含有非法ActiveX/Java代码的网页,检查ActiveX/Java过滤的有效性。
预期测试结果:
测试准备:需要准备测试主机和测试服务器,用于生成验证的业务流。
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
集成方防火墙事后阻断 Yes()No(√)
式
防火墙事前阻断 Yes(√)No()
ActiveX/Java过滤模块以第三方厂家产Yes()No(√)
品方式存在
两种功能模块集成在一个机箱内 Yes(√)No()
功能效非法ActiveX编码过滤 Yes()No(√)
果
非法Java编码过滤 Yes()No(√)
非法URL过滤 Yes(√)No()
非法脚本过滤 Yes()No(√)
基于源地址实现封堵 Yes(√)No()
基于源端口实现封堵 Yes(√)No()
基于目的地址实现封堵 Yes(√)No()
基于目的端口实现封堵 Yes(√)No()
基于时间实现封堵 Yes(√)No()
测试人员:
厂商代表:
支持标准接口的ActiveX/Java过滤产品 Yes()No(√)
15
4.10 防火墙内容/邮件过滤功能测试
测试编号:
测试组:防火墙内容/邮件过滤的测试
测试依据:
测试目的:测试内容/邮件过滤功能与防火墙功能的集成度以及功能的有效性
测试步骤:
1. 配置防火墙功能和内容/邮件过滤功能,使之正常工作;
2. 传送非法邮件或内容信息,检查内容/邮件过滤的有效性。
预期测试结果:
测试准备:需要准备测试主机和测试服务器,用于生成验证的业务流。
测试说明:
测试结果:不支持。
测试项 测试用例 测试结果 备注
集成方防火墙事后阻断 Yes()No()
式
防火墙事前阻断 Yes()No()
内容/邮件过滤模块以第三方厂家产品方Yes()No()
式存在
支持标准接口的内容/邮件过滤产品 Yes()No()
两种功能模块集成在一个机箱内 Yes()No()
功能效非法关键字内容过滤 Yes()No()
果
含病毒邮件附件过滤 Yes()No()
非法邮件地址过滤 Yes()No()
基于源地址实现封堵 Yes()No()
基于源端口实现封堵 Yes()No()
基于目的地址实现封堵 Yes()No()
基于目的端口实现封堵 Yes()No()
基于时间实现封堵 Yes()No()
测试人员:
厂商代表:
16
4.11 防火墙日志审计功能测试
测试编号:
测试组:防火墙日志审计的测试
测试依据:
测试目的:测试防火墙日志审计功能的完善程度。
测试步骤:
1. 查阅日志信息,检查日志审计工具;
2. 根据测试表格要求,分别进行登录/退出防火墙、启动/停止系统功能、配置安全规则、
配置审计功能等操作,检查日志信息;
3. 生成恶意事件,发送验证业务流,检查受监控通信过程的日志记录信息。
预期测试结果:
测试准备:需要准备测试主机和测试服务器,用于生成验证业务流。
测试说明:
17
测试结果:
测试项 测试用例 测试结果 备注
审计界面 汉化界面 Yes(√)No()
查阅方式 分类查阅 Yes(√)No() 仅基于给定的关键词作检
英文界面 Yes()No(√)
关键字检索 Yes(√)No()
索。
Yes(√)No() 日志分析工自带分析工具
Yes()No(√) 提供第三方工具接口
Yes()No(√) 存储采用Linux的MySQL日志存储方本机存储
Yes()No(√) 输出文本存储
数据库。 式
Yes(√)No() 输出数据库存储
Yes(√)No() 登录防火墙登录时间
Yes(√)No() 登录账号
Yes(√)No() 登录成功/失败信息
Yes(√)No() 退出防火墙退出时间
Yes(√)No() 退出账号
Yes(√)No() 功能启动的启动时间
Yes(√)No() 操作员标识
Yes(√)No() 功能停止的停止时间
Yes(√)No() 操作员标识
