防火墙测试验收方案.docx
《防火墙测试验收方案.docx》由会员分享,可在线阅读,更多相关《防火墙测试验收方案.docx(21页珍藏版)》请在冰点文库上搜索。
防火墙测试验收方案
防火墙测试方案
引言
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
随着网上黑客活动的日益猖獗,越来越多的上网企业幵始重视网络安全问题。
特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。
各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。
由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。
评估测试防火墙是一个十分复杂的工作。
一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。
但是安全和性能之间似乎常常构成一对矛盾。
在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。
沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安
全性特点的状态检测防火墙。
另外,为了使灵活多变,难以掌握的防火墙安全
技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力
被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。
因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。
测试的背景和目的
在防火墙产品市场上,产品一般分为咼、中、低三档。
考虑到,咼档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。
为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个
部分:
功能测试、安全防范能力测试、性能测试和设备可靠性测试。
参考资料
GB/T18020-1999信息技术应用级防火墙安全技术要求
GB/T18019-1999信息技术包过滤防火墙安全技术要求
FWPDFirewallProductCertificationCriteriaVersion3.0a
测试项目
•测试项目
包过滤,NAT地址绑定,本地访问控制,多播,TRUNK代理路由,内容过滤,
报警,审计实时监控,攻击,双机热备,性能。
•测试环境简略拓扑图
).20
()
IP地址。
两种环境。
FW1
10.10.2
10.10.2.2
FW2FW3
()
()
S3
()
管理器
说明:
在括号内的IP地址,为测试单一防火墙功能时所用的
图2仅为测试TRUNK弋理路由和非IP规则时使用.
三.测试前软件环境的准备
1.子网主机具有Linux,windows2000(or98orNT)
2.测试环境Linux主机配置wwwftp,teInet服务,同时安装nmaphttp_load,sendudp等测试工具;Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape等浏览器
3.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
4.在广域网中采用静态路由和动态路由(rip或ospf)两种。
5.。
四.功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A.包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计:
a.方向:
区1—>区2
b.操作:
允许(拒绝)
c.协议:
tcp,udp,icmp和其它协议号的协议。
d.审计:
是(否)
e.有效时间段
B.地址绑定ip,mac地址绑定。
防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计:
a.方向:
区1—>区2
b.操作:
允许(或拒绝)
C本地访问控制对管理主机的访问进行控制
1.)单一地址
2.)多地址
规则设计:
a.操作:
1.允许ping,telnet等。
2.允许管理
DNAT地址,端口的转换。
私有ip转为公网ip。
1.)一对一
2.)多对一
3.)多对多
规则设计:
a.方向:
区1->区2.
b.操作:
拒绝(或允许)
c.协议:
tcp,udp,icmp和其它协议号的协议。
d.审计:
是(否)
E多播解决一对多的通信。
1.单一多播源,多接收端。
2.多多播源,多接收端。
G.TRUNK弋理路由复用链路,为防火墙单一区域内的子网通信进行路
由.
H.报警利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.
I.审计――――审计防火墙上的访问,及事件信息,防火墙的状态.
J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.
K攻击防攻击。
检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。
L.双机热备设备冗余。
同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。
当激
活状态的防火墙down掉时,备份防火墙接管。
通过测试用例来对具体的操作进行阐述。
在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制
A.包过滤
测试项目
包过滤
测试日期
测试内容
IP过滤规则对ICMP数据包的过滤效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.加载ICMP全通规则。
2.重复步骤1
测试结果
步骤
预期结果
实测结果
1.
正向ping成功,反向ping不通,被禁止。
2.
访问被禁止,规则不允许。
3
都可以相互ping通。
备注
测试项目
包过滤
测试日期
测试内容
IP过滤规则对TCP数据包的过滤效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.加载telnet全通规则,重复步骤1.
测试结果
步骤
预期结果
实测结果
1.
正向成功,反向被禁止
2.
访问被禁止,没有允许UDP服务。
TCP协议的放幵,对UDP协议不发生影响。
3.
telnet访问都成功。
备注
测试项目
包过滤测试日期
测试内容
IP过滤规则对TCP数据包的过滤效果,侧重于实时效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
生效时间:
9:
00—10:
00
执行操作
1.保持上述telnet已建立的连接,并不断的telnet没有建立连接
的。
2.在9:
59—10:
01之间,查看telnet状态的反应。
测试结果
步骤
预期结果
实测结果
1.
