防火墙测试验收方案.docx
《防火墙测试验收方案.docx》由会员分享,可在线阅读,更多相关《防火墙测试验收方案.docx(26页珍藏版)》请在冰点文库上搜索。
防火墙测试验收方案
防火墙测试方案
一、引言
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。
特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。
各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。
由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。
评估测试防火墙是一个十分复杂的工作。
一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。
但是安全和性能之间似乎常常构成一对矛盾。
在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。
沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。
另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。
因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。
测试的背景和目的
在防火墙产品市场上,产品一般分为高、中、低三档。
考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。
为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:
功能测试、安全防范能力测试、性能测试和设备可靠性测试。
参考资料
GB/T18020-1999信息技术应用级防火墙安全技术要求
GB/T18019-1999信息技术包过滤防火墙安全技术要求
FWPD:
FirewallProductCertificationCriteriaVersion3.0a
测试项目
一.测试项目
包过滤,NAT,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。
二.测试环境简略拓扑图
10.10.11.1010.10.12.20
10.10.11
(2).1
10.10.1.240
10.10.3.10
10.10.1.110.10..3.1(192.168.3.30)
FW1
10.10.2.110.10.3.20
10.10.2.240(192.168.1.30)
172.1.1.1
192.168.1.10
172.10.1.10
FW2172.10.2.1192.168.2.1FW3
172.10.1.1
192.168.1.1
172.10.1.20172.10.3.1192.168.3.1
192.168.1.20
(192.168.2.252)192.168.3.10192.168.3.20
172.10.3.10172.10.3.20
(192.168.2.251)
172.10.2.254192.168.2.254
(192.168.2.253)
图1
管理器
172.16.1.10192.168.1.10
192.168.1.251
172.16.1.20192.168.1.20
192.168.1.11192.168.1.21
图2
说明:
在括号内的IP地址,为测试单一防火墙功能时所用的IP地址。
图2仅为测试TRUNK,代理路由和非IP规则时使用.
三.测试前软件环境的准备
1.子网主机具有Linux,windows2000(or98orNT)两种环境。
2.测试环境Linux主机配置www,ftp,telnet服务,同时安装nmap,http_load,sendudp等测试工具;Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape等浏览器
3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip地址为当前网段的1地址。
例:
当前主机所在网段为192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的ip地址。
4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
5.在广域网中采用静态路由和动态路由(rip或ospf)两种。
6.。
四.功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A.包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计:
a.方向:
区1—>区2
b.操作:
允许(拒绝)
c.协议:
tcp,udp,icmp和其它协议号的协议。
d.审计:
是(否)
e.有效时间段
B.地址绑定――――ip,mac地址绑定。
防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计:
a.方向:
区1—>区2
b.操作:
允许(或拒绝)
C本地访问控制――――对管理主机的访问进行控制
1.)单一地址
2.)多地址
规则设计:
a.操作:
1.允许ping,telnet等。
2.允许管理
DNAT――――地址,端口的转换。
私有ip转为公网ip。
1.)一对一
2.)多对一
3.)多对多
规则设计:
a.方向:
区1->区2.
b.操作:
拒绝(或允许)
c.协议:
tcp,udp,icmp和其它协议号的协议。
d.审计:
是(否)
E多播――――解决一对多的通信。
1.单一多播源,多接收端。
2.多多播源,多接收端。
G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.
H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.
I.审计――――审计防火墙上的访问,及事件信息,防火墙的状态.
J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.
K攻击――――防攻击。
检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。
L.双机热备――――设备冗余。
同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。
当激活状态的防火墙down掉时,备份防火墙接管。
通过测试用例来对具体的操作进行阐述。
在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制等。
A.包过滤
测试项目
包过滤
测试日期
测试内容
IP过滤规则对ICMP数据包的过滤效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10-100->192.168.2.254ICMP允许。
(内到外)
192.168.2.254->192.168.3.10ICMP允许。
(外到DMZ)
192.168.3.1-15->192.168.1.10ICMP允许。
(DMZ到内)
执行操作
1.在192.168.1.10上ping192.168.2.254,在192.168.2.254上ping192.168.3.10,在192.168.3.10上ping192.168.1.10。
并反方向ping。
2.在192.168.1.10上telnet192.168.2.254,在192.168.2.254上telnet192.168.3.10,在192.168.3.10上telnet192.168.1.10。
并反方向ftp,telnet。
3.加载ICMP全通规则。
4.重复步骤1
测试结果
步骤
预期结果
实测结果
1.
正向ping成功,反向ping不通,被禁止。
2.
