2022年防火墙测试报告 .pdf

《2022年防火墙测试报告 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙测试报告 .pdf（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、. . 防火墙测试报告201306名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 13 页 - - - - - - - - - 2 目录1 测试目的 . 32 测试环境与工具. 32.1 测试拓扑 . 32.2 测试工具 . 43 防火墙测试方案. 43.1 安全功能完整性验证. 43.1.1 防火墙安全管理功能的验证. 53.1.2 防火墙组网功能验证. 53.1.3 防火墙访问控制功能验证. 63.1.4 日志审计及报警功能验证. 63.1.5 防火墙附加功能验证.

2、73.2 防火墙基本性能验证. 83.2.1 吞吐量测试 . 93.2.2 延迟测试 . 93.3 压力仿真测试. 10 3.4 抗攻击能力测试. 11 3.5 性能测试总结. 错误！未定义书签。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 13 页 - - - - - - - - - 3 1测试目的防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点， 通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审

3、计和控制。本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。2.1 测试拓扑本次测试采用以下的拓扑配置：待测防火墙SmartBit 6000B没有攻击源时的测试拓扑结构待测防火墙SmartBit 6000BPC攻击源有攻击源时的测试拓扑结构名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 13 页 - - - - - - - - - 4 2.2

4、测试工具本次测试用到的测试工具包括：待测防火墙一台；网络设备专业测试仪表SmartBits 6000B 一台；笔记本（或台式机）二台。测试详细配置如下：产品型号防火墙技术类型机箱规格防 火 墙 软 件 及版本防 火 墙 工 作 模式FORTINET 1000AFA2ASIC 防火墙2U 3.00-b0668 (MR6 Patch 2) NAT 模式透明模式混合模式设备吞吐量CPU 与存储硬件端口电源防火墙 2Gbps VPN 400Mbps ASIC version: CP5 ASIC SRAM: 64M CPU: Intel(R) Xeon(TM) CPU 3.20GHz RAM: 1009

5、 MB Compact Flash: 122 MB /dev/hdc10 个1000Base-T 端口2 个千兆小包加速口2 个冗余 220V交流电源3防火墙测试方案为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分：基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范：GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验

6、证目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 13 页 - - - - - - - - - 5 3.1.1 防火墙安全管理功能的验证1)测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。2)测试时间： _2008-7-23_ 3)测试人员： _XXX XXX 一4)过程记录：测试项测试用例测试结果备注管理方式本地管理Y

7、es（Y）No（）集 中 控 管需要配置Forti manager设备远程命令行管理Yes（Y）No（）远程 GUI 管理Yes（Y）No（）管理地址认证Yes（Y）No（）集中控管Yes（Y）No（）管理员接入安全管理员分级管理Yes（Y）No（）密 码 至 少6位连 续 登 陆三次失败，账户锁定 3分钟静态口令Yes（） No（）口令长度大于等于7 Yes（） No（）有登录尝试次数限制Yes（Y）No（）信道加密Yes（Y）No（）密钥长度支持128 位以上Yes（） No（）3.1.2 防火墙组网功能验证1)测试目的：本项测试通过查看相应配置项，验证防火墙参与网络组织的能力。2)测试时

8、间： _2008-7-23_ 3)测试人员： _XXX XXX 一4)过程记录：测试项测试用例测试结果备注接口=4 个接口Yes（Y）No（）支持灵活的安全域划分，且安全分区与接口无关Yes（Y）No（）支持子接口Yes（Y）No（）组网协议静态路由Yes（Y）No（）动态路由Yes（Y）No（）支持 802.1Q VLAN协议Yes（Y）No（）物理结构符合标准机架要求Yes（Y）No（）支持虚拟防火墙Yes（Y）No（）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共

9、13 页 - - - - - - - - - 6 3.1.3 防火墙访问控制功能验证1)测试目的：本项测试用于明确防火墙安全规则配置的合理性和完整性。2)测试时间： _2008-7-22_ 3)测试人员： _XXX 钱振4)过程记录：步骤检查内容结果备注1 查看安全分区配置a） 支持安全分区； （Y）b） 无明确的安全分区； （Y）2 查看过滤规则菜单的配置参数c） 支持源 /目的 IP 地址 /端口过滤；（Y）d） 支持 TCP 状态检测过滤；（ Y）e） 支持 UDP 状态检测过滤；（ Y）f） 支持ICMP协议过滤；（ Y）g） 支持自定制协议超时时间（）3 查看应用服务的安全过滤配置a

