防火墻測試驗收方案

防火墻測試驗收方bystandardizationteam10,2020.

一、

防火墻測試方案引言防火墻是實現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備，其目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。隨著網(wǎng)上黑客活動的日益猖獗，越來越多的上網(wǎng)企業(yè)開始重視網(wǎng)絡(luò)安全問題。特別是近兩三年來，以防火墻為核心的安全產(chǎn)品需求市場迅速成長起來，瞬間出現(xiàn)了眾多提供防火墻產(chǎn)品的廠家，光國內(nèi)就有幾十家。各種防火墻品種充斥市場，良莠不齊，有軟件的防火墻，硬件的防火墻，也有軟硬一體化的防火墻；有面向個人的防火墻，面向小企業(yè)的低檔防火墻，也有中高檔的防火墻，技術(shù)實現(xiàn)上有包過濾的防火墻、應(yīng)用代理的防火墻，也有狀態(tài)檢測的防火墻。由于防火墻實現(xiàn)方式靈活，種類多，而且往往要與復(fù)雜的網(wǎng)絡(luò)環(huán)境整合在一起使用，因此，對防火墻進(jìn)行測試評估是選購防火墻產(chǎn)品的一個重要環(huán)節(jié)。評估測試防火墻是一個十分復(fù)雜的工作。一般說來，防火墻的安全和性能是最重要的指標(biāo)，用戶接口（管理和配置界面）和審計追蹤次之，然后才是功能上的擴(kuò)展性。但是安全和性能之間似乎常常構(gòu)成一對矛盾。在防火墻技術(shù)的發(fā)展方面，業(yè)界一直在致力于為用戶提供安全性和性能都高的防火墻產(chǎn)品。沿著這一方向，防火墻產(chǎn)品經(jīng)歷了以軟件實現(xiàn)為主的代理型防火墻，以硬件實現(xiàn)為主的包過濾防火墻，以及兼有包過濾型防火墻的高速性特點和代理性防火墻高安全性特點的狀態(tài)檢測防火墻。另外，為了

使靈活多變，難以掌握的防火墻安全技術(shù)能更有效地被廣大用戶使用，直觀易用的界面和詳盡明晰的報表審計能力被越來越多的防火墻產(chǎn)品采用，同時，防火墻產(chǎn)品在與網(wǎng)絡(luò)應(yīng)用環(huán)境整合的過程中也在不斷地集成和加入新的網(wǎng)絡(luò)功能。因此，當(dāng)前必須從安全性、性能、可管理性和輔助功能等方面綜合進(jìn)行評測，才能客觀反映一個防火墻產(chǎn)品的素質(zhì)。測試的背景和目的在防火墻產(chǎn)品市場上，產(chǎn)品一般分為高、中、低三檔?？紤]到，高檔防火墻普遍是各公司最新或計劃推出的產(chǎn)品，證券作為大型的安全產(chǎn)品使用者，使用的防火墻產(chǎn)品以中、高檔為主，為了便于橫向比較各公司的產(chǎn)品，在本次測試中將統(tǒng)一以中檔防火墻產(chǎn)品作為測評的對象。為了較全面地評估各公司的防火墻產(chǎn)品，本次防火墻產(chǎn)品的測試分成以下幾個部分：功能測試、安全防范能力測試、性能測試和設(shè)備可靠性測試。參考資料GB/T18020-1999信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求FWPD：FirewallProductCertificationCriteriaVersion測試項一．測試項目

包過濾，NAT，地址綁定，本地訪問控制，多播，代理路由,內(nèi)容過濾報警,審計實時監(jiān)控,攻擊，雙機(jī)熱備,性能。二．測試環(huán)境簡略拓?fù)鋱D.(2).400..（）FW0.2.240（）FW2FW3（）（）（）圖1

管理器圖2說明：在括號內(nèi)的IP地址，為測試單一防火墻功能時所用的地址。圖2僅為測試TRUNK,代理路由和非IP規(guī)則時使用三．測試前軟件環(huán)境的準(zhǔn)備1.子網(wǎng)主機(jī)具有Linux，windows2000（or98orNT）兩種環(huán)境。2.測試環(huán)境Linux主機(jī)配置www，ftp，telnet務(wù)，同時安裝nmap，http_load，sendudp等測試工具；Windows主機(jī)配置ftp，iis，snmp等服務(wù)，同時安裝IE，Netscape等瀏覽器3.防火墻的默認(rèn)路由均指向其通往廣域網(wǎng)的路由器或三層交換機(jī)。4.在廣域網(wǎng)中采用靜態(tài)路由和動態(tài)路由（ripospf）兩種。5.。四.功能說明及規(guī)則設(shè)計。針對防火墻各項功能，分別加以說明。A.包過濾――――區(qū)間通信。1.）單一地址