访问被禁止,规则不允许。
3
都可以相互ping通。
备注
测试项目
包过滤
测试日期
测试内容
IP过滤规则对TCP数据包的过滤效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
1:
192.168.1.10->192.168.2.254telnet允许。
(内到外)
192.168.2.254->192.168.3.10telnet允许。
(外到DMZ)
192.168.3.10->192.168.1.10telnet允许。
(DMZ到内)
执行操作
1.在192.168。
1.10上telnet192.168.2.254,在192.168.2.254上telnet192.168.3.10,在192.168.3.10上telnet192.168.1.10,并反向telnet。
2.在192.168.1.10用nslookup到192.168.2.254上进行名字解析或其它的udp服务。
3.加载telnet全通规则,重复步骤1.
测试结果
步骤
预期结果
实测结果
1.
正向成功,反向被禁止
2.
访问被禁止,没有允许UDP服务。
TCP协议的放开,对UDP协议不发生影响。
3.
telnet访问都成功。
备注
测试项目
包过滤
测试日期
测试内容
IP过滤规则对TCP数据包的过滤效果,侧重于实时效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10->192.168.2.254telnet允许。
(内到外)
192.168.2.254->192.168.3.10telnet允许。
(外到DMZ)
192.168.3.10->192.168.1.10telnet允许。
(DMZ到内)
生效时间:
9:
00-10:
00
执行操作
1.在192.168。
1.10上telnet192.168.2.254,在192.168.2.254上telnet192.168.3.10,在192.168.3.10上telnet192.168.1.10,并反向telnet。
2.保持上述telnet已建立的连接,并不断的telnet没有建立连接的。
3.在9:
59-10:
01之间,查看telnet状态的反应。
测试结果
步骤
预期结果
实测结果
1.
正向telnet成功,反向被禁止。
3
已建立的telnet连接被断开。
备注
测试项目
包过滤
测试日期
测试内容
在IP包过滤中,由于FTP服务的特殊性,所以下面几个用例主要针对FTP进行测试。
这个用例主要用来测试FTP建立连接后,防火墙对20端口的特殊处理
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10->192.168.2.254ftp允许(内到外)
执行操作
1.在192.168.1.10上telnet192.168.2.25420。
2.在192.168.1.10上ftp192.168.2.254,进行大文件(1G)的数据传输。
3.在ftp的同时,在192.168.1.10上telnet192.168.2.25420。
4.passive进行ftp文件的传输。
5.在192.168.1.10上telnet192.168.2.25420
测试结果
步骤
预期结果
实测结果
1,3,5
访问被禁止
2,4
访问成功。
备注
测试项目
包过滤
测试日期
测试内容
IP包过滤包括ICMP、UDP、TCP和非(ICMP、UDP、TCP)包的过滤,UDP过滤行测试
测试环境
1.路由模式
2.Linux,windows。
规则指定
规则1:
192.168.1.10->192.168.2.254UDP允许。
192.168.2.253->192.168.3.20UDP允许。
192.168.3.30->192.168.1.30UDP允许
生效时间:
9:
00-10:
00。
〕
规则2:
192.168.1.10->192.168.2.254UDP拒绝。
执行操作
1.在192.168.1.10,192.168.2.253,192.168.3.30上启动UDP的测试工具Udp_Server,在192.168.2.253,192.168.3.20,192.168.1.30上启动Udp_Client来分别连192.168.1.10,192.168.2.253,192.168.3.30上的服务程序。
2.保持连接。
查看在10:
00时连接的状态。
3.保持Client对Server的主动,不间断的连接去掉时间限制,重新加载规则1,在连接重新建立的同时,加载规则2。
测试结果
步骤
预期结果
实测结果
1.
连接成功
2.
连接被断开。
3.
连接建立后,马上又被断开。
备注
目的:
测试UDP过滤的基本功能、在规则有效时间上的实时性、规则变化时对动态连接表的实时刷新性能等
说明:
对于EIP的测试,通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试,例如:
igmp,ospf包等。
B.地址绑定
测试项目
IPMAC地址绑定
测试日期
测试内容
测试IPMAC绑定的基本功能,以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得两种IP欺骗的情况下防火墙的处理能力
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10----100=>MAC00.12.30.34.89.29进行绑定
执行操作
1.192.168.1.10上telnet192.168.2.254。
2.修改192.168.1.10的IP地址为192.168.1.11,telnet192.168.2.254。
3.在此基础上将192.168.1.20的地址改为192.168.1.10。
然后,telnet192.168.2.254。
测试结果
步骤
预期结果
实测结果
1
访问成功
2,3
访问被禁止,IP或MAC不匹配。
备注
首先,加载IP全通过滤规则
测试项目
IPMAC地址绑定
测试日期
测试内容
在制定IPMAC绑定规则时,可以只绑定一个区域当中的某几个主机的地址,绝大多数主机可能不需要绑定,此时,我们还可以指定防火墙对那些没指定的主机的绑定过滤规则。
这个用例主要用来测试防火墙对绑定规则之外的主机的访问的处理能力。
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10=>MAC00.12.30.34.89.29进行绑定,绑定规则之外的主机不允许通过
执行操作
1.在192.168.1.10上telnet192.168.2.254。
2.在192.168.1.20上telnet192.168.2.254
3.修改规则,绑定之外的主机允许通过。
4.在192.168.1.20上telnet192.168.2.254
测试结果
步骤
预期结果
实测结果
1.
