2023年11月28日发(作者:)
.
2013.06.
目录
1 测试目的 ................................................................. 3
2 测试环境与工具 ........................................................... 3
2.1 测试拓扑 ............................................................. 3
2.2 测试工具 ............................................................. 4
3 防火墙测试方案 ........................................................... 5
3.1 安全功能完整性验证 ................................................... 5
3.1.1 防火墙安全管理功能的验证 ....................................... 5
3.1.2 防火墙组网功能验证 ............................................. 6
3.1.3 防火墙访问控制功能验证 ......................................... 6
3.1.4 日志审计及报警功能验证 ......................................... 7
3.1.5 防火墙附加功能验证 ............................................. 8
3.2 防火墙基本性能验证 ................................................... 9
3.2.1 吞吐量测试 .................................................... 10
3.2.2 延迟测试 ...................................................... 10
3.3 压力仿真测试 ........................................................ 11
3.4 抗攻击能力测试 ...................................................... 12
3.5 性能测试总结 ......................................... 错误!未定义书签。
2
1 测试目的
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一
个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的
服务和访问的审计和控制。
本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。
2 测试环境与工具
这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同
项目的说明。
待测防火墙
SmartBit 6000B
没有攻击源时的测试拓扑结构
PC
攻击源
待测防火墙
SmartBit 6000B
有攻击源时的测试拓扑结构
2.2 测试工具
本次测试用到的测试工具包括:
待测防火墙一台;
网络设备专业测试仪表SmartBits 6000B一台;
笔记本(或台式机)二台。
测试详细配置如下:
产品型号 防火墙技术机箱规格 防火墙软件及防火墙工作模
类型 版本 式
4
FORTINET ASIC 3.00-b0668 透明模式
1000AFA2 防火墙 (MR6 Patch 2) 混合模式
2U
NAT模式
设备吞吐量 端口 电源
CPU与存储
硬件
ASIC
version: CP5
ASIC SRAM:
64M
防火墙2Gbps 2个冗余220V
VPN 400Mbps 交流电源
10个
1000Base-T端
Intel(R)
口
Xeon(TM) CPU
2个千兆小包加
3.20GHz
速口
CPU:
RAM: 1009 MB
Compact
Flash: 122 MB
/dev/hdc
3 防火墙测试方案
为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:
基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:
GB/T 18020-1999 信息技术应用级防火墙安全技术要求
GB/T 18019-1999 信息技术包过滤防火墙安全技术要求
RFC2544 Benchmarking Methodology for Network Interconnect Devices
3.1 安全功能完整性验证
目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安
全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
3.1.1 防火墙安全管理功能的验证
1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。
2) 测试时间:__2008-7-23____
3) 测试人员:___XXX XXX一
4) 过程记录:
测试项 测试用例 测试结果 备注
远程命令行管理 Yes(Y)No()
远程GUI管理 Yes(Y)No()
管理方式 本地管理 Yes(Y)No() 集中控管需
要配置
Forti
5
管理地址认证 Yes(Y)No() manager设
集中控管 Yes(Y)No()
管理员接管理员分级管理 Yes(Y)No() 密码至少6
入安全 位
静态口令 Yes()No()
口令长度大于等于7 Yes()No()
有登录尝试次数限制 Yes(Y)No()
信道加密 Yes(Y)No()
密钥长度支持128位以上 Yes()No()
备
连续登陆三
账户次失败,
锁定3分钟
3.1.2 防火墙组网功能验证
1) 测试目的:本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。
