防火墻測(cè)試驗(yàn)收方案實(shí)用文檔

防火墻測(cè)試驗(yàn)收方案實(shí)用文檔(實(shí)用文檔，可以直接使用，可編輯優(yōu)秀版資料，歡迎下載）

防火墻測(cè)試驗(yàn)收方案實(shí)用文檔(實(shí)用文檔，可以直接使用，可編輯優(yōu)秀版資料，歡迎下載）防火墻測(cè)試方案引言防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備,其目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制.隨著網(wǎng)上黑客活動(dòng)的日益猖獗,越來(lái)越多的上網(wǎng)企業(yè)開(kāi)始重視網(wǎng)絡(luò)安全問(wèn)題。特別是近兩三年來(lái)，以防火墻為核心的安全產(chǎn)品需求市場(chǎng)迅速成長(zhǎng)起來(lái)，瞬間出現(xiàn)了眾多提供防火墻產(chǎn)品的廠家,光國(guó)內(nèi)就有幾十家.各種防火墻品種充斥市場(chǎng),良莠不齊，有軟件的防火墻,硬件的防火墻,也有軟硬一體化的防火墻;有面向個(gè)人的防火墻，面向小企業(yè)的低檔防火墻,也有中高檔的防火墻，技術(shù)實(shí)現(xiàn)上有包過(guò)濾的防火墻、應(yīng)用代理的防火墻,也有狀態(tài)檢測(cè)的防火墻。由于防火墻實(shí)現(xiàn)方式靈活，種類多，而且往往要與復(fù)雜的網(wǎng)絡(luò)環(huán)境整合在一起使用，因此，對(duì)防火墻進(jìn)行測(cè)試評(píng)估是選購(gòu)防火墻產(chǎn)品的一個(gè)重要環(huán)節(jié)。評(píng)估測(cè)試防火墻是一個(gè)十分復(fù)雜的工作。一般說(shuō)來(lái),防火墻的安全和性能是最重要的指標(biāo)，用戶接口(管理和配置界面）和審計(jì)追蹤次之，然后才是功能上的擴(kuò)展性.但是安全和性能之間似乎常常構(gòu)成一對(duì)矛盾。在防火墻技術(shù)的發(fā)展方面，業(yè)界一直在致力于為用戶提供安全性和性能都高的防火墻產(chǎn)品.沿著這一方向，防火墻產(chǎn)品經(jīng)歷了以軟件實(shí)現(xiàn)為主的代理型防火墻，以硬件實(shí)現(xiàn)為主的包過(guò)濾防火墻，以及兼有包過(guò)濾型防火墻的高速性特點(diǎn)和代理性防火墻高安全性特點(diǎn)的狀態(tài)檢測(cè)防火墻。另外，為了使靈活多變，難以掌握的防火墻安全技術(shù)能更有效地被廣大用戶使用，直觀易用的界面和詳盡明晰的報(bào)表審計(jì)能力被越來(lái)越多的防火墻產(chǎn)品采用，同時(shí),防火墻產(chǎn)品在與網(wǎng)絡(luò)應(yīng)用環(huán)境整合的過(guò)程中也在不斷地集成和加入新的網(wǎng)絡(luò)功能。因此,當(dāng)前必須從安全性、性能、可管理性和輔助功能等方面綜合進(jìn)行評(píng)測(cè)，才能客觀反映一個(gè)防火墻產(chǎn)品的素質(zhì)。測(cè)試的背景和目的在防火墻產(chǎn)品市場(chǎng)上，產(chǎn)品一般分為高、中、低三檔?？紤]到，高檔防火墻普遍是各公司最新或計(jì)劃推出的產(chǎn)品，證券作為大型的安全產(chǎn)品使用者，使用的防火墻產(chǎn)品以中、高檔為主，為了便于橫向比較各公司的產(chǎn)品,在本次測(cè)試中將統(tǒng)一以中檔防火墻產(chǎn)品作為測(cè)評(píng)的對(duì)象。為了較全面地評(píng)估各公司的防火墻產(chǎn)品,本次防火墻產(chǎn)品的測(cè)試分成以下幾個(gè)部分：功能測(cè)試、安全防范能力測(cè)試、性能測(cè)試和設(shè)備可靠性測(cè)試。參考資料GB/T18—1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求GB/T18019—1999信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求FWPD：FirewallProductCertificationCriteriaVersion3。0a測(cè)試項(xiàng)目測(cè)試項(xiàng)目包過(guò)濾，NAT，地址綁定，本地訪問(wèn)控制，多播，TRUNK,代理路由，內(nèi)容過(guò)濾,報(bào)警,審計(jì)實(shí)時(shí)監(jiān)控，攻擊，雙機(jī)熱備,性能。測(cè)試環(huán)境簡(jiǎn)略拓?fù)鋱D 10。10.11。10 10。10.12.2010。10。11(2).110.10。1.240 10。10。10。.3.1 （192.168。3.30）FW1。1 10。10。3。20 10.10。2.240 （192。168。1.30)172.1。1。1 192。168。1。10 172。10。1.10 FW2 172.10。2。1192.168。2.1FW3 172.10。1。1 192.168.1。1 172.10。1.20 192。168。3.1 192.168。1.20（192.168。2。252） 192.168.3。10192.168。3。20 0172。10。3。20(192。168。2。251） 172。10。2.254192。168.2。254（192。168.2。253）圖1管理器172.16。1.10192.168。1.10172.16。1。20192。168.1。20192。168.1。11192.168。1.21圖2說(shuō)明:在括號(hào)內(nèi)的IP地址，為測(cè)試單一防火墻功能時(shí)所用的IP地址.圖2僅為測(cè)試TRUNK，代理路由和非IP規(guī)則時(shí)使用。三．測(cè)試前軟件環(huán)境的準(zhǔn)備子網(wǎng)主機(jī)具有Linux，windows2000（or98orNT）兩種環(huán)境。測(cè)試環(huán)境Linux主機(jī)配置www，ftp，telnet服務(wù),同時(shí)安裝nmap，_load，sendudp等測(cè)試工具；Windows主機(jī)配置ftp，telnet，iis,snmp等服務(wù),同時(shí)安裝IE,Netscape等瀏覽器防火墻分區(qū)內(nèi)主機(jī)的網(wǎng)關(guān)都設(shè)為指向所連防火墻當(dāng)前連接接口，ip地址為當(dāng)前網(wǎng)段的1地址。例：當(dāng)前主機(jī)所在網(wǎng)段為192。168。1.0,那么它的網(wǎng)關(guān)為192.168.1。1，即防火墻接入接口的ip地址.防火墻的默認(rèn)路由均指向其通往廣域網(wǎng)的路由器或三層交換機(jī).在廣域網(wǎng)中采用靜態(tài)路由和動(dòng)態(tài)路由（rip或ospf）兩種。。四.功能說(shuō)明及規(guī)則設(shè)計(jì).針對(duì)防火墻各項(xiàng)功能，分別加以說(shuō)明。A.包過(guò)濾――――區(qū)間通信.1.）單一地址2。）多地址規(guī)則設(shè)計(jì)：a.方向：區(qū)1->區(qū)2b。操作：允許（拒絕）c.協(xié)議：tcp，udp，icmp和其它協(xié)議號(hào)的協(xié)議。d.審計(jì)：是(否）e。有效時(shí)間段B。地址綁定――――ip,mac地址綁定。防止地址欺騙.單一地址綁定多地址綁定.規(guī)則設(shè)計(jì)：a。方向:區(qū)1—>區(qū)2b。操作:允許（或拒絕）C本地訪問(wèn)控制――――對(duì)管理主機(jī)的訪問(wèn)進(jìn)行控制1．）單一地址2。）多地址規(guī)則設(shè)計(jì)：a.操作：1。允許ping,telnet等。2.允許管理DNAT――――地址，端口的轉(zhuǎn)換。私有ip轉(zhuǎn)為公網(wǎng)ip.1．）一對(duì)一2.）多對(duì)一3。）多對(duì)多規(guī)則設(shè)計(jì)：a。方向：區(qū)1－>區(qū)2.b。操作：拒絕（或允許）c。協(xié)議：tcp，udp，icmp和其它協(xié)議號(hào)的協(xié)議.d。審計(jì)：是(否)E多播――――解決一對(duì)多的通信。 單一多播源，多接收端.多多播源，多接收端。G。TRUNK，代理路由――――復(fù)用鏈路,為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進(jìn)行路由。H。報(bào)警――――利用郵件，TRAP,蜂鳴等及時(shí)向管理員報(bào)告防火墻的信息.I.審計(jì)――――審計(jì)防火墻上的訪問(wèn)，及事件信息，防火墻的狀態(tài).J。實(shí)時(shí)監(jiān)控――――實(shí)時(shí)檢測(cè)防火墻的通訊情況,跟蹤防火墻的運(yùn)行狀況.K攻擊――――防攻擊。檢測(cè)企圖通過(guò)防火墻實(shí)施攻擊的行為，并報(bào)警，阻斷攻擊。