访问成功
2
访问禁止
4.
访问成功
备注
首先,加载IP全通过滤规则
D.NAT
测试项目
NAT转换
测试日期
测试内容
这个用例主要用来测试一对一的同时对多个方向上的转换功能
测试环境
1.路由模式。
2.Linux,Windows
规则指定
1.192.168.1.10->192.168.2.100(inNATout)
2.192.168.1.10->192.168.3.100(inNATdmz)
执行操作
1.在192.168.1.10上telnet192.168.2.254
2.在192.168.2.254上telnet192.168.2.100
3.在192.168.2.254上telnet192.168.1.10
4.在192.168.1.10上telnet192.168.3.10
5.在192.168.3.10上telnet192.168.3.100
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
3
访问失败
4
访问成功
5
访问成功
备注
在访问成功的同时在对端机器上用netstat命令看是真实IP还是转换后的IP地址。
测试项目
NAT转换
测试日期
测试内容
这个用例主要在于测试同时双向的NAT转换功能
测试环境
1.路由模式
2.Linx,windows
规则指定
1.192.168.1.10->192.168.2.100(inNATout)
2.192.168.1.10->192.168.3.100(inNATdmz)
3.192.168.3.10->192.168.1.100(dmzNATin)
4.192.168.3.10->192.168.1.200(dmzNATout)
5.192.168.2.254->192.168.1.200(outNATin)
6.192.168.2.254->192.168.3.200(outNATdmz)
执行操作
1.在192.168.1.10上telnet192.168.1.100,192.168.1.200,192.168.2.254,192.168.3.10。
2.在192.168.2.254上telnet192.168.2.100,192.168.2.200,192.168.3.10,192.168.1.10。
3.在192.168.3.10上telnet192.168.3.100,192.168.3.200,192.168.2.254,192.168.1.10。
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
3
访问成功
4
访问成功
备注
服务都开放,同时用netstat进行查看连接的IP地址。
测试项目
NAT转换
测试日期
测试内容
测试多对一转换时的基本功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.2.254->192.168.1.100
2.192.168.2.253->192.168.1.100
3.以上不提供服务转换。
执行操作
1.在192.168.2.254,192.168.2.253上ping192.168.1.10
2.在192.168.2.253,192.168.2.253上telnet192.168.1.10
测试结果
步骤
预期结果
实测结果
1
访问成功
2
访问成功
备注
首先,加载IP全通过滤规则。
测试项目
NAT转换
测试日期
测试内容
测试多对一转换时的服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.2.254->192.168.1.100提供telnet服务。
2.192.168.2.253---254->192.168.1.100提供www服务。
(去除254地址。
)
执行操作
1.在192.168.9.254,192.168.2.253上telnet192.168.1.10。
2.在192.168.1.10上telnet192.168.1.100,在192.168.1.20上http:
//192.168.1.100
3.在192.168.2.254上telnet192.168.1.100:
80。
测试结果
步骤
预期结果
实测结果
1.
访问成功
2.
访问成功。
3.
访问失败。
备注
首先,加载IP全通过滤规则。
测试项目
NAT转换
测试日期
测试内容
测试多对多转换时的服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
规则1:
192.168.2.254,192.168.2.253,192.168.2.252->192.168.1.100,192.168.1.200
规则2:
192.168.2.25423->192.168.1.10023192.168.2.25423->192.168.1.2002323
执行操作
1.加载规则1。
2.在192.168.2.254,192.168.2.253,192.168.2.253上telnet192.168.1.10。
3.在规则1的基础上,加载规则2。
4.在192.168.1.10,192.168.1.20上telnet192.168.1.10023;telnet192.168.1.2002323
测试结果
步骤
预期结果
实测结果
2,4
访问成功
备注
首先,加载IP全通过滤规则
测试项目
NAT转换
测试日期
测试内容
测试多对多转换时的FTP服务转换功能
测试环境
1.路由模式
2.Linux,windows。
规则指定
规则1:
192.168.2.254,192.168.2.253,192.168.2.252->192.168.1.100,192.168.1.200
规则2:
192.168.2.254->192.168.1.10021号端口提供ftp服务。
192.168.2.252->192.168.1.2002121号端口提供ftp服务。
执行操作
1.加载规则1。
2.在192.168.2.254,192.168.2.253,192.168.2.253上telnet192.168.1.10。
3.在规则1的基础上加载规则2
4.在192.168.1.10,192.168.1.20上ftp192.168.1.100,ftp192.168.1.2002121。
测试结果
步骤
预期结果
实测结果
2,4
访问应该能够成功
备注
首先,加载IP全通过滤规则
E.多播。
测试项目
多播
测试日期
测试内容
数据的转发(分区方向的控制),组的加入。
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.OUT->224.1.1.1-2
升级会员 