Yes(√)No() 安全规则配配置时间
Yes(√)No() 操作员标识
Yes(√)No() 增、删、改
Yes(√)No() 初始化配置配置时间
Yes(√)No() 操作员标识
Yes(√)No() 增、删、改
Yes(√)No() 审计功能配配置时间
Yes(√)No() 操作员标识
Yes(√)No() 增、删、改
Yes(√)No() 被监控联接起/止时间
Yes(√)No() 源/目的IP地址
Yes(√)No() 源/目的端口
Yes(√)No() 所有攻击事件仅限于打开攻击事件的事件发生时间
Yes(√)No() 事件类型
入侵检测模块所能监测到日志
的违规行为。
具的支持
的日志
的日志
日志
日志
置的记录
4.12 防火墙报警功能测试
测试编号:
测试组:防火墙报警功能测试
测试依据:
测试目的:测试防火墙报警功能的报警触发条件和报警方式。
测试步骤:
1. 设置防火墙的报警触发条件;
2. 生成报警事件,检查报警效果;
3. 根据测试表格要求,完成上述测试。
预期测试结果:
测试准备:
测试说明:
测试结果:不支持。
测试项 测试用例 测试结果 备注
触发条件 设定的被监控的安Yes()No()
全事件
设备功能模块故障 Yes()No()
线路故障 Yes()No()
Yes()No() 报警方式 手机
Yes()No() 邮件
Yes()No() 界面显示
Yes()No() 可扩展报警方式
测试人员:
厂商代表:
19
4.13 防火墙双机热备的功能支持完整性测试
测试编号:
测试组:防火墙双机备份的测试
测试依据:
测试目的:测试双机热备对防火墙其他功能模块支持的完整性
测试步骤:
1. 把两台防火墙配置在双机热备状态;
2. 根据测试表格要求,在主工作状态的防火墙上,分别配置各种功能模块,校验主备防火
墙之间工作状态一致性的维持情况。
预期测试结果:
测试准备:
测试说明:
测试结果:不支持。
测试项 测试结果 测试项 测试结果
逻辑子接人工同步 Yes()No() 人工同步 Yes()No() 认证
口
路由 人工同步 Yes()No() 安全策人工同步 Yes()No()
自动同步 Yes()No() 自动同步 Yes()No()
自动同步 Yes()No() 自动同步 Yes()No()
略表
人工同步 Yes()No() 虚拟防火人工同步 Yes()No() 联接状
自动同步 Yes()No() 自动同步 Yes()No()
人工同步 Yes()No() NAT 人工同步 Yes()No() 日志
自动同步 Yes()No() 自动同步 Yes()No()
人工同步 Yes()No() VPN 人工同步 Yes()No() 管理员
自动同步 Yes()No() 自动同步 Yes()No()
代理 人工同步 Yes()No() 备注
墙子系统 态表
账号
自动同步 Yes()No()
不支持。
测试人员:
厂商代表:
20
4.14 防火墙抗掉电性测试
测试编号:
测试组:防火墙抗掉电测试
测试依据:
测试目的:测试掉电这一异常事故对防火墙的影响。
测试步骤:
1. 对工作中的防火墙实施掉电操作;
2. 对掉电的防火墙恢复供电,根据测试表格要求检查系统的状态和配置信息。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项 测试用例 测试结果 备注
对系统的日志丢失 Yes()No(√)
影响
接口配置信息丢失 Yes()No(√)
网络功能模块配置信息丢Yes()No(√)
失
安全策略模块配置信息丢Yes()No(√)
失
审计模块配置信息丢失 Yes()No(√)
系统用户配置信息丢失 Yes()No(√)
本机不存储日志,放在
外接日志服务器中。
Yes()No(√) 系统恢复报警
Yes()No(√) 需要重新调整配置
能力
测试人员:
厂商代表:
21
