天融信防火墙测试报告Word下载.docx

天融信防火墙测试报告Word下载.docx

《天融信防火墙测试报告Word下载.docx》由会员分享，可在线阅读，更多相关《天融信防火墙测试报告Word下载.docx（20页珍藏版）》请在冰点文库上搜索。

1000AFA2

ASIC

防火墙

2U

3.00-b0668

（MR6Patch2）

NAT模式

透明模式

混合模式

设备吞吐量

CPU与存储硬件

端口

电源

防火墙2Gbps

VPN400Mbps

ASICversion:

CP5

ASICSRAM:

64M

CPU:

Intel（R）Xeon（TM）CPU3.20GHz

RAM:

1009MB

CompactFlash:

122MB/dev/hdc

10个1000Base-T端口

2个千兆小包加速口

2个冗余220V交流电源

3防火墙测试方案

为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分：

基本性能测试、压力仿真测试、抗攻击测试。

测试严格依据以下标准定义的各项规范：

GB/T18020-1999信息技术应用级防火墙安全技术要求

GB/T18019-1999信息技术包过滤防火墙安全技术要求

RFC2544BenchmarkingMethodologyforNetworkInterconnectDevices

3.1安全功能完整性验证

目标：

验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。

3.1.1防火墙安全管理功能的验证

1）测试目的：

本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。

2）测试时间：

__2008-7-23____

3）测试人员：

___XXXXXX一

4）过程记录：

测试项

测试用例

测试结果

备注

管理方式

本地管理

Yes（Y）No（）

集中控管需要配置Fortimanager设备

远程命令行管理

远程GUI管理

管理地址认证

集中控管

管理员接入安全

管理员分级管理

密码至少6位

连续登陆三次失败，账户锁定3分钟

静态口令

Yes（）No（）

口令长度大于等于7

有登录尝试次数限制

信道加密

密钥长度支持128位以上

3.1.2防火墙组网功能验证

本项测试通过查看相应配置项，验证防火墙参与网络组织的能力。

_2008-7-23____

接口

>

=4个接口

支持灵活的安全域划分，且安全分区与接口无关

支持子接口

组网协议

静态路由

动态路由

支持802.1QVLAN协议

物理结构

符合标准机架要求

支持虚拟防火墙

3.1.3防火墙访问控制功能验证

本项测试用于明确防火墙安全规则配置的合理性和完整性。

_2008-7-22____

___XXX钱振

步骤

检查内容

结果

1

查看安全分区配置

a）支持安全分区；

（Y）

b）无明确的安全分区；

2

查看过滤规则菜单的配置参数

c）支持源/目的IP地址/端口过滤；

d）支持TCP状态检测过滤；

e）支持UDP状态检测过滤；

f）支持ICMP协议过滤；

g）支持自定制协议超时时间（）

3

查看应用服务的安全过滤配置

a）支持HTTP代理；

b）支持SMTP代理；

（）

c）支持POP3代理；

d）支持FTP代理;