2.）多地址規(guī)則設(shè)計：a.方向：區(qū)1—>區(qū)2b.操作：允許（拒絕）c.協(xié)議：tcp，udp，icmp和其它協(xié)議號的協(xié)議。d.審計：是（否）e.有效時間段B.地址綁定――――ip，mac地址綁定。防止地址欺騙。a)單一地址綁定b)多地址綁定。規(guī)則設(shè)計：a.方向：區(qū)1—>區(qū)2b.操作：允許（或拒絕）C本地訪問控制――――對管理主機(jī)的訪問進(jìn)行控制1．）單一地址2.）多地址規(guī)則設(shè)計：a.操作：1.允許ping，telnet等。

2.允許管理DNAT――――地址，端口的轉(zhuǎn)換。私有ip為公網(wǎng)ip。1．）一對一2.）多對一3.）多對多規(guī)則設(shè)計：a.方向：區(qū)1－>區(qū)2.b.操作：拒絕（或允許）c.協(xié)議：tcp，udp，icmp和其它協(xié)議號的協(xié)議。d.審計：是（否）E多播――――解決一對多的通信。1.單一多播源，多接收端。2.多多播源，多接收端。,代理路由――――復(fù)用鏈路,為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進(jìn)行路由H.報警――――利用郵件,TRAP,蜂鳴等及時向管理員報告防火墻的信息I.審計――――審計防火墻上的訪問,及事件信息防火墻的狀態(tài).

J.實時監(jiān)控――――實時檢測防火墻的通訊情況跟蹤防火墻的運行狀況.K攻擊――――防攻擊。檢測企圖通過防火墻實施攻擊的行為,并報警阻斷攻擊。L．雙機(jī)熱備――――設(shè)備冗余。同一網(wǎng)絡(luò)，兩臺防火墻，一臺設(shè)為激活狀態(tài)，另一臺設(shè)為備份狀態(tài)。當(dāng)激活狀態(tài)的防火墻down掉時，備份防火墻接管。通過測試用例來對具體的操作進(jìn)行闡述。在所有的規(guī)則制定中考慮范圍內(nèi)取非，范圍的臨界值，中間值情況時間的控制等。A.包過濾測試項

包過濾

測試日測試內(nèi)容IP過濾規(guī)則對ICMP數(shù)據(jù)包的過濾效果1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定

1.加載ICMP全通規(guī)則。執(zhí)行操作2.重復(fù)步驟1步驟

預(yù)期結(jié)果

實測結(jié)果1.

正向ping成功，反向ping不通，被禁止。測試結(jié)果2.

訪問被禁止，規(guī)則不允許。3

都可以相互ping通。備注測試項

包過濾

測試日測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果1.路由模式測試環(huán)境2.Linux，windows。

規(guī)則指定執(zhí)行操作

1.加載telnet全通規(guī)則，重復(fù)步驟步驟

預(yù)期結(jié)果

實測結(jié)果1.

正向成功，反向被禁止測試結(jié)果2.

訪問被禁止，沒有允許UDP服務(wù)。TCP協(xié)議的放開，對UDP協(xié)議不發(fā)生影響。3.telnet訪問都成功。備注測試項

包過濾

測試日測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果，側(cè)重于實時效果1.路由模式測試環(huán)境2.Linux，windows。

規(guī)則指定

生效時間：9:00－10:001.保持上述telnet已建立的連接，并不斷的沒有建立連接的。執(zhí)行操作2.在9:59－10:01之間，查看telnet態(tài)的反應(yīng)。步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1.