L．雙機(jī)熱備――――設(shè)備冗余.同一網(wǎng)絡(luò)，兩臺(tái)防火墻，一臺(tái)設(shè)為激活狀態(tài)，另一臺(tái)設(shè)為備份狀態(tài)。當(dāng)激活狀態(tài)的防火墻down掉時(shí)，備份防火墻接管.通過(guò)測(cè)試用例來(lái)對(duì)具體的操作進(jìn)行闡述。在所有的規(guī)則制定中考慮范圍內(nèi)取非,范圍的臨界值，中間值情況，時(shí)間的控制等.包過(guò)濾測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)ICMP數(shù)據(jù)包的過(guò)濾效果測(cè)試環(huán)境路由模式Linux，windows.規(guī)則指定192。168.1。10—100－〉54ICMP允許.（內(nèi)到外）54－〉192.168.3。10ICMP允許。（外到DMZ）192。168。3。1-15－〉192。168.1.10ICMP允許。（DMZ到內(nèi)）執(zhí)行操作在192.168。1.10上ping192。168.2.254，在192.168。2.254上ping192.168。3。10，在192.168。3。10上ping192.168.1。10。并反方向ping。在192。168。1。10上telnet192。168.2。254,在192.168。2.254上telnet192。168。3.10，在192.168.3。10上telnet192。168.1。10。并反方向ftp,telnet。加載ICMP全通規(guī)則.重復(fù)步驟1測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.正向ping成功,反向ping不通，被禁止。2。訪問(wèn)被禁止，規(guī)則不允許。3都可以相互ping通.備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)TCP數(shù)據(jù)包的過(guò)濾效果測(cè)試環(huán)境路由模式Linux,windows。規(guī)則指定1：192.168.1。10－>192。168。2。254telnet允許.(內(nèi)到外）192。168.2。254－>192。168.3.10telnet允許。（外到DMZ)192.168。3.10－〉192。168。1。10telnet允許。（DMZ到內(nèi)）執(zhí)行操作在192。168。1.10上telnet192。168。2.254，在192。168。2。254上telnet192.168.3。10,在192。168。3。10上telnet192。168.1。10，并反向telnet。在192。168。1。10用nslookup到192。168。2.254上進(jìn)行名字解析或其它的udp服務(wù)。加載telnet全通規(guī)則，重復(fù)步驟1.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.正向成功，反向被禁止2.訪問(wèn)被禁止，沒(méi)有允許UDP服務(wù).TCP協(xié)議的放開(kāi)，對(duì)UDP協(xié)議不發(fā)生影響。3.telnet訪問(wèn)都成功。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)TCP數(shù)據(jù)包的過(guò)濾效果，側(cè)重于實(shí)時(shí)效果測(cè)試環(huán)境路由模式Linux,windows.規(guī)則指定0－>192。168。2.254telnet允許。(內(nèi)到外）192.168。2。254－>192。168。3.10telnet允許。（外到DMZ)192。168.3。10－〉192.168。1.10telnet允許。（DMZ到內(nèi)）生效時(shí)間：9：00－10:00執(zhí)行操作在192。168.1。10上telnet192。168.2。254,在192。168.2.254上telnet0，在192。168。3。10上telnet0，并反向telnet。保持上述telnet已建立的連接，并不斷的telnet沒(méi)有建立連接的.在9:59－10：01之間,查看telnet狀態(tài)的反應(yīng)。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1。正向telnet成功，反向被禁止.3已建立的telnet連接被斷開(kāi)。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容在IP包過(guò)濾中，由于FTP服務(wù)的特殊性，所以下面幾個(gè)用例主要針對(duì)FTP進(jìn)行測(cè)試。這個(gè)用例主要用來(lái)測(cè)試FTP建立連接后,防火墻對(duì)20端口的特殊處理測(cè)試環(huán)境路由模式Linux，windows.規(guī)則指定1.192.168。1.10－〉192.168.2。254ftp允許（內(nèi)到外）執(zhí)行操作在192。168.1.10上telnet192。168。2。25420。在192。168.1.10上ftp192。168。2.254,進(jìn)行大文件（1G）的數(shù)據(jù)傳輸.在ftp的同時(shí)，在192。168。1。10上telnet192。168。2。25420.passive進(jìn)行ftp文件的傳輸。在192.168。1.10上telnet192。168.2。25420測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1，3，5訪問(wèn)被禁止2,4訪問(wèn)成功.備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP包過(guò)濾包括ICMP、UDP、TCP和非(ICMP、UDP、TCP）包的過(guò)濾，UDP過(guò)濾行測(cè)試測(cè)試環(huán)境路由模式Linux,windows。規(guī)則指定規(guī)則1:192。168。1.10－〉192。168.2.254UDP允許.192.168。2.253－〉192.168。3.20UDP允許。192。168.3。30－>192。168。1.30UDP允許生效時(shí)間:9：00－10：00。〕規(guī)則2：192。168。1.10－>192.168。2.254UDP拒絕。執(zhí)行操作在192。168.1。10，192。168.2。253，192.168。3.30上啟動(dòng)UDP的測(cè)試工具Udp_Server,在192。168.2。253，192。168.3。20，192。168.1.30上啟動(dòng)Udp_Client來(lái)分別連192.168。1.10，53,192。168。3。30上的服務(wù)程序。保持連接。查看在10:00時(shí)連接的狀態(tài).保持Client對(duì)Server的主動(dòng)，不間斷的連接去掉時(shí)間限制，重新加載規(guī)則1,在連接重新建立的同時(shí)，加載規(guī)則2。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1。連接成功2。連接被斷開(kāi)。3。連接建立后，馬上又被斷開(kāi)。備注目的：測(cè)試UDP過(guò)濾的基本功能、在規(guī)則有效時(shí)間上的實(shí)時(shí)性、規(guī)則變化時(shí)對(duì)動(dòng)態(tài)連接表的實(shí)時(shí)刷新性能等說(shuō)明：對(duì)于EIP的測(cè)試，通過(guò)在包過(guò)濾中IP協(xié)議的設(shè)置過(guò)程中同步設(shè)置,用發(fā)包工具對(duì)其進(jìn)行測(cè)試，例如：igmp，ospf包等。地址綁定測(cè)試項(xiàng)目IPMAC地址綁定測(cè)試日期測(cè)試內(nèi)容測(cè)試IPMAC綁定的基本功能，以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得兩種IP欺騙的情況下防火墻的處理能力測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定192.168。1.10---—100＝>MAC00.12。30。34.89.29進(jìn)行綁定執(zhí)行操作192。168.1。10上telnet192。168。2.254.修改192.168。1.10的IP地址為192。168.1。11，telnet192。168。2。254。在此基礎(chǔ)上將192。168.1。20的地址改為192.168.1。10.然后,telnet192。168。2.254。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2,3訪問(wèn)被禁止,IP或MAC不匹配。