防火墻測試報告

1、XX公司防火墻測試報告設(shè)備名稱： 設(shè)備型號：受測單位： 測試類別：委托測試測試依據(jù)： 國家標(biāo)準(zhǔn) 行業(yè)標(biāo)準(zhǔn) 企業(yè)標(biāo)準(zhǔn) 技術(shù)要求報告日期：2012年4月 日 公章公安部第一研究所信息安全等級保護(hù)測評中心測試報告說明1、測試報告無“公安部第一研究所信息安全等級保護(hù)測評中心”公章無效。2、測試報告無編制、審核、批準(zhǔn)人簽字無效。3、測試報告不得涂改和部分復(fù)印。4、對測試報告有異議，應(yīng)于收到報告之日起十五日內(nèi)向測評中心提出申訴，逾期不予受理。5、測試結(jié)果僅對被檢樣品有效。共 7頁 第2頁 公安部第一研究所信息安全等級保護(hù)測評中心防火墻測試報告設(shè)備名稱委托單位測試單位公安部第一研究所信息安全等級保護(hù)測評中心

2、委托單位通信資料地址郵政編碼電話聯(lián)系人測試地點(diǎn)公安部第一研究所信息安全等級保護(hù)測評中心測試內(nèi)容1. 2. 3. 測試日期2012年3月27日公安部第一研究所信息安全等級保護(hù)測評中心防火墻測試報告測試結(jié)果受XX公司委托，公安部第一研究所信息安全等級保護(hù)測評中心于2012年3月27日對XX公司的防火墻（型號：）進(jìn)行了委托測試。根據(jù)測試內(nèi)容，對受測設(shè)備的測試結(jié)果如下：1、在數(shù)據(jù)吞吐量測試中，分別對雙路光纖通道（理論性能20Gbps）與四路光纖通道（理論性能40Gbps）2種條件下的吞吐性能進(jìn)行了測試，共使用4種測試用例（64byte/256byte/512byte/1518byte UDP數(shù)據(jù)包），

3、受測設(shè)備吞吐量在兩種測試條件下分別達(dá)到20Gbps與40Gbps；2、在最大并發(fā)連接數(shù)測試中，受測設(shè)備在測試策略限定的時間段內(nèi)，最大并發(fā)連接數(shù)上升并維持在3000000；3、在單位時間（每秒）新建連接數(shù)測試中，受測設(shè)備在有效測試時間的前45秒中每秒新建連接數(shù)達(dá)到10萬（100000）；在有效測試時間的后15秒內(nèi)每秒新建連接數(shù)達(dá)到7.5萬-8萬（75000-80000）。編制： 審核： 批準(zhǔn)：公安部第一研究所信息安全等級保護(hù)測評中心防火墻測試報告測試環(huán)境及受測設(shè)備描述測試環(huán)境用途設(shè)備型號 數(shù)量受測設(shè)備1臺吞度量性能測試設(shè)備IXIA1臺并發(fā)連接和新建連接性能測試設(shè)備IXIA 1臺公安部第一研究所信

4、息安全等級保護(hù)測評中心防火墻測試報告序號測試項目測試條件測試用例測試結(jié)果1管理方式通過RADIUS等認(rèn)證服務(wù)器對設(shè)備用戶進(jìn)行認(rèn)證通過RADIUS等認(rèn)證服務(wù)器對設(shè)備用戶進(jìn)行認(rèn)證通過通過SSH管理通過配置能夠使用SSH方式管理防火墻通過通過telnet管理通過配置能夠使用Telnet方式管理防火墻通過通過http管理通過配置能夠使用HTTP方式管理防火墻通過通過https管理通過配置能夠使用HTTPS方式管理防火墻通過2SNMPv2&v31. 支持SNMP Trap方式，為網(wǎng)管系統(tǒng)提供系統(tǒng)運(yùn)行狀態(tài)2. 支持SNMP Trap方式向外發(fā)送審計日志1. 支持SNMP Trap方式，為網(wǎng)管系統(tǒng)提

