防火墻測(cè)試報(bào)告匯總(共17頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上XX公司防火墻測(cè)試報(bào)告設(shè)備名稱(chēng)： 設(shè)備型號(hào)：受測(cè)單位： 測(cè)試類(lèi)別：委托測(cè)試測(cè)試依據(jù)： 國(guó)家標(biāo)準(zhǔn) 行業(yè)標(biāo)準(zhǔn) 企業(yè)標(biāo)準(zhǔn) 技術(shù)要求報(bào)告日期：2012年4月 日 公章公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心測(cè)試報(bào)告說(shuō)明1、測(cè)試報(bào)告無(wú)“公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心”公章無(wú)效。2、測(cè)試報(bào)告無(wú)編制、審核、批準(zhǔn)人簽字無(wú)效。3、測(cè)試報(bào)告不得涂改和部分復(fù)印。4、對(duì)測(cè)試報(bào)告有異議，應(yīng)于收到報(bào)告之日起十五日內(nèi)向測(cè)評(píng)中心提出申訴，逾期不予受理。5、測(cè)試結(jié)果僅對(duì)被檢樣品有效。專(zhuān)心-專(zhuān)注-專(zhuān)業(yè)公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心防火墻測(cè)試報(bào)告設(shè)備名稱(chēng)委托單位測(cè)試單位公安部第一研究所

2、信息安全等級(jí)保護(hù)測(cè)評(píng)中心委托單位通信資料地址郵政編碼電話(huà)聯(lián)系人測(cè)試地點(diǎn)公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心測(cè)試內(nèi)容1. 2. 3. 測(cè)試日期2012年3月27日公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心防火墻測(cè)試報(bào)告測(cè)試結(jié)果受XX公司委托，公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心于2012年3月27日對(duì)XX公司的防火墻（型號(hào)：）進(jìn)行了委托測(cè)試。根據(jù)測(cè)試內(nèi)容，對(duì)受測(cè)設(shè)備的測(cè)試結(jié)果如下：1、在數(shù)據(jù)吞吐量測(cè)試中，分別對(duì)雙路光纖通道（理論性能20Gbps）與四路光纖通道（理論性能40Gbps）2種條件下的吞吐性能進(jìn)行了測(cè)試，共使用4種測(cè)試用例（64byte/256byte/512byte/1518b

3、yte UDP數(shù)據(jù)包），受測(cè)設(shè)備吞吐量在兩種測(cè)試條件下分別達(dá)到20Gbps與40Gbps；2、在最大并發(fā)連接數(shù)測(cè)試中，受測(cè)設(shè)備在測(cè)試策略限定的時(shí)間段內(nèi)，最大并發(fā)連接數(shù)上升并維持在；3、在單位時(shí)間（每秒）新建連接數(shù)測(cè)試中，受測(cè)設(shè)備在有效測(cè)試時(shí)間的前45秒中每秒新建連接數(shù)達(dá)到10萬(wàn)（）；在有效測(cè)試時(shí)間的后15秒內(nèi)每秒新建連接數(shù)達(dá)到7.5萬(wàn)-8萬(wàn)（75000-80000）。編制： 審核： 批準(zhǔn)：公安部第一研究所信息安全等級(jí)保護(hù)測(cè)評(píng)中心防火墻測(cè)試報(bào)告測(cè)試環(huán)境及受測(cè)設(shè)備描述測(cè)試環(huán)境用途設(shè)備型號(hào) 數(shù)量受測(cè)設(shè)備1臺(tái)吞度量性能測(cè)試設(shè)備IXIA1臺(tái)并發(fā)連接和新建連接性能測(cè)試設(shè)備IXIA 1臺(tái)公安部第一研究所信息