正向telnet成功，反向被禁止。3

已建立的telnet連接被斷開。備注測試項

包過濾

測試日在IP包過濾中，由于FTP服務(wù)的特殊性，所以下面幾個用例主要針對測試內(nèi)容FTP進(jìn)行測試。這個用例主要用來測試建立連接后，防火墻對端口的特殊處理1.路由模式測試環(huán)境2.Linux，windows。

規(guī)則指定1.，進(jìn)行大文件（1G）的數(shù)據(jù)傳輸。執(zhí)行操作2.passive進(jìn)行ftp文件的傳輸。步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1,3,5

訪問被禁止2,4

訪問成功。備注測試項

包過濾

測試日IP包過濾包括ICMP、UDP、TCP和非（、UDP、TCP）包的過濾，測試內(nèi)容過濾行測試1.路由模式測試環(huán)境2.Linux，windows。

規(guī)則指定

生效時間：9:00－10:00?！硤?zhí)行操作

1.保持連接。查看在10:00時連接的狀態(tài)。2.保持Client對Server的主動，不間斷的連接去掉時間限制，重新加載規(guī)則1，在連接重新建立的同時，加載規(guī)則。步驟

預(yù)期結(jié)果

實測結(jié)果1.

連接成功測試結(jié)果2.

連接被斷開。3.

連接建立后，馬上又被斷開。目的：測試UDP過濾的基本功能、在規(guī)則有效時間上的實時性、規(guī)則變化備注時對動態(tài)連接表的實時刷新性能等說明：對于EIP的測試，通過在包過濾中協(xié)議的設(shè)置過程中同步設(shè)置，用發(fā)包工具對其進(jìn)行測試，例如：igmp包等。B.地址綁定

測試項IPMAC址綁定

測試日測試IPMAC綁定的基本功能，以及在地址匹配而IP地址不匹配和IP測試內(nèi)容地址匹而MAC地址不匹配得兩種IP騙的情況下防火墻的處理能力1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1

訪問成功2,3

訪問被禁止，IP或MAC不匹配。備注

首先，加載IP全通過濾規(guī)則測試項IPMAC址綁定

測試日

在制定IPMAC綁定規(guī)則時，可以只綁定一個區(qū)域當(dāng)中的某幾個主機(jī)的地址，絕大多數(shù)主機(jī)可能不需要綁定，此時，我們還可以指定防火墻對那些測試內(nèi)容沒指定的主機(jī)的綁定過濾規(guī)則。這個用例主要用來測試防火墻對綁定規(guī)則之外的主機(jī)的訪問的處理能力。1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作

1.修改規(guī)則，綁定之外的主機(jī)允許通過。步驟

預(yù)期結(jié)果

實測結(jié)果1.

訪問成功測試結(jié)果2

訪問禁止4.

訪問成功備注

首先，加載IP全通過濾規(guī)則

測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

這個用例主要用來測試一對一的同時對多個方向上的轉(zhuǎn)換功能1.路由模式。測試環(huán)境2.Linux,Windows規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果1

訪問成功測試結(jié)果2

訪問成功3

訪問失敗

4

訪問成功5

訪問成功在訪問成功的同時在對端機(jī)器上用netstat令看是真實IP還是轉(zhuǎn)換后備注的IP地址。測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

這個用例主要在于測試同時雙向的NAT換功能1.路由模式測試環(huán)境2.Linx,windows規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1

訪問成功

2

訪問成功3

訪問成功4

訪問成功備注

服務(wù)都開放，同時用netstat進(jìn)行查看連接的IP地址。測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

測試多對一轉(zhuǎn)換時的基本功能1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定1.以上不提供服務(wù)轉(zhuǎn)換。執(zhí)行操作測試結(jié)果

步驟

預(yù)期結(jié)果

實測結(jié)果

1

訪問成功2

訪問成功備注

首先，加載IP全通過濾規(guī)則。測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

測試多對一轉(zhuǎn)換時的服務(wù)轉(zhuǎn)換功能1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1.

訪問成功

2.

訪問成功。3.

訪問失敗。備注

首先，加載IP全通過濾規(guī)則。測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

測試多對多轉(zhuǎn)換時的服務(wù)轉(zhuǎn)換功能1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定1.加載規(guī)則1。執(zhí)行操作2.在規(guī)則1的基礎(chǔ)上，加載規(guī)則2。步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2，4

訪問成功

備注

首先，加載IP全通過濾規(guī)則測試項NAT轉(zhuǎn)換

測試日測試內(nèi)容

測試多對多轉(zhuǎn)換時的FTP服務(wù)轉(zhuǎn)換功能1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定1.加載規(guī)則1。執(zhí)行操作2.在規(guī)則1的基礎(chǔ)上加載規(guī)則23.，2121。步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2,4

訪問應(yīng)該能夠成功備注

首先，加載IP全通過濾規(guī)則

E．多播。測試項

多播

測試日測試內(nèi)容

數(shù)據(jù)的轉(zhuǎn)發(fā)（分區(qū)方向的控制），組的加入。1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2.