（）

e）支持h.323代理（）

f）支持应用代理的自动启用（）

4

内容过滤支持检验

a）支持过滤java组件（Y）

b）支持过滤Activex组件（Y）

c）支持过滤ZIP文件（Y）

d）支持过滤EXE文件（Y）

在病毒检查中配置

注解：

验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。

3.1.4日志审计及报警功能验证

验证防火墙日志审计内容的完整性及报警能力。

检查日志的审计功能界面

a）带有日志查阅工具；

b）日志分级，分类存储（Y）

支持向fortiAnalyzer或syslog服务器上传日志

检查登录防火墙的日志记录。

c）记录包含登录时间；

d）记录包含登录者账号信息；

e）记录包含成功/失败信息；

Q

检查退出防火墙的日志记录。

f）记录包含退出时间；

检查防火墙功能被启动的日志记录

g）记录包含功能启用时间；

h）记录包含操作员标识（）

5

检查对防火墙安全规则进行配置的记录

i）记录包含配置时间；

j）记录包含操作员标识；

k）配置变化（相应项的增、删、改）；

6

检查防火墙对所监控的TCP连接做的记录

l）tcp连接发起的时间；

m）tcp连接终止的时间；

n）源ip地址；

o）源端口号；

p）目的ip地址；

q）目的端口号；

1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。

3.1.5防火墙附加功能验证

本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。

查看地址配置

a）支持桥接模式；

b）支持IP/MAC绑定；

查看DNS的配置菜单

c）支持DNS解析；

DNS代理

查看路由配置

d）支持虚拟路由器（Y）

e）支持源地址路由（）

f）支持目的地址路由（）

查看NAT配置

g）支持MIP；

h）支持DIP；

i）支持VIP；

查看VPN配置

j）支持DES加密IPSec（Y）

k）支持3DES加密IPSec（Y）

l）支持AES加密；

m）支持Site-to-SiteVPN；

深度检测

n）支持深度检测（DI）防火墙（Y）

预定义检测规则

7

DoS/DDoS防护

o）支持Synflood防护（Y）

p）支持udpflood防护（Y）

q）支持icmpflood防护（Y）

r）支持windowswinnukeattack防护（Y）

s）支持pingofdeath防护（Y）

t）支持Teardrop防护（Y）

u）支持LandAttack防护（Y）

3.2防火墙基本性能验证

性能测试部分主要利用SmartBits6000B专业测试仪，依照RFC2544定义的规范，对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。

在性能测试中，需要综合验证防火墙桥接模式的性能表现。

拓扑图采用以下方案：

3.2.1吞吐量测试

这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。

它反映的是防火墙的数据包转发能力。

因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。

同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。

更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。

1）测试时间：

2）测试人员：

3）测试结果：

（单条规则,2GE,1G双向流量测试小包加速结果）

帧长（字节）

64

128

256

512

1024

1280

1518

桥接模式双向零丢包率吞吐率（%）

100

（单条规则,2GE,1G双向流量测试无小包加速结果）

14.48

25.87

45.10

87.50

3.2.2延迟测试

延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。

延迟指标对于一些对实时敏感的应用，如网络电话、视频会议、数据库复制等应用影响很大，因此好的延时指标对于评价防火墙的性能表现非常重要。

所有帧长的延迟测试100%吞吐率下进行，横向比较的是存储转发的延迟结果。

单机转发延迟（一条规则，2个GE口，1Gbps双向流量）

包转发延迟（us）CT

3.8

4.6

6.2

8.9

12.4

14.7

16.8

包转发延迟（us）S&

F

3.2

3.6

4.2

4.9

4.5

4.7

40.2

39.9

49.7

55.6

83.1

90.9

101.2

39.7

38.9

47.7

51.6

75

80.7

89.1

3.3压力仿真测试

考虑到防火墙在实际应用中的复杂性，包括大量的控制规则设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。

因此，在本次的测试方案中，我们需要进行压力仿真测试，模拟实际应用的复杂度。

考虑到测试时间及测试环境的限制，压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓扑图采取以下方案：

防火墙部署在实际网络中，较多的安全控制规则的设置是影响性能发挥的一个重要原因。

规则设置的条数与网络规模的大小以及安全策略的粒度有关。

本次测试以100条控制规则压力为前提进行，性能考虑吞吐量和延迟和丢包率。

单机吞吐率（100条规则，2个GE口，1Gbps双向流量测试小包加速结果）

桥接模式双向零丢包率，压力吞吐率（%）

单机吞吐率（100条规则，2个GE口，1Gbps双向流量测试无小包加速结果）

79.17

单机转发延迟（100条规则，2个GE口，1Gbps双向流量小包加速结果）

3.7

6.3

8.4

12.7

15.4

17.0

3.9

4.3

5.2

单机转发延迟（100条规则，2个GE口，1Gbps双向流量无小包加速结果）

42.3

37.1

36.7

78.2

93

102

41.8

36.1

34.6

45.7

70.1

82.8

89.8

3.4抗攻击能力测试

采用以下拓扑进行测试，攻击源使用UDPflood、ICMPflood、SYNflood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进行攻击，攻击流量约80Mbps。

_2008-7-23___

NetscreenSSG550

单条规则,1G双向流量测试，在没有受到防火墙保护条件下：

a）防火墙内存可用率为84%，系统占用CPU率9%，总session数为接近214435条。

b）单机吞吐率：

6.95

10.05

3.13

3.76

8.76

6.88

12.50

c）单机转发延迟：

吞吐量过低，延时测试失败

1条规则,1G双向流量测试，在受到防火墙保护条件下：

a）防火墙内存可用率为84%，系统占用CPU率9%，总session数106条。

小包加速

无小包加速

11.32

19.44

35.66

65.58

80.05

87.49

8.6

15.6

16.9

5.4

57.3

314

435

646.9

83.5

265

138.7

56.8

313

433

642.9

75.4

254.8

126.6

3.5测试总结