5、供系統(tǒng)運(yùn)行狀態(tài)(1) 利用工具獲得系統(tǒng)運(yùn)行信息，包括CPU使用率、內(nèi)存使用率等。2. 支持SNMP Trap方式向外發(fā)送審計日志(1) 通過SNMP配置，添加SNMP服務(wù)器；(2) 能夠日志級別有選擇的發(fā)送SNMP日志；(3) 模擬事件觸發(fā)，查看服務(wù)器日志接受狀態(tài)。通過3會話管理驗證防火墻會話監(jiān)控(1) 在PC1上，利用IXIA等流量工具向目標(biāo)機(jī)的不同端口建立多條會話；(2) 通過用戶界面，在被測設(shè)備上根據(jù)源主機(jī)IP查看其所有會話信息。通過會話統(tǒng)計(1) 在PC1上，利用IXIA等流量工具向目標(biāo)機(jī)建立多條會話；(2) 通過用戶界面，在被測設(shè)備上根據(jù)源主機(jī)IP查看會話統(tǒng)計信息；(3) 通過用戶界

6、面，在被測設(shè)備上根據(jù)目的主機(jī)IP查看會話統(tǒng)計信息；(4) 通過用戶界面，在被測設(shè)備上根據(jù)業(yè)務(wù)端口查看會話統(tǒng)計信息。通過會話臨時阻斷(1) 從PC1 Telnet至PC2；(2) 通過用戶界面，在被測設(shè)備上根據(jù)源主機(jī)IP查看其所有會話信息；(3) 阻斷該會話；(4) 設(shè)置一定的阻斷時間，在阻斷時間內(nèi)，PC1不能再Telnet到PC2。通過4Syslog日志被測設(shè)備各功能模塊能夠發(fā)送正確的日志信息到Syslog服務(wù)器。(1) 在被測設(shè)備上配置Syslog服務(wù)器端口和地址，并啟用日志服務(wù)器；(2) 允許被測設(shè)備的相關(guān)模塊向服務(wù)器發(fā)送日志；(3) 在被測設(shè)備上對已允許發(fā)送日志的功能模塊進(jìn)行操作，在Sy

7、slog服務(wù)器上觀察日志信息。通過5NAT地址轉(zhuǎn)換機(jī)制1 終端上電啟動正常2 通過直連網(wǎng)線將終端的LAN口與PC機(jī)以太網(wǎng)接口連接1、 終端設(shè)置工作在NAT模式2、 配置分配終端內(nèi)部的IP地址段等參數(shù)3、 連接到LAN口的PC機(jī)，PC是否可以正常訪問外部的服務(wù)器4、 網(wǎng)關(guān)內(nèi)部放置一臺WEB server,在網(wǎng)關(guān)上進(jìn)行相應(yīng)的地址映射設(shè)置5、 通過外網(wǎng)用戶訪問 web server ，觀察是否成功6、 設(shè)備應(yīng)能對服務(wù)器進(jìn)行探測，確定服務(wù)器是否存活，至少支持2種探測方式通過6端口聯(lián)動(1) 終端上電啟動正常(2) 通過直連網(wǎng)線將終端的LAN口與PC機(jī)以太網(wǎng)接口連接1、終端配置端口聯(lián)動功能使ge0/0/

8、0和ge0/0/1聯(lián)動通過7策略路由本測試需要增加設(shè)備router1和router21、 驗證防火墻是否能夠根據(jù)訪問的源IP地址選擇不同的路由策略進(jìn)行路由；2、 驗證防火墻是否能夠根據(jù)訪問的目的IP地址選擇不同的路由策略進(jìn)行路由；3、 驗證防火墻是否能夠根據(jù)訪問報文的協(xié)議號選擇不同的路由策略進(jìn)行路由；4、 驗證防火墻是否能夠根據(jù)訪問流量的入接口選擇不同的路由策略進(jìn)行路由。通過8支持優(yōu)先級下載1、 設(shè)備上電啟動 正常2、 設(shè)備以透明模式在server與交換機(jī)之間3、 交換機(jī)下接PC1和PC24、 PC1和PC2均能FTP訪問server1、 防火墻進(jìn)行優(yōu)先級配置，且PC1地址設(shè)置其優(yōu)先級高于PC

