完整word版天融信防火墙测试报告.docx

1、完整word版天融信防火墙测试报告西默流控DPDK1000测试报告201308151产品介绍 随着信息技术和网络技术日新月异的发展，特别是国际互联网的出现、发展及逐渐普及，各行各业的信息化实现了跨跃式发展，信息技术应用的深度和广度上也达到前所未有的地步，各种依托于网络的新兴应用层出不穷，在极大丰富了人们的互联网生活的同时，网络带来了诸多问题，给企业、单位的网络管理者带来了新的挑战。一方面企事业单位各种关键应用（如:ERP、CRM、OA系统、视频会议系统等）对带宽和延迟提出了更高的要求；另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥.企事业单位有限的网络资源正被P2P

2、下载、网络电视等应用所吞噬，关键应用的服务质量得不到保障。网速越来越慢、网络业务中断越来越频繁，不仅极大浪费了宝贵的带宽资源，也严重影响了本单位关键应用的正常运行。西默智能流量管理设备DPDK-1000是西默科技推出的基于应用层的、专业的流量管理产品， 基于时间、VLAN、用户、应用、数据流向等条件，通过监控网络流量、分析流量行为、设置流量管理策略，实现全面的智能流量管理.通过流量限速功能，能够在不封堵某种网络应用的情况下，将其上传、下载带宽限定在某个合理的范围内，这样既可以保持相关网络应用的可用性，又能够防止这些应用对有限带宽资源的无序抢占.通过流量限额功能，能够为指定的网络应用设定流量限额

3、阀值，在预定的周期性时间段及某(些）VLAN范围内，限制应用的流量总额，实现了对非关键业务，特别是不良应用在使用上的有效约束。通过连接控制功能，能够对并发连接数和每秒新建连接数进行控制，有效限制某(些）用户或某(些）应用对网络设备资源的无限占用，避免产生异常流量和网络攻击。2测试目的 该测试目的在于验证西默流控设备DPDK-1000是否到达预期的优化带宽及对特定的流量起到限制的的功能，对基于时间，用户，应用等数据流在策略该测试目的在于验证域名服务器是否到达预期的域名解析功能，对测试的结果以及测试的数据等加以记录和分析总结。在此基础上，对发现的问题加以分析和解决，通过进一步改进系统性能和优化，使

4、系统达到最优效果。,对测试的结果以及测试的数据等加以记录和分析总结。在此基础上,对发现的问题加以分析和解决，通过进一步改进系统性能和优化，使系统达到最优效果。对测试的结果以及测试的数据等加以记录和分析总结。在此基础上，对发现的问题加以分析和解决,通过进一步改进系统性能和优化，使系统达到最优效果.2。1 测试拓扑本次测试采用以下的拓扑配置：西默DPDK-1000部署模式为透明模式,位于出口路由器和三层核心交换机之间。2。2 测试工具本次测试用到的测试工具包括:待测防火墙一台;网络设备专业测试仪表SmartBits 6000B一台;笔记本（或台式机）二台。测试详细配置如下：产品型号防火墙技术类型机

5、箱规格防火墙软件及版本防火墙工作模式FORTINET1000AFA2ASIC防火墙2U3。00-b0668(MR6 Patch 2）NAT模式透明模式混合模式设备吞吐量CPU与存储硬件端口电源防火墙2GbpsVPN 400MbpsASIC version: CP5ASIC SRAM: 64MCPU： Intel(R） Xeon（TM） CPU 3.20GHzRAM： 1009 MBCompact Flash： 122 MB /dev/hdc10个1000BaseT端口2个千兆小包加速口2个冗余220V交流电源3防火墙测试方案为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部

6、分：基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范：GB/T 180201999 信息技术应用级防火墙安全技术要求GB/T 180191999 信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices3。1 安全功能完整性验证目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。3。1.1 防火墙安全管理功能的验证1)测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段

7、。2)测试时间：_20087-23_3)测试人员:_XXX XXX一 4)过程记录:测试项测试用例测试结果备注管理方式本地管理Yes（Y）No(）集中控管需要配置Forti manager设备远程命令行管理Yes（Y）No(）远程GUI管理Yes（Y)No（)管理地址认证Yes(Y）No（）集中控管Yes（Y)No(）管理员接入安全管理员分级管理Yes（Y)No(）密码至少6位连续登陆三次失败，账户锁定3分钟静态口令Yes（）No（)口令长度大于等于7Yes（）No（)有登录尝试次数限制Yes（Y）No(）信道加密Yes（Y）No（）密钥长度支持128位以上Yes（）No（）3。1.2 防火墙