正常播放。備注測試項

多播

測試日

測試內(nèi)容

分區(qū)方向的控制1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定1.在0上用mediaplayer建立多播站，播放影音文件。執(zhí)行操作2.在10.10.3步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2.

訪問成功，可以正常觀看。備注測試項

多播

測試日測試內(nèi)容

與下行流多播路由器的數(shù)據(jù)交換

1.路由模式測試環(huán)境，windows。規(guī)則指定1.在0上用mediaplayer建立多播站，播放影音文件。執(zhí)行操作2.在3.0/,影音文件.步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2.

訪問成功，接收正常。3.

不能成功.備注測試項

多播

測試日測試內(nèi)容

多播樹的嫁接（多多播源，多接收端）

1.路由模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果2,3,4

訪問成功，正常播放。備注注:橋模式下,多播與之類似防火墻透明,與路由情況配置一樣,指定區(qū)域即可不再贅述.F．VPN測試項TRUNK

測試日測試內(nèi)容

跨越防火墻,完成同一VLAN內(nèi)的通信

1.橋模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1

訪問全部成功。2Telnet成功.ping不成功.備注測試項TRUNK,代理由

測試日測試內(nèi)容

跨越防火墻,完成同一VLAN內(nèi)的通信

1.橋模式測試環(huán)境2.Linux，windows。規(guī)則指定執(zhí)行操作步驟

預(yù)期結(jié)果

實測結(jié)果1

訪問全部成功。測試結(jié)果2

訪問成功.3

所有操作都拒絕.備注G.內(nèi)容過濾

測試項

內(nèi)容過

測試日測試內(nèi)容

對SMTP,HTTP,FTP等應(yīng)用層進(jìn)行過濾1.路由,橋.測試環(huán)境2.Linux,Windows.規(guī)則指定

在包過濾中添加相應(yīng)的過濾規(guī)則,其中對內(nèi)容主題,附件,命令,都進(jìn)行過濾.在此僅舉一例.其他不再贅述.1.SMTP:主題病毒FTP:USER

禁止.禁止.1..GET頁面禁止.執(zhí)行操作2.在..120上.usertest步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1,2,3

訪問都不成功。

備注H.報警測試項

報警

測試日測試內(nèi)容

郵件,trap,蜂鳴等.。1.路由模式,橋模式.測試環(huán)境2.Linux，windows。規(guī)則指定

設(shè)定相應(yīng)的報警mail.,trap接收地址1.在裝有OpenView等可以接收trap息的主機(jī)上結(jié)束trap.執(zhí)行操作2.在任意一臺主機(jī)上設(shè)置mail帳號為報警帳號,接收報警mail.3.當(dāng)進(jìn)行相應(yīng)的報警操作,防火墻開始蜂鳴步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1,2,3

可以完成.

備注I審計測試項

審計

測試日測試內(nèi)容

對防火墻進(jìn)行事件及訪問日志的審計。1.路由模式,橋模式.測試環(huán)境2.Linux，windows。1查看全部時間日志,事件類型,事件來源全部.規(guī)則指定協(xié)議全部.執(zhí)行操作

1.查看.事件日志.步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1

查看到事件日志.

2

查看到相應(yīng)的訪問日志.在測試的過程中,在包過濾中選中,進(jìn)行審計就可以直接查看以前進(jìn)行的備注操作信息.J.實時監(jiān)控..測試項

實施監(jiān)

測試日測試內(nèi)容

進(jìn)行相應(yīng)的流量,連接等信息查看.1.路由模式,橋模式.測試環(huán)境2.Linux，windows。1.數(shù)據(jù)包捕捉.規(guī)則指定執(zhí)行操作

1.直接在工具欄中查看相應(yīng)的流量連接等信息.

步驟

預(yù)期結(jié)果

實測結(jié)果測試結(jié)果1

查看信息,準(zhǔn)確.2.