9、2的地址2、 兩PC同時訪問服務(wù)器地址（00）.并同時下載同一個FTP文件通過9流量管理1、設(shè)備上電啟動 正常2、設(shè)備以透明模式串接在internet與內(nèi)網(wǎng)交換機(jī)之間3、交換機(jī)下接PC1和PC24、PC1和PC2僅能正常訪問internet1、 開啟防火墻的應(yīng)用控制設(shè)置，針對PC2地址設(shè)置其HTTP的下載速度分別為5KB/S,20KB/S2、 Pc2從 http 下載任意文件3、 觀察PC2 的下載速率通過10應(yīng)用統(tǒng)計1、設(shè)備上電啟動 正常2、PC機(jī)終端通過防火墻隔離與Internet聯(lián)通1、 儀表A端口模擬Client端，源IP地址為2、 儀表B端

10、口模擬HTTP服務(wù)器，地址為0；3、 被測設(shè)備的端口A為/24，端口B為，配置工作在一對一NAT模式，將轉(zhuǎn)換為4、 發(fā)送HTTP等流量；通過11連接數(shù)控制功能1、防火墻上電啟動支持2、防火墻以透明模式與測試儀連接3、測試儀器的連接能正常建立1、 開啟防火墻的sessions數(shù)控制的設(shè)置，數(shù)值為10000個2、 儀表產(chǎn)生大于10000個并發(fā)連接3、 觀察sessions建立的狀況及數(shù)值4、 重復(fù)1步驟，針對特定的IP地址進(jìn)行sessions數(shù)控制的設(shè)置，數(shù)值為30個5、 儀表產(chǎn)生大于10

11、0個并發(fā)連接6、 觀察sessions建立的狀況及數(shù)值通過12透明模式1、設(shè)備上電啟動 正常2、設(shè)備以串連方式接在內(nèi)網(wǎng)交換機(jī)之間3、交換機(jī)下接PC1和PC21、 Client/Server A、Client/Server B端口配置同一IP網(wǎng)段的IP地址，并互發(fā)有狀態(tài)的IP流量；2、 Client/Server A、Client/Server B透傳模式測試在兩端PVID相同的情況下，IP單播報文及OSPF組播報文傳遞；3、 被測設(shè)備配置策略，阻斷Client/Server A、Client/Server B之間的IP流量；4、 設(shè)備接口是否能夠工作在Trunk模式下。通過13混合組網(wǎng)功能1、

12、 給設(shè)備上電，設(shè)備啟動正常；2、 通過橋模式接入兩臺PC，PC1、PC2。3、 通過路由模式接入兩臺PC，PC1、PC31、 測試設(shè)備工作為路由模式，端口A配置3個子接口；2、 子接口1可以接收發(fā)送非標(biāo)記幀；3、 子接口2可以接收發(fā)送VLAN ID為100的標(biāo)記幀；4、 子接口3可以接收發(fā)送VLAN ID為200的標(biāo)記幀；5、 配置被測設(shè)備的子接口1與端口B工作在透明模式；6、 配置被測設(shè)備的子接口2與端口C工作在路由模式；7、 配置被測設(shè)備的子接口3與端口C工作在NAT模式。通過14Ipv6訪問控制1、中斷上電啟動正常；2、防火墻工作在透明模式；3、通過直連網(wǎng)線將終端LAN口與兩臺PC機(jī)以太

13、網(wǎng)口連接。1、終端LAN側(cè)兩臺PC（PC1、PC2）設(shè)置靜態(tài)IPV6地址（如2009：1：2：3：4：5：6：1、120與2009：1：2：3：4：5：6：2、120），部署在防火墻 Inside；PC3為2009：1：2：3：4：5：6：3部署在防火墻 Outside側(cè)；2、使用IPV6地址方式設(shè)置接入控制，允許PC1的IPV6地址訪問服務(wù)器PC3，禁止PC2的IP地址訪問PC3；3、使用兩臺PC1、PC2訪問PC3。4、終端LAN側(cè)兩臺PC（pc1、pc2）設(shè)置靜態(tài)IPv6地址（如2001：2與2001：3），并分別能夠通過防火墻采用ftp/web/ping訪問服務(wù)器2002：1005、配