4、安全等級(jí)保護(hù)測(cè)評(píng)中心防火墻測(cè)試報(bào)告序號(hào)測(cè)試項(xiàng)目測(cè)試條件測(cè)試用例測(cè)試結(jié)果1管理方式通過(guò)RADIUS等認(rèn)證服務(wù)器對(duì)設(shè)備用戶(hù)進(jìn)行認(rèn)證通過(guò)RADIUS等認(rèn)證服務(wù)器對(duì)設(shè)備用戶(hù)進(jìn)行認(rèn)證通過(guò)通過(guò)SSH管理通過(guò)配置能夠使用SSH方式管理防火墻通過(guò)通過(guò)telnet管理通過(guò)配置能夠使用Telnet方式管理防火墻通過(guò)通過(guò)http管理通過(guò)配置能夠使用HTTP方式管理防火墻通過(guò)通過(guò)https管理通過(guò)配置能夠使用HTTPS方式管理防火墻通過(guò)2SNMPv2&v31. 支持SNMP Trap方式，為網(wǎng)管系統(tǒng)提供系統(tǒng)運(yùn)行狀態(tài)2. 支持SNMP Trap方式向外發(fā)送審計(jì)日志1. 支持SNMP Trap方式，為網(wǎng)管系統(tǒng)提供

5、系統(tǒng)運(yùn)行狀態(tài)(1) 利用工具獲得系統(tǒng)運(yùn)行信息，包括CPU使用率、內(nèi)存使用率等。2. 支持SNMP Trap方式向外發(fā)送審計(jì)日志(1) 通過(guò)SNMP配置，添加SNMP服務(wù)器；(2) 能夠日志級(jí)別有選擇的發(fā)送SNMP日志；(3) 模擬事件觸發(fā)，查看服務(wù)器日志接受狀態(tài)。通過(guò)3會(huì)話(huà)管理驗(yàn)證防火墻會(huì)話(huà)監(jiān)控(1) 在PC1上，利用IXIA等流量工具向目標(biāo)機(jī)的不同端口建立多條會(huì)話(huà)；(2) 通過(guò)用戶(hù)界面，在被測(cè)設(shè)備上根據(jù)源主機(jī)IP查看其所有會(huì)話(huà)信息。通過(guò)會(huì)話(huà)統(tǒng)計(jì)(1) 在PC1上，利用IXIA等流量工具向目標(biāo)機(jī)建立多條會(huì)話(huà)；(2) 通過(guò)用戶(hù)界面，在被測(cè)設(shè)備上根據(jù)源主機(jī)IP查看會(huì)話(huà)統(tǒng)計(jì)信息；(3) 通過(guò)用戶(hù)界面

6、，在被測(cè)設(shè)備上根據(jù)目的主機(jī)IP查看會(huì)話(huà)統(tǒng)計(jì)信息；(4) 通過(guò)用戶(hù)界面，在被測(cè)設(shè)備上根據(jù)業(yè)務(wù)端口查看會(huì)話(huà)統(tǒng)計(jì)信息。通過(guò)會(huì)話(huà)臨時(shí)阻斷(1) 從PC1 Telnet至PC2；(2) 通過(guò)用戶(hù)界面，在被測(cè)設(shè)備上根據(jù)源主機(jī)IP查看其所有會(huì)話(huà)信息；(3) 阻斷該會(huì)話(huà)；(4) 設(shè)置一定的阻斷時(shí)間，在阻斷時(shí)間內(nèi)，PC1不能再Telnet到PC2。通過(guò)4Syslog日志被測(cè)設(shè)備各功能模塊能夠發(fā)送正確的日志信息到Syslog服務(wù)器。(1) 在被測(cè)設(shè)備上配置Syslog服務(wù)器端口和地址，并啟用日志服務(wù)器；(2) 允許被測(cè)設(shè)備的相關(guān)模塊向服務(wù)器發(fā)送日志；(3) 在被測(cè)設(shè)備上對(duì)已允許發(fā)送日志的功能模塊進(jìn)行操作，在Sys