備注首先，加載IP全通過(guò)濾規(guī)則測(cè)試項(xiàng)目IPMAC地址綁定測(cè)試日期測(cè)試內(nèi)容在制定IPMAC綁定規(guī)則時(shí)，可以只綁定一個(gè)區(qū)域當(dāng)中的某幾個(gè)主機(jī)的地址，絕大多數(shù)主機(jī)可能不需要綁定,此時(shí)，我們還可以指定防火墻對(duì)那些沒(méi)指定的主機(jī)的綁定過(guò)濾規(guī)則.這個(gè)用例主要用來(lái)測(cè)試防火墻對(duì)綁定規(guī)則之外的主機(jī)的訪問(wèn)的處理能力。測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定192.168。1.10＝>MAC00.12。30.34.89。29進(jìn)行綁定,綁定規(guī)則之外的主機(jī)不允許通過(guò)執(zhí)行操作在192.168。1.10上telnet192.168.2。254。在192。168.1。20上telnet192。168.2。254修改規(guī)則，綁定之外的主機(jī)允許通過(guò)。在192。168.1。20上telnet192。168。2。254測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.訪問(wèn)成功2訪問(wèn)禁止4。訪問(wèn)成功備注首先，加載IP全通過(guò)濾規(guī)則D。NAT測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容這個(gè)用例主要用來(lái)測(cè)試一對(duì)一的同時(shí)對(duì)多個(gè)方向上的轉(zhuǎn)換功能測(cè)試環(huán)境路由模式。Linux,Windows規(guī)則指定192.168。1。10－>192.168.2。100（inNATout）192。168.1.10－〉192.168.3。100（inNATdmz)執(zhí)行操作在192.168。1.10上telnet192.168.2。254在192.168。2.254上telnet192。168。1。10在0上telnet192。168.3。10測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功3訪問(wèn)失敗4訪問(wèn)成功5訪問(wèn)成功備注在訪問(wèn)成功的同時(shí)在對(duì)端機(jī)器上用netstat命令看是真實(shí)IP還是轉(zhuǎn)換后的IP地址。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容這個(gè)用例主要在于測(cè)試同時(shí)雙向的NAT轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linx，windows規(guī)則指定1.192。168.1。10－〉192。168。2.100（inNATout)2。192。168.1。10－>192。168。3。100(inNATdmz)3.192。168。3.10－〉192。168.1。100(dmzNATin)4。192。168。3.10－>192。168.1。200（dmzNATout)5.192。168.2。254－>192。168.1.200(outNATin）6。192。168.2。254－>192。168。3。200（outNATdmz）執(zhí)行操作在192.168。1。10上telnet192。168.1.100,192。168.1.200，192.168。2。254,192。168.3.10。在192.168。2。254上telnet192.168.2。100,192.168.2。200，192。168。3。10,192。168.1.10。在192.168。3.10上telnet192。168.3。100，192.168。3。200,192。168。2.254,192。168。1.10。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功3訪問(wèn)成功4訪問(wèn)成功備注服務(wù)都開(kāi)放,同時(shí)用netstat進(jìn)行查看連接的IP地址。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的基本功能測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定54－〉192.168。1.100以上不提供服務(wù)轉(zhuǎn)換。執(zhí)行操作在192.168.2。253，192.168.2。253上telnet192。168.1。10測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功備注首先，加載IP全通過(guò)濾規(guī)則。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定192.168。2。254－>192。168。1。100提供telnet服務(wù)?！?—254－>192。168。1。100提供www服務(wù)。（去除254地址.）執(zhí)行操作在192.168。9.254，53上telnet192。168.1。10。在192.168。2.254上telnet192。168。1.100：80。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.訪問(wèn)成功2。訪問(wèn)成功。3.訪問(wèn)失敗.備注首先,加載IP全通過(guò)濾規(guī)則。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linux,windows.規(guī)則指定規(guī)則1：192。168。2。254，192.168.2。253，192。168。2.252－〉192。168。1.100，192.168。1.200規(guī)則2：192.168.2。25423－〉192.168。1.100235423－〉192.168。1.2002323執(zhí)行操作加載規(guī)則1。在192。168。2.254，192。168。2.253，53上telnet192。168.1。10.在規(guī)則1的基礎(chǔ)上，加載規(guī)則2。在192.168。1.10，0上telnet0023；telnet192.168.1。2002323測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2，4訪問(wèn)成功備注首先,加載IP全通過(guò)濾規(guī)則測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的FTP服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定規(guī)則2:192.168。2。254－>192.168。1.10021號(hào)端口提供ftp服務(wù).192。168。2.252－>192。168。1。2002121號(hào)端口提供ftp服務(wù)。執(zhí)行操作加載規(guī)則1。在192.168。2。254，192.168。2.253，192.168。2.253上telnet192.168.1。10。在規(guī)則1的基礎(chǔ)上加載規(guī)則2在192.168。1.10,192.168.1。20上ftp192。168。1。100，2121。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2,4訪問(wèn)應(yīng)該能夠成功備注首先，加載IP全通過(guò)濾規(guī)則E．多播。測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容數(shù)據(jù)的轉(zhuǎn)發(fā)(分區(qū)方向的控制），組的加入。測(cè)試環(huán)境路由模式Linux,windows。規(guī)則指定1.OUT－>224。1。1。1－239.255.255。255(0＝〉GDA）執(zhí)行操作在192.168。2。254上，用mediaplayer建立一個(gè)多播站。播放test.nsc影音文件。在192。168。1。10上運(yùn)行mplayer2//192.168.1。254/test。nsc.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2。正常播放。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容分區(qū)方向的控制測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定1。IN－>224.1.1。1－239.255。255。255（內(nèi)網(wǎng)區(qū)域內(nèi)）執(zhí)行操作在10。10。3。10上用mediaplayer建立多播站，播放影音文件test.nsc。在10。10.3.20上運(yùn)行mplay2//10。10.3.10/test。nsc.觀看影音文件test。