防火墙测试报告 2013.06. .
'. 目录 1 测试目的 ................................................................................................................................... 3 2 测试环境与工具 ....................................................................................................................... 3 2.1 测试拓扑 ............................................................................................................................ 3 2.2 测试工具 ............................................................................................................................ 4 3 防火墙测试方案 ....................................................................................................................... 4 3.1 安全功能完整性验证 ........................................................................................................ 4 3.1.1 防火墙安全管理功能的验证 ................................................................................. 5 3.1.2 防火墙组网功能验证 ............................................................................................. 5 3.1.3 防火墙访问控制功能验证 ..................................................................................... 6 3.1.4 日志审计及报警功能验证 ..................................................................................... 6 3.1.5 防火墙附加功能验证 ............................................................................................. 7 3.2 防火墙基本性能验证 ........................................................................................................ 8 3.2.1 吞吐量测试 ............................................................................................................. 9 3.2.2 延迟测试 ................................................................................................................. 9 3.3 压力仿真测试 .................................................................................................................. 10 3.4 抗攻击能力测试 .............................................................................................................. 11 3.5 性能测试总结 .................................................................................... 错误!未定义书签。 .
'. 1 测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。
2 测试环境与工具
这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置:
待测防火墙
SmartBit 6000B 没有攻击源时的测试拓扑结构
待测防火墙SmartBit 6000B
PC攻击源
有攻击源时的测试拓扑结构 .
'. 2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 产品型号 防火墙技术类型 机箱规格 防火墙软件及版本 防火墙工作模式
FORTINET 1000AFA2 ASIC 防火墙 2U 3.00-b0668 (MR6 Patch 2) NAT模式 透明模式 混合模式
设备吞吐量 CPU与存储硬件 端口 电源
防火墙2Gbps VPN 400Mbps ASIC version: CP5 ASIC SRAM: 64M CPU: Intel(R) Xeon(TM) CPU 3.20GHz RAM: 1009 MB Compact Flash: 122 MB /dev/hdc 10个1000Base-T端口 2个千兆小包加速口 2个冗余220V交流电源
3 防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范: GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices
3.1 安全功能完整性验证
目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。 . '. 3.1.1 防火墙安全管理功能的验证 1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。 2) 测试时间:__2008-7-23____ 3) 测试人员:___XXX XXX一 4) 过程记录:
测试项 测试用例 测试结果 备注 管理方式 本地管理 Yes(Y)No() 集中控管需要配置Forti manager设备
远程命令行管理 Yes(Y)No() 远程GUI管理 Yes(Y)No() 管理地址认证 Yes(Y)No() 集中控管 Yes(Y)No() 管理员接入安全 管理员分级管理 Yes(Y)No() 密码至少6位 连续登陆三次失败,账户锁定3分钟
静态口令 Yes()No() 口令长度大于等于7 Yes()No() 有登录尝试次数限制 Yes(Y)No() 信道加密 Yes(Y)No() 密钥长度支持128位以上 Yes()No()
3.1.2 防火墙组网功能验证 1) 测试目的:本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。 2) 测试时间:_2008-7-23____ 3) 测试人员:___XXX XXX一 4) 过程记录:
测试项 测试用例 测试结果 备注 接口 >=4个接口 Yes(Y)No() 支持灵活的安全域划分,且安全分区与接口无关 Yes(Y)No()
支持子接口 Yes(Y)No() 组网协议 静态路由 Yes(Y)No() 动态路由 Yes(Y)No() 支持802.1Q VLAN协议 Yes(Y)No() 物理结构 符合标准机架要求 Yes(Y)No() 支持虚拟防火墙 Yes(Y)No() . '. 3.1.3 防火墙访问控制功能验证 1) 测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。 2) 测试时间:_2008-7-22____ 3) 测试人员:___XXX 钱振 4) 过程记录:
步骤 检查内容 结果 备注 1 查看安全分区配置 a) 支持安全分区;(Y) b) 无明确的安全分区;(Y)
2 查看过滤规则菜单的配置参数 c) 支持源/目的IP地址/端口过滤;(Y) d) 支持TCP状态检测过滤;(Y) e) 支持UDP状态检测过滤;(Y) f) 支持ICMP协议过滤;(Y) g) 支持自定制协议超时时间()
3 查看应用服务的安全过滤配置 a)支持HTTP代理;(Y) b)支持SMTP代理;() c)支持POP3 代理;() d)支持FTP代理; () e) 支持h.323代理() f) 支持应用代理的自动启用( ) 4 内容过滤支持检验 a) 支持过滤java 组件(Y) b) 支持过滤Activex组件(Y) c) 支持过滤ZIP文件(Y) d) 支持过滤EXE文件(Y) 在病毒检查中配置 注解: 验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。
3.1.4 日志审计及报警功能验证 1) 测试目的:验证防火墙日志审计内容的完整性及报警能力。 2) 测试时间:_2013-06___ 3) 测试人员:___xxxxxx