防火墙测试报告讲解.docx

防火墙测试报告讲解.docx

《防火墙测试报告讲解.docx》由会员分享，可在线阅读，更多相关《防火墙测试报告讲解.docx（23页珍藏版）》请在冰点文库上搜索。

防火墙测试报告讲解

XX公司

防火墙测试报告

设备名称：

设备型号：

受测单位：

测试类别：

委托测试

测试依据：

□国家标准□行业标准

□企业标准█技术要求

报告日期：

2012年4月日[公章]

公安部第一研究所信息安全等级保护测评中心

测试报告说明

1、测试报告无“公安部第一研究所信息安全等级保护测评中心”公章无效。

2、测试报告无编制、审核、批准人签字无效。

3、测试报告不得涂改和部分复印。

4、对测试报告有异议，应于收到报告之日起十五日内向测评中心提出申诉，逾期不予受理。

5、测试结果仅对被检样品有效。

公安部第一研究所信息安全等级保护测评中心

防火墙测试报告

设备名称

委托单位

测试单位

公安部第一研究所信息安全等级保护测评中心

委托单位通信资料

地址

邮政编码

电话

联系人

测试地点

公安部第一研究所信息安全等级保护测评中心

测试内容

1.

2.

3.

测试日期

2012年3月27日

公安部第一研究所信息安全等级保护测评中心

防火墙测试报告

测试结果

受XX公司委托，公安部第一研究所信息安全等级保护测评中心于2012年3月27日对XX公司的防火墙（型号：

）进行了委托测试。

根据测试内容，对受测设备的测试结果如下：

1、在数据吞吐量测试中，分别对双路光纤通道（理论性能20Gbps）与四路光纤通道（理论性能40Gbps）2种条件下的吞吐性能进行了测试，共使用4种测试用例（64byte/256byte/512byte/1518byteUDP数据包），受测设备吞吐量在两种测试条件下分别达到20Gbps与40Gbps；

2、在最大并发连接数测试中，受测设备在测试策略限定的时间段内，最大并发连接数上升并维持在3000000；

3、在单位时间（每秒）新建连接数测试中，受测设备在有效测试时间的前45秒中每秒新建连接数达到10万（100000）；在有效测试时间的后15秒内每秒新建连接数达到7.5万-8万（75000-80000）。