14、置兩條訪問控制列表，一條匹配PC1訪問服務(wù)器的流量，另一條匹配PC2訪問服務(wù)器的流量。6、防火墻上配置兩條訪問控制規(guī)則，一條允許匹配規(guī)則的報文通過，一條禁止匹配規(guī)則的報文通過。7、使用2臺PC訪問服務(wù)器。通過15雙棧1、終端上電啟動正常2、通過直連網(wǎng)線將終端LAN口與兩臺PC機(jī)以太網(wǎng)接口連接1、 防火墻設(shè)置工作雙棧模式；2、 如圖配置分配終端、RT、防火墻的IP地址等參數(shù)；3、 設(shè)置全通規(guī)則；4、 PC1訪問PC2 webFTP服務(wù)；通過16Ipv6靜態(tài)路由1、終端上電啟動正常2、通過直連網(wǎng)線防火墻跟兩臺路由器直連，然后兩臺路由器分別直連了一臺PC1、如上圖所示終端LAN側(cè)兩臺PC（pc1、p

15、c2）設(shè)置靜態(tài)IPv6地址（如2001：2與2004：2），路由器及防火墻分別設(shè)置靜態(tài)IPv6地址。2、兩臺交換機(jī)（思科）分別配置去往對端PC的靜態(tài)地址。3、防火墻上配置去往PC1及PC2的靜態(tài)地址如下：4、PC1跟PC2兩臺PC互相ping對方。通過17Ipv6攻擊防御功能1、終端上電啟動正常2、如網(wǎng)絡(luò)拓?fù)浯罱y試環(huán)境，并完成基本地址、路由配置1、 如上圖所示組網(wǎng)。模擬攻擊的測試PC（ 2002：2/64）并配置默認(rèn)路由下一跳為2002：1。在防火墻上入接口（G0/0/0/）和出接口（G0/0/1）上分別配置IPv6地址（2002：1、2003：1）。外部搭建一臺DNS服務(wù)器（2003：2）

16、.2、 在測試PC機(jī)上安裝了Syn Flooding、UDP Flooding、ICMP Flooding、DNS query flooding攻擊工具。3、 然后在PC上用TCP synflood攻擊工具發(fā)起synflood攻擊4、 在PC上用UDP Flooding攻擊工具發(fā)起udpflood攻擊.5、 在PC上用ICMP Flooding攻擊工具發(fā)起icmpflood攻擊在PC上用DNS Query-flood攻擊工具發(fā)起dns-query-flood攻擊通過18雙機(jī)熱備、雙擊主動1、 兩臺設(shè)備加電工作正常。2、 給兩臺設(shè)備按vrrp經(jīng)典組網(wǎng)連線。1、 給設(shè)備配置主備模式HA。2、 拔出

17、主動設(shè)備的一條業(yè)務(wù)鏈路，觀察備設(shè)備可以切為主動工作狀態(tài)，在插拔過程中不影響ftp下載。3、 講HA工作狀態(tài)調(diào)至共享模式，通過命令行或webui觀察兩臺設(shè)備工作正常。通過19數(shù)據(jù)吞吐量測試（三層模式，2路光纖通道，最高20Gbps）初始測試負(fù)載為滿負(fù)載（Initial rate % = 100%），之后負(fù)載逐級減半，測試在這一過程中的數(shù)據(jù)吞吐性能和丟包率測試負(fù)載數(shù)據(jù)包大小分別為64字節(jié)（byte）、128字節(jié)（128byte）、256字節(jié)（256byte）、512字節(jié)（512byte）、1024字節(jié)（1024byte）、1280字節(jié)（1280byte）、1518字節(jié)（1518byte），數(shù)據(jù)包（

18、IP Header采用UDP）64byte=52% 10.4Gbps128byte=86% 17.2Gbps256byte=100%20Gbps512byte=100%20Gbps1024byte=100%20Gbps1280byte=100%20Gbps1518byte=100%20Gbps20數(shù)據(jù)吞吐量測試（三層模式，4路光纖通道，最高40Gbps）初始測試負(fù)載為滿負(fù)載（Initial rate % = 100%），之后負(fù)載逐級減半，測試在這一過程中的數(shù)據(jù)吞吐性能和丟包率測試負(fù)載數(shù)據(jù)包大小分別為64字節(jié)（byte）、128字節(jié)（128byte）、256字節(jié)（256byte）、512字節(jié)（512byte）、1