最新DPtechFW1000系列防火墙系统测试方案讲解.doc

《最新DPtechFW1000系列防火墙系统测试方案讲解.doc》由会员分享，可在线阅读，更多相关《最新DPtechFW1000系列防火墙系统测试方案讲解.doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateDPtechFW1000系列防火墙系统测试方案讲解DPtechFW1000系列防火墙系统测试方案讲解DPtech FW1000测试方案杭州迪普科技有限公司2011年10月-目 录DPtech FW1000测试方案1第1章 产品介绍1第2章 测试计划22.1 测试方案22.2 测试环境22.2.1 测试环境一22.2.2 测试环境二2第3章 测试内容43.1 性能特性4

2、3.2 功能特性43.3 管理特性43.4 安全性43.5 高可靠性4第4章 测试方法及步骤54.1 性能测试54.2 FW功能测试74.3 DPI功能测试134.4 管理特性154.5 安全特性16第5章 测试总结18第1章 产品介绍目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的FW，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统FW上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数

3、据中心，此问题显得尤为严峻。为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代FWDPtech FW1000 N系列应用FW。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用FWFW1000-GE-N为例，在开启FW、FWec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。FW1000 N系列开创了应用FW的先河。基于迪普科技自主知识产权的万兆级

4、应用安全硬件处理平台和ConPlat OS安全操作系统，是目前业界性能最高的应用FW。无以伦比的高可用性、高性能和高可靠性，使得FW1000 N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用FW方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本！第2章 测试计划2.1 测试方案DPtech FW产品主要包括包过滤、NAT、静/动态路由、虚拟FW、多种VPN等几大主体功能，本文档的测试项主要以上述主体功能的测试展开；同时，测试中还涉及到限流等多种响应方式，设备的可管理性、高可靠性等诸多方面的测试，以充分展示设备的完备功能和高性能。2.2 测

5、试环境2.2.1 测试环境一图1 性能测试环境1设备或软件名称描 述数量DPtech FWFW1SmartBits测试设备性能的仪器1Switch交换机22.2.2 测试环境二图2 性能测试环境2设备或软件名称描 述数量DPtech FWFW1Avalanche/Reflector 2500性能测试仪器1第3章 测试内容3.1 性能特性FW的性能指标为吞吐量、每秒新建数、每秒并发数，性能测试部分将主要针对这几点进行测试。3.2 功能特性产品功能包括管理功能、ACL、包过滤、NAT、DPI（攻击防护，防病毒，带宽限速，URL过滤）等几大主体功能，功能测试部分将主要针对这几点进行测试。3.3 管理

6、特性为方便IT人员管理，设备提供了良好的可管理性。支持HTTPS等安全管理方式，支持Web的友好界面，简化FW的配置，方便用户操作和维护。特征库的升级支持手动和自动两种方式，用户可根据实际情况随意选择特征库的升级时间。3.4 安全性可设置管理员的权限，不同权限的管理员访问设备的功能权限不同。可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。在登录参数设置上，包括超时时间、错误登录锁定和锁定后解锁。3.5 高可靠性抗掉电保护，在设备异常掉电后，当FW恢复供电，系统的状态、相关日志和配置信息正常保存。第4章 测试方法及步骤4.1 性能测试整机转发吞吐量测试目的验证FW

7、的整机转发能力测试条件测试组网：参见图1；测试过程性能测试仪的两个端口分别与被测设备的端口A和B相连。（端口数量按照客户要求配置，进行Fullmesh网状流量测试）在FW上配置201条安全策略，前200条均为deny，最后一条为允许全部通过SmartFlow设置主要参数如下：双向UDP数据包，包长为64、128、256、1024、1518字节，时长为120秒，且不能匹配前200条策略。记录测试结果预期结果帧长64128256512102412801518吞吐量其它说明和注意事项 测试结果帧长64128256512102412801518吞吐量每秒新建连接能力测试目的验证FW每秒新建会话数能力测