7、log服務(wù)器上觀察日志信息。通過(guò)5NAT地址轉(zhuǎn)換機(jī)制1 終端上電啟動(dòng)正常2 通過(guò)直連網(wǎng)線(xiàn)將終端的LAN口與PC機(jī)以太網(wǎng)接口連接1、 終端設(shè)置工作在NAT模式2、 配置分配終端內(nèi)部的IP地址段等參數(shù)3、 連接到LAN口的PC機(jī)，PC是否可以正常訪問(wèn)外部的服務(wù)器4、 網(wǎng)關(guān)內(nèi)部放置一臺(tái)WEB server,在網(wǎng)關(guān)上進(jìn)行相應(yīng)的地址映射設(shè)置5、 通過(guò)外網(wǎng)用戶(hù)訪問(wèn) web server ，觀察是否成功6、 設(shè)備應(yīng)能對(duì)服務(wù)器進(jìn)行探測(cè)，確定服務(wù)器是否存活，至少支持2種探測(cè)方式通過(guò)6端口聯(lián)動(dòng)(1) 終端上電啟動(dòng)正常(2) 通過(guò)直連網(wǎng)線(xiàn)將終端的LAN口與PC機(jī)以太網(wǎng)接口連接1、終端配置端口聯(lián)動(dòng)功能使ge0/0/0

8、和ge0/0/1聯(lián)動(dòng)通過(guò)7策略路由本測(cè)試需要增加設(shè)備router1和router21、 驗(yàn)證防火墻是否能夠根據(jù)訪問(wèn)的源IP地址選擇不同的路由策略進(jìn)行路由；2、 驗(yàn)證防火墻是否能夠根據(jù)訪問(wèn)的目的IP地址選擇不同的路由策略進(jìn)行路由；3、 驗(yàn)證防火墻是否能夠根據(jù)訪問(wèn)報(bào)文的協(xié)議號(hào)選擇不同的路由策略進(jìn)行路由；4、 驗(yàn)證防火墻是否能夠根據(jù)訪問(wèn)流量的入接口選擇不同的路由策略進(jìn)行路由。通過(guò)8支持優(yōu)先級(jí)下載1、 設(shè)備上電啟動(dòng) 正常2、 設(shè)備以透明模式在server與交換機(jī)之間3、 交換機(jī)下接PC1和PC24、 PC1和PC2均能FTP訪問(wèn)server1、 防火墻進(jìn)行優(yōu)先級(jí)配置，且PC1地址設(shè)置其優(yōu)先級(jí)高于PC2

9、的地址2、 兩PC同時(shí)訪問(wèn)服務(wù)器地址（00）.并同時(shí)下載同一個(gè)FTP文件通過(guò)9流量管理1、設(shè)備上電啟動(dòng) 正常2、設(shè)備以透明模式串接在internet與內(nèi)網(wǎng)交換機(jī)之間3、交換機(jī)下接PC1和PC24、PC1和PC2僅能正常訪問(wèn)internet1、 開(kāi)啟防火墻的應(yīng)用控制設(shè)置，針對(duì)PC2地址設(shè)置其HTTP的下載速度分別為5KB/S,20KB/S2、 Pc2從 http 下載任意文件3、 觀察PC2 的下載速率通過(guò)10應(yīng)用統(tǒng)計(jì)1、設(shè)備上電啟動(dòng) 正常2、PC機(jī)終端通過(guò)防火墻隔離與Internet聯(lián)通1、 儀表A端口模擬Client端，源IP地址為2、 儀表B端口

10、模擬HTTP服務(wù)器，地址為0；3、 被測(cè)設(shè)備的端口A為/24，端口B為，配置工作在一對(duì)一NAT模式，將轉(zhuǎn)換為4、 發(fā)送HTTP等流量；通過(guò)11連接數(shù)控制功能1、防火墻上電啟動(dòng)支持2、防火墻以透明模式與測(cè)試儀連接3、測(cè)試儀器的連接能正常建立1、 開(kāi)啟防火墻的sessions數(shù)控制的設(shè)置，數(shù)值為10000個(gè)2、 儀表產(chǎn)生大于10000個(gè)并發(fā)連接3、 觀察sessions建立的狀況及數(shù)值4、 重復(fù)1步驟，針對(duì)特定的IP地址進(jìn)行sessions數(shù)控制的設(shè)置，數(shù)值為30個(gè)5、 儀表產(chǎn)生大于100

