防火墙测试报告.docx

《防火墙测试报告.docx》由会员分享，可在线阅读，更多相关《防火墙测试报告.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙测试报告2013. 06.1）测试时间：2013-062）测试人员： XXX XXX 一3）测试结果：（单条规则，2GE, 1G双向流量测试小包加速结果）帧长（字节）64128256512102412801518包转发延迟（us）CT包转发延迟（us） S&F（单条规则，2GE, 1G双向流量测试无小包加速结果）帧长（字节）64128256512102412801518包转发延迟（us）CT包转发延迟（us）S&F75考虑到防火墙在实际应用中的复杂性，包括大量的控制规则设置、混杂业务流、多并发 Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此，在本次的测试 方案中

2、，我们需要进行压力仿真测试，模拟实际应用的复杂度。考虑到测试时间及测试环境 的限制，压力测试选取以下最为重要的几点进行，本次测试进行防火墙桥接模式的验证，拓 扑图采取以下方案：待测防火墙SmartBit 6000B防火墙部署在实际网络中，较多的安全控制规则的设置是影响性能发挥的一个重要原 因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100条控制规 则压力为前提进行，性能考虑吞吐量和延迟和丢包率。1）测试时间：2013-2）测试人员： XXX XXX-3）测试结果:单机吞吐率（100条规则，2个GE 口， IGbps双向流量测试小包加速结果）帧长（字节）641282565

3、12102412801518桥接模式双向零丢包率，压力吞吐率（）100100100100100100100单机吞吐率（100条规则，2个GE 口， IGbps双向流量测试无小包加速结果）帧长（字节）64128256512102412801518桥接模式双向零丢包率，压力吞吐率（）100100100单机转发延迟（100条规则，2个GE 口， IGbps双向流量 小包加速结果）帧长（字节）64128256512102412801518包转发延迟（us）CT包转发延迟（us）S&F单机转发延迟（100条规则，2个GE 口， IGbps双向流量无小包加速结果）帧长（字节）641282565121024

4、12801518包转发延迟（us）CT93102包转发延迟（us）S&F抗攻击能力测试采用以下拓扑进行测试，攻击源使用UDP flood、ICMP flood、SYN flood等多种flood 攻击和TCP网关协议攻击通过防火墙对PC进行攻击，攻击流量约80Mbpso1）测试时间：20132）测试人员：XXX XXX 一3）测试结果：Netscreen SSG550单条规则，1G双向流量测试，在没有受到防火墙保护条件下：a）防火墙内存可用率为84%,系统占用CPU率9%,总session数为接近214435条。b）单机吞吐率：帧字节64128256512102412801518桥接模式双向零

5、丢包率，压力吞吐率（%）c）单机转发延迟:吞吐量过低，延时测试失败1条规则，1G双向流量测试，在受到防火墙保护条件下：a）防火墙内存可用率为84%,系统占用CPU率9%,总session数106条。b）单机吞吐率：小包加速帧长（字节）64128256512102412801518桥接模式双向零丢包率，压力吞吐率（%）100100100100100100100无小包加速帧长（字节）64128256512102412801518桥接模式双向零丢包率，压力吞吐率（）c）单机转发延迟:小包加速帧长（字节）64128256512102412801518包转发延迟（us）CT包转发延迟（us）S&F无小包

6、加速帧长（字节）64128256512102412801518包转发延迟（us）CT314435265包转发延迟（us）S&F313433目录1 测试目的错误!未定义书签。2 测试环境与工具错误!未定义书签。测试拓扑错误!未定义书签。测试工具错误!未定义书签。3 防火墙测试方案错误!未定义书签。安全功能完整性验证错误!未定义书签。防火墙安全管理功能的验证错误!未定义书签。防火墙组网功能验证错误!未定义书签。防火墙访问控制功能验证错误!未定义书签。日志审计及报警功能验证错误!未定义书签。防火墙附加功能验证错误!未定义书签。防火墙基本性能验证错误!未定义书签。吞吐量测试错误!未定义书签。延迟测试错

7、误!未定义书签。压力仿真测试错误!未定义书签。抗攻击能力测试错误!未定义书签。性能测试总结错误!未定义书签。1测试目的防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一 个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的 服务和访问的审计和控制。本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同 项目的说明。测试拓扑本次测试采用以下的拓扑配置：没有攻击源时的测试拓扑结构有攻击源时的测试拓扑结构测试工具本次测试用到的测试工具

8、包括：待测防火墙一台；网络设备专业测试仪表SmartBits 6000B 一台;笔记本（或台式机）二台。测试详细配置如下:产品型号防火墙技术 类型机箱规格防火墙软件及 版本防火墙工作模 式F0RTINET 1000AFA2ASIC 防火墙2U(MR6 Patch 2)NAT模式 透明模式 混合模式设备吞吐量CPU与存储 硬件端口电源防火墙2Gbps VPN 400MbpsASIC version: CP5 ASIC SRAM: 64M CPU: Intel(R) Xeon (TM) CPU RAM: 1009 MB Compact Flash: 122 MB /dev/hdc10个 lOOOB

9、ase-T端口2个千兆小包加 速口2个冗余220V 交流电源3防火墙测试方案为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分： 基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范： GB/T 18020-1999信息技术应用级防火墙安全技术要求GB/T 18019-1999信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices安全功能完整性验证目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安 全功能组成的完整性以及

10、集成在防火墙中的其它辅助安全功能。防火墙安全管理功能的验证1）测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。2) 测试时间：2008-7-233) 测试人员：XXX XXX 一4)过程记录：测试项测试用例测试结果备注管理方式本地管理Yes (Y) No ()集中控管需 要配置 Forti manager 设 备远程命令行管理Yes (Y) No ()远程GUI管理Yes (Y) No ()管理地址认证Yes (Y) No ()集中控管Yes (Y) No ()管理员接 入安全管理员分级管理Yes (Y) No ()密码至少6 位连续登陆三 次失败，账户 锁定3分钟静态