8、试条件测试组网：参见图2；测试过程FW工作在NAT模式；设定avalanche测试仪模拟客户端500用户，FW nat转换地址池个数为20；采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。通过调节通信联接的建立速率，搜索FW能支持的最大的联接建立速率。分别在设置一条全允许规则和设置201 条安全控制规则的条件下，完成上述测试过程，（其中，前200条均为deny，最后一条为允许全部通过）预期结果FW每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率_ Connections/Sec201 条允许规则条件下，最大的新建连接速率 _ Connections/Sec其它说明和注意事项

9、测试结果不允许出现一例失败，否则认为数据无效测试结果FW每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率 _Connections/Sec201 条允许规则条件下，最大的新建连接速率 _Connections/Sec最大并发会话数测试目的验证FW设备的最大并发会话数测试条件测试组网：参见图2；测试过程FW工作在NAT模式；设定avalanche测试仪模拟客户端500用户，FWnat转换地址池个数为20；采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。设定通信联接的建立速率为10000 conn/s，搜索FW能支持的最大的并发会话处理能力。分别在设置一条全允许规则和设置1001

10、 条安全控制规则的条件下，完成上述测试过程，（其中，前1000条均为deny，最后一条为允许全部通过）预期结果FW每秒新建会话能力：一条全允许规则条件下，最大并发会话数_ Connections1001 条允许规则条件下，最大并发会话数 _ Connections其它说明和注意事项 测试结果不允许出现一例失败，否则认为数据无效测试结果FW每秒新建会话能力：一条全允许规则条件下，最大并发会话数_Connections1001 条允许规则条件下，最大并发会话数_ConnectionsVPN加密隧道的吞吐量测试目的验证FW VPN加密隧道的吞吐量测试条件测试过程在两台FW的外区接口之间建立1 条VP

11、N 加密隧道，把仪表分别与两台FW 的内区接口相连；发送双向的UDP 测试数据流，搜索接口的吞吐量，采样时长设置为120 秒；分别对帧长为64、128、256、512、1024、1280、1518 字节的测试帧，重复上述测试过程。预期结果帧长64128256512102412801518吞吐量其它说明和注意事项 测试结果帧长64128256512102412801518吞吐量4.2 FW功能测试管理功能测试测试目的验证FW 设备的设备管理功能测试条件测试过程PC机器与FW 相连；配置FW 为用户名/密码管理或软证书管理方式；预期结果PC机通过两种方式都可管理设备其它说明和注意事项 测试结果端口

12、映射测试目的验证FW 设备的端口映射功能测试条件测试过程PC01模拟客户端，PC02模拟服务器端（安装有FTP或HTTP服务器端软件）；PC02上将FTP服务器端口改为8000，FW 上配置端口映射；PC01 ftpPC02的ip：8000端口，可正常访问PC02的ftp服务；预期结果PC01可以正常访问PC02的FTP服务其它说明和注意事项 测试结果ACL测试目的验证FW 设备的ACL功能测试条件测试过程FW 连接两PC机器的两端口加入不同安全域，配置面向对象ACL（域间策略）阻止PC01与PC02互访或根据客户实际要求限制对某些IP地址或端口的访问；测试PC01与PC02的互访功能是否符合

13、既定域间策略；预期结果PC01与PC02间互访符合既定域间ACL策略其它说明和注意事项 Pc 1 为untrust, PC2 为 DMZ，允许20.0.0.2 可以访问PC1 ，不允许20.0.0.3访问PC2 ，PING，和HTTP测试结果允许20.0.0.2 可以访问PC1 ，不允许20.0.0.3访问PC2包过滤测试目的验证FW 设备的包过滤功能测试条件测试过程FW 开启包过滤功能，FW 配置包过滤策略；PC01访问PC02；观察FW 设备能否按照既定的包过滤策略访问；预期结果FW 能够正常按照既定包过滤策略进行互访其它说明和注意事项 1 允许ping http 2 阻断 FTP 3 允