11、個(gè)并發(fā)連接6、 觀察sessions建立的狀況及數(shù)值通過(guò)12透明模式1、設(shè)備上電啟動(dòng) 正常2、設(shè)備以串連方式接在內(nèi)網(wǎng)交換機(jī)之間3、交換機(jī)下接PC1和PC21、 Client/Server A、Client/Server B端口配置同一IP網(wǎng)段的IP地址，并互發(fā)有狀態(tài)的IP流量；2、 Client/Server A、Client/Server B透?jìng)髂Ｊ綔y(cè)試在兩端PVID相同的情況下，IP單播報(bào)文及OSPF組播報(bào)文傳遞；3、 被測(cè)設(shè)備配置策略，阻斷Client/Server A、Client/Server B之間的IP流量；4、 設(shè)備接口是否能夠工作在Trunk模式下。通過(guò)13混合組網(wǎng)功能1、

12、給設(shè)備上電，設(shè)備啟動(dòng)正常；2、 通過(guò)橋模式接入兩臺(tái)PC，PC1、PC2。3、 通過(guò)路由模式接入兩臺(tái)PC，PC1、PC31、 測(cè)試設(shè)備工作為路由模式，端口A配置3個(gè)子接口；2、 子接口1可以接收發(fā)送非標(biāo)記幀；3、 子接口2可以接收發(fā)送VLAN ID為100的標(biāo)記幀；4、 子接口3可以接收發(fā)送VLAN ID為200的標(biāo)記幀；5、 配置被測(cè)設(shè)備的子接口1與端口B工作在透明模式；6、 配置被測(cè)設(shè)備的子接口2與端口C工作在路由模式；7、 配置被測(cè)設(shè)備的子接口3與端口C工作在NAT模式。通過(guò)14Ipv6訪問(wèn)控制1、中斷上電啟動(dòng)正常；2、防火墻工作在透明模式；3、通過(guò)直連網(wǎng)線(xiàn)將終端LAN口與兩臺(tái)PC機(jī)以太網(wǎng)

13、口連接。1、終端LAN側(cè)兩臺(tái)PC（PC1、PC2）設(shè)置靜態(tài)IPV6地址（如2009：1：2：3：4：5：6：1、120與2009：1：2：3：4：5：6：2、120），部署在防火墻 Inside；PC3為2009：1：2：3：4：5：6：3部署在防火墻 Outside側(cè)；2、使用IPV6地址方式設(shè)置接入控制，允許PC1的IPV6地址訪問(wèn)服務(wù)器PC3，禁止PC2的IP地址訪問(wèn)PC3；3、使用兩臺(tái)PC1、PC2訪問(wèn)PC3。4、終端LAN側(cè)兩臺(tái)PC（pc1、pc2）設(shè)置靜態(tài)IPv6地址（如2001：2與2001：3），并分別能夠通過(guò)防火墻采用ftp/web/ping訪問(wèn)服務(wù)器2002：1005、配置

14、兩條訪問(wèn)控制列表，一條匹配PC1訪問(wèn)服務(wù)器的流量，另一條匹配PC2訪問(wèn)服務(wù)器的流量。6、防火墻上配置兩條訪問(wèn)控制規(guī)則，一條允許匹配規(guī)則的報(bào)文通過(guò)，一條禁止匹配規(guī)則的報(bào)文通過(guò)。7、使用2臺(tái)PC訪問(wèn)服務(wù)器。通過(guò)15雙棧1、終端上電啟動(dòng)正常2、通過(guò)直連網(wǎng)線(xiàn)將終端LAN口與兩臺(tái)PC機(jī)以太網(wǎng)接口連接1、 防火墻設(shè)置工作雙棧模式；2、 如圖配置分配終端、RT、防火墻的IP地址等參數(shù)；3、 設(shè)置全通規(guī)則；4、 PC1訪問(wèn)PC2 webFTP服務(wù)；通過(guò)16Ipv6靜態(tài)路由1、終端上電啟動(dòng)正常2、通過(guò)直連網(wǎng)線(xiàn)防火墻跟兩臺(tái)路由器直連，然后兩臺(tái)路由器分別直連了一臺(tái)PC1、如上圖所示終端LAN側(cè)兩臺(tái)PC（pc1、pc