4.15 防火墙VPN功能测试
测试编号:
测试组:防火墙VPN功能测试
测试依据:
测试目的:测试防火墙与VPN网关的集成方式以及VPN功能实现的完整性。
测试步骤:
1. 在防火墙上配置Site-to-Site的VPN隧道,对VPN隧道接口施加安全策略;
2. 针对测试表格检查VPN的配置;
3. 利用测试主机穿过VPN隧道进行正常的网页访问,确认VPN隧道工作正常,同时,利
用Sniffer确认传送资料被正确加密。
预期测试结果:
测试准备:需要准备测试主机和测试服务器
测试说明:
测试结果:不支持。
测试项 功能类型 测试结果 备注
VPN工作方式 支持隧道VPN Yes()No()
支持传输VPN Yes()No()
VPN交换 Yes()No()
Yes()No() 加密算法 DES/3DES
Yes()No() AES
Yes()No() 国内加密算法
Yes()No() 密钥管理 PKI
测试人员:
厂商代表:
22
4.16 防火墙地址翻译功能测试
测试编号:
测试组:测试防火墙的地址翻译功能
测试依据:
测试目的:测试防火墙是否具备完整的地址翻译功能以及NAT配置的灵活性。
测试步骤:
1. 在防火墙的内区与外区之间的通信接口上配置地址翻译功能;
2. 发送业务流,用Sniffer确认地址翻译成功;
3. 按测试表格内容验证地址翻译功能。
预期测试结果:防火墙应当能全面支持测试表格所列的地址翻译功能。
测试准备:需要Sniffer嗅探器以及用来生成业务流的测试主机和服务器。
测试说明:
测试结果:
测试项目 验证结果 双向 与接口无关
静态1对1NAT Yes()No() Yes()No() Yes()No()
动态1对多NAT Yes()No() Yes()No() Yes()No()
动态多对多NAT Yes()No() Yes()No() Yes()No()
PAT Yes()No() Yes()No() Yes()No()
√√√
√√√
√√√
√√√
测试人员:
厂商代表:
23
5 防火墙产品性能测试
防火墙产品的性能测试是在功能测试完成的基础上,考察防火墙产品部署后对正常网络
通信在性能方面的影响程度,同时防火墙本身的安全性和可靠性也是性能测试的一项重要内
容。
24
5.1 防火墙吞吐量测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:RFC2544:Benchmarking Methodology for Network Interconnect Devices.
测试目的:测试防火墙在不丢包条件下能达到的最大的资料包转发速率。
测试步骤:
1. 在防火墙的内区和外区之间设置一条双向的全允许规则;
2. 采用测试仪表分别与防火墙的外区和内区接口相连;
3. 利用仪表,发送双向的UDP测试数据流,搜索接口的吞吐量,采样时长设置为30秒;
4. 分别对64、128、256、512、1024、1280、1518字节的测试帧,重复上述测试过程。
预期测试结果: 测试包应当能够通过防火墙。但是,在短帧和1518字节帧长条件下,测试
结果可能达不到接口线速。
测试准备:需要准备一台SmartBits测试仪。
测试说明:
测试结果:
帧长(字节) 64 128 256 512 1024 1280 1518
一对光纤接口的100 100 100 100 100 100 100
平均吞吐量(%)
整机的平均吞吐100 100 100 100 100 100 100
量(%)
整机支持2对光纤接口。
测试人员:
厂商代表:
25
5.2 防火墙背靠背缓存能力测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:RFC2544:Benchmarking Methodology for Network Interconnect Devices.