nsc。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2.訪問(wèn)成功，可以正常觀看。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容與下行流多播路由器的數(shù)據(jù)交換測(cè)試環(huán)境1.路由模式2。Linux，windows.規(guī)則指定1.DMZ－>－239。255.255。255（IN=〉GDA）執(zhí)行操作在10。10。3.10上用mediaplayer建立多播站，播放影音文件test。nsc.在10。10.11。10上運(yùn)行mplayer2//10.10.3。10/test.nsc，接收影音文件.在192。168。2。254上運(yùn)行mplayer2//。10/test。nsc,影音文件。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2.訪問(wèn)成功，接收正常。3.不能成功。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容多播樹(shù)的嫁接（多多播源，多接收端）測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定OUT－〉224。1。1。1－239.255。255.255(IN=〉GDA）IN－〉224.1。1.1－239。255。255。255（OUT=〉GDA)執(zhí)行操作在192。168。2。254，0上建立多播站。運(yùn)行影音文件test。nsc.在192.168.1。20,先后運(yùn)行mplayer：2//1921。168。1。10/test.nsc,mplayer：//192。168.2.254/test.nsc。在192。168。3.10上運(yùn)行mplayer：//192。168.1。10/test。nsc，mplayer：//192。168.2。254/test.nsc影音文件。在53上運(yùn)行mplayer：//192.168.1。10/test.nsc影音文件。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2,3,4訪問(wèn)成功,正常播放.備注注：橋模式下，多播與之類似，防火墻透明，與路由情況配置一樣，指定區(qū)域即可。不再贅述.F．VPNG。TRUNK測(cè)試項(xiàng)目TRUNK測(cè)試日期測(cè)試內(nèi)容跨越防火墻，完成同一VLAN內(nèi)的通信.測(cè)試環(huán)境橋模式Linux，windows.在兩交換機(jī)上將192.168。1.10,192。168.1.11設(shè)為同一VLAN100.將192。168.1.20,192.168.1。21設(shè)為同一VLAN200.與防火墻trunk連接.類型802.1q。規(guī)則指定1。192。168。1.10192。168.1.11允許。協(xié)議：tcp，icmp.2。。0192。168。1.21拒絕協(xié)議。tcp允許,icmp拒絕.執(zhí)行操作在192.168。1。10上ping192。168.1。11，telnet192。168。1.11在0上telnet1,ping192.168。1。21測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)全部成功。2Telnet成功.ping不成功.備注測(cè)試項(xiàng)目TRUNK，代理路由測(cè)試日期測(cè)試內(nèi)容跨越防火墻,完成同一VLAN內(nèi)的通信.測(cè)試環(huán)境橋模式Linux,windows。將192。168。1.20與192。168。1。21改IP為192。168.2。20，192.168。2。21.在兩交換機(jī)上將192.168。1.10，192。168.1.11設(shè)為同一VLAN100.將192.168。2.20，192.168.2。21設(shè)為同一VLAN200.規(guī)則指定1。192。168.1。11-192。168。2。10,192。168.2.11協(xié)議：所有協(xié)議.2.0192。168.1。11允許。協(xié)議：tcp,icmp。3.192.168。1.10192。168。2。21拒絕執(zhí)行操作將防火墻內(nèi)外網(wǎng)卡分別綁定兩個(gè)IP地址192。168.1.1和192。168。2.在192。168。1.11上ping,telnet，ftp,192.168。2。10和192。168.2。11。在192。168.1。10上pingtelnet192。168。1.11在192.168。1.10上pingtelnetftp192.168。2。21.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)全部成功。2訪問(wèn)成功.3所有操作都拒絕。備注G。內(nèi)容過(guò)濾測(cè)試項(xiàng)目?jī)?nèi)容過(guò)濾測(cè)試日期測(cè)試內(nèi)容對(duì)SMTP，,FTP等應(yīng)用層進(jìn)行過(guò)濾。測(cè)試環(huán)境路由，橋.Linux，Windows.規(guī)則指定在包過(guò)濾中添加相應(yīng)的過(guò)濾規(guī)則,其中對(duì)內(nèi)容，主題,附件，命令,都進(jìn)行過(guò)濾。在此僅舉一例。其他不再贅述。172.10。1.20—172。10.2。254,：GET命令禁止.SMTP:主題病毒禁止。FTP:USER禁止.執(zhí)行操作在172.10.1。20上.GET頁(yè)面禁止.在172。10.1。20發(fā)mail到郵件服務(wù)器172。10。2。254的主題為病毒的郵件。在172.10。.120上ftp172.10.2。254。usertest測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1,2，3訪問(wèn)都不成功。備注H。報(bào)警測(cè)試項(xiàng)目報(bào)警。測(cè)試日期測(cè)試內(nèi)容郵件，trap，蜂鳴等..測(cè)試環(huán)境路由模式，橋模式.Linux，windows。規(guī)則指定設(shè)定相應(yīng)的報(bào)警mail.,trap接收地址.執(zhí)行操作在裝有OpenView等可以接收trap信息的主機(jī)上結(jié)束trap。在任意一臺(tái)主機(jī)上設(shè)置mail帳號(hào)為報(bào)警mail帳號(hào)，接收?qǐng)?bào)警mail.當(dāng)進(jìn)行相應(yīng)的報(bào)警操作，防火墻開(kāi)始蜂鳴.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1，2，3可以完成。備注I審計(jì)測(cè)試項(xiàng)目審計(jì).測(cè)試日期測(cè)試內(nèi)容對(duì)防火墻進(jìn)行事件及訪問(wèn)日志的審計(jì)。。測(cè)試環(huán)境路由模式，橋模式。Linux，windows.規(guī)則指定1查看全部時(shí)間日志，事件類型,事件來(lái)源全部..2。設(shè)置訪問(wèn)日志，方向,原因,源IP地址不作為審計(jì)條件。目標(biāo)IP地址：172.10.2。254協(xié)議全部.執(zhí)行操作查看.事件日志。在172。10.1。10上進(jìn)行ping,telnet,掃描172。10.2。254等操作.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1查看到事件日志。2查看到相應(yīng)的訪問(wèn)日志.備注在測(cè)試的過(guò)程中,在包過(guò)濾中選中,進(jìn)行審計(jì)。就可以直接查看以前進(jìn)行的操作信息.J.實(shí)時(shí)監(jiān)控.。測(cè)試項(xiàng)目實(shí)施監(jiān)控測(cè)試日期測(cè)試內(nèi)容進(jìn)行相應(yīng)的流量，連接等信息查看.測(cè)試環(huán)境路由模式,橋模式.Linux，windows。規(guī)則指定數(shù)據(jù)包捕捉?！?4，協(xié)議：tcp，icmp,udp。執(zhí)行操作直接在工具欄中查看相應(yīng)的流量,連接等信息.在0上ping,telnet，sendudp。到172.10.2。254測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1查看信息，準(zhǔn)確.2.捕捉到數(shù)據(jù)包.正確分析。K．攻擊測(cè)試項(xiàng)目攻擊測(cè)試日期測(cè)試內(nèi)容防攻擊測(cè)試。測(cè)試環(huán)境路由模式Linux，windows。規(guī)則指定執(zhí)行操作flooding攻擊（synflooding，udpflooding，pingflooding，pingofdeath等）.

