收藏 分享(赏)
下载资源 加入VIP,免费下载

防火墙测试报告.doc

上传人:精品资料 文档编号:10548970 上传时间:2019-11-28 格式:DOC 页数:14 大小:250.68KB
下载 相关 举报
防火墙测试报告.doc_第1页
第1页 / 共14页
防火墙测试报告.doc_第2页
第2页 / 共14页
防火墙测试报告.doc_第3页
第3页 / 共14页
防火墙测试报告.doc_第4页
第4页 / 共14页
防火墙测试报告.doc_第5页
第5页 / 共14页
点击查看更多>>
资源描述

1、防火墙测试报告2013062目录1 测试目的 32 测试环境与工具 32.1 测试拓 扑 .32.2 测试工具 .43 防火墙测试方案 43.1 安全功能完整性验证 .53.1.1 防火墙安全管理功能的验证 53.1.2 防火墙组网功能验证 53.1.3 防火墙访问控制功能验证 63.1.4 日志审计及报警功能验证 73.1.5 防火墙附加功能验证 83.2 防火墙基本性能验证 .93.2.1 吞吐量测试 93.2.2 延迟测试 103.3 压力仿真测试 .103.4 抗攻击能力测试 .113.5 性能测试总结 .1231 测试目的防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个

2、网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2 测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。2.1 测试拓扑本次测试采用以下的拓扑配置:待测防火墙S m a r t B i t 6 0 0 0 B没有攻击源时的测试拓扑结构待测防火墙S m a r t B i t 6 0 0 0 BP C攻击源有攻击源时的测试拓扑结构42.2 测试工具本次测试用到的测试工具包括:待测防火墙一台;网络设备专业

3、测试仪表 SmartBits 6000B 一台;笔记本(或台式机)二台。测试详细配置如下:产品型号 防火墙技术类型机箱规格 防火墙软件及版本防火墙工作模式FORTINET1000AFA2ASIC防火墙 2U3.00-b0668(MR6 Patch 2)NAT 模式透明模式混合模式设备吞吐量 CPU 与存储硬件 端口 电源防火墙 2GbpsVPN 400MbpsASIC version: CP5ASIC SRAM: 64MCPU: Intel(R) Xeon(TM) CPU 3.20GHzRAM: 1009 MBCompact Flash: 122 MB /dev/hdc10 个 1000Bas

4、e-T 端口2 个千兆小包加速口2 个冗余 220V交流电源3 防火墙测试方案为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices3.1 安全功能完整性验证目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完

5、整性以及集成在防火墙中的其它辅助安全功能。53.1.1 防火墙安全管理功能的验证1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。2) 测试时间:_2008-7-23_3) 测试人员:_XXX XXX 一 4) 过程记录:测试项 测试用例 测试结果 备注本地管理 Yes(Y )No()远程命令行管理 Yes(Y )No()远程 GUI 管理 Yes(Y )No()管理地址认证 Yes(Y )No()管理方式集中控管 Yes(Y )No()集中控管需要配置 Forti manager 设备管理员分级管理 Yes(Y )No()静态口令 Yes()No()口令长度大于等

6、于 7 Yes()No()有登录尝试次数限制 Yes(Y )No()信道加密 Yes(Y )No()管理员接入安全密钥长度支持 128 位以上 Yes()No()密码至少 6位连续登陆三次失败,账户锁定 3 分钟3.1.2 防火墙组网功能验证1) 测试目的:本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。2) 测试时间:_2008-7-23_3) 测试人员:_XXX XXX 一 4) 过程记录:测试项 测试用例 测试结果 备注接口 =4 个接口 Yes(Y )No()6支持灵活的安全域划分,且安全分区与接口无关Yes(Y )No()支持子接口 Yes(Y )No()静态路由 Yes(

7、Y )No()动态路由 Yes(Y )No()组网协议支持 802.1Q VLAN 协议 Yes(Y )No()符合标准机架要求 Yes(Y )No()物理结构支持虚拟防火墙 Yes(Y )No()3.1.3 防火墙访问控制功能验证1) 测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。2) 测试时间:_2008-7-22_3) 测试人员:_XXX 钱振 4) 过程记录:步骤 检查内容 结果 备注1 查看安全分区配置 a) 支持安全分区;(Y)b) 无明确的安全分区;(Y)2 查看过滤规则菜单的配置参数c) 支持源/目的 IP 地址/端口过滤;(Y)d) 支持 TCP 状态检测过滤