正向telnet成功,反向被禁止。
3
已建立的telnet连接被断幵。
备注
测试项目
包过滤
测试日期
测试内容
在IP包过滤中,由于FTP服务的特殊性,所以下面几个用例主要针
对FTP进行测试。
这个用例主要用来测试FTP建立连接后,防火墙对
20端口的特殊处理
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.,进行大文件(1G)的数据传输。
2.passive进行ftp文件的传输。
测试结果
步骤
预期结果
实测结果
1,3,5
访问被禁止
2,4
访问成功。
备注
测试项目
包过滤
测试日期
测试内容
IP包过滤包括ICMPUDPTCP和非(ICMPUDPTCP包的过滤,
UDP过滤行测试
测试环境
1.路由模式
2.Linux,windows。
规则指定
生效时间:
9:
00—10:
00。
〕
1.保持连接。
查看在10:
00时连接的状态。
执行操作
2.保持Client对Server的主动,不间断的连接去掉时间限制,重
新加载规则1,在连接重新建立的同时,加载规则2。
步骤
预期结果
实测结果
测试结果
1.
连接成功
2.
连接被断幵。
3.
连接建立后,马上又被断幵。
备注
目的:
测试UDP过滤的基本功能、在规则有效时间上的实时性、规则变化时对动态连接表的实时刷新性能等
说明:
对于EIP的测试,通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试,例如:
igmp,ospf包等。
B.地址绑定
测试项目
IPMAC地址绑定测试日期
测试内容
测试IPMAC绑定的基本功能,以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得两种IP欺骗的情况下防火墙的处理能力
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1
访问成功
2,3
访问被禁止,IP或MAC不匹配。
备注
首先,加载IP全通过滤规则
测试项目
IPMAC地址绑定测试日期
测试内容
在制定IPMAC绑定规则时,可以只绑定个区域当中的某几个主机的地址,绝大多数主机可能不需要绑定,此时,我们还可以指定防火墙
对那些没指定的主机的绑定过滤规则。
这个用例主要用来测试防火墙对绑定规则之外的主机的访问的处理能力。
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.修改规则,绑定之外的主机允许通过。
测试结果
步骤
预期结果
实测结果
1.
访问成功
2
访问禁止
4.
访问成功
备注
首先,加载IP全通过滤规则
D.NAT
测试项目
NAT转换
测试日期
测试内容
这个用例主要用来测试一对一的同时对多个方向上的转换功能
测试环境
1.路由模式。
2.Linux,Windows
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
3
访问失败
4
访问成功
5
访问成功
备注
在访冋成功的同时在对端机器上用netstat命令看是真头IP还是转
换后的IP地址。
测试项目
NAT转换
测试日期
测试内容
这个用例主要在于测试同时双向的NAT转换功能
测试环境
1.路由模式
2.Linx,windows
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
3
访问成功
4
访问成功
备注
服务都幵放,同时用netstat进行查看连接的IP地址。
测试项目
NAT转换测试日期
测试内容
测试多对一转换时的基本功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.以上不提供服务转换。
执行操作
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
备注
首先,加载IP全通过滤规则。
测试项目
NAT转换
测试日期
测试内容
测试多对一转换时的服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1.
访问成功
2.
访问成功。
3.
访问失败。
备注
首先,加载IP全通过滤规则。
测试项目
NAT转换
测试日期
测试内容
测试多对多转换时的服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.加载规则1。
2.在规则1的基础上,加载规则2。
测试结果
步骤
预期结果
实测结果
2,4
访问成功
备注
首先,加载IP全通过滤规则
测试项目
NAT转换测试日期
测试内容
测试多对多转换时的FTP服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.加载规则1。
2.在规则1的基础上加载规则2
3.,2121。
测试结果
步骤
预期结果
实测结果
2,4
访问应该能够成功
备注
首先,加载IP全通过滤规则
E.多播。
测试项目
多播
测试日期
测试内容
数据的转发(分区方向的控制),组的加入。
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
2.
正常播放。
备注
测试项目
多播测试日期
测试内容
分区方向的控制
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.在10.10.3.10上用mediaplayer建立多播站,播放影音文件
test.nsc。
2.在10.10.3
测试结果
步骤
预期结果
实测结果
2.
访问成功,可以正常观看。
备注
测试项目
多播
测试日期
测试内容
与下行流多播路由器的数据交换
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
1.在10.10.3.10上用mediaplayer建立多播站,播放影音文件test.nsc。
2.在
3.10.10.3.10/test.nsc,影音文件.
测试结果
步骤
预期结果
实测结果
2.
访问成功,接收正常。
3.
不能成功.
