完整word版天融信防火墙测试报告.docx

完整word版天融信防火墙测试报告.docx

《完整word版天融信防火墙测试报告.docx》由会员分享，可在线阅读，更多相关《完整word版天融信防火墙测试报告.docx（19页珍藏版）》请在冰点文库上搜索。

完整word版天融信防火墙测试报告

西默流控—DPDK1000

测试报告

2013．08．15

1产品介绍

随着信息技术和网络技术日新月异的发展，特别是国际互联网的出现、发展及逐渐普及，各行各业的信息化实现了跨跃式发展，信息技术应用的深度和广度上也达到前所未有的地步，各种依托于网络的新兴应用层出不穷，在极大丰富了人们的互联网生活的同时，网络带来了诸多问题，给企业、单位的网络管理者带来了新的挑战。

一方面企事业单位各种关键应用（如:

ERP、CRM、OA系统、视频会议系统等）对带宽和延迟提出了更高的要求；另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥.企事业单位有限的网络资源正被P2P下载、网络电视等应用所吞噬，关键应用的服务质量得不到保障。

网速越来越慢、网络业务中断越来越频繁，不仅极大浪费了宝贵的带宽资源，也严重影响了本单位关键应用的正常运行。

西默智能流量管理设备DPDK-1000是西默科技推出的基于应用层的、专业的流量管理产品，基于时间、VLAN、用户、应用、数据流向等条件，通过监控网络流量、分析流量行为、设置流量管理策略，实现全面的智能流量管理.

通过流量限速功能，能够在不封堵某种网络应用的情况下，将其上传、下载带宽限定在某个合理的范围内，这样既可以保持相关网络应用的可用性，又能够防止这些应用对有限带宽资源的无序抢占.

通过流量限额功能，能够为指定的网络应用设定流量限额阀值，在预定的周期性时间段及某（些）VLAN范围内，限制应用的流量总额，实现了对非关键业务，特别是不良应用在使用上的有效约束。

通过连接控制功能，能够对并发连接数和每秒新建连接数进行控制，有效限制某（些）用户或某（些）应用对网络设备资源的无限占用，避免产生异常流量和网络攻击。

2测试目的

该测试目的在于验证西默流控设备—DPDK-1000是否到达预期的优化带宽及对特定的流量起到限制的的功能，对基于时间，用户，应用等数据流在策略该测试目的在于验证域名服务器是否到达预期的域名解析功能，对测试的结果以及测试的数据等加以记录和分析总结。

在此基础上，对发现的问题加以分析和解决，通过进一步改进系统性能和优化，使系统达到最优效果。

对测试的结果以及测试的数据等加以记录和分析总结。

在此基础上,对发现的问题加以分析和解决，通过进一步改进系统性能和优化，使系统达到最优效果。

对测试的结果以及测试的数据等加以记录和分析总结。

在此基础上，对发现的问题加以分析和解决,通过进一步改进系统性能和优化，使系统达到最优效果.

2。

1测试拓扑

本次测试采用以下的拓扑配置：

西默DPDK-1000部署模式为透明模式,位于出口路由器和三层核心交换机之间。

2。

2测试工具

本次测试用到的测试工具包括:

待测防火墙一台;

网络设备专业测试仪表SmartBits6000B一台;

笔记本（或台式机）二台。

测试详细配置如下：

产品型号

防火墙技术类型

机箱规格

防火墙软件及版本

防火墙工作模式

FORTINET

1000AFA2

ASIC

防火墙

2U

3。

00-b0668

（MR6Patch2）

NAT模式

透明模式

混合模式

设备吞吐量

CPU与存储硬件

端口

电源

防火墙2Gbps

VPN400Mbps

ASICversion:

CP5

ASICSRAM:

64M

CPU：

Intel（R）Xeon（TM）CPU3.20GHz

RAM：

1009MB

CompactFlash：

122MB/dev/hdc

10个1000Base—T端口

2个千兆小包加速口

2个冗余220V交流电源

3防火墙测试方案

为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分：

基本性能测试、压力仿真测试、抗攻击测试。

测试严格依据以下标准定义的各项规范：

GB/T18020—1999信息技术应用级防火墙安全技术要求

GB/T18019—1999信息技术包过滤防火墙安全技术要求

RFC2544BenchmarkingMethodologyforNetworkInterconnectDevices

3。

1安全功能完整性验证

目标：

验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。

3。

1.1防火墙安全管理功能的验证

1）测试目的：

本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。

2）测试时间：

__2008—7-23____

3）测试人员:

___XXXXXX一

4）过程记录:

测试项

测试用例

测试结果

备注

管理方式

本地管理

Yes（Y）No（）

集中控管需要配置Fortimanager设备

远程命令行管理

Yes（Y）No（）

远程GUI管理

Yes（Y）No（）

管理地址认证

Yes（Y）No（）

集中控管

Yes（Y）No（）

管理员接入安全

管理员分级管理

Yes（Y）No（）

密码至少6位

连续登陆三次失败，账户锁定3分钟

静态口令

Yes（）No（）

口令长度大于等于7

Yes（）No（）

有登录尝试次数限制

Yes（Y）No（）

信道加密

Yes（Y）No（）

密钥长度支持128位以上

Yes（）No（）

3。

1.2防火墙组网功能验证

1）测试目的：

本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。

2）测试时间：

_2008-7-23____

3）测试人员：

___XXXXXX一

4）过程记录:

测试项

测试用例

测试结果

备注

接口

>=4个接口

Yes（Y）No（）

支持灵活的安全域划分，且安全分区与接口无关

Yes（Y）No（）

支持子接口

Yes（Y）No（）

组网协议

静态路由

Yes（Y）No（）

动态路由

Yes（Y）No（）

支持802.1QVLAN协议

Yes（Y）No（）

物理结构

符合标准机架要求

Yes（Y）No（）

支持虚拟防火墙

Yes（Y）No（）

3.1.3防火墙访问控制功能验证

1）测试目的：

本项测试用于明确防火墙安全规则配置的合理性和完整性。

2）测试时间：

_2008—7-22____

3）测试人员：

___XXX钱振

4）过程记录：

步骤

检查内容

结果

备注

1

查看安全分区配置

a）支持安全分区；（Y）

b）无明确的安全分区；（Y）

2

查看过滤规则菜单的配置参数

c）支持源/目的IP地址/端口过滤；（Y）

d）支持TCP状态检测过滤；（Y）

e）支持UDP状态检测过滤；（Y）

f）支持ICMP协议过滤；（Y）

g）支持自定制协议超时时间（）

3

查看应用服务的安全过滤配置

a）支持HTTP代理；（Y）

b）支持SMTP代理;（）

c）支持POP3代理；（）

d）支持FTP代理;（）

e）支持h。

323代理（）

f）支持应用代理的自动启用（）

4

内容过滤支持检验

a）支持过滤java组件（Y）

b）支持过滤Activex组件（Y）

c）支持过滤ZIP文件（Y）

d）支持过滤EXE文件（Y）

在病毒检查中配置

注解：

验证结果附合选项要求的,在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。

3.1。

4日志审计及报警功能验证

1）测试目的：

验证防火墙日志审计内容的完整性及报警能力.

2）测试时间：

_2008—7-23____

3）测试人员：

___XXXXXX一

4）过程记录：

步骤

检查内容

结果

备注

1

检查日志的审计功能界面

a）带有日志查阅工具；（Y）

b）日志分级,分类存储（Y）

支持向fortiAnalyzer或syslog服务器上传日志

2

检查登录防火墙的日志记录。

c）记录包含登录时间；（Y）

d）记录包含登录者账号信息；（Y）

e）记录包含成功/失败信息；（Y）

Q

检查退出防火墙的日志记录。

f）记录包含退出时间；（Y）

4

检查防火墙功能被启动的日志记录

g）记录包含功能启用时间；（Y）

h）记录包含操作员标识（）

5

检查对防火墙安全规则进行配置的记录

i）记录包含配置时间；（Y）

j）记录包含操作员标识；（Y）

k）配置变化（相应项的增、删、改）；（Y）

6

检查防火墙对所监控的TCP连接做的记录

l）tcp连接发起的时间;（Y）

m）tcp连接终止的时间；（Y）

n）源ip地址；（Y）

o）源端口号；（Y）

p）目的ip地址；（Y）

q）目的端口号;（Y）

注解：

1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明.

3。

1。

5防火墙附加功能验证

1）测试目的：

本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。

2）测试时间：

_2008-7—23____

3）测试人员：

___XXXXXX一

4）过程记录：

步骤

检查内容

结果

备注

1

查看地址配置

a）支持桥接模式；（Y）

b）支持IP/MAC绑定;（Y）

2

查看DNS的配置菜单

c）支持DNS解析；（Y）

DNS代理

3

查看路由配置

d）支持虚拟路由器（Y）

e）支持源地址路由（）

f）支持目的地址路由（）

4

查看NAT配置

g）支持MIP；（Y）

h）支持DIP；（Y）

i）支持VIP；（Y）

5

查看VPN配置

j）支持DES加密IPSec（Y）

k）支持3DES加密IPSec（Y）

l）支持AES加密；（Y）

m）支持Site—to-SiteVPN；（Y）

6

深度检测

n）支持深度检测（DI）防火墙（Y）

预定义检测规则

7

DoS/DDoS防护

o）支持Synflood防护（Y）

p）支持udpflood防护（Y）

q）支持icmpflood防护（Y）

r）支持windowswinnukeattack防护（Y）

s）支持pingofdeath防护（Y）

t）支持Teardrop防护（Y）

u）支持LandAttack防护（Y）

注解：

1、验证结果附合选项要求的,在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。

3.2防火墙基本性能验证

性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范，对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。

在性能测试中，需要综合验证防火墙桥接模式的性能表现。

拓扑图采用以下方案:

3。

2。

1吞吐量测试

这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。

它反映的是防火墙的数据包转发能力。

因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。

同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题.

