DPtech FW1000测试方案杭州迪普科技有限公司2011年10月目录DPtech FW1000测试方案 (1)第1章产品介绍 (1)第2章测试计划 (2)2.1测试方案 (2)2.2测试环境 (2)2.2.1 测试环境一 (2)2.2.2 测试环境二 (2)第3章测试内容 (4)3.1性能特性 (4)3.2功能特性 (4)3.3管理特性 (4)3.4安全性 (4)3.5高可靠性 (4)第4章测试方法及步骤 (5)4.1性能测试 (5)4.2FW功能测试 (7)4.3DPI功能测试 (13)4.4管理特性 (14)4.5安全特性 (15)第5章测试总结 (17)第1章产品介绍目前,Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的FW,已远远无法满足各种新应用下安全防护的需求,增加其它辅助设备又会增加组网复杂性;而通过在传统FW上简单叠加部分应用层安全防护功能,也由于系统设计和硬件架构的天然不足,造成性能的大幅衰减,导致应用层功能不敢真正启用。
特别在对性能、稳定性要求苛刻的数据中心,此问题显得尤为严峻。
为解决上述难题,迪普科技推出了基于全新多核处理器架构的下一代FW—DPtech FW1000 N系列应用FW。
FW1000对网络层、应用层安全进行融合,并采用独有的“并行流过滤引擎”技术,全部安全策略可以一次匹配完成,即使在应用层功能不断扩展、特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。
以万兆应用FWFW1000-GE-N为例,在开启FW、FWec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下,扩展应用控制协议库、URL过滤库等,处理能力依然可达万兆线速。
FW1000 N系列开创了应用FW的先河。
基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlat OS安全操作系统,是目前业界性能最高的应用FW。
无以伦比的高可用性、高性能和高可靠性,使得FW1000 N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用FW方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本!第2章测试计划2.1 测试方案DPtech FW产品主要包括包过滤、NAT、静/动态路由、虚拟FW、多种VPN等几大主体功能,本文档的测试项主要以上述主体功能的测试展开;同时,测试中还涉及到限流等多种响应方式,设备的可管理性、高可靠性等诸多方面的测试,以充分展示设备的完备功能和高性能。
2.2 测试环境2.2.1 测试环境一图1 性能测试环境1设备或软件名称描述数量DPtech FW FW 1SmartBits 测试设备性能的仪器 1Switch 交换机 22.2.2 测试环境二图2 性能测试环境2设备或软件名称描述数量DPtech FW FW 1 Avalanche/Reflecto性能测试仪器 1r 2500第3章测试内容3.1 性能特性FW的性能指标为吞吐量、每秒新建数、每秒并发数,性能测试部分将主要针对这几点进行测试。
3.2 功能特性产品功能包括管理功能、ACL、包过滤、NAT、DPI(攻击防护,防病毒,带宽限速,URL过滤)等几大主体功能,功能测试部分将主要针对这几点进行测试。
3.3 管理特性为方便IT人员管理,设备提供了良好的可管理性。
支持HTTPS等安全管理方式,支持Web的友好界面,简化FW的配置,方便用户操作和维护。
特征库的升级支持手动和自动两种方式,用户可根据实际情况随意选择特征库的升级时间。
3.4 安全性可设置管理员的权限,不同权限的管理员访问设备的功能权限不同。
可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。
在登录参数设置上,包括超时时间、错误登录锁定和锁定后解锁。
3.5 高可靠性抗掉电保护,在设备异常掉电后,当FW恢复供电,系统的状态、相关日志和配置信息正常保存。
第4章测试方法及步骤4.1 性能测试整机转发吞吐量测试目的验证FW的整机转发能力测试条件测试组网:参见图1;测试过程性能测试仪的两个端口分别与被测设备的端口A和B相连。
(端口数量按照客户要求配置,进行Fullmesh网状流量测试)在FW上配置201条安全策略,前200条均为deny,最后一条为允许全部通过SmartFlow设置主要参数如下:双向UDP数据包,包长为64、128、256、1024、1518字节,时长为120秒,且不能匹配前200条策略。