10、)支持 HTTP 代理；（Y）b)支持 SMTP 代理；（）c)支持 POP3 代理；（）d)支持 FTP 代理 ; （）e) 支持 h.323 代理（）f) 支持应用代理的自动启用（ ）4 内容过滤支持检验a) 支持过滤java 组件（ Y）b) 支持过滤Activex 组件 （Y）c) 支持过滤ZIP 文件（ Y）d) 支持过滤EXE 文件（ Y）在病毒检查中配置注解：验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.1.4 日志审计及报警功能验证1)测试目的：验证防火墙日志审计内容的完整性及报警能力。2)测试时间： _2013-06_ 3)测试人员： _

11、xxxxxx 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 13 页 - - - - - - - - - 7 4)过程记录：步骤检查内容结果备注1 检查日志的审计功能界面a） 带有日志查阅工具； （Y）b） 日志分级， 分类存储（Y）支持向 fortiAnalyzer或syslog 服务器上传日志2 检 查 登 录 防火 墙 的 日 志记录。c） 记录包含登录时间；（Y）d） 记录包含登录者账号信息；（Y）e） 记 录 包 含 成 功 / 失 败 信息；（Y）Q 检查退

12、出防火墙的日志记录。f ） 记录包含退出时间；（Y）4 检查防火墙功能被启动的日志记录g） 记录包含功能启用时间；（Y）h） 记录包含操作员标识（）5 检查对防火墙安全规则进行配置的记录i ） 记录包含配置时间；（Y）j ） 记录包含操作员标识；（Y）k） 配置变化（相应项的增、删、改）；（Y）6 检查防火墙对所监控的TCP连接做的记录l ） tcp连接发起的时间；（Y）m ） tcp连接终止的时间；（Y）n）源 ip 地址；（Y）o）源端口号；（Y）p）目的 ip 地址；（Y）q）目的端口号；（Y）注解：1、 验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3

13、.1.5 防火墙附加功能验证1)测试目的：本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 13 页 - - - - - - - - - 8 2)测试时间： _2013-06_ 3)测试人员： _XXX XXX 一4)过程记录：步骤检查内容结果备注1 查看地址配置a） 支持桥接模式； （Y）b） 支持 IP/MAC 绑定；（Y）2 查看 DNS 的配置菜单c） 支持 DNS 解析；（Y）DNS 代理3 查看路由配置d

14、） 支持虚拟路由器（Y）e） 支持源地址路由（）f） 支持目的地址路由（）4 查看 NAT 配置g） 支持 MIP ； （Y）h） 支持 DIP； （Y）i） 支持 VIP； （Y）5 查看 VPN 配置j） 支持 DES 加密 IPSec （Y）k） 支持 3DES 加密 IPSec （Y）l） 支持 AES 加密；（Y）m） 支 持Site-to-Site VPN ；（Y）6 深度检测n） 支持深度检测(DI) 防火墙（Y）预定义检测规则7 DoS/DDoS 防护o） 支持 Synflood 防护（ Y）p） 支持 udpflood 防护（ Y）q） 支持 icmpflood 防护（ Y）

15、r） 支 持windows winnuke attack 防护（ Y）s） 支持ping of death 防护（Y）t） 支持 Teardrop 防护（ Y）u） 支 持Land Attack防护（Y）注解：1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.2 防火墙基本性能验证性能测试部分主要利用SmartBits6000B 专业测试仪，依照RFC2544 定义的规范，对防火墙的吞吐量、 延迟和丢包率三项重要指标进行验证。在性能测试中， 需要综合验证防火墙名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

16、- - - - 名师精心整理 - - - - - - - 第 8 页，共 13 页 - - - - - - - - - 9 桥接模式的性能表现。拓扑图采用以下方案：待测防火墙SmartBit 6000B3.2.1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙

17、更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。1)测试时间： _2013-06_ 2)测试人员： _XXX XXX 一3)测试结果：(单条规则 , 2GE, 1G 双向流量测试小包加速结果) 帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率吞吐率(%) 100 100 100 100 100 100 100 (单条规则 , 2GE, 1G 双向流量测试无小包加速结果) 帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率吞吐率(%) 14.48 25.87

18、 45.10 87.50 100 100 100 3.2.2 延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用，如网络电话、视频会议、数据库复制等应用影响很大，因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试100%吞吐率下进行，横向比较的是存储转发的延迟结果。单机转名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 13 页 - - - - - - -