15、2）設(shè)置靜態(tài)IPv6地址（如2001：2與2004：2），路由器及防火墻分別設(shè)置靜態(tài)IPv6地址。2、兩臺(tái)交換機(jī)（思科）分別配置去往對(duì)端PC的靜態(tài)地址。3、防火墻上配置去往PC1及PC2的靜態(tài)地址如下：4、PC1跟PC2兩臺(tái)PC互相ping對(duì)方。通過(guò)17Ipv6攻擊防御功能1、終端上電啟動(dòng)正常2、如網(wǎng)絡(luò)拓?fù)浯罱y(cè)試環(huán)境，并完成基本地址、路由配置1、 如上圖所示組網(wǎng)。模擬攻擊的測(cè)試PC（ 2002：2/64）并配置默認(rèn)路由下一跳為2002：1。在防火墻上入接口（G0/0/0/）和出接口（G0/0/1）上分別配置IPv6地址（2002：1、2003：1）。外部搭建一臺(tái)DNS服務(wù)器（2003：2）.

16、2、 在測(cè)試PC機(jī)上安裝了Syn Flooding、UDP Flooding、ICMP Flooding、DNS query flooding攻擊工具。3、 然后在PC上用TCP synflood攻擊工具發(fā)起synflood攻擊4、 在PC上用UDP Flooding攻擊工具發(fā)起udpflood攻擊.5、 在PC上用ICMP Flooding攻擊工具發(fā)起icmpflood攻擊在PC上用DNS Query-flood攻擊工具發(fā)起dns-query-flood攻擊通過(guò)18雙機(jī)熱備、雙擊主動(dòng)1、 兩臺(tái)設(shè)備加電工作正常。2、 給兩臺(tái)設(shè)備按vrrp經(jīng)典組網(wǎng)連線(xiàn)。1、 給設(shè)備配置主備模式HA。2、 拔出主

17、動(dòng)設(shè)備的一條業(yè)務(wù)鏈路，觀察備設(shè)備可以切為主動(dòng)工作狀態(tài)，在插拔過(guò)程中不影響ftp下載。3、 講HA工作狀態(tài)調(diào)至共享模式，通過(guò)命令行或webui觀察兩臺(tái)設(shè)備工作正常。通過(guò)19數(shù)據(jù)吞吐量測(cè)試（三層模式，2路光纖通道，最高20Gbps）初始測(cè)試負(fù)載為滿(mǎn)負(fù)載（Initial rate % = 100%），之后負(fù)載逐級(jí)減半，測(cè)試在這一過(guò)程中的數(shù)據(jù)吞吐性能和丟包率測(cè)試負(fù)載數(shù)據(jù)包大小分別為64字節(jié)（byte）、128字節(jié)（128byte）、256字節(jié)（256byte）、512字節(jié)（512byte）、1024字節(jié)（1024byte）、1280字節(jié)（1280byte）、1518字節(jié)（1518byte），數(shù)據(jù)包（I

18、P Header采用UDP）64byte=52% 10.4Gbps128byte=86% 17.2Gbps256byte=100%20Gbps512byte=100%20Gbps1024byte=100%20Gbps1280byte=100%20Gbps1518byte=100%20Gbps20數(shù)據(jù)吞吐量測(cè)試（三層模式，4路光纖通道，最高40Gbps）初始測(cè)試負(fù)載為滿(mǎn)負(fù)載（Initial rate % = 100%），之后負(fù)載逐級(jí)減半，測(cè)試在這一過(guò)程中的數(shù)據(jù)吞吐性能和丟包率測(cè)試負(fù)載數(shù)據(jù)包大小分別為64字節(jié)（byte）、128字節(jié)（128byte）、256字節(jié)（256byte）、512字節(jié)（512byte）、1024字節(jié)（1024byte）、1280字節(jié)（1280byte）、1518字節(jié)（1518byte），數(shù)據(jù)包（IP Header采用UDP）64byte=52% 20.8Gbps128byte=86% 34.4Gbps256byte=100%40Gbps512byte=100%40Gbps1024byte=100%40Gbps1280byte=100%40Gbps1518byte=100%40Gbps21最大并發(fā)連接數(shù)測(cè)試（三層模式）測(cè)試設(shè)備在策略設(shè)定的時(shí)間段內(nèi)模擬三百萬(wàn)個(gè)客戶(hù)端同時(shí)向防火墻發(fā)起連接請(qǐng)求，測(cè)試受測(cè)設(shè)備是否能夠保持該并發(fā)連接數(shù)達(dá)到策略要