当前位置:文档之家› 防火墙标准与测试

防火墙标准与测试


10010101001010010001001001
Smartbits 6000B 测试仪
丢包率测试结果
并发连接数


指穿越防火墙的主机之间或者防火墙与主机之间 能同时建立的最大连接数。 反映了防火墙对多个连接的访问控制能力和连接 状态跟踪能力,以及防火墙对业务数据流的处理 能力。
产品测试结果分析
防火墙测试选购篇
防火墙标准与测试
内容要点



防火墙标准 防火墙产品的测试意义 防火墙产品的测试方法 防火墙测试结果分析 防火墙系统的测试 防火墙测试举例
防火墙标准




1999年,国家通过了关于防火墙的相关国家标准: 《GB/T 17900-1999 网络代理服务器的安全技术 要求》; 《GB/T 18019-1999 信息技术 包过滤防火墙安 全技术要求》; 《GB/T 18020-1999 信息技术 应用级防火墙拿 权技术要求》 这三个标准是强制的
10101001001001001010
Smartbits 6000B 测试仪 造成数据包延 迟到达目标地
数据包首先排队待 防火墙检查后转发
1010010010100100010100010
1010 1001 1100 1110
1010 1001 1100 1110
101010100100100100100100010
延时测试结果
丢包率
1. 定义:在连续负载的情况下,防火墙设备由于资源 不足应转发但却未转发的帧百分比 2. 衡量标准:防火墙的丢包率对其稳定性、可靠性有 很大的影响
丢包率=(1000-800)/1000=20%
发送了1000个包
防火墙由于资源不足只转发了800个包
10010101001010010001001001
1. 定义:在不丢包的情况下能够达到的最大速率 2. 衡量标准:吞吐量作为衡量防 火墙性能的重要指标之一,吞吐 量小就会造成网络新的瓶颈,以至影响到整个网络的性能
101100101000011111001010010001001000 以最大速率发包 Smartbits 6000B 测试仪
~;%#@*$^&*&^#**(& 直到出现丢包时的最大值
最大位转发率
吞吐量 延时 丢包率 背靠背 最大并发连接数 最大并发连接建立速率 最大策略数 平均无故障间隔时间 支持的最大用户数
测试软件为SmartFlow 1.50和 WebSuite Firewall 1.10
背靠背


背靠背是考察防火墙为保证连续不丢包所具备的 缓冲能力,当网络流量突增而防火墙一时无法处 理时,它可以把数据包先缓存起来再发送,可见, 背靠背这一性能指标是有具体意义的,但是随着 带宽的不断增长,防火墙内存能缓存的数据包也 是非常有限的。 有数据表明,在百兆环境中,10M内存只能缓存 1秒钟的数据流量,因此,背靠背这一性能指标 在实际评估防火墙性能时没有太大意义


第三方测试


周期性测试 物理安全性测试
最大位转发率 1. 定义:防火墙的位转发率指在特定负载下每秒钟防火墙将允许的数据 流转发至正确的目的接口的位数。
2.
最大位转发率指在不同的负载下反复测量得出的位转发率数值中的最 大值
Smartbits 6000B 测试仪
101100101000011111001010010001001000 在特定负载下


管理技术水平 安全性技术水平 功能技术水平 系统性能水平
系统测试


1. 端口检查
基准检查、多位置检查、多端口检查、系统扫描、保 存测试结果


2. 在线测试
静态观测、控制测试、动态测试
3.日志审核
登陆ftp和telnet服务、连接一些不支持的服务、测试 令牌认证系统、自动测试工具 4.配置测试

防火墙测试的意义


找厂商和用户都信任的测试机构,对产品进行客 观公证的测试。(中国软件评测中心) 测试内容主要包括:测试的网络环境、测试的方 法、测试的工具、测试的准则。 研发过程中的测试:功能实现、管理界面 第三方测试:应用测试
测试方法


1.建立测试标准
《防火墙测试规范》:包括管理测试、功能测试、性能 测试以及抗攻击能力测试。 测试项目主要包括:管理功能、负载均衡、IP/MAC绑定 防ip欺骗功能、鉴别认证功能、DNS域名解析功能、动态 规则自动生成功能、VPN加密隧道功能、流量计费功能、 入侵检测功能、双向NAT实现功能和端口转换功能、内容 过滤、状态检测、双机热备份功能、防病毒功能

2.建立测试环境
3.确定测试项目


管理测试 功能测试 安全性测试 性能测试
管理测试
主要是具有对防火墙管理权限的管理员的 行为和防火墙对运行状态的管理。 包括:管理方式、管理分级、管理认证、 远程管理、通信加密、安全措施、集中管 理、日志审计、日志分类、日志分析、日 志管理、状态监控、系统升级等。
100100100100100010101 防火墙正确转发的数据流位 数
单位:f p s
帧长 64 128 256 512 1024 1280 1518 平均吞吐率(%) 42.84 70.31 98.92 99.61 99.77 99.77 99.61
备注:将测试结果乘以帧长 就是位转发率
吞吐量
100M
60M
防火墙吞吐量小就会成为网络的瓶颈
吞吐量测试结果
延时
1. 定义:入口处输入帧最后1个比特到达至出口处输出帧的第一 个比特输出所用的时间间隔
2. 衡量标准:防火墙的时延能够体现它处理数据的速度
时间间隔 最后1个比特到达 第一个比特输出
101100101000011111001010010001001000

功能测试




NAT测试 代理功能测试 内容过滤功能测试 VPN功能测试 与IDS联动功能测试 流量控制功能测试 双机热备 负载均衡测试
安全性测试


日志信息:记录网络上每段数据流量的细节信息 稳定性、操作测试、自身抗攻击能力
性能测试
1.
2. 3. 4. 5. 6. 7. 8. 9. 10.
防火墙标准



中国国家信息安全评测认证中心的测评: 中华人民共和国国家信息安全认证是对信息安全 技术、产品或系统安全质量的最高认可。 不是强制认证
防火墙测试的意义

通过正确的测试,用户才能更好的了解产品 特点,选择适合自己应用需求的产品。
从评价体系上看,主要包括4个方面: 可管理性,实现功能,能够达到的性能指标,安 全性
相关主题