8、组网功能验证1)测试目的：本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。2)测试时间：_2008-7-23_3)测试人员：_XXX XXX一 4)过程记录:测试项测试用例测试结果备注接口=4个接口Yes（Y）No（)支持灵活的安全域划分，且安全分区与接口无关Yes（Y）No（）支持子接口Yes(Y）No（)组网协议静态路由Yes（Y）No()动态路由Yes（Y）No（）支持802.1Q VLAN协议Yes(Y）No(）物理结构符合标准机架要求Yes（Y）No（）支持虚拟防火墙Yes（Y）No（)3.1.3 防火墙访问控制功能验证1)测试目的：本项测试用于明确防火墙安全规则配置的合理

9、性和完整性。2)测试时间：_20087-22_3)测试人员：_XXX 钱振 4)过程记录：步骤检查内容结果备注1查看安全分区配置a）支持安全分区；（Y）b）无明确的安全分区；（Y）2查看过滤规则菜单的配置参数c）支持源/目的IP地址/端口过滤；（Y）d）支持TCP状态检测过滤；(Y)e）支持UDP状态检测过滤；（Y）f）支持ICMP协议过滤；（Y）g）支持自定制协议超时时间（)3查看应用服务的安全过滤配置a）支持HTTP代理；（Y）b）支持SMTP代理;（）c）支持POP3 代理；（）d)支持FTP代理; （）e） 支持h。323代理()f) 支持应用代理的自动启用( )4内容过滤支持检验a）

10、 支持过滤java 组件（Y）b) 支持过滤Activex组件(Y）c) 支持过滤ZIP文件（Y)d) 支持过滤EXE文件（Y)在病毒检查中配置注解：验证结果附合选项要求的,在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.1。4 日志审计及报警功能验证1)测试目的：验证防火墙日志审计内容的完整性及报警能力.2)测试时间：_20087-23_3)测试人员：_XXX XXX一 4)过程记录：步骤检查内容结果备注1检查日志的审计功能界面a）带有日志查阅工具；(Y)b）日志分级,分类存储（Y）支持向fortiAnalyzer或syslog服务器上传日志2检查登录防火墙的日志记录。c）记录包

11、含登录时间；（Y）d）记录包含登录者账号信息；（Y）e）记录包含成功/失败信息；（Y）Q检查退出防火墙的日志记录。f）记录包含退出时间；（Y）4检查防火墙功能被启动的日志记录g）记录包含功能启用时间；（Y）h）记录包含操作员标识(）5检查对防火墙安全规则进行配置的记录i）记录包含配置时间；(Y）j）记录包含操作员标识；（Y）k）配置变化（相应项的增、删、改）；（Y)6检查防火墙对所监控的TCP连接做的记录l） tcp连接发起的时间;（Y）m） tcp连接终止的时间；(Y）n） 源ip地址；（Y）o） 源端口号；（Y）p） 目的ip地址；（Y）q） 目的端口号;(Y）注解：1、验证结果附合选项要

12、求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明.3。1。5 防火墙附加功能验证1)测试目的：本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。2)测试时间：_2008-723_3)测试人员：_XXX XXX一 4)过程记录：步骤检查内容结果备注1查看地址配置a）支持桥接模式；（Y）b）支持IP/MAC绑定;（Y）2查看DNS的配置菜单c）支持DNS解析；（Y）DNS代理3查看路由配置d）支持虚拟路由器（Y）e）支持源地址路由（）f）支持目的地址路由（）4查看NAT配置g）支持MIP；（Y）h）支持DIP；（Y）i）支持VIP；(Y）5查看VPN配置j）支持DES加密IPS

13、ec（Y）k）支持3DES加密IPSec（Y)l）支持AES加密；（Y）m）支持Siteto-Site VPN；（Y）6深度检测n）支持深度检测（DI）防火墙（Y）预定义检测规则7DoS/DDoS防护o）支持Synflood防护（Y）p）支持 udpflood防护（Y）q）支持 icmpflood防护（Y）r）支持windows winnuke attack 防护（Y)s）支持ping of death 防护（Y)t）支持 Teardrop 防护(Y）u）支持 Land Attack防护（Y）注解：1、验证结果附合选项要求的,在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.2 防火