8、;(Y)e) 支持 UDP 状态检测过滤;(Y)f) 支持 ICMP 协议过滤;(Y)g) 支持自定制协议超时时间()3 查看应用服务的安全过滤配置a)支持 HTTP 代理;(Y)b)支持 SMTP 代理;()c)支持 POP3 代理;()d)支持 FTP 代理; ()e) 支持 h.323 代理()7f) 支持应用代理的自动启用( )4 内容过滤支持检验 a) 支持过滤 java 组件(Y)b) 支持过滤 Activex 组件(Y)c) 支持过滤 ZIP 文件(Y)d) 支持过滤 EXE 文件(Y)在病毒检查中配置注解:验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补

9、充说明。3.1.4 日志审计及报警功能验证1) 测试目的:验证防火墙日志审计内容的完整性及报警能力。2) 测试时间:_2013-06_3) 测试人员:_xxxxxx 4) 过程记录:步骤 检查内容 结果 备注1检查日志的审计功能界面a) 带有日志查阅工具;(Y)b) 日志分级,分类存储(Y)支持向 fortiAnalyzer 或syslog 服务器上传日志2 检查登录防火墙的日志记录。c) 记录包含登录时间;(Y)d) 记录包含登录者账号信息;(Y)e) 记录包含成功/失败信息;(Y)Q 检查退出防火墙的日志记录。f) 记录包含退出时间;(Y)84 检查防火墙功能被启动的日志记录g) 记录包含

10、功能启用时间;(Y)h) 记录包含操作员标识()5 检查对防火墙安全规则进行配置的记录i) 记录包含配置时间;(Y)j) 记录包含操作员标识;(Y)k) 配置变化(相应项的增、删、改);(Y)6 检查防火墙对所监控的TCP 连接做的记录l) tcp 连接发起的时间;(Y)m) tcp 连接终止的时间;(Y)n) 源 ip 地址;(Y)o) 源端口号;(Y)p) 目的 ip 地址;(Y)q) 目的端口号;(Y)注解:1、 验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3.1.5 防火墙附加功能验证1) 测试目的:本项测试通过查看相应配置项,明确防火墙提供的其他附

11、加功能。2) 测试时间:_2013-06_3) 测试人员:_XXX XXX 一 4) 过程记录:步骤 检查内容 结果 备注1 查看地址配置 a) 支持桥接模式;(Y)b) 支持 IP/MAC 绑定;(Y)2 查看 DNS 的配置菜单c) 支持 DNS 解析;(Y) DNS 代理3 查看路由配置 d) 支持虚拟路由器(Y)e) 支持源地址路由()f) 支持目的地址路由()94 查看 NAT 配置 g) 支持 MIP;(Y)h) 支持 DIP;(Y)i) 支持 VIP;(Y)5 查看 VPN 配置 j) 支持 DES 加密IPSec(Y)k) 支持 3DES 加密IPSec(Y)l) 支持 AES

12、 加密;(Y)m) 支持 Site-to-Site VPN;( Y)6 深度检测 n) 支持深度检测(DI)防火墙(Y)预定义检测规则7 DoS/DDoS 防护 o) 支持 Synflood 防护(Y)p) 支持 udpflood 防护(Y)q) 支持 icmpflood 防护(Y)r) 支持 windows winnuke attack 防护(Y)s) 支持 ping of death 防护(Y)t) 支持 Teardrop 防护(Y)u) 支持 Land Attack 防护(Y)注解:1、验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3.2 防火墙基本性能

13、验证性能测试部分主要利用 SmartBits6000B 专业测试仪,依照 RFC2544 定义的规范,对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中,需要综合验证防火墙桥接模式的性能表现。拓扑图采用以下方案:10待测防火墙S m a r t B i t 6 0 0 0 B3.2.1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同

14、时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。1) 测试时间:_2013-06_2) 测试人员:_XXX XXX 一 3) 测试结果:(单条规则, 2GE, 1G 双向流量测试 小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518桥接模式双向零丢包率吞吐率(%)100 100 100 100 100 100 100(单条规则, 2GE, 1G 双向流量测试 无小包加速结果)帧长(字节) 64 128 256 512 1