nmap掃描，是否誤報(bào)（非正常狀態(tài)）。

Land攻擊。KillWin攻擊。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1。FW正常工作，攻擊包被丟棄。2。FW正常工作，掃描包被丟棄.3FW正常工作,攻擊包被丟棄4.FW工作正常，攻擊包被丟棄。備注被攻擊區(qū)域不受任何影響。K.雙機(jī)熱備。測(cè)試項(xiàng)目雙機(jī)熱備測(cè)試日期測(cè)試內(nèi)容激活狀態(tài)的防火墻正常關(guān)機(jī)或異常掉電,看備份防火墻能否正常啟用測(cè)試環(huán)境1.路由模式2.Linux，windows。規(guī)則指定1。設(shè)置FW2，F(xiàn)W3狀態(tài)，GroupID:standby，F(xiàn)W2ID：1，F(xiàn)W3ID:2執(zhí)行操作在FW2上加載一些實(shí)際的訪問(wèn)控制規(guī)則、NAT規(guī)則、IPMAC綁定規(guī)則、認(rèn)證設(shè)置（可以沿用在前述用例設(shè)定的規(guī)則）在192.1168。1.10上ping172.10。3。254限制規(guī)則:包過(guò)濾，NAT，IPMAC綁定。在FW上截包判斷生效的FW.讓ping一直處于建立狀態(tài)使當(dāng)前的FW2,正常關(guān)閉或異常掉電監(jiān)視ping，看在整個(gè)過(guò)程中，備份防火墻是否能正常啟用，上述實(shí)時(shí)鏈接的反應(yīng)。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果5。已建立的連接斷掉，約3秒鐘后，備份防火墻啟動(dòng)，連接重新建立.備注FW2,FW3的相同分區(qū)的接口設(shè)在同一個(gè)網(wǎng)段中。也可以用腳本寫一個(gè)不間斷的telnet連接來(lái)測(cè)試或其它協(xié)議.主要考慮ping不間斷,效果一致,故用之.防火墻方案區(qū)域邏輯隔離建設(shè)(防火墻）國(guó)家等級(jí)保護(hù)政策要求不同安全級(jí)別的系統(tǒng)要進(jìn)行邏輯隔離，各區(qū)域之間能夠按照用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則控制單個(gè)用戶，決定允許或者禁止用戶對(duì)受控系統(tǒng)的資源訪問(wèn)。國(guó)家等級(jí)化保護(hù)政策要求不同安全級(jí)別間的系統(tǒng)要進(jìn)行區(qū)域的邏輯隔離，各區(qū)域之間能按照用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則,控制擔(dān)擱用戶，決定允許或者拒絕用戶對(duì)受控系統(tǒng)的資源訪問(wèn)。在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng)，并與原有防火墻形成雙機(jī)熱備，部署防火墻可以實(shí)現(xiàn)：網(wǎng)絡(luò)安全的基礎(chǔ)屏障:防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的.首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。防止內(nèi)部信息的外泄通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響.再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而曝露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。精確流量管理通過(guò)部署防火墻設(shè)備，不僅可以實(shí)現(xiàn)精準(zhǔn)訪問(wèn)控制與邊界隔離防護(hù)，還能實(shí)現(xiàn)阻止由于病毒或者P2P軟件引起的異常流量、進(jìn)行精確的流量控制等。對(duì)各級(jí)節(jié)點(diǎn)安全域?qū)崿F(xiàn)全面的邊界防護(hù)，嚴(yán)格控制節(jié)點(diǎn)之間的網(wǎng)絡(luò)數(shù)據(jù)流。防止病毒木馬攻擊通過(guò)防火墻設(shè)備帶的防病毒模塊,可以在網(wǎng)絡(luò)邊界處對(duì)惡意代碼、蠕蟲(chóng)、木馬等病毒檢查和清除,防止全網(wǎng)遭受病毒感染的。通過(guò)防火墻的部署，實(shí)現(xiàn)網(wǎng)絡(luò)邊界的訪問(wèn)控制和惡意代碼檢測(cè)清除，保障系統(tǒng)的安全。防火墻優(yōu)勢(shì)基于用戶防護(hù)傳統(tǒng)防火墻中，策略都是依賴IP或MAC地址來(lái)區(qū)分?jǐn)?shù)據(jù)流，這種描述方式非常不利于管理，很多場(chǎng)景也很難完成對(duì)網(wǎng)絡(luò)狀況的清晰掌握和精確控制.因此，實(shí)現(xiàn)基于用戶的防護(hù)是下一代防火墻的重要特征。NGFW?下一代防火墻融入天融信多年以來(lái)的安全產(chǎn)品研發(fā)經(jīng)驗(yàn),總結(jié)并實(shí)現(xiàn)了一套靈活且強(qiáng)大的用戶身份管理系統(tǒng)，支持RADIUS、TACACS、LDAP、AD、郵件、證書(shū)、Ukey、短信等多種認(rèn)證協(xié)議和認(rèn)證方式.在用戶管理方面，實(shí)現(xiàn)了分級(jí)、分組、權(quán)限、繼承關(guān)系等功能，充分考慮到各種應(yīng)用環(huán)境下不同的用戶需求?；谏鲜鎏匦?網(wǎng)絡(luò)終端在訪問(wèn)網(wǎng)絡(luò)前,被強(qiáng)制要求到NGFW?下一代防火墻進(jìn)行身份認(rèn)證來(lái)完成對(duì)其的“合法性”檢查。除此之外，NGFW?下一代防火墻還集成了強(qiáng)大的安全準(zhǔn)入控制功能,針對(duì)身份認(rèn)證通過(guò)后的網(wǎng)絡(luò)終端操作系統(tǒng)環(huán)境進(jìn)行系統(tǒng)服務(wù)、軟件、文件、進(jìn)程、注冊(cè)表等細(xì)粒度的檢測(cè)與控制來(lái)實(shí)現(xiàn)對(duì)其的“合規(guī)性”檢查。通過(guò)對(duì)網(wǎng)絡(luò)終端“合法性”與“合規(guī)性”的雙重審核后，NGFW?下一代防火墻將根據(jù)其身份認(rèn)證信息（用戶ID）通過(guò)智能過(guò)濾引擎實(shí)現(xiàn)基于用戶身份的安全防護(hù)策略部署與可視化監(jiān)控。面向應(yīng)用與內(nèi)容安全精細(xì)的應(yīng)用識(shí)別與控制天融信NGFW?下一代防火墻能夠?qū)崿F(xiàn)對(duì)即時(shí)通訊、P2P下載、游戲、股票、視頻等多種應(yīng)用類型進(jìn)行深層次識(shí)別與細(xì)粒度控制。例如，可以在識(shí)別出用戶使用的即時(shí)通訊軟件是MSN、QQ、Yahoo！Messenger還是網(wǎng)易泡泡等客戶端的基礎(chǔ)上，準(zhǔn)確捕捉到用戶正在進(jìn)行的是文字通訊、語(yǔ)音視頻、文件傳輸還是音樂(lè)播放等行為，從而有目的、有針對(duì)性地加以攔截和限制。而對(duì)于占用大量網(wǎng)絡(luò)帶寬資源的P2P下載類應(yīng)用程序，在能夠進(jìn)行準(zhǔn)確識(shí)別與封堵的基礎(chǔ)上，還可以通過(guò)QoS管理框架對(duì)其使用帶寬實(shí)現(xiàn)精確控制,從而確保正常業(yè)務(wù)的通訊質(zhì)量.