记录测试结果预期结果帧长64 128 256 512 1024 1280 1518吞吐量其它说明和注意事项测试结果帧长64 128 256 512 1024 1280 1518吞吐量每秒新建连接能力测试目的验证FW每秒新建会话数能力测试条件测试组网:参见图2;测试过程FW工作在NAT模式;设定avalanche测试仪模拟客户端500用户,FW nat转换地址池个数为20;采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。
通过调节通信联接的建立速率,搜索FW能支持的最大的联接建立速率。
分别在设置一条全允许规则和设置201 条安全控制规则的条件下,完成上述测试过程,(其中,前200条均为deny,最后一条为允许全部通过)预期结果FW每秒新建会话能力:一条全允许规则条件下,最大的新建连接速率________ Connections/Sec201 条允许规则条件下,最大的新建连接速率________ Connections/Sec其它说明和注意事项测试结果不允许出现一例失败,否则认为数据无效测试结果FW每秒新建会话能力:一条全允许规则条件下,最大的新建连接速率________Connections/Sec201 条允许规则条件下,最大的新建连接速率________Connections/Sec最大并发会话数测试目的验证FW设备的最大并发会话数测试条件测试组网:参见图2;测试过程FW工作在NAT模式;设定avalanche测试仪模拟客户端500用户,FWnat转换地址池个数为20;采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。
设定通信联接的建立速率为10000 conn/s,搜索FW能支持的最大的并发会话处理能力。
分别在设置一条全允许规则和设置1001 条安全控制规则的条件下,完成上述测试过程,(其中,前1000条均为deny,最后一条为允许全部通过)预期结果FW每秒新建会话能力:一条全允许规则条件下,最大并发会话数________ Connections1001 条允许规则条件下,最大并发会话数________ Connections其它说明和注意事项测试结果不允许出现一例失败,否则认为数据无效测试结果FW每秒新建会话能力:一条全允许规则条件下,最大并发会话数________Connections1001 条允许规则条件下,最大并发会话数________ConnectionsVPN加密隧道的吞吐量测试目的验证FW VPN加密隧道的吞吐量测试条件VPNSMBFW1FW2SMB测试过程在两台FW的外区接口之间建立1 条VPN 加密隧道,把仪表分别与两台FW 的内区接口相连;发送双向的UDP 测试数据流,搜索接口的吞吐量,采样时长设置为120 秒;分别对帧长为64、128、256、512、1024、1280、1518 字节的测试帧,重复上述测试过程。
预期结果帧长64 128 256 512 1024 1280 1518吞吐量其它说明和注意事项测试结果帧长64 128 256 512 1024 1280 1518吞吐量4.2 FW功能测试管理功能测试测试目的验证FW 设备的设备管理功能测试条件PC10.0.0.100/2410.0.0.1/24测试过程PC机器与FW 相连;配置FW 为用户名/密码管理或软证书管理方式;预期结果PC机通过两种方式都可管理设备其它说明和注意事项测试结果端口映射测试目的验证FW 设备的端口映射功能测试条件PC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程PC01模拟客户端,PC02模拟服务器端(安装有FTP或HTTP服务器端软件);PC02上将FTP服务器端口改为8000,FW 上配置端口映射;PC01 ftpPC02的ip:8000端口,可正常访问PC02的ftp服务;预期结果PC01可以正常访问PC02的FTP服务其它说明和注意事项测试结果ACL测试目的验证FW 设备的ACL功能测试条件PC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程FW 连接两PC机器的两端口加入不同安全域,配置面向对象ACL(域间策略)阻止PC01与PC02互访或根据客户实际要求限制对某些IP地址或端口的访问;测试PC01与PC02的互访功能是否符合既定域间策略;预期结果PC01与PC02间互访符合既定域间ACL策略其它说明和注意事项Pc 1 为untrust, PC2 为DMZ,允许20.0.0.2 可以访问PC1 ,不允许20.0.0.3访问PC2 ,PING,和HTTP测试结果允许20.0.0.2 可以访问PC1 ,不允许20.0.0.3访问PC2包过滤测试目的验证FW 设备的包过滤功能测试条件PC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程FW 