14、墙基本性能验证性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范，对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中，需要综合验证防火墙桥接模式的性能表现。拓扑图采用以下方案:3。2。1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问

15、题.更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。1)测试时间：_20087-23_2)测试人员：_XXX XXX一 3)测试结果:（单条规则， 2GE, 1G双向流量测试 小包加速结果)帧长（字节)64128256512102412801518桥接模式双向零丢包率吞吐率（%)100100100100100100100（单条规则， 2GE, 1G双向流量测试 无小包加速结果)帧长（字节）64128256512102412801518桥接模式双向零丢包率吞吐率()14.4825.8745。1087.5010010010

16、03。2.2 延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试100吞吐率下进行,横向比较的是存储转发的延迟结果。单机转发延迟（一条规则，2个GE口，1Gbps双向流量）1)测试时间：_2008-723_2)测试人员：_XXX XXX一 3)测试结果：（单条规则， 2GE， 1G双向流量测试 小包加速结果)帧长（字节）64128256512102412801518包转发延迟（

17、us)CT3.84。66.28.912.414。716.8包转发延迟（us）SF3。23。64.24.94。24.54。7（单条规则, 2GE, 1G双向流量测试 无小包加速结果）帧长（字节）64128256512102412801518包转发延迟（us)CT40.239。949.755。683.190。9101.2包转发延迟(us）S&F39。738.947。751。67580。789.13。3 压力仿真测试考虑到防火墙在实际应用中的复杂性，包括大量的控制规则设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此，在本次的测试方案中，我们需要进行压力

18、仿真测试，模拟实际应用的复杂度。考虑到测试时间及测试环境的限制，压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓扑图采取以下方案：防火墙部署在实际网络中，较多的安全控制规则的设置是影响性能发挥的一个重要原因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100条控制规则压力为前提进行，性能考虑吞吐量和延迟和丢包率。1)测试时间：_20087-23_2)测试人员：_XXX XXX一 3)测试结果：单机吞吐率（100条规则，2个GE口， 1Gbps双向流量测试 小包加速结果）帧长（字节）64128256512102412801518桥接模式双向零丢包率，压

19、力吞吐率（%)100100100100100100100单机吞吐率（100条规则，2个GE口， 1Gbps双向流量测试 无小包加速结果)帧长(字节）64128256512102412801518桥接模式双向零丢包率，压力吞吐率（%)14。4825.8745.1079。17100100100单机转发延迟(100条规则,2个GE口， 1Gbps双向流量 小包加速结果）帧长（字节）64128256512102412801518包转发延迟（us）CT3.74。96。38.412.715。417.0包转发延迟(us）SF3.23.94.34.34。65。24。9单机转发延迟（100条规则，2个GE口，

20、1Gbps双向流量 无小包加速结果）帧长(字节）64128256512102412801518包转发延迟（us）CT42.337。136.749.778.293102包转发延迟（us)S&F41.836.134。645。770.182。889。83。4 抗攻击能力测试采用以下拓扑进行测试，攻击源使用UDP flood、ICMP flood、SYN flood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进行攻击，攻击流量约80Mbps。1）测试时间：_20087-23_2）测试人员：_XXX XXX一 3）测试结果:Netscreen SSG550单条规则, 1G双向流量测试，在没有

21、受到防火墙保护条件下：a)防火墙内存可用率为84%,系统占用CPU率9，总session数为接近 214435 条.b)单机吞吐率： 帧长（字节）64128256512102412801518桥接模式双向零丢包率,压力吞吐率（%）6.9510.053.133.768.766。8812。50c)单机转发延迟: 吞吐量过低,延时测试失败1条规则， 1G双向流量测试，在受到防火墙保护条件下：a)防火墙内存可用率为 84%,系统占用CPU率9%，总session数106条。b)单机吞吐率：小包加速帧长(字节）64128256512102412801518桥接模式双向零丢包率,压力吞吐率（%）10010

22、0100100100100100无小包加速帧长（字节）64128256512102412801518桥接模式双向零丢包率，压力吞吐率（）6。9511。3219.4435.6665.5880。0587.49c)单机转发延迟：小包加速帧长（字节）64128256512102412801518包转发延迟（us）CT3.84.76.38.612。715.616。9包转发延迟(us）SF3.23.74。24。64.55.44。7无小包加速帧长（字节）64128256512102412801518包转发延迟（us）CT57。3314435646。983.5265138.7包转发延迟(us)SF56。8313433642.975.4254.8126.63。5 测试总结