14、许FTP 4 允许FTP get ,阻断FTP putPc 1 为untrust, PC2 为 DMZ测试结果4没有阻断FTP put ，因为FTP GET和PUT 在检测的是时候是采用通用的同样的5元组，source ip ,dst ip.source port ,dst ip ,propole ,GET 和PUT 所用的一样的，检测线条太粗，只能采用深度检测，检测关键字，识别上传还是下载NAT测试目的验证FW 设备的静态地址转换功能测试条件测试过程PC01模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01、PC02处于不同网段；FW 配置静态一对一地址

15、静态地址转换功能；PC01访问PC02的FTP服务，在PC02端抓包；PC01可正常访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为FW 上所配置的静态映射地址；预期结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其 服务所用源地址为FW 上预先配置的静态映射地址其它说明和注意事项 Pc-01为trust,pc-02为untrust，PC02 网关不指向20.0.0.1测试结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其 服务所用源地址为FW 上预先配置的静态映射地址动态地址转换测试目的验证

16、FW设备的动态地址访问功能测试条件测试过程PC01模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01、PC02处于不同网段；FW 配置动态地址转换功能；PC01访问PC02的FTP服务，在PC02端抓包；PC01可正常访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为FW 上所配置的地址池中的地址；预期结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其 服务所用源地址为FW 上预先配置的地址池中的地址其它说明和注意事项 接口配置同t06-01 ，先进行EASY IP的方式进行NAT转换，然后

17、采用PAT，NO-PAT 测试结果内部服务器测试目的验证FW 设备的内部服务器功能测试条件测试过程PC01模拟内网主机，PC02模拟外外网主机，PC01、PC02处于不同网段；FW 配置内部服务器功能；PC01开启FTP服务，PC02访问FW 外网口地址进而可以访问PC01的FTP服务；PC02可以正常访问PC01的FTP服务预期结果PC02可以正常访问PC01的FTP服务其它说明和注意事项 接口配置同t06-01,先是在PC-02上不指定网关到G0/2上，需要配置静态NAT，才能够访问内部服务器，然后在PC-O2指定网关到G0/2上，就通过以上配置外部网络可访问内部的服务器 测试结果SNMP

18、测试目的验证FW 设备的SNMP功能测试条件测试过程PC与FW 一接口向连，PC装有MIB Browser软件；FW 配置SNMP，PC机通过MIB Browser与FW 连接；通过MIB Browser软件查找相应MIB项；预期结果通过客户端PC安装的MIB Browser软件查找相应 MIB项其它说明和注意事项 测试结果SynFlood测试目的验证FW 设备的抵御SynFlood功能测试条件测试过程FW 开启SynFlood攻击防范功能；使用测试仪器模拟进行SynFlood攻击，攻击FW 内网区域的PC；观察FW 设备能否对SynFlood攻击进行防御，并在PC上抓包进行验证预期结果FW

19、能够正常抵御SynFlood攻击其它说明和注意事项 测试结果RIPv1/v2测试目的验证FW 对RIP协议的支持测试条件测试过程PC1、PC2的网关分别指向FW1和FW2。在FW1和FW2上面配置RIP动态路由,并进行发布。一段时间后在FW1和FW2上分别查看RIP路由学习情况，并从PC1 ping PC2。 预期结果FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项 测试结果OSPF测试目的验证FW 对OSPF协议的支持测试条件测试过程PC1、PC2的网关分别指向FW1和FW2。在FW1和FW2上面配置OSPF动态路由,并进行发布。一段时间后在FW1和FW2上分别查看OSPF路由学

20、习情况，并从PC1 ping PC2。 预期结果FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项 测试结果BGP测试目的验证FW 对BGP协议的支持测试条件测试过程PC1、PC2的网关分别指向FW1和FW2。在FW1和FW2上面配置BGP动态路由,并进行发布。一段时间后在FW1和FW2上分别查看BGP路由学习情况，并从PC1 ping PC2。 预期结果FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项 测试结果虚拟FW功能测试目的验证虚拟FW功能测试条件测试过程在上面FW 组网中，内网的服务器划分为三个区域(area1、area2、area3)，并且这三个区域的网络地址

