3.1.3 防火墙访问控制功能验证
1) 测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。 2) 测试时间:_2008-7-22____ 3) 测试人员:___XXX 钱振 4) 过程记录:
步骤 1 2 检查内容 查看安全分区配置 查看过滤规则菜单的配置参数 结果 备注 a) 支持安全分区;(Y) b) 无明确的安全分区;(Y) c) 支持源/目的IP地址/端口 过滤;(Y) d) 支持TCP状态检测过滤;(Y) e) 支持UDP状态检测过滤;(Y) f) 支持ICMP协议过滤;(Y) g) 支持自定制协议超时时间() a)支持HTTP代理;(Y) b)支持SMTP代理;() c)支持POP3 代理;() d)支持FTP代理; () e) 支持h.323代理() f) 支持应用代理的自动启用( ) 3 查看应用服务的安全过滤配置 4 内容过滤支持检验 a) 支持过滤java 组件(Y) 在病毒检查中配置 b) 支持过滤Activex组件(Y) c) 支持过滤ZIP文件(Y) d) 支持过滤EXE文件(Y)
注解:
验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。
3.1.4 日志审计及报警功能验证
1) 测试目的:验证防火墙日志审计内容的完整性及报警能力。 2) 测试时间:_2008-7-23____ 3) 测试人员:___XXX XXX一 13
4) 过程记录: 步骤 1 2 检查内容 检查日志的审计功能界面 检查登录防火墙的日志记录。 结果 备注 a) 带有日志查阅工具;(Y) 支持向fortiAnalyzer或b) 日志分级,分类存储(Y) syslog服务器上传日志 c) 记录包含登录时间;(Y) d) 记录包含登录者账号信 息;(Y) e) 记录包含成功/失败信 息;(Y) f) 记录包含退出时间;(Y) Q 检查退出防火墙的日志记录。 检查防火墙功能被启动的日志记录 检查对防火墙安全规则进行配置的记录 4 g) 记录包含功能启用时间; (Y) h) 记录包含操作员标识() i) 记录包含配置时间;(Y) j) 记录包含操作员标识;(Y) k) 配置变化(相应项的增、删、改);(Y) l) tcp连接发起的时间;(Y) m) tcp连接终止的时间;(Y) n) 源ip地址;(Y) o) 源端口号;(Y) p) 目的ip地址;(Y) q) 目的端口号;(Y) 5 6 检查防火墙对所监控的TCP连接做的记录 注解:
1、 验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说
明。
3.1.5 防火墙附加功能验证
1) 测试目的:本项测试通过查看相应配置项,明确防火墙提供的其他附加功能。
13
2) 测试时间:_2008-7-23____ 3) 测试人员:___XXX XXX一 4) 过程记录: 步骤 1 2 3 检查内容 查看地址配置 查看DNS的配置菜单 查看路由配置 结果 备注 a) 支持桥接模式;(Y) b) 支持IP/MAC绑定;(Y) c) 支持DNS解析;(Y) d) 支持虚拟路由器(Y) e) 支持源地址路由() f) 支持目的地址路由() g) 支持MIP;(Y) h) 支持DIP;(Y) i) 支持VIP;(Y) DNS代理 4 查看NAT配置 5 查看VPN配置 j) 支持DES加密IPSec(Y) k) 支持3DES加密IPSec(Y) l) 支持AES加密;(Y) m) 支持Site-to-Site VPN;(Y) n) 支持深度检测(DI)防火墙(Y) 预定义检测规则 6 7 深度检测 DoS/DDoS防护 o) 支持Synflood防护(Y) p) 支持 udpflood防护(Y) q) 支持 icmpflood防护(Y) r) 支持windows winnuke attack 防护(Y) s) 支持ping of death 防护(Y) t) 支持 Teardrop 防护(Y) u) 支持 Land Attack防护(Y) 注解:
1、验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。
3.2 防火墙基本性能验证
性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范,对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中,需要综合验证防火墙
13
桥接模式的性能表现。拓扑图采用以下方案:
待测防火墙SmartBit 6000B
3.2.1 吞吐量测试
这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。
更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。
1) 测试时间:_2008-7-23____ 2) 测试人员:___XXX XXX一 3) 测试结果:
(单条规则, 2GE, 1G双向流量测试 小包加速结果) 帧长(字节) 64 128 100 256 100 512 100 1024 100 1280 100 1518 100 桥接模式双向零100 丢包率吞吐率(%) (单条规则, 2GE, 1G双向流量测试 无小包加速结果) 帧长(字节) 64 128 25.87 256 45.10 512 87.50 1024 100 1280 100 1518 100 桥接模式双向零14.48 丢包率吞吐率(%)
3.2.2 延迟测试
延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。
延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。
所有帧长的延迟测试100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转
13
发延迟(一条规则,2个GE口,1Gbps双向流量)
1) 测试时间:_2008-7-23____ 2) 测试人员:___XXX XXX一 3) 测试结果:
(单条规则, 2GE, 1G双向流量测试 小包加速结果) 帧长(字节) 包转发延迟(us)CT 包转发延迟(us)S&F 64 3.8 3.2 128 4.6 3.6 256 6.2 4.2 512 8.9 4.9 1024 12.4 4.2 1280 14.7 4.5 1518 16.8 4.7 (单条规则, 2GE, 1G双向流量测试 无小包加速结果) 帧长(字节) 包转发延迟(us)CT 包转发延迟(us)S&F 64 40.2 39.7 128 39.9 38.9 256 49.7 47.7 512 55.6 51.6 1024 83.1 75 1280 90.9 80.7 1518 101.2 89.1 3.3 压力仿真测试
考虑到防火墙在实际应用中的复杂性,包括大量的控制规则设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此,在本次的测试方案中,我们需要进行压力仿真测试,模拟实际应用的复杂度。考虑到测试时间及测试环境的限制,压力测试选取以下最为重要的几点进行,本次测试进行防火墙桥接模式的验证,拓扑图采取以下方案:
待测防火墙SmartBit 6000B防火墙部署在实际网络中,较多的安全控制规则的设置是影响性能发挥的一个重要原因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100条控制规则压力为前提进行,性能考虑吞吐量和延迟和丢包率。
1) 测试时间:_2008-7-23____
13
天融信防火墙测试报告.doc