全面保障WEB應(yīng)用安全隨著微博、網(wǎng)絡(luò)社區(qū)、視頻分享等等這些WEB2。0時(shí)代下典型應(yīng)用技術(shù)的廣泛使用，對(duì)于WEB應(yīng)用進(jìn)行深入檢測(cè)與細(xì)粒度控制，也是天融信NGFW?下一代防火墻關(guān)注的重點(diǎn).例如，可以對(duì)微博應(yīng)用的登錄、發(fā)布、轉(zhuǎn)發(fā)、評(píng)論、私信等行為進(jìn)行精細(xì)的識(shí)別與控制.同時(shí)，NGFW?下一代防火墻內(nèi)置龐大的URL分類庫(kù)，包括惡意網(wǎng)站,違反國(guó)家法規(guī)與政策，潛在不安全網(wǎng)站，浪費(fèi)帶寬,大眾興趣，文化、時(shí)評(píng)、聊天與論壇，行業(yè)分類，計(jì)算機(jī)技術(shù)相關(guān)等8個(gè)大類，下含80多個(gè)子類，超過(guò)600萬(wàn)個(gè)URL地址分類庫(kù)。用戶可根據(jù)上述網(wǎng)站類別，對(duì)自身網(wǎng)絡(luò)的WEB應(yīng)用實(shí)施全面化管控,杜絕非法、違規(guī)網(wǎng)站的訪問(wèn)行為，從而凈化網(wǎng)絡(luò)應(yīng)用環(huán)境。強(qiáng)大的攻擊檢測(cè)能力天融信NGFW?下一代防火墻攻擊檢測(cè)引擎采用協(xié)議分析、模式識(shí)別、統(tǒng)計(jì)閥值和流量異常監(jiān)視等綜合技術(shù)手段來(lái)判斷入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊，包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲(chóng)、系統(tǒng)漏洞等在內(nèi)的11大類超過(guò)3800種網(wǎng)絡(luò)攻擊行為.專業(yè)的攻擊規(guī)則庫(kù)建立在天融信公司TopLAB攻防實(shí)驗(yàn)室與廠商、國(guó)家權(quán)威機(jī)構(gòu)長(zhǎng)期合作的基礎(chǔ)上，通過(guò)不斷跟蹤、挖掘和分析各種新的威脅信息而積累形成，并且將其直接應(yīng)用于產(chǎn)品,保障了天融信NGFW?下一代防火墻對(duì)各種攻擊行為檢測(cè)的全面、準(zhǔn)確和及時(shí)有效。除此之外，NGFW?下一代防火墻采用獨(dú)創(chuàng)的SecDFA規(guī)則匹配算法，確保其在高吞吐的網(wǎng)絡(luò)應(yīng)用環(huán)境中展現(xiàn)出強(qiáng)大的應(yīng)用層攻擊檢測(cè)性能。一體化智能過(guò)濾引擎天融信NGFW?下一代防火墻系列產(chǎn)品，采用高度集成的一體化智能過(guò)濾引擎技術(shù)。其能夠在一次數(shù)據(jù)拆包過(guò)程中，對(duì)數(shù)據(jù)進(jìn)行并行深度檢測(cè)，從而保證了協(xié)議深度識(shí)別的高效性.另外，天融信NGFW?下一代防火墻產(chǎn)品基于八元組高級(jí)訪問(wèn)控制設(shè)計(jì)，除傳統(tǒng)的五元組控制以外，實(shí)現(xiàn)了用戶身份信息、應(yīng)用程序指紋及內(nèi)容特征的識(shí)別與控制，充分體現(xiàn)了下一代防火墻關(guān)注“用戶”與“應(yīng)用”的設(shè)計(jì)理念。高效轉(zhuǎn)發(fā)平臺(tái)TOS安全系統(tǒng)平臺(tái)天融信NGFW?系列產(chǎn)品基于天融信公司十余年高品質(zhì)安全產(chǎn)品開(kāi)發(fā)經(jīng)驗(yàn)結(jié)晶的TOS（TopsecOperatingSystem）安全系統(tǒng)平臺(tái).隨著多核技術(shù)的廣泛應(yīng)用,TOS以多核硬件架構(gòu)為基礎(chǔ)，分為系統(tǒng)內(nèi)核層、硬件抽象層及安全引擎層。在安全引擎層內(nèi)，根據(jù)安全功能模塊協(xié)議特性的不同，分為網(wǎng)絡(luò)引擎組（NETWORKEngines)與應(yīng)用引擎組(APPEngines）.通過(guò)將引擎組與多核硬件架構(gòu)的完美整合，使TOS在系統(tǒng)層面實(shí)現(xiàn)了全功能多核并行流處理。而在硬件抽象層則采用多種加速技術(shù)，根據(jù)各個(gè)核心的實(shí)時(shí)負(fù)載情況，將流量按會(huì)話的方式動(dòng)態(tài)均衡到CPU的各個(gè)核心，從而確保整個(gè)CPU效率執(zhí)行的最大化。TopTURBO數(shù)據(jù)層高速處理TopTURBO是天融信自主原創(chuàng)實(shí)現(xiàn)數(shù)據(jù)層多核快速轉(zhuǎn)發(fā)的高性能業(yè)務(wù)處理技術(shù)。通過(guò)天融信NGFW?產(chǎn)品研發(fā)團(tuán)隊(duì)在TOS系統(tǒng)平臺(tái)上所進(jìn)行的大量性能優(yōu)化工作，利用TopTURBO技術(shù)將數(shù)據(jù)層高速處理解決方案平滑遷移到多核硬件平臺(tái)上，與當(dāng)今最先進(jìn)的高性能多核架構(gòu)合而為一，從而獲得更高的網(wǎng)絡(luò)處理性能。在目前主流的基于多核架構(gòu)的安全設(shè)備中，大多采用“中斷+輪詢”的數(shù)據(jù)包處理方式.此種處理方式存在系統(tǒng)資源消耗大、極易引起資源競(jìng)爭(zhēng)、系統(tǒng)響應(yīng)慢等缺點(diǎn)。具體表現(xiàn)在設(shè)備的網(wǎng)絡(luò)吞吐和新建連接達(dá)到瓶頸后，即使再增加CPU核數(shù)，性能也很難繼續(xù)提升。針對(duì)上述問(wèn)題，天融信NGFW?產(chǎn)品研發(fā)團(tuán)隊(duì)在TOS基礎(chǔ)上開(kāi)發(fā)出TopTURBO多核數(shù)據(jù)層高速處理技術(shù)。該技術(shù)特點(diǎn)在于：不再采用傳統(tǒng)的SMP多核系統(tǒng)架構(gòu)，通過(guò)對(duì)CPU資源合理優(yōu)化配置，使每個(gè)CPU核心獨(dú)立完成相關(guān)工作，減少核心分配的資源競(jìng)爭(zhēng)。不再采用傳統(tǒng)的內(nèi)存及消息管理模式，采用預(yù)分配內(nèi)存及天融信獨(dú)創(chuàng)的無(wú)鎖消息管理方式，消除消息分配的資源競(jìng)爭(zhēng)。不再采用傳統(tǒng)的中斷方式網(wǎng)卡收發(fā)包機(jī)制，采用CPU獨(dú)立收包方式，減小系統(tǒng)消耗。優(yōu)化TOS系統(tǒng)處理流程實(shí)現(xiàn)高速建立新連接，提高了新建連接效率,從而使設(shè)備具有較高的新建連接性能。天融信TOS安全系統(tǒng)平臺(tái)通過(guò)在硬件抽象層引入TopTURBO數(shù)據(jù)層高速處理技術(shù),使NGFW?下一代防火墻系列產(chǎn)品擁有高達(dá)24Gbps的網(wǎng)絡(luò)吞吐能力.多層級(jí)冗余化作為下一代防火墻技術(shù)，一個(gè)十分重要的特性是設(shè)備自身要具有靈活、豐富的高可用機(jī)制去適應(yīng)整網(wǎng)業(yè)務(wù)連續(xù)性保障方案.