11、口令Yes () No ()口令长度大于等于7Yes () No ()有登录尝试次数限制Yes (Y) No ()信道加密Yes (Y) No ()密钥长度支持128位以上Yes () No ()防火墙组网功能验证1)测试目的：本项测试通过查看相应配置项，验证防火墙参与网络组织的能力。2) 测试时间：2008-7-233) 测试人员：XXX XXX 一4)过程记录：测试项测试用例测试结果备注接口=4个接口Yes (Y) No ()支持灵活的安全域划分，且安全分区与接 口无关Yes (Y) No ()支持子接口Yes (Y) No ()组网协议静态路由Yes (Y) No ()动态路由Yes (

12、Y) No ()支持VLAN协议Yes (Y) No ()物理结构符合标准机架要求Yes (Y) No ()支持虚拟防火墙Yes (Y) No ()防火墙访问控制功能验证1)测试目的：本项测试用于明确防火墙安全规则配置的合理性和完整性。2） 测试时间：2008-7-223）测试人员： XXX 钱振4）过程记录：步骤检查内容结果备注1查看安全分区配置a）支持安全分区；（Y）b）无明确的安全分区；（Y）2查看过滤规则菜单 的配置参数c）支持源/目的IP地址/端 口过滤；（Y）d）支持TCP状态检测过滤； （Y）e）支持UDP状态检测过滤； （Y）f）支持ICMP协议过滤；（Y） g）支持自定制协议

13、超时时 间O3查看应用服务的安 全过滤配置a）支持HTTP代理；（Y）b）支持SMTP代理；（）c）支持POP3代理；（）d）支持FTP代理;（）e）支持代理（）f）支持应用代理的自动启用（）4内容过滤支持检验a）支持过滤java组件（Y） b）支持过滤ActiveX组件（Y） c）支持过滤ZIP文件（Y） d）支持过滤EXE文件（Y）在病毒检查中配置注解：验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。日志审计及报警功能验证1）测试目的：验证防火墙日志审计内容的完整性及报警能力。2） 测试时间：2013-063） 测试人员： xxxxxx4）过程记录：步 骤检

14、查内容结果备注1检查日志的 审计功能界 面a）带有日志查阅工具；（Y） b）日志分级，分类存储（Y）支持向 fortiAnalyzer 或 syslog服务器上传日志2检查登录防 火墙的日志 记录。c）记录包含登录时间；（Y） d）记录包含登录者账号信 息；（Y）e）记录包含成功/失败信 息；（Y）Q检查退出防 火墙的日志 记录。f）记录包含退出时间；（Y）4检查防火墙 功能被启动 的日志记录g）记录包含功能启用时间；（Y）h）记录包含操作员标识（）5检查对防火 墙安全规则 进行配置的 记录i）记录包含配置时间；（Y） j）记录包含操作员标识；（Y）k）配置变化（相应项的增、 删、改）；（Y）

15、6检查防火墙 对所监控的 TCP连接做的 记录l） tcp连接发起的时间；（Y）m） tcp连接终止的时间； （Y）n） 源ip地址；（Y）o） 源端口号；（Y）P）目的ip地址；（Y） q）目的端口号；（Y）注解：1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说 明。防火墙附加功能验证1）测试目的：本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。2） 测试时间：2013-063） 测试人员： XXX XXX 一4）过程记录：步骤检查内容结果备注1查看地址配置a）支持桥接模式；（Y）b）支持支/MAC绑定;（Y）2查看DNS的配置菜 单c）支持DNS解

16、析；（Y）DNS代理3查看路由配置d）支持虚拟路由器（Y） e）支持源地址路由（） f）支持目的地址路由（）4查看NAT配置g）支持支P;（Y） h）支持支P； （Y） i）支持支P； （Y）5查看VPN配置j)支持 DES 加密 IPSec (Y) k)支持 3DES 加密 IPSec (Y) 1)支持AES加密；(Y)m)支持 Site-to-Site VPN； (Y)6深度检测n）支持深度检测（DI）防火墙 （Y）预定义检测规则7DoS/DDoS 防护o)支持 Synflood 防护(Y) p)支持 udpflood 防护(Y) q)支持 icmpflood 防护(Y) r) 支持 wi

17、ndows winnuke attack 防护(Y)s)支持 ping of death 防护 (Y)t)支持 Teardrop 防护(Y) u)支持Land Attack防护 (Y)注解：1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说 明。防火墙基本性能验证性能测试部分主要利用SmartBits6000B专业测试仪，依照RFC2544定义的规范，对防 火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中，需要综合验证防火墙 桥接模式的性能表现。拓扑图采用以下方案：待测防火墙SmartBit 6000B吞吐量测试这项测试用来确定防火墙在接收和发送数据包

18、而没有丢失情况下的最大数据传输速率, 是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映的是防火墙的 数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟, 所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙 设备在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火 墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。1）测试时间：2013-062）测试人员：XXX XXX 一3）测试结果：（单条规则，2GE, 1G双向流量测试小包加速结果）帧长（字节）6412825

19、6512102412801518桥接模式双向零 丢包率吞吐率（%）100100100100100100100（单条规则，2GE, 1G双向流量测试无小包加速结果）帧长（字节）64128256512102412801518桥接模式双向零 丢包率吞吐率（给100100100延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个 比特从被测设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用，如网络电话、视频会议、数据库复制等应用影 响很大，因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试100%吞吐率下进行，横向比较的是存储转发的延迟结果。单机转 发延迟（一条规则，2个GE 口，IGbps双向流量）