备注
测试项目
多播
测试日期
测试内容
多播树的嫁接(多多播源,多接收端)
测试环境
1.路由模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
2,3,4
访问成功,正常播放。
备注
注:
桥模式下,多播与之类似,防火墙透明,与路由情况配置一样,指定区域即可•不再赘述•
F.VPN
G.TRUNK
测试项目
TRUNK测试日期
测试内容
跨越防火墙,完成同一VLAN内的通信.
测试环境
1.桥模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1
访问全部成功。
2
Telnet成功.ping不成功.
备注
测试项目
TRUNK弋理路由测试日期
测试内容
跨越防火墙,完成同一VLAN内的通信.
测试环境
1.桥模式
2.Linux,windows。
规则指定
执行操作
测试结果
步骤
预期结果
实测结果
1
访问全部成功。
2
访问成功•
3
所有操作都拒绝.
备注
G.内容过滤
测试项目
内容过滤
测试日期
测试内容
对SMTP,HTTP,FTF等应用层进行过滤.
测试环境
1.路由,桥.
2.Linux,Windows.
规则指定
在包过滤中添加相应的过滤规则,其中对内容,主题,附件,命令,都进行过滤•在此仅举一例•其他不再赘述•
1.
SMTP主题病毒禁止.
FTP:
USER禁止.
执行操作
1..GET页面禁止.
2.在172.10..120上.usertest
测试结果
步骤
预期结果
实测结果
1,2,3
访问都不成功。
备注
H.报警
测试项目
报警•测试日期
测试内容
邮件,trap,蜂鸣等.。
测试环境
1.路由模式,桥模式.
2.Linux,windows。
规则指定
设定相应的报警mail.,trap接收地址.
执行操作
1.在装有OpenView等可以接收trap信息的主机上结束trap.
2.在任意台主机上设置mail帐号为报警mail帐号,接收报警
mail.
3.当进行相应的报警操作,防火墙幵始蜂鸣.
测试结果
步骤
预期结果
实测结果
123
可以完成•
备注
I审计
测试项目
审计.测试日期
测试内容
对防火墙进行事件及访问日志的审计.。
测试环境
1.路由模式,桥模式.
2.Linux,windows。
规则指定
1查看全部时间日志,事件类型,事件来源全部..协议全部.
执行操作
1.查看.事件日志.
测试结果
步骤
预期结果
实测结果
1
查看到事件日志.
2
查看到相应的访问日志.
备注
在测试的过程中,在包过滤中选中,进行审计.就可以直接查看以前进行的操作信息.
J.实时监控.
测试项目
实施监控
测试日期
测试内容
进行相应的流量,连接等信息查看.
测试环境
1.路由模式,桥模式.
2.Linux,windows。
规则指定
1.数据包捕捉.
执行操作
1.直接在工具栏中查看相应的流量,连接等信息.
测试结果
步骤
预期结果
实测结果
1
查看信息,准确.
2.
捕捉到数据包.正确分
析.
K.攻击
测试项目
攻击测试日期
测试内容
防攻击测试。
测试环境
3.路由模式
4.Linux,windows。
规则指定
执行操作
4.flooding攻击(synflooding,udpflooding,pingflooding,pingofdeath等)。
5.?
nmap扫描,是否误报(非正常状态)。
6.?
Land攻击。
7.KillWin攻击。
测试结果
步骤
预期结果
实测结果
1.
FW正常工作,攻击包被丢弃。
2.
FW正常工作,扫描包被丢弃。
3
FW正常工作,攻击包被丢弃
4.
FW工作正常,攻击包被丢弃。
备注
被攻击区域不受任何影响。
K.双机热备
测试项目
双机热备测试日期
测试内容
激活状态的防火墙正常关机或异常掉电,看备份防火墙能否正常启用
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.设置FW2,FW3犬态,GroupID:
standby,FW2ID:
1,FW3ID:
2
执行操作
1.在FW2上加载一些实际的访问控制规则、NAT规则、IPMAC绑定规贝V、认证设置(可以沿用在前述用例设定的规则)
2.让ping—直处于建立状态
3.使当前的FW2正常关闭或异常掉电
4.监视ping,看在整个过程中,备份防火墙是否能正常启用,上述实时链接的反应。
测试结果
步骤
预期结果
实测结果
5.
已建立的连接断掉,约3秒钟后,备
份防火墙启动,连接重新建立。
备注
1.FW2,FW3勺相同分区的接口设在同一个网段中。
2.也可以用脚本写一个不间断的telnet连接来测试或其它协议。
主
要考虑ping不间断,效果致,故用之。
升级会员 