天融信公司擁有廣泛的用戶群體，對(duì)各類用戶的網(wǎng)絡(luò)架構(gòu)有著深刻的理解并在各種復(fù)雜網(wǎng)絡(luò)環(huán)境中有著豐富的產(chǎn)品部署經(jīng)驗(yàn).利用這一無(wú)與倫比的優(yōu)勢(shì)，將NGFW?下一代防火墻高可用特性設(shè)計(jì)為以物理級(jí)冗余、系統(tǒng)級(jí)冗余及方案級(jí)冗余的多層級(jí)冗余化架構(gòu)體系，使其能夠平滑、完整的與整網(wǎng)業(yè)務(wù)連續(xù)性保障方案實(shí)現(xiàn)融合。物理級(jí)冗余天融信公司擁有強(qiáng)大的硬件研發(fā)團(tuán)隊(duì)及設(shè)施完善的硬件實(shí)驗(yàn)室，憑借一直以來(lái)自主設(shè)計(jì)與研發(fā)硬件平臺(tái)積累的豐富經(jīng)驗(yàn)，使NGFW?下一代防火墻具有板卡冗余、模塊冗余及鏈路冗余多種物理層面的可靠性保障機(jī)制.系統(tǒng)級(jí)冗余天融信NGFW?下一代防火墻采用雙操作系統(tǒng)設(shè)計(jì)來(lái)應(yīng)對(duì)因升級(jí)失敗、文件系統(tǒng)錯(cuò)誤等系統(tǒng)故障而導(dǎo)致的設(shè)備工作異常。主用與備用系統(tǒng)之間采用分布式設(shè)計(jì),設(shè)備在正常狀態(tài)下產(chǎn)生的任何系統(tǒng)讀寫、維護(hù)等操作均在主用系統(tǒng)上完成，而備用系統(tǒng)為確保自身完整性則始終處于寫保護(hù)狀態(tài).一旦主用系統(tǒng)發(fā)生故障，備用系統(tǒng)將快速、全面的接管設(shè)備工作并可實(shí)現(xiàn)對(duì)主用系統(tǒng)的系統(tǒng)還原。方案級(jí)冗余天融信NGFW?下一代防火墻針對(duì)不同的網(wǎng)絡(luò)環(huán)境能夠提供多種雙機(jī)（或多機(jī)）部署解決方案,包括熱備、負(fù)載均衡及連接保護(hù)模式。多樣化的雙機(jī)（或多機(jī)）部署模式以及良好的網(wǎng)絡(luò)兼容性使NGFW?下一代防火墻能夠快速、平滑的接入到VRRP、HSRP、RIP、OSPF及BGP等多種路由協(xié)議應(yīng)用場(chǎng)景,在保障用戶業(yè)務(wù)連續(xù)性的基礎(chǔ)上進(jìn)而滿足各種安全防護(hù)需求.除此之外，NGFW?下一代防火墻雙機(jī)（或多機(jī)）使用自主專利技術(shù)的智能狀態(tài)傳送協(xié)議（ISTP)，ISTP能夠高效進(jìn)行系統(tǒng)之間的狀態(tài)同步,實(shí)現(xiàn)了TCP協(xié)議握手級(jí)別的狀態(tài)同步和熱備。借助ISTP，使NGFW?下一代防火墻自身實(shí)現(xiàn)“毫秒級(jí)”的設(shè)備切換,從而最大程度上確保用戶的業(yè)務(wù)連續(xù)性。項(xiàng)目實(shí)施文檔實(shí)施內(nèi)容和進(jìn)度安排(用甘特圖表示)實(shí)施的條件和措施(人員、前期準(zhǔn)備工作）前期節(jié)點(diǎn)技術(shù)人員與廠商技術(shù)人員應(yīng)加強(qiáng)技術(shù)溝通。當(dāng)?shù)丶夹g(shù)人員對(duì)原有安全設(shè)備的配置進(jìn)行逐條描述和確認(rèn)，以保證當(dāng)?shù)丶夹g(shù)人員和廠商技術(shù)人員溝通的一致性.前期進(jìn)行規(guī)則分析時(shí)，一定要認(rèn)真填表。在節(jié)點(diǎn)技術(shù)人員與廠商技術(shù)人員確認(rèn)達(dá)成一致后，才可進(jìn)行安全設(shè)備設(shè)備的配置工作。安全設(shè)備在上線前必須按照《測(cè)試方案》經(jīng)過(guò)模擬環(huán)境測(cè)試,才允許在生產(chǎn)環(huán)境中進(jìn)行切換.由于此次安全設(shè)備上線是在生產(chǎn)環(huán)境中進(jìn)行的切換,技術(shù)風(fēng)險(xiǎn)很高，各節(jié)點(diǎn)科技部門負(fù)責(zé)協(xié)調(diào)保證原安全設(shè)備廠商現(xiàn)場(chǎng)進(jìn)行技術(shù)支持，在切換過(guò)程中出現(xiàn)問(wèn)題時(shí)確保在較短的時(shí)間內(nèi)切換回原有安全設(shè)備進(jìn)行運(yùn)行。切換時(shí)，原有安全設(shè)備（含主、備機(jī)）不能關(guān)機(jī)。待業(yè)務(wù)系統(tǒng)正常運(yùn)行一周后才能撤下原安全設(shè)備設(shè)備。本項(xiàng)目安排合適的的安全設(shè)備切換時(shí)間,如兩次切換均未成功,應(yīng)及時(shí)向工程實(shí)施組報(bào)告。作好前期準(zhǔn)備工作，包括環(huán)境準(zhǔn)備、系統(tǒng)調(diào)查、工作通知、發(fā)社會(huì)公告等詳細(xì)準(zhǔn)備工作，為設(shè)備實(shí)施前作好詳細(xì)的準(zhǔn)備工作。實(shí)施前需確認(rèn)的相關(guān)信息業(yè)務(wù)系統(tǒng)情況調(diào)查防火墻方案確定給出參照的標(biāo)準(zhǔn)和規(guī)范，給出防火墻網(wǎng)絡(luò)拓?fù)鋱D。分析一些通用已經(jīng)執(zhí)行的方案，進(jìn)行對(duì)比，確定選用的方案.要求給出邊界防火墻、內(nèi)部防火墻、數(shù)據(jù)服務(wù)器防火墻三種目標(biāo)分別具體實(shí)現(xiàn)其一，給出產(chǎn)品選擇、部署方針、測(cè)試方案。具體實(shí)現(xiàn)邊界防火墻;選擇的防火墻如下,主要看中該防火墻強(qiáng)大的吞吐量適合于大學(xué)校園的需求；產(chǎn)品名稱:CheckPointPower—19075產(chǎn)品價(jià)格:787500防火墻類型：Power防火墻網(wǎng)絡(luò)吞吐量：16Gbps并發(fā)連接數(shù)：1200000主要功能：通過(guò)提供高達(dá)25Gbps防火墻吞吐率和15Gbps的入侵防護(hù)吞吐率，能夠確保業(yè)務(wù)關(guān)鍵性應(yīng)用的可用性.為大型辦公室和數(shù)據(jù)中心提供增強(qiáng)的企業(yè)安全部署。提供全面的網(wǎng)絡(luò)安全功能，包括防火墻、IPS、IPsecVPN、高級(jí)網(wǎng)絡(luò)、加速和集群軟件刀片。通過(guò)可選的軟件刀片為不斷涌現(xiàn)的威脅提供安全防護(hù),李榮VoIP、Web安全、防病毒等。通過(guò)為所有站點(diǎn)提供的單一管理控制臺(tái)實(shí)現(xiàn)簡(jiǎn)單的管理部署方針：對(duì)收到的數(shù)據(jù)包進(jìn)行分析后,將合法的請(qǐng)求通過(guò)內(nèi)部網(wǎng)卡傳送給相應(yīng)的服務(wù)主機(jī)，對(duì)于非法訪問(wèn)加以拒絕。在局域網(wǎng)的入口架設(shè)行兆防火墻，并實(shí)現(xiàn)VNP的功能，在校園網(wǎng)絡(luò)入口建立第一層的安全屏障，VPN保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。