测试目的:测试防火墙按最小帧间隔转发突发资料而不引起丢包的最大突发资料长度。
测试步骤:
1. 在防火墙的内区和外区之间设置一条双向的全允许规则;
2. 采用测试仪表分别与防火墙的外区和内区接口相连;
3. 利用仪表,发送双向的UDP测试数据流,搜索接口的背靠背缓冲值,采样时长设置为2
秒;
4. 分别对64、128、256、512、1024、1280、1518字节的测试帧,重复上述测试过程各5
次。
预期测试结果:
测试准备:需要准备一台SmartBits测试仪。
测试说明:
测试结果:
帧长(字节) 64 128 256 512 1024 1280 1518
背靠背缓冲帧2976190 1689190 905798 469924 239464 192308 162548
2976190 1689190 905798 469924 239464 192308 162548
/2976190 /1689190 /905798 /469924 /239464 /192308 /162548
2976190 1689190 905798 469924 239464 192308 162548
/2976190 /1689190 /905798 /469924 /239464 /192308 /162548
2976190 1689190 905798 469924 239464 192308 162548
/2976190 /1689190 /905798 /469924 /239464 /192308 /162548
2976190 1689190 905798 469924 239464 192308 162548
/2976190 /1689190 /905798 /469924 /239464 /192308 /162548
平均值 2976190 1689190 905798 469924 239464 192308 162548
/2976190 /1689190 /905798 /469924 /239464 /192308 /162548
/1689190 /905798 /469924 /239464 /192308 /162548 数目(Frames) /2976190
整机测试值与上述一样。
测试人员:
26
厂商代表:
27
5.3 防火墙最大的联接建立速率测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试防火墙能达到的最大的TCP联接建立速率。
测试步骤:
1. 在防火墙的内区和外区之间设置双向的安全规则,测试仪表分别与防火墙的外区和内区
接口相连;
2. 采用测试仪表仿真客户端与服务器之间的TCP通信过程。通过调节通信联接的建立速
率,搜索防火墙能支持的最大的联接建立速率。
3. 分别在设置一条全允许规则和设置80条安全控制规则的条件下,完成上述测试过程,
其中,80条安全规则内含40条允许规则和40条禁止规则,允许规则和禁止规则需交替
配置。
预期测试结果: 硬件防火墙应当能支持至少每秒上千个TCP联接的建立。如果达到防火墙
支持的TCP联接建立速率的峰值,防火墙应当能继续保持在正常的工作状态。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端
测试说明:
测试结果:
一条全允许规则条件下,最大的通信联接建立速率 6667 Connections/Sec
250条允许规则条件下,最大的通信联接建立速率 6286 Connections/Sec
测试人员:
厂商代表:
28
5.4 防火墙最大并发联接数测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试防火墙能支持的最大的并发TCP联接数目。
测试步骤:
1. 在防火墙的内区和外区之间设置一条双向的全允许规则,测试仪表分别与防火墙的外区
和内区接口相连;
2. 采用测试仪表仿真客户端与服务器之间的TCP通信过程。在保持旧的通信会话联接仍有
效的基础上,仪表以批量方式增加新的通信会话过程,通过调整批量的大小,搜索防火
墙能支持的最大的有效TCP并发联接数目。
预期测试结果: 硬件防火墙应支持最少十万条有效的并发TCP联接数目。在达到最大的
TCP并发联接数目时,防火墙应当能继续保持在正常的工作状态。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端
测试说明:
测试结果:
最大的有效TCP并发联接数目 〉50万 Connections
测试人员:
厂商代表:
29
5.5 防火墙有效通过率测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试防火墙一次性成功转发HTTP通信会话资料的最大速率。