2) 测试时间:_2008-7-23____
3) 测试人员:___XXX XXX一
4) 过程记录:
测试项 测试用例 测试结果 备注
接口 >=4个接口 Yes(Y)No()
支持灵活的安全域划分,且安全分区与接Yes(Y)No()
口无关
支持子接口 Yes(Y)No()
组网协议 静态路由 Yes(Y)No()
动态路由 Yes(Y)No()
支持802.1Q VLAN协议 Yes(Y)No()
物理结构 符合标准机架要求 Yes(Y)No()
支持虚拟防火墙 Yes(Y)No()
3.1.3 防火墙访问控制功能验证
1) 测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。
2) 测试时间:_2008-7-22____
3) 测试人员:___XXX 钱振
4) 过程记录:
步骤 检查内容 结果 备注
1 查看安全分区配置 a) 支持安全分区;(Y)
b) 无明确的安全分区;(Y)
6
2 查看过滤规则菜单c) 支持源/目的IP地址/端
的配置参数 口过滤;(Y)
d) 支持TCP状态检测过滤;
(Y)
e) 支持UDP状态检测过滤;
(Y)
f) 支持ICMP协议过滤;(Y)
g) 支持自定制协议超时时
间()
a)支持HTTP代理;(Y) 3 查看应用服务的安
b)支持SMTP代理;() 全过滤配置
c)支持POP3 代理;()
d)支持FTP代理; ()
e) 支持h.323代理()
f) 支持应用代理的自动启用
( )
4 内容过滤支持检验 a) 支持过滤java 组件(Y) 在病毒检查中配置
b) 支持过滤Activex组件(Y)
c) 支持过滤ZIP文件(Y)
d) 支持过滤EXE文件(Y)
注解:
验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。
3.1.4 日志审计及报警功能验证
1) 测试目的:验证防火墙日志审计内容的完整性及报警能力。
2) 测试时间:_2013-06___
3) 测试人员:___xxxxxx
4) 过程记录:
步
骤
检查内容 结果
检查日志的
审计功能界1
面
备注
a) 带有日志查阅工具;(Y)
支持向fortiAnalyzer或
b) 日志分级,分类存储Y
()
syslog服务器上传日志
7
2 检查登录防c) 记录包含登录时间;Y
火墙的日志d) 记录包含登录者账号信
记录。 息;Y
()
()
e) 记录包含成功/失败信
息;Y
()
f) 记录包含退出时间;Y Q 检查退出防
()
g) 记录包含功能启用时间;检查防火墙4
()
Y 功能被启动
h) 记录包含操作员标识 的日志记录
()
火墙的日志
记录。
检查对防火5 i) 记录包含配置时间;Y
墙安全规则j) 记录包含操作员标识;
进行配置的Y
记录 k) 配置变化(相应项的增、
()
()
删、改);Y
()
l) tcp连接发起的时间;6 检查防火墙
()
Y 对所监控的
m) tcp连接终止的时间;TCP连接做的
()
Y 记录
n) 源ip地址;Y
()
o) 源端口号;Y
()
p) 目的ip地址;Y
()
q) 目的端口号;Y
()
注解:
1、 验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说
明。
3.1.5 防火墙附加功能验证
1) 测试目的:本项测试通过查看相应配置项,明确防火墙提供的其他附加功能。
2) 测试时间:_2013-06___
3) 测试人员:___XXX XXX一
4) 过程记录:
步骤 检查内容 结果 备注
1 a) 支持桥接模式;(Y) 查看地址配置
8
b) 支持IP/MAC绑定;(Y)
2 查看DNS的配置菜c) 支持DNS解析;(Y) DNS代理
3 查看路由配置 d) 支持虚拟路由器(Y)
单
e) 支持源地址路由()
f) 支持目的地址路由()
g) 支持MIP;(Y) 4 查看NAT配置
h) 支持DIP;(Y)
i) 支持VIP;(Y)
5 查看VPN配置 j) 支持DES加密IPSec(Y)
k) 支持3DES加密IPSec(Y)
l) 支持AES加密;(Y)
m) 支持Site-to-Site VPN;
(Y)
n) 支持深度检测(DI)防火墙预定义检测规则 6 深度检测
(Y)
7 DoS/DDoS防护 o) 支持Synflood防护(Y)
p) 支持 udpflood防护(Y)
q) 支持 icmpflood防护(Y)
r) 支持windows winnuke
attack 防护(Y)
s) 支持ping of death 防护
(Y)
t) 支持 Teardrop 防护(Y)
u) 支持 Land Attack防护
(Y)
注解:
1、验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说
明。
3.2 防火墙基本性能验证
性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范,对防
火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中,需要综合验证防火墙
桥接模式的性能表现。拓扑图采用以下方案:
9
待测防火墙
SmartBit 6000B
3.2.1 吞吐量测试
这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,
是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的
数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,
所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙
设备在超过自身负载的情况下稳定性问题。
更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火
墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。
1) 测试时间:_2013-06____
2) 测试人员:___XXX XXX一
3) 测试结果:
(单条规则, 2GE, 1G双向流量测试 小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
100 100 100 100 100 100 100