开启包过滤功能,FW 配置包过滤策略;PC01访问PC02;观察FW 设备能否按照既定的包过滤策略访问;预期结果FW 能够正常按照既定包过滤策略进行互访其它说明和注意事项 1 允许ping http 2 阻断FTP 3 允许FTP 4 允许FTP get ,阻断FTP putPc 1 为untrust, PC2 为DMZ测试结果4没有阻断FTP put ,因为FTP GET和PUT 在检测的是时候是采用通用的同样的5元组,source ip ,dst ip.source port ,dst ip ,propole ,GET 和PUT 所用的一样的,检测线条太粗,只能采用深度检测,检测关键字,识别上传还是下载NAT测试目的验证FW 设备的静态地址转换功能测试条件IP networkPC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程PC01模拟内网主机,PC02模拟外网服务器(装有服务器软件如:FTPserver等),PC01、PC02处于不同网段;FW 配置静态一对一地址静态地址转换功能;PC01访问PC02的FTP服务,在PC02端抓包;PC01可正常访问PC02的FTP服务,在PC02上抓包可以看到PC01访问PC02所用源地址为FW 上所配置的静态映射地址;预期结果PC01可正常访问PC02上的服务,PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW 上预先配置的静态映射地址其它说明和注意事项Pc-01为trust,pc-02为untrust,PC02 网关不指向20.0.0.1测试结果PC01可正常访问PC02上的服务,PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW 上预先配置的静态映射地址动态地址转换测试目的验证FW设备的动态地址访问功能测试条件IP networkPC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程PC01模拟内网主机,PC02模拟外网服务器(装有服务器软件如:FTPserver等),PC01、PC02处于不同网段;FW 配置动态地址转换功能;PC01访问PC02的FTP服务,在PC02端抓包;PC01可正常访问PC02的FTP服务,在PC02上抓包可以看到PC01访问PC02所用源地址为FW 上所配置的地址池中的地址;预期结果PC01可正常访问PC02上的服务,PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW 上预先配置的地址池中的地址其它说明和注意事项接口配置同t06-01 ,先进行EASY IP的方式进行NAT转换,然后采用PAT,NO-PAT 测试结果内部服务器测试目的验证FW 设备的内部服务器功能测试条件IP networkPC-01PC-02防火墙10.0.0.100/2410.0.0.1/2420.0.0.1/24测试过程PC01模拟内网主机,PC02模拟外外网主机,PC01、PC02处于不同网段;FW 配置内部服务器功能;PC01开启FTP服务,PC02访问FW 外网口地址进而可以访问PC01的FTP服务;PC02可以正常访问PC01的FTP服务预期结果PC02可以正常访问PC01的FTP服务其它说明和注意事项接口配置同t06-01,先是在PC-02上不指定网关到G0/2上,需要配置静态NAT,才能够访问内部服务器,然后在PC-O2指定网关到G0/2上,就通过以上配置外部网络可访问内部的服务器测试结果SNMP测试目的验证FW 设备的SNMP功能测试条件IP networkPC防火墙10.0.0.100/2410.0.0.1/24测试过程PC与FW 一接口向连,PC装有MIB Browser软件;FW 配置SNMP,PC机通过MIB Browser与FW 连接;通过MIB Browser软件查找相应MIB项;预期结果通过客户端PC安装的MIB Browser软件查找相应MIB项其它说明和注意事项测试结果SynFlood测试目的验证FW 设备的抵御SynFlood功能测试条件测试过程FW 开启SynFlood攻击防范功能;使用测试仪器模拟进行SynFlood攻击,攻击FW 内网区域的PC;观察FW 设备能否对SynFlood攻击进行防御,并在PC上抓包进行验证预期结果FW 能够正常抵御SynFlood攻击其它说明和注意事项测试结果RIPv1/v2测试目的验证FW 对RIP协议的支持测试条件PC-01PC-02防火墙-01防火墙-0210.1.0.100/2410.2.0.100/2420.0.0.1/2420.0.0.2/24测试过程PC1、PC2的网关分别指向FW1和FW2。