测试步骤:
1. 在防火墙的内区到外区方向设置一条HTTP允许规则,测试仪表分别与防火墙的外区和
内区接口相连;
2. 通过调整通信量,搜索峰值的有效通过率;
3. 调整TCP最大传输数据块大小,分别在198、454、966、1222、1460条件下,完成上述
测试过程。
预期测试结果:
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端
测试说明:
测试结果:
MSS(Byte) 198 454 966 1222 1460
HTTP 有效
通过率
(Mbps)
260.5 638 956.9 960.6 964.8
测试人员:
厂商代表:
30
5.6 混杂非法业务流条件下的防火墙联接建立速率测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试混杂了等量的非法通信的条件下,防火墙能达到的最大的TCP联接建立速
率。
测试步骤:
1. 在防火墙的内区和外区之间设置40条允许规则和40条禁止规则,其中,40条允许规则
和40条禁止规则交替配置,测试仪表分别与防火墙的外区和内区接口相连;
2. 采用测试仪表按一定速率仿真客户端与服务器之间的TCP通信过程。所有的通信由等量
的合法通信过程和非法通信过程混杂而成。通过变更通信联接的建立速率,搜索防火墙
可支持的最大TCP联接建立速率。要求所有合法通信过程均可一次性成功完成,同时,
所有非法通信过程被成功阻断。
预期测试结果: 本项测试的结果可能会小于无非法通信联接条件下测得的结果。如果达到
防火墙支持的TCP联接建立速率的峰值,防火墙应当能继续保持在正常的工作状态。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端
测试说明:
测试结果:
混杂非法联接条件下,最大的通信联接建立速率 6278 Connections/Sec
测试人员:
厂商代表:
31
5.7 防火墙延时参数测试
测试编号:
测试组:防火墙基本通信性能测试
测试依据:RFC2544:Benchmarking Methodology for Network Interconnect Devices
测试目的:测试防火墙的通信包转发延时。
测试步骤:
1. 采用与吞吐量测试相同的配置,稳定在吞吐量的峰值,无丢包条件下持续测试10秒,
统计包转发延时;
2. 调整通信帧长,分别在64、128、256、512、1024、1280、1518条件下,完成上述测试
过程。
预期测试结果:
测试准备:需要准备一台SmartBits测试仪
测试说明:
测试结果:
帧长(Byte) 64 128 256 512 1024 1280 1518
一对光口包转发
延时CT(us)
一对光口包转发
延时S&F(us)
整机包转发延时
CT(us)
整机包转发延时
S&F(us)
4.5 6.0 9.0 15.3 26.0 30.0 33.9
4.0 5.0 7.0 11.3 17.9 19.8 21.8
4.6 6.1 9.1 15.4 25.9 30.0 33.8
4.1 5.1 7.1 11.4 17.8 19.8 21.7
测试人员:
厂商代表:
32
5.8 防火墙加密隧道的有效通过率测试
测试编号:
测试组:防火墙加密隧道通信性能测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试通过防火墙加密隧道的HTTP数据传输的最大有效速率。
测试步骤:
1. 在两台防火墙的外区接口之间建立一定数目的VPN加密隧道,把仪表分别与两台防火
墙的内区接口相连;
2. 采用测试仪表仿真客户端与服务器之间的HTTP通信过程,保持HTTP会话均匀分布在
每个VPN隧道上;
3. 通过调整通信量,,搜索峰值的有效通过率;
4. 调整TCP最大传输数据块大小,分别在198、454、966、1222、1460条件下,完成上述
测试过程。
5. 分别配置一条和10条VPN加密隧道,进行上述测试。
预期测试结果:在VPN加密隧道的条件下,测得的有效通过率可能有大幅度的下降。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端
测试说明:在10条VPN加密隧道条件下测得的有效通过率,需要折算为每条VPN隧道的
有效通过率。
测试结果:
MSS(Byte) 198 454 966 1222 1460
一条VPN加密隧道下,
HTTP 有效通过率(bps)
不支持VPN。
测试人员:
厂商代表:
33
5.9 防火墙加密隧道延时参数测试
测试编号:
测试组:防火墙加密隧道通信性能测试
测试依据:RFC2544:Benchmarking Methodology for Network Interconnect Devices