桥接模式双向零
丢包率吞吐率(%)
(单条规则, 2GE, 1G双向流量测试 无小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
25.87 45.10 87.50 100 100 100 14.48
桥接模式双向零
丢包率吞吐率(%)
3.2.2 延迟测试
延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个
比特从被测设备另一端口离开的时间间隔。
延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影
响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。
所有帧长的延迟测试100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转
发延迟(一条规则,2个GE口,1Gbps双向流量)
10
1) 测试时间:_2013-06____
2) 测试人员:___XXX XXX一
3) 测试结果:
(单条规则, 2GE, 1G双向流量测试 小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 3.8 4.6 6.2 8.9 12.4 14.7 16.8
3.6 4.2 4.9 4.2 4.5 4.7 包转发延迟(us)S&F 3.2
(单条规则, 2GE, 1G双向流量测试 无小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 40.2 39.9 49.7 55.6 83.1 90.9 101.2
38.9 47.7 51.6 75 80.7 89.1 包转发延迟(us)S&F 39.7
3.3 压力仿真测试
考虑到防火墙在实际应用中的复杂性,包括大量的控制规则设置、混杂业务流、多并发
Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此,在本次的测试
方案中,我们需要进行压力仿真测试,模拟实际应用的复杂度。考虑到测试时间及测试环境
的限制,压力测试选取以下最为重要的几点进行,本次测试进行防火墙桥接模式的验证,拓
扑图采取以下方案:
待测防火墙
SmartBit 6000B
防火墙部署在实际网络中,较多的安全控制规则的设置是影响性能发挥的一个重要原
因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100条控制规
则压力为前提进行,性能考虑吞吐量和延迟和丢包率。
1) 测试时间:_2013-__
2) 测试人员:___XXX XXX一
11
3) 测试结果:
单机吞吐率(100条规则,2个GE口, 1Gbps双向流量测试 小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
桥接模式双向零丢包100 100 100 100 100 100 100
率,压力吞吐率(%)
单机吞吐率(100条规则,2个GE口, 1Gbps双向流量测试 无小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
桥接模式双向零丢包14.48 25.87 45.10 79.17 100 100 100
率,压力吞吐率(%)
单机转发延迟(100条规则,2个GE口, 1Gbps双向流量 小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 3.7 4.9 6.3 8.4 12.7 15.4 17.0
3.9 4.3 4.3 4.6 5.2 4.9 包转发延迟(us)S&F 3.2
单机转发延迟(100条规则,2个GE口, 1Gbps双向流量 无小包加速结果)
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 42.3 37.1 36.7 49.7 78.2 93 102
36.1 34.6 45.7 70.1 82.8 89.8 包转发延迟(us)S&F 41.8
3.4 抗攻击能力测试
采用以下拓扑进行测试,攻击源使用UDP flood、ICMP flood、SYN flood等多种flood
攻击和TCP网关协议攻击通过防火墙对PC进行攻击,攻击流量约80Mbps。
12
PC
攻击源
待测防火墙
SmartBit 6000B
1) 测试时间:_2013___
2) 测试人员:___XXX XXX一
3) 测试结果:
Netscreen SSG550
单条规则, 1G双向流量测试,在没有受到防火墙保护条件下:
a) 防火墙内存可用率为84%,系统占用CPU率9%,总session数为接近 214435 条。
b) 单机吞吐率:
64 128 256 512 1024 1280 1518 帧长(字节)
6.95 10.05 3.13 3.76 8.76 6.88 12.50 桥接模式双向零丢包
率,压力吞吐率(%)
c) 单机转发延迟:
吞吐量过低,延时测试失败
1条规则, 1G双向流量测试,在受到防火墙保护条件下:
a) 防火墙内存可用率为 84%,系统占用CPU率9%,总session数106条。
b) 单机吞吐率:
小包加速
帧长(字节) 64 128 256 512 1024 1280 1518
桥接模式双向零丢包100 100 100 100 100 100 100
率,压力吞吐率(%)
无小包加速
13
帧长(字节) 64 128 256 512 1024 1280 1518
桥接模式双向零丢包6.95 11.32 19.44 35.66 65.58 80.05 87.49
率,压力吞吐率(%)
c) 单机转发延迟:
小包加速
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 3.8 4.7 6.3 8.6 12.7 15.6 16.9
3.7 4.2 4.6 4.5 5.4 4.7 包转发延迟(us)S&F 3.2
无小包加速
帧长(字节) 64 128 256 512 1024 1280 1518
包转发延迟(us)CT 57.3 314 435 646.9 83.5 265 138.7
313 433 642.9 75.4 254.8 126.6 包转发延迟(us)S&F 56.8
14
发布评论