內(nèi)部接口與dmz接口、外部接口通信測(cè)試步驟：（如策略配置禁止ping，請(qǐng)臨時(shí)打開(kāi))1）、從內(nèi)部網(wǎng)1臺(tái)工作站執(zhí)行命令ping防火墻DMZ接口IP地址；2）、從內(nèi)部網(wǎng)1臺(tái)工作站執(zhí)行命令ping防火墻外部接口IP地址；預(yù)期結(jié)果：ping的成功率為100%外部接口與外部網(wǎng)通信測(cè)試步驟:1)、設(shè)定1臺(tái)工作站IP地址與防火墻外部接口IP地址在同一網(wǎng)段，并通過(guò)交換機(jī)互連（在同一VLAN）；2）、從工作站執(zhí)行命令ping防火墻外部接口IP地址。預(yù)期結(jié)果：ping的成功率為100%外部接口與dmz接口、內(nèi)部接口通信測(cè)試步驟:1)、設(shè)定1臺(tái)工作站IP地址與防火墻外部接口IP地址在同一網(wǎng)段，并通過(guò)交換機(jī)互連（在同一VLAN）；2）、從工作站執(zhí)行命令ping防火墻dmz接口IP地址。3）、從工作站執(zhí)行命令ping防火墻內(nèi)部接口IP地址。預(yù)期結(jié)果:ping的成功率為0%Dmz接口與內(nèi)部接口通信測(cè)試步驟：1）、設(shè)定1臺(tái)工作站IP地址與防火墻dmz接口IP地址在同一網(wǎng)段，并通過(guò)交換機(jī)互連（在同一VLAN）；2）、從工作站執(zhí)行命令ping防火墻內(nèi)部接口IP地址。預(yù)期結(jié)果：ping的成功率為0%防火墻的部署、配置與管理結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和具體的建筑物關(guān)系，給出工程施工，用工計(jì)劃、用工協(xié)議、工程施工進(jìn)度表，供貨時(shí)間表、會(huì)議紀(jì)要、工程預(yù)算表、工程施工預(yù)算表、設(shè)備材料進(jìn)貨檢驗(yàn)單、工程開(kāi)工報(bào)告、設(shè)計(jì)變更單、施工日志、質(zhì)量工程檢查記錄、系統(tǒng)調(diào)試合格證書(shū)、竣工報(bào)告單、驗(yàn)收申請(qǐng)單.物理環(huán)境需求表分行名稱填寫人填寫時(shí)間物理環(huán)境說(shuō)明共計(jì)備注機(jī)柜空間每個(gè)安全設(shè)備需要2U的機(jī)柜空間,兩臺(tái)安全設(shè)備共計(jì)需要4U空間4U可用交叉線用于安全設(shè)備與上聯(lián)設(shè)備和下聯(lián)設(shè)備進(jìn)行網(wǎng)絡(luò)連接8條可用直通線用于安全設(shè)備與上聯(lián)設(shè)備和下聯(lián)設(shè)備進(jìn)行網(wǎng)絡(luò)連接8條電源每個(gè)千兆安全設(shè)備均采用雙鏈路供電方式，兩臺(tái)安全設(shè)備共需要4個(gè)電源接口4個(gè)設(shè)備接口原安全設(shè)備上聯(lián)和下聯(lián)設(shè)備接口數(shù)(實(shí)施中為雙機(jī)熱備,各需要兩個(gè)接口)2個(gè)項(xiàng)目設(shè)備到貨確認(rèn)單北京師范大學(xué)珠海分校,已于年月日從_________________向貴單位發(fā)送“XXX"項(xiàng)目所使用的臺(tái)安全設(shè)備,共計(jì)箱。請(qǐng)貴單位依據(jù)實(shí)際到貨情況填寫下表，并通過(guò)回傳至__________________________。.貨物名稱發(fā)貨數(shù)量設(shè)備到貨日期數(shù)量是否齊全外包裝是否完整XXX臺(tái)年月日□是□否□是□否本簽收單一式四份最終用戶單位：最終用戶代表簽字/蓋章: ：____________________ 日期：________________ 安全設(shè)備加電測(cè)試表請(qǐng)根據(jù)實(shí)際情況進(jìn)行填寫用戶單位設(shè)備產(chǎn)品序列號(hào)名稱及版本號(hào)規(guī)格型號(hào)加電測(cè)試序號(hào)檢查項(xiàng)目現(xiàn)象描述1加電能否正常啟動(dòng)是否簡(jiǎn)要描述不能啟動(dòng)的現(xiàn)象：2管理器聯(lián)接是否正常是否簡(jiǎn)要描述不能正常連接的現(xiàn)象：3檢查license請(qǐng)求文件是否上載成功是否“系統(tǒng)配置”菜單的“升級(jí)許可”選項(xiàng)中的LICENSE加載不成功的現(xiàn)象：4檢查版本號(hào)是否與產(chǎn)品清單一致是否如果不一致，登錄看到的版本號(hào)：5檢查端口數(shù)量是否與產(chǎn)品清單的規(guī)格型號(hào)一致是否如果不一致，登錄看到的端口數(shù)量:其他：用戶代表簽字/日期廠商代表簽字/日期安全設(shè)備安裝實(shí)施報(bào)告設(shè)備安裝實(shí)施報(bào)告客戶名稱項(xiàng)目名稱客戶負(fù)責(zé)人客戶聯(lián)系安裝工程師服務(wù)聯(lián)系到達(dá)時(shí)間離開(kāi)時(shí)間主要設(shè)備信息序號(hào)設(shè)備型號(hào)設(shè)備編號(hào)或描述數(shù)量12345安裝過(guò)程內(nèi)容備注用戶代表簽字安裝工程師簽字日期日期安全設(shè)備初驗(yàn)報(bào)告單驗(yàn)收單位名稱項(xiàng)目名稱驗(yàn)收行負(fù)責(zé)人驗(yàn)收單位聯(lián)系供貨方驗(yàn)收工程師供貨方驗(yàn)收工程師聯(lián)系序號(hào)產(chǎn)品序列號(hào)12序號(hào)驗(yàn)收項(xiàng)目說(shuō)明結(jié)論1網(wǎng)神安全設(shè)備到貨驗(yàn)收是否2網(wǎng)神安全設(shè)備模擬測(cè)試結(jié)果驗(yàn)收是否3網(wǎng)神安全設(shè)備上線測(cè)試結(jié)果驗(yàn)收是否設(shè)備整體驗(yàn)收結(jié)論正常現(xiàn)象描述:不正?，F(xiàn)象描述:驗(yàn)收單位負(fù)責(zé)人簽字供貨方驗(yàn)收工程師簽字日期日期安全設(shè)備設(shè)備運(yùn)行報(bào)告單驗(yàn)收單位名稱項(xiàng)目名稱驗(yàn)收單位負(fù)責(zé)人驗(yàn)收單位聯(lián)系供貨方驗(yàn)收工程師供貨方驗(yàn)收工程師聯(lián)系序號(hào)產(chǎn)品序列號(hào)123序號(hào)驗(yàn)收項(xiàng)目說(shuō)明結(jié)論1是否2是否3是否4是否5是否設(shè)備整體驗(yàn)收結(jié)論正?，F(xiàn)象描述：不正?，F(xiàn)象描述：驗(yàn)收行負(fù)責(zé)人簽字供貨方驗(yàn)收工程師簽字日期日期安全設(shè)備故障處理報(bào)告單編號(hào):基本信息廠商負(fù)責(zé)人：節(jié)點(diǎn)名稱：聯(lián)系：Email地址：產(chǎn)品名稱:版本號(hào):產(chǎn)品型號(hào)：?jiǎn)栴}描述問(wèn)題描述（包括問(wèn)題現(xiàn)象、拓樸結(jié)構(gòu)、應(yīng)用軟件等）：?jiǎn)栴}處理問(wèn)題產(chǎn)生原因及解決方法描述：實(shí)際處理時(shí)間：從年月日至年月日用戶代表簽字廠商代表簽字日期日期安全項(xiàng)目計(jì)劃變更單項(xiàng)目名稱待變更項(xiàng)目計(jì)劃名稱/版本客戶單位名稱負(fù)