测试目的:测试通过防火墙加密隧道的数据包转发延时。
测试步骤:
1. 在两台防火墙的外区接口之间建立一条VPN加密隧道,把仪表分别与两台防火墙的内
区接口相连;
2. 采用与吞吐量测试相同的配置,稳定在吞吐量的峰值,无丢包条件下持续测试10秒,
统计包转发延时;
3. 调整通信帧长,分别在64、128、256、512、1024、1280、1518条件下,完成上述测试
过程。
预期测试结果:
测试准备:需要准备SmartBits测试仪
测试说明:
测试结果:
帧长(Byte) 64 128 256 512 1024 1280 1518
VPN加密隧道方向一
的包转发延时(us)
VPN加密隧道方向二
的包转发延时(us)
不支持VPN。
测试人员:
厂商代表:
34
5.10 防火墙对DoS的防范能力测试
测试编号:
测试组:防火墙抗DoS攻击测试
测试依据:
测试目的:测试防火墙对拒绝服务攻击的防范能力。
测试步骤:
1. 防火墙配置一条全允许规则,测试仪表与防火墙的外区和内区接口相连,并且仿真从外
区到内区服务器浏览网页的正常通信过程;
2. 利用DoS攻击工具从外区向被保护的内区发起拒绝服务攻击;
3. 在攻击过程中,搜索最大的有效TCP联接建立速率和最大的有效数据传输速率,并且统
计渗透到内区的攻击包数目;
4. 分被针对Syn flood、Ping flood、Udp flood、Land attack、Smurf attack、Tear Drop、Ping
of Death等DoS攻击完成上述测试过程。
预期测试结果:
测试准备:需要准备两台Caw Network测试仪,一台用于仿真客户端,一台用于仿真服务
器端,同时需要准备DoS攻击工具。
测试说明:有效通过率的测试网页大小为10K字节,联接建立速率的测试网页大小为1字
节。
测试结果:对于下述DoS攻击,防火墙不产生日志。
攻击类型 有效通过率最大联接建立发出的DoS攻渗透的DoS攻
Ping flood 962.8M 6762Consps 179597pps 30pps
Syn flood 962.8M 6762Consps 94554pps 91988pps
Unreachable 962.8M 6762Consps 2pps 0
host attack
Land attack 962.8M 6762Consps 179597pps 0
Smurf attack 962.8M 6762Consps 94554pps 0
Tear Drop 962.8M 6762Consps 6pps 6pps
(bps) 速率 击包数目 击包数目
6762Consps 94pps 0 Ping of Death 962.8M
测试人员:
厂商代表:
35
5.11 防火墙内核最小化测试
测试编号:
测试组:防火墙内核最小化安全评估测试
测试依据:
测试目的:测试防火墙软件及其使用的操作系统的安全程度。
测试步骤:
1. 利用Internet Scanner对处于工作状态的防火墙仿真黑客攻击;
2. 统计检测到的漏洞
预期测试结果:
测试准备:需要Internet Scanner工具软件。
测试说明:
测试结果:
序号 漏洞类型 序号 漏洞类型
1 LR OpensshRunning V= 2 LR IcmpTstamp
3 4 LR Traceroute LR ApacheRunning Apache_v
OpenSSH_3.5p1
=1.3.27(Unix) PHP/4.2.3 mod_ssl/
2.8.12 OpenSSL/0.9.6h
MR HttpTraceEnabled port=443 5 6 MR syslogflood
测试人员:
厂商代表:
36
5.12 防火墙双机热备切换时间测试
测试编号:
测试组:防火墙双机备份测试
测试依据:
测试目的:测试防火墙产品双机热备的切换时间。
测试步骤:
1. 把两台防火墙配置在一主一备的双机热备状态;
2. 测试仪表分别与防火墙的外区和内区接口相连,利用仪表产生恒定的UDP业务流;
3. 在主工作状态的防火墙上生成故障,触发主备切换,待系统稳定后,根据丢包数目计算
切换时间;
4. 重新产生恒定的UDP业务流,故障恢复,待系统稳定后,根据丢包数目计算故障恢复
的切换时间;
5. 分别针对外区/内区接口故障、管理或DMZ接口故障、设备掉电,完成上述测试过程。
预期测试结果:切换时长可能在数秒的范围内,与故障类型会有关联。切换时长越短越好。
测试准备:需要一台SmartBits测试仪
测试说明:部分防火墙产品可能不支持故障恢复切换。
测试结果:
双机热备不支持。
故障类型 工作区接口故障 心跳接口故障 工作设备掉电
保护切换时长(s)
恢复切换时长(s)