19、 - - 10 发延迟（一条规则，2 个 GE 口， 1Gbps 双向流量）1)测试时间： _2013-06_ 2)测试人员： _XXX XXX 一3)测试结果：(单条规则 , 2GE, 1G 双向流量测试小包加速结果) 帧长（字节）64 128 256 512 1024 1280 1518 包转发延迟 (us)CT 3.8 4.6 6.2 8.9 12.4 14.7 16.8 包转发延迟 (us)S&F 3.2 3.6 4.2 4.9 4.2 4.5 4.7 (单条规则 , 2GE, 1G 双向流量测试无小包加速结果) 帧长（字节）64 128 256 512 1024 1280 1518

20、包转发延迟 (us)CT 40.2 39.9 49.7 55.6 83.1 90.9 101.2 包转发延迟 (us)S&F 39.7 38.9 47.7 51.6 75 80.7 89.1 3.3 压力仿真测试考虑到防火墙在实际应用中的复杂性，包括大量的控制规则设置、混杂业务流、 多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此，在本次的测试方案中， 我们需要进行压力仿真测试，模拟实际应用的复杂度。考虑到测试时间及测试环境的限制， 压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓扑图采取以下方案：待测防火墙SmartBit 6000B防火

21、墙部署在实际网络中，较多的安全控制规则的设置是影响性能发挥的一个重要原因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100 条控制规则压力为前提进行，性能考虑吞吐量和延迟和丢包率。1)测试时间： _2013-_ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 13 页 - - - - - - - - - 11 2)测试人员： _XXX XXX 一3)测试结果：单机吞吐率（100 条规则， 2 个 GE 口，1Gbps 双向流量测试小包加速结果 ）帧

22、长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率，压力吞吐率（%）100 100 100 100 100 100 100 单机吞吐率（100 条规则， 2 个 GE 口，1Gbps 双向流量测试无小包加速结果）帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率，压力吞吐率（%）14.48 25.87 45.10 79.17 100 100 100 单机转发延迟（100 条规则， 2 个 GE 口，1Gbps 双向流量小包加速结果）帧长（字节）64 128 256 512 1024 1280 1518 包转发延迟

23、 (us)CT 3.7 4.9 6.3 8.4 12.7 15.4 17.0 包转发延迟 (us)S&F 3.2 3.9 4.3 4.3 4.6 5.2 4.9 单机转发延迟（100 条规则， 2 个 GE 口，1Gbps 双向流量无小包加速结果）帧长（字节）64 128 256 512 1024 1280 1518 包转发延迟 (us)CT 42.3 37.1 36.7 49.7 78.2 93 102 包转发延迟 (us)S&F 41.8 36.1 34.6 45.7 70.1 82.8 89.8 3.4 抗攻击能力测试采用以下拓扑进行测试，攻击源使用UDP flood 、ICMP flo

24、od 、SYN flood 等多种 flood攻击和 TCP 网关协议攻击通过防火墙对PC 进行攻击，攻击流量约80Mbps。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 13 页 - - - - - - - - - 12 待测防火墙SmartBit 6000BPC攻击源1） 测试时间： _2013_ 2） 测试人员： _XXX XXX 一3） 测试结果：Netscreen SSG550 单条规则 , 1G 双向流量测试，在没有受到防火墙保护条件下：a)防火墙内存可用

25、率为84%，系统占用CPU 率 9%，总 session 数为接近214435 条。b)单机吞吐率：帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率，压力吞吐率（%）6.95 10.05 3.13 3.76 8.76 6.88 12.50 c)单机转发延迟：吞吐量过低，延时测试失败1 条规则 , 1G 双向流量测试，在受到防火墙保护条件下：a)防火墙内存可用率为84%，系统占用CPU 率 9%，总 session数 106 条。b)单机吞吐率：小包加速帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率，压力吞

26、吐率（%）100 100 100 100 100 100 100 无小包加速名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 13 页 - - - - - - - - - 13 帧长（字节）64 128 256 512 1024 1280 1518 桥接模式双向零丢包率，压力吞吐率（%）6.95 11.32 19.44 35.66 65.58 80.05 87.49 c)单机转发延迟：小包加速帧长（字节）64 128 256 512 1024 1280 1518 包转发延

27、迟 (us)CT 3.8 4.7 6.3 8.6 12.7 15.6 16.9 包转发延迟 (us)S&F 3.2 3.7 4.2 4.6 4.5 5.4 4.7 无小包加速帧长（字节）64 128 256 512 1024 1280 1518 包转发延迟 (us)CT 57.3 314 435 646.9 83.5 265 138.7 包转发延迟 (us)S&F 56.8 313 433 642.9 75.4 254.8 126.6 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 13 页 - - - - - - - - -