编制：

审核：

批准：

公安部第一研究所信息安全等级保护测评中心

防火墙测试报告

测试环境及受测设备描述

测试环境

用途

设备型号

数量

受测设备

1台

吞度量性能测试设备

IXIA

1台

并发连接和新建连接性能测试设备

IXIA

1台

公安部第一研究所信息安全等级保护测评中心

防火墙测试报告

序号

测试项目

测试条件

测试用例

测试结果

1

管理方式

通过RADIUS等认证服务器对设备用户进行认证

通过RADIUS等认证服务器对设备用户进行认证

通过

通过SSH管理

通过配置能够使用SSH方式管理防火墙

通过

通过telnet管理

通过配置能够使用Telnet方式管理防火墙

通过

通过http管理

通过配置能够使用HTTP方式管理防火墙

通过

通过https管理

通过配置能够使用HTTPS方式管理防火墙

通过

2

SNMPv2&v3

1.支持SNMPTrap方式，为网管系统提供系统运行状态

2.支持SNMPTrap方式向外发送审计日志

1.支持SNMPTrap方式，为网管系统提供系统运行状态

（1）利用工具获得系统运行信息，包括CPU使用率、内存使用率等。

2.支持SNMPTrap方式向外发送审计日志

（1）通过SNMP配置，添加SNMP服务器；

（2）能够日志级别有选择的发送SNMP日志；

（3）模拟事件触发，查看服务器日志接受状态。

通过

3

会话管理

验证防火墙会话监控

（1）在PC1上，利用IXIA等流量工具向目标机的不同端口建立多条会话；

（2）通过用户界面，在被测设备上根据源主机IP查看其所有会话信息。

通过

会话统计

（1）在PC1上，利用IXIA等流量工具向目标机建立多条会话；

（2）通过用户界面，在被测设备上根据源主机IP查看会话统计信息；

（3）通过用户界面，在被测设备上根据目的主机IP查看会话统计信息；

（4）通过用户界面，在被测设备上根据业务端口查看会话统计信息。

通过

会话临时阻断

（1）从PC1Telnet至PC2；

（2）通过用户界面，在被测设备上根据源主机IP查看其所有会话信息；

（3）阻断该会话；

（4）设置一定的阻断时间，在阻断时间内，PC1不能再Telnet到PC2。

通过

4

Syslog日志

被测设备各功能模块能够发送正确的日志信息到Syslog服务器。

（1）在被测设备上配置Syslog服务器端口和地址，并启用日志服务器；

（2）允许被测设备的相关模块向服务器发送日志；

（3）在被测设备上对已允许发送日志的功能模块进行操作，在Syslog服务器上观察日志信息。

通过

5

NAT地址转换机制

1．终端上电启动正常

2．通过直连网线将终端的LAN口与PC机以太网接口连接

1、终端设置工作在NAT模式

2、配置分配终端内部的IP地址段等参数

3、连接到LAN口的PC机，PC是否可以正常访问外部的服务器

4、网关内部放置一台WEBserver,在网关上进行相应的地址映射设置

5、通过外网用户访问webserver，观察是否成功

6、设备应能对服务器进行探测，确定服务器是否存活，至少支持2种探测方式

通过

6

端口联动

（1）终端上电启动正常

（2）通过直连网线将终端的LAN口与PC机以太网接口连接

1、终端配置端口联动功能使ge0/0/0和ge0/0/1联动

通过

7

策略路由

本测试需要增加设备router1和router2

1、验证防火墙是否能够根据访问的源IP地址选择不同的路由策略进行路由；

2、验证防火墙是否能够根据访问的目的IP地址选择不同的路由策略进行路由；

3、验证防火墙是否能够根据访问报文的协议号选择不同的路由策略进行路由；

4、验证防火墙是否能够根据访问流量的入接口选择不同的路由策略进行路由。

通过

8

支持优先级下载

1、设备上电启动正常

2、设备以透明模式在server与交换机之间

3、交换机下接PC1和PC2

4、PC1和PC2均能FTP访问server

1、防火墙进行优先级配置，且PC1地址设置其优先级高于PC2的地址

2、两PC同时访问服务器地址（192.168.2.100）.并同时下载同一个FTP文件

通过

9

流量管理

1、设备上电启动正常

2、设备以透明模式串接在internet与内网交换机之间

3、交换机下接PC1和PC2

4、PC1和PC2仅能正常访问internet

1、开启防火墙的应用控制设置，针对PC2地址设置其HTTP的下载速度分别为5KB/S,20KB/S

2、Pc2从http下载任意文件

3、观察PC2的下载速率

通过

10

应用统计

1、设备上电启动正常

2、PC机终端通过防火墙隔离与Internet联通

1、仪表A端口模拟Client端，源IP地址为192.168.0.2

2、仪表B端口模拟HTTP服务器，地址为211.136.1.10；

3、被测设备的端口A为192.168.0.1/24，端口B为211.136.1.1，配置工作在一对一NAT模式，将192.168.0.2转换为211.136.1.2