测试人员:
厂商代表:
37
5.13 防火墙带宽管理功能测试
测试编号:
测试组: 防火墙带宽管理功能的测试
测试依据:
测试目的:测试防火墙带宽管理功能可实现的精确程度。
测试步骤:
1. 把防火墙的内区和外区接口分别与测试仪表相连,配置一条HTTP允许规则;
2. 测试仪表分别以超过控制阀值的10%和100%进行HTTP通信,记录实测的HTTP流量;
3. 分别取阀值1Mbps和10Mbps,网页大小为10K Bytes,TCP的MSS=198、454、1460,
完成上述测试过程。
预期测试结果:
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端。
测试说明:
测试结果:
MSS(Bytes) 10Mbps带宽控制 100Mbps带宽控制
超过10% 超过100% 超过10% 超过100%
198 9.1 9.24 91.39 91.3
454 9.4 9.5 94.2 94.0
1460 9.6 9.69 96.0 95.8
实测结果并非有效通过率。在1460MSS,10%违规流量的条件下,成功会话速率为
15Transps/64Kbyte文件/10M带宽限速、127Transps/100M带宽限速。
测试人员:
厂商代表:
38
5.14 防火墙集成IDS的有效通过率测试
测试编号:
测试组:防火墙与IDS集成的测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试在集成了IDS的情况下,通过防火墙网关的数据传输的最大有效速率。
测试步骤:
1. 在防火墙上的内区到外区方向上,配置一条HTTP允许规则,要求所有的HTTP资料都
必须通过IDS的检测;
2. 把测试仪表分别接在防火墙的内区和外区接口上,向外区服务器发送带有恶意URL编
码的HTTP请求包,确认IDS与防火墙之间工作正常;
3. 采用测试仪表,仿真内区的客户端按一定的速率通过HTTP协议从外区的服务器下载网
页的通信过程,通过调整通信量,搜索最大的数据传输速率;
4. 保持在最大的数据传输速率条件下,在通信中混杂0.05%的带有恶意URL编码的HTTP
请求,确认所有的恶意HTTP请求都被成功的检测和阻断;
5. 分别针对1、1K、10K、100K的网页大小,在TCP的MSS=1460的条件下,完成上述
测试过程。
预期测试结果:文件越大,测得的有效通过率可能越小。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端。
测试说明:测试时,应明确用到的特征库的大小。
测试结果:
文件大小(Byte) 512K 64K 1K
963.6 5427Transps 实测吞吐量(Mbps) 963.0
用到的特征库大小
启用入侵检测模块(该模块仅能对IP、UDP、TCP和ICMP
的封包部分进行检测)
入侵检测模块能对已处于状态联接情况下的通信数据包做检查。
测试人员:
厂商代表:
39
5.15 防火墙集成防病毒功能的有效通过率测试
测试编号:
测试组:防火墙与防病毒产品集成的测试
测试依据:Internet Draft:Benchmarking Methodology for Firewall Performance.
测试目的:测试在集成了防病毒网关的情况下,通过防火墙网关的数据传输的最大有效速率。
测试步骤:
1. 在防火墙上的内区到外区方向上,配置一条FTP允许规则,要求所有的FTP资料都必
须通过防病毒网关的检测;
2. 把测试仪表分别接在防火墙的内区和外区接口上,利用FTP协议从外区服务器上下载带
测试病毒EICAR的文件,确认防病毒网关与防火墙之间工作正常;
3. 采用测试仪表,仿真内区的客户端按一定的速率通过FTP协议从外区的服务器下载文件
的通信过程,通过调整通信量,搜索最大的数据传输速率;
4. 保持在最大的数据传输速率条件下,在通信中混杂0.05%的病毒EICAR文件的下载过
程,确认所有的病毒下载过程都被成功的检测到;
5. 分别针对10K、100K、5M的文件大小,在TCP的MSS=1460的条件下,完成上述测试
过程。
预期测试结果: 文件越大,测得的有效通过率可能越小。
测试准备:需要准备两台Caw Network测试仪,一台仿真客户端,一台仿真服务器端,同
时需要配备一台win2000服务器。
测试说明:测试时,应明确用到的特征库的大小。
测试结果:
文件大小(Byte) 512K 64K 1K
450.7 实测吞吐量(Mbps) 480.1
最大新建会话速
率6682Transps
用到的特征库大小 仅支持启用URL(非内容关键字)的内容过滤。
URL内容过滤仅在匹配规则时起作用,已处于状态联接情况下,不再做检查。
测试人员:
厂商代表:
40
发布评论