Check Point
虚拟防火墙测试方案
version 2.2
Check Point安全软件科技有限公司
2009年6月
目录
1 测试方案概述 (4)
2 测试环境和拓扑结构 (4)
2.1 功能测试拓扑结构及环境说明 (4)
2.1.1 单机功能测试拓扑结构（除Site to Site VPN） (4)
2.1.2 双机冗余功能测试拓扑结构（除Site to Site VPN） (5)
2.1.3 功能测试拓扑结构（Site to Site VPN） (6)
2.2 性能测试拓扑结构结构及环境说明 (6)
2.2.1 单机网络/应用性能测试拓扑结构（除Site to Site VPN） (6)
2.2.2 双机网络/应用性能测试拓扑结构（除Site to Site VPN） (7)
2.2.3 VPN性能测试拓扑结构(Site to Site VPN) (8)
2.3 当前测试版本 (8)
3 功能测试 (9)
3.1 测试环境初始化 (9)
3.2 物理指标 (10)
3.3 设备虚拟化能力测试 (11)
3.3.1 测试目标 (11)
3.3.2 测试用例 (11)
3.3.3 测试方法 (11)
3.4 组网功能测试 (12)
3.4.1 测试目标 (12)
3.4.2 测试用例 (12)
3.4.3 测试方法 (12)
3.5 高可用性测试 (13)
3.5.1 测试目标 (13)
3.5.2 测试用例 (13)
3.5.3 测试方法 (14)
3.6 防火墙功能测试 (15)
3.6.1 测试目标 (15)
3.6.2 测试用例 (15)
3.6.3 测试方法 (15)
3.7 IPS 功能测试 (16)
3.7.1 测试目标 (16)
3.7.2 测试用例 (16)
3.8 WEB过滤功能测试 (17)
3.8.1 测试目标 (17)
3.8.2 测试用例 (17)
3.9 集中管理系统冗余 (18)
3.9.1 测试目标 (18)
3.9.2 测试用例 (18)
3.10 日志管理 (19)
3.10.1 测试目标 (19)
3.10.2 测试用例 (19)
3.11 报表管理 (21)
3.11.1 测试目标 (21)
3.11.2 测试用例 (21)
1测试方案概述
本方案用于测试Check Point VSX-1 系列虚拟防火墙。

测试方案主要分为两个部分：功能测试和性能测试。

⏹功能测试部分用于测试和验证Check Point系列防火墙可实现的功能，主要包
括：
✓设备虚拟化能力（虚拟化组件及资源控制功能）
✓组网功能
✓高可用性功能
✓防火墙功能
✓IPS功能
✓WEB过滤功能
✓SSL VPN功能
✓集中管理系统冗余功能
✓日志管理功能
✓报表功能；
⏹性能测试部分用于测试Check Point系列防火墙/VPN/应用层安全的性能指标，
测试指标主要包括：
✓UDP数据包网络吞吐量
✓Blend Traffic数据包网络吞吐量（和各模块相关）
✓最大并发连接数
✓每秒新建连接数
由于性能测试部分与测试设备密切相关，因此，在测试方案设计时，我们将功能测试方案和性能测试方案独立设计；以便于在没有性能测试的环境下，仍然可以实现全面的功能测试；
2测试环境和拓扑结构
2.1功能测试拓扑结构及环境说明
2.1.1单机功能测试拓扑结构（除Site to Site VPN）
●Check Point Power-1 11085，建立至少2个虚拟防火墙（以验证虚拟防火墙的安全
独立性）
●Spirent Avalanche/Reflector
●Spirent SmartBit
●测试千兆交换机2台
●需配置一台Power-1 的管理服务器。

硬件推荐配置：CPU 至强3.0以上/内存4G/
硬盘80G/千网口1个
2.1.2双机冗余功能测试拓扑结构（除Site to Site VPN）
●Check Point Power-1 11085，建立至少4个虚拟防火墙（以验证虚拟防火墙的冗余
和负载均衡能力）
●Spirent Avalanche/Reflector
●Spirent SmartBit
●测试千兆交换机2台
2.1.3功能测试拓扑结构（Site to Site VPN）
略
2.2性能测试拓扑结构结构及环境说明
2.2.1单机网络/应用性能测试拓扑结构（除Site to Site VPN）
●Check Point Power-1 11085，建立至少2个虚拟防火墙（根据端口类型来进行配置）。

●Spirent Avalanche/Reflector
●Spirent SmartBit
●测试千兆交换机2台
2.2.2双机网络/应用性能测试拓扑结构（除Site to Site VPN）
●Check Point Power-1 11085，建立至少2个虚拟防火墙（根据端口类型来进行配置）。

●Spirent Avalanche/Reflector
●Spirent SmartBit
●测试千兆交换机2台
2.2.3VPN性能测试拓扑结构(Site to Site VPN)
略
2.3当前测试版本
●当前测试软件版本为Check Point NGX R65 Power VSX 版本；
●当前测试硬件平台为Check Point Power-1 11000系列硬件平台；
3功能测试
3.1测试环境初始化 略
3.2物理指标略
3.3设备虚拟化能力测试
3.3.1测试目标
通过该测试，达到以下目标：
●了解虚拟防火墙的虚拟化能力，能够支持哪些虚拟化组件；
●了解虚拟防火墙的资源控制能力，以保证在某一台虚拟防火墙收到攻击时，不会造成整
个虚拟防火墙平台的崩溃；
3.3.2测试用例
3.3.3测试方法
略
3.4组网功能测试
3.4.1测试目标
通过该测试，以评估虚拟防火墙的组网能力，以适应不同的网络应用需求。

3.4.2测试用例
3.4.3测试方法
略
3.5高可用性测试
3.5.1测试目标
通过该测试，以评估虚拟防火墙双机冗余能力，包括：●主备模式（Active-Standby）测试
●负载均衡（Active-Active）测试
3.5.2测试用例
3.5.3测试方法略
3.6.1测试目标
通过该测试，了解虚拟防火墙可以实现的基本功能，以及其虚拟化程度，包括：
●访问控制功能
●NAT功能
●用户认证功能
●IPSEC VPN功能
●SSL VPN功能
3.6.2测试用例
3.6.3测试方法
略
3.7.1测试目标
通过该测试，以评估虚拟防火墙（设备）的入侵防御能力。

测试主要分为两个方面：●手工工具测试
●设备测试
3.7.2测试用例
3.8WEB过滤功能测试
3.8.1测试目标
通过该测试，以评估虚拟防火墙(设备)的WEB过滤引擎的安全检测能力。

3.8.2测试用例
3.9集中管理系统冗余
3.9.1测试目标
通过该测试，以评估虚拟防火墙集中管理系统冗余能力。

3.9.2测试用例
3.10日志管理
3.10.1测试目标
通过该测试，以评估虚拟防火墙管理系统对日志的管理能力。

3.10.2测试用例
21 3.11 报表管理
3.11.1 测试目标
通过该测试，以评估虚拟防火墙管理系统对报表的管理能力。

3.11.2 测试用例。