更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。

1）测试时间：

_2008—7-23____

2）测试人员：

___XXXXXX一

3）测试结果:

（单条规则，2GE,1G双向流量测试小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率吞吐率（%）

100

100

100

100

100

100

100

（单条规则，2GE,1G双向流量测试无小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率吞吐率（％）

14.48

25.87

45。

10

87.50

100

100

100

3。

2.2延迟测试

延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。

延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。

所有帧长的延迟测试100％吞吐率下进行,横向比较的是存储转发的延迟结果。

单机转发延迟（一条规则，2个GE口，1Gbps双向流量）

1）测试时间：

_2008-7—23____

2）测试人员：

___XXXXXX一

3）测试结果：

（单条规则，2GE，1G双向流量测试小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

3.8

4。

6

6.2

8.9

12.4

14。

7

16.8

包转发延迟（us）S＆F

3。

2

3。

6

4.2

4.9

4。

2

4.5

4。

7

（单条规则,2GE,1G双向流量测试无小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

40.2

39。

9

49.7

55。

6

83.1

90。

9

101.2

包转发延迟（us）S&F

39。

7

38.9

47。

7

51。

6

75

80。

7

89.1

3。

3压力仿真测试

考虑到防火墙在实际应用中的复杂性，包括大量的控制规则设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。

因此，在本次的测试方案中，我们需要进行压力仿真测试，模拟实际应用的复杂度。

考虑到测试时间及测试环境的限制，压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓扑图采取以下方案：

防火墙部署在实际网络中，较多的安全控制规则的设置是影响性能发挥的一个重要原因。

规则设置的条数与网络规模的大小以及安全策略的粒度有关。

本次测试以100条控制规则压力为前提进行，性能考虑吞吐量和延迟和丢包率。

1）测试时间：

_2008—7-23____

2）测试人员：

___XXXXXX一

3）测试结果：

单机吞吐率（100条规则，2个GE口，1Gbps双向流量测试小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率，压力吞吐率（%）

100

100

100

100

100

100

100

单机吞吐率（100条规则，2个GE口，1Gbps双向流量测试无小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率，压力吞吐率（%）

14。

48

25.87

45.10

79。

17

100

100

100

单机转发延迟（100条规则,2个GE口，1Gbps双向流量小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

3.7

4。

9

6。

3

8.4

12.7

15。

4

17.0

包转发延迟（us）S＆F

3.2

3.9

4.3

4.3

4。

6

5。

2

4。

9

单机转发延迟（100条规则，2个GE口，1Gbps双向流量无小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

42.3

37。

1

36.7

49.7

78.2

93

102

包转发延迟（us）S&F

41.8

36.1

34。

6

45。

7

70.1

82。

8

89。

8

3。

4抗攻击能力测试

采用以下拓扑进行测试，攻击源使用UDPflood、ICMPflood、SYNflood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进行攻击，攻击流量约80Mbps。

1）测试时间：

_2008—7-23___

2）测试人员：

___XXXXXX一

3）测试结果:

NetscreenSSG550

单条规则,1G双向流量测试，在没有受到防火墙保护条件下：

a）防火墙内存可用率为84%,系统占用CPU率9％，总session数为接近214435条.

b）单机吞吐率：

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率,压力吞吐率（%）

6.95

10.05

3.13

3.76

8.76

6。

88

12。

50

c）单机转发延迟:

吞吐量过低,延时测试失败

1条规则，1G双向流量测试，在受到防火墙保护条件下：

a）防火墙内存可用率为84%,系统占用CPU率9%，总session数106条。

b）单机吞吐率：

小包加速

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率,压力吞吐率（%）

100

100

100

100

100

100

100

无小包加速

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率，压力吞吐率（％）

6。

95

11。

32

19.44

35.66

65.58

80。

05

87.49

c）单机转发延迟：

小包加速

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

3.8

4.7

6.3

8.6

12。

7

15.6

16。

9

包转发延迟（us）S＆F

3.2

3.7

4。

2

4。

6

4.5

5.4

4。

7

无小包加速

帧长（字节）

64

128

256

512

1024

1280

1518

包转发延迟（us）CT

57。

3

314

435

646。

9

83.5

265

138.7

包转发延迟（us）S＆F

56。

8

313

433

642.9

75.4

254.8

126.6

3。

5测试总结