15、024 1280 1518桥接模式双向零丢包率吞吐率(%)14.48 25.87 45.10 87.50 100 100 1003.2.2 延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试 100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转发延迟(一条规则,2 个 GE 口,1Gbps 双向流量)111) 测试时间:_2013-06_2) 测试人员:_XXX XXX

16、 一 3) 测试结果:(单条规则, 2GE, 1G 双向流量测试 小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 3.8 4.6 6.2 8.9 12.4 14.7 16.8包转发延迟(us)S&F 3.2 3.6 4.2 4.9 4.2 4.5 4.7(单条规则, 2GE, 1G 双向流量测试 无小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 40.2 39.9 49.7 55.6 83.1 90.9 101.2包转发延迟(us)S&F 39.7 38.9 47.7 5

17、1.6 75 80.7 89.13.3 压力仿真测试考虑到防火墙在实际应用中的复杂性,包括大量的控制规则设置、混杂业务流、多并发 Session 以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此,在本次的测试方案中,我们需要进行压力仿真测试,模拟实际应用的复杂度。考虑到测试时间及测试环境的限制,压力测试选取以下最为重要的几点进行,本次测试进行防火墙桥接模式的验证,拓扑图采取以下方案:待测防火墙S m a r t B i t 6 0 0 0 B防火墙部署在实际网络中,较多的安全控制规则的设置是影响性能发挥的一个重要原因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以

18、100 条控制规则压力为前提进行,性能考虑吞吐量和延迟和丢包率。1) 测试时间:_2013-_2) 测试人员:_XXX XXX 一 123) 测试结果:单机吞吐率(100 条规则,2 个 GE 口, 1Gbps 双向流量测试 小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518桥接模式双向零丢包率,压力吞吐率(%)100 100 100 100 100 100 100单机吞吐率(100 条规则,2 个 GE 口, 1Gbps 双向流量测试 无小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518桥接模式双向零丢包率,压力吞吐率(

19、%)14.48 25.87 45.10 79.17 100 100 100单机转发延迟(100 条规则,2 个 GE 口, 1Gbps 双向流量 小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 3.7 4.9 6.3 8.4 12.7 15.4 17.0包转发延迟(us)S&F 3.2 3.9 4.3 4.3 4.6 5.2 4.9单机转发延迟(100 条规则,2 个 GE 口, 1Gbps 双向流量 无小包加速结果)帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 42.3 37.1

20、36.7 49.7 78.2 93 102包转发延迟(us)S&F 41.8 36.1 34.6 45.7 70.1 82.8 89.83.4 抗攻击能力测试采用以下拓扑进行测试,攻击源使用 UDP flood、ICMP flood、SYN flood 等多种flood 攻击和 TCP 网关协议攻击通过防火墙对 PC 进行攻击,攻击流量约 80Mbps。13待测防火墙S m a r t B i t 6 0 0 0 BP C攻击源1) 测试时间:_2013_2) 测试人员:_XXX XXX 一 3) 测试结果:Netscreen SSG550单条规则, 1G 双向流量测试,在没有受到防火墙保护条

21、件下:a) 防火墙内存可用率为 84%,系统占用 CPU 率 9%,总 session 数为接近 214435 条。b) 单机吞吐率:帧长(字节) 64 128 256 512 1024 1280 1518桥接模式双向零丢包率,压力吞吐率(%)6.95 10.05 3.13 3.76 8.76 6.88 12.50c) 单机转发延迟:吞吐量过低,延时测试失败1 条规则, 1G 双向流量测试,在受到防火墙保护条件下:a) 防火墙内存可用率为 84%,系统占用 CPU 率 9%,总 session 数 106 条。b) 单机吞吐率:小包加速帧长(字节) 64 128 256 512 1024 12

22、80 1518桥接模式双向零丢包率,压力吞吐率100 100 100 100 100 100 10014(%)无小包加速帧长(字节) 64 128 256 512 1024 1280 1518桥接模式双向零丢包率,压力吞吐率(%)6.95 11.32 19.44 35.66 65.58 80.05 87.49c) 单机转发延迟:小包加速帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 3.8 4.7 6.3 8.6 12.7 15.6 16.9包转发延迟(us)S&F 3.2 3.7 4.2 4.6 4.5 5.4 4.7无小包加速帧长(字节) 64 128 256 512 1024 1280 1518包转发延迟(us)CT 57.3 314 435 646.9 83.5 265 138.7包转发延迟(us)S&F 56.8 313 433 642.9 75.4 254.8 126.6

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报