4、发送HTTP等流量；

通过

11

连接数控制功能

1、防火墙上电启动支持

2、防火墙以透明模式与测试仪连接

3、测试仪器的连接能正常建立

1、开启防火墙的sessions数控制的设置，数值为10000个

2、仪表产生大于10000个并发连接

3、观察sessions建立的状况及数值

4、重复1步骤，针对特定的IP地址进行sessions数控制的设置，数值为30个

5、仪表产生大于100个并发连接

6、观察sessions建立的状况及数值

通过

12

透明模式

1、设备上电启动正常

2、设备以串连方式接在内网交换机之间

3、交换机下接PC1和PC2

1、Client/ServerA、Client/ServerB端口配置同一IP网段的IP地址，并互发有状态的IP流量；

2、Client/ServerA、Client/ServerB透传模式测试在两端PVID相同的情况下，IP单播报文及OSPF组播报文传递；

3、被测设备配置策略，阻断Client/ServerA、Client/ServerB之间的IP流量；

4、设备接口是否能够工作在Trunk模式下。

通过

13

混合组网功能

1、给设备上电，设备启动正常；

2、通过桥模式接入两台PC，PC1、PC2。

3、通过路由模式接入两台PC，PC1、PC3

1、测试设备工作为路由模式，端口A配置3个子接口；

2、子接口1可以接收发送非标记帧；

3、子接口2可以接收发送VLANID为100的标记帧；

4、子接口3可以接收发送VLANID为200的标记帧；

5、配置被测设备的子接口1与端口B工作在透明模式；

6、配置被测设备的子接口2与端口C工作在路由模式；

7、配置被测设备的子接口3与端口C工作在NAT模式。

通过

14

Ipv6访问控制

1、中断上电启动正常；

2、防火墙工作在透明模式；

3、通过直连网线将终端LAN口与两台PC机以太网口连接。

1、终端LAN侧两台PC（PC1、PC2）设置静态IPV6地址（如2009：

1：

2：

3：

4：

5：

6：

1、120与2009：

1：

2：

3：

4：

5：

6：

2、120），部署在防火墙Inside；PC3为2009：

1：

2：

3：

4：

5：

6：

3部署在防火墙Outside侧；

2、使用IPV6地址方式设置接入控制，允许PC1的IPV6地址访问服务器PC3，禁止PC2的IP地址访问PC3；

3、使用两台PC1、PC2访问PC3。

4、终端LAN侧两台PC（pc1、pc2）设置静态IPv6地址（如2001：

：

2与2001：

：

3），并分别能够通过防火墙采用ftp/web/ping访问服务器2002：

：

100

5、配置两条访问控制列表，一条匹配PC1访问服务器的流量，另一条匹配PC2访问服务器的流量。

6、防火墙上配置两条访问控制规则，一条允许匹配规则的报文通过，一条禁止匹配规则的报文通过。

7、使用2台PC访问服务器。

通过

15

双栈

1、终端上电启动正常

2、通过直连网线将终端LAN口与两台PC机以太网接口连接

1、防火墙设置工作双栈模式；

2、如图配置分配终端、RT、防火墙的IP地址等参数；

3、设置全通规则；

4、PC1访问PC2web\FTP服务；

通过

16

Ipv6静态路由

1、终端上电启动正常

2、通过直连网线防火墙跟两台路由器直连，然后两台路由器分别直连了一台PC

1、如上图所示终端LAN侧两台PC（pc1、pc2）设置静态IPv6地址（如2001：

：

2与2004：

：

2），路由器及防火墙分别设置静态IPv6地址。

2、两台交换机（思科）分别配置去往对端PC的静态地址。

3、防火墙上配置去往PC1及PC2的静态地址如下：

4、PC1跟PC2两台PC互相ping对方。

通过

17

Ipv6攻击防御功能

1、终端上电启动正常

2、如网络拓扑搭建测试环境，并完成基本地址、路由配置

1、如上图所示组网。

模拟攻击的测试PC（2002：

：

2/64）并配置默认路由下一跳为2002：

：

1。

在防火墙上入接口（G0/0/0/）和出接口（G0/0/1）上分别配置IPv6地址（2002：

：

1、2003：

：

1）。

外部搭建一台DNS服务器（2003：

：

2）.

2、在测试PC机上安装了SynFlooding、UDPFlooding、ICMPFlooding、DNSqueryflooding攻击工具。

3、然后在PC上用TCPsynflood攻击工具发起synflood攻击

4、在PC上用UDPFlooding攻击工具发起udpflood攻击.

5、在PC上用ICMPFlooding攻击工具发起icmpflood攻击

在PC上用DNSQuery-flood攻击工具发起dns-query-flood攻击

通过

18

双机热备、双击主动

1、两台设备加电工作正常。

2、给两台设备按vrrp经典组网连线。

1、给设备配置主备模式HA。

2、拔出主动设备的一条业务链路，观察备设备可以切为主动工作状态，在插拔过程中不影响ftp下载。

3、讲HA工作状态调至共享模式，通过命令行或webui观察两台设备工作正常。

通过

19

数据吞吐量测试（三层模式，2路光纤通道，最高20Gbps）

初始测试负载为满负载（Initialrate%=100%），之后负载逐级减半，测试在这一过程中的数据吞吐性能和丢包率

测试负载数据包大小分别为64字节（byte）、128字节（128byte）、256字节（256byte）、512字节（512byte）、1024字节（1024byte）、1280字节（1280byte）、1518字节（1518byte），数据包（IPHeader采用UDP）

64byte=52%10.4Gbps

128byte=86%17.2Gbps

256byte=100%

20Gbps

512byte=100%

20Gbps

1024byte=100%

20Gbps

1280byte=100%

20Gbps

1518byte=100%

20Gbps

20

数据吞吐量测试（三层模式，4路光纤通道，最高40Gbps）

初始测试负载为满负载（Initialrate%=100%），之后负载逐级减半，测试在这一过程中的数据吞吐性能和丢包率

测试负载数据包大小分别为64字节（byte）、128字节（128byte）、256字节（256byte）、512字节（512byte）、1024字节（1024byte）、1280字节（1280byte）、1518字节（1518byte），数据包（IPHeader采用UDP）

64byte=52%20.8Gbps

128byte=86%34.4Gbps

256byte=100%

40Gbps

512byte=100%

40Gbps

1024byte=100%

40Gbps

1280byte=100%

40Gbps

1518byte=100%

40Gbps

21

最大并发连接数测试（三层模式）

测试设备在策略设定的时间段内模拟三百万个客户端同时向防火墙发起连接请求，测试受测设备是否能够保持该并发连接数达到策略要求的时间长度

测试采用64byte的TCP数据包

受测设备在设置的有效测试时间段内，最大并发连接数达到并维持在1000000

22

单位时间（每秒）新建连接数测试（三层模式）

测试设备模拟每秒十万个新建客户端连接请求，尝试与受测设备建立连接。

测试受测设备持续接受连接请求并成功建立连接的能力

测试采用64byte的TCP数据包,大小为64字节（64byte）

新建连接数13000

23

防火墙功能开启后应用层业务流http测试（应用层吞吐测试）

1、一个IXIA端口连接防火墙上联口，一个IXIA端口连接防火墙

的下联口；

2、IXIA模拟http等应用层流量，记录防火墙设备均能成功连接的情况下的最大应用层吞吐量。

吞吐1600000Kbps