21、完全重叠，3个服务器的地址均为192.168.1.2，后分别接入FW 的内网接口上，FW 上对应的直连地址为192.168.1.1在FW 上进行虚拟FW 的相关配置，模拟出3个独立的FW 分别把内网区域3个服务器映射为不同的公网IP。然后从外网区域访问分别3个 服务器。针对内网区域3个服务器配置不同的安全控制策略，然后再分别从外网区域访问分别3个 服务器。预期结果步骤2，从外网区域都能够同时正常访问3个服务器。步骤3，从其他区域访问3个服务器时，会受到针对每个服务器配置的安全策略的控制。其它说明和注意事项 测试结果4.3 DPI功能测试URL过滤功能测试测试目的验证URL过滤功能测试条件测试过

22、程使用PC机访问被过滤的URL站点预期结果可以查看到相关的阻断日志其它说明和注意事项 无测试结果带宽管理功能测试测试目的验证带宽管理功能测试条件测试过程使用PC在线观看电影，使用迅雷下载限速。预期结果可以带宽被限制其它说明和注意事项 无测试结果4.4 管理特性丰富的管理方式测试目的验证设备的管理方式测试条件1、测试组网，参见图12、管理台用串口和设备相连，管理口用网线和设备管理口相连，且IP地址属同一网段测试过程1、FW支持Web操作（http / https，端口可自定义）、Telnet、SSH、串口管理2、用上述方式管理设备，得到预期结果1预期结果1、各种管理方式均支持其它说明和注意事项

23、无测试结果手动升级特征库测试目的验证手动升级特征库测试条件1、组网，参见图12、设备中有该特征库的License3、有要升级的特征库文件测试过程1、在web上导入该特征库2、点确定按钮，升级最新的特征库3、得到预期结果1预期结果1、特征库升级成功其它说明和注意事项 无测试结果设备状态检测测试目的验证FW WEB界面查看设备CPU，内存使用率测试条件1、组网，参见图1测试过程1、B界面查看设备的CPU和内存使用率2、预期结果1预期结果1、可查看设备的CPU、内存使用率其它说明和注意事项 无测试结果4.5 安全特性用户登陆锁定的安全性测试目的用户登陆锁定的安全性测试条件1、测试组网，参见图1测试过

24、程1、在web上添加一个用户2、设置错误登陆的尝试次数为3次3、该用户用错误的密码尝试登陆4次4、得到预期结果1预期结果1、通过管理员可看到用户状态为“锁定”其它说明和注意事项 无测试结果用户超时退出的安全性测试目的用户超时退出的安全性测试条件1、测试组网，参见图1测试过程1、在web上添加用户2、设置超时时间为15分钟3、用户成功登陆web后，15分钟后再点击页面4、得到预期结果1预期结果1、web页面提示用户超时，返回登陆页面其它说明和注意事项 无测试结果用户权限级别的安全性测试目的用户权限级别的安全性测试条件1、测试组网，参见图1测试过程1、添加用户，权限为系统配置，并用此用户登录，得到

25、预期结果12、添加用户，权限为业务配置，并用此用户登录，得到预期结果23、添加用户，权限为系统日志管理，并用此用户登录，得到预期结果34、添加用户，权限为操作日志管理，并用此用户登录，得到预期结果45、添加用户，权限为业务日志管理，并用此用户登录，得到预期结果56、添加用户，权限为系统配置、业务配置、系统日志管理、操作日志管理、业务日志管理，并用此用户登录，得到预期结果6预期结果1、用户仅可进行系统配置2、用户仅可进行业务配置3、用户仅可进行系统日志管理4、用户仅可进行操作日志管理5、用户仅可进行业务日志管理6、用户可进行系统配置、业务配置、系统日志管理、操作日志管理、业务日志管理其它说明和注意事项 无测试结果抗掉电测试测试目的测试掉电这一异常事件对FW的影响测试条件1、测试组网，参见图12、FW产品运行期间，产生了相应的日志测试过程1、对工作中的FW实施掉电操作2、对掉电的FW恢复供电，检查系统的状态、相关日志和配置信息3、得到预期结果1预期结果1、之前的系统状态、相关日志和配置信息仍保留其它说明和注意事项 无测试结果第5章 测试总结测试时间 年 月 日测试人员（签字）