防火墙测试报告Word格式.docx
《防火墙测试报告Word格式.docx》由会员分享,可在线阅读,更多相关《防火墙测试报告Word格式.docx(18页珍藏版)》请在冰豆网上搜索。
CPU与存储硬件
端口
电源
防火墙2Gbps
VPN400Mbps
ASICversion:
CP5
ASICSRAM:
64M
CPU:
Intel(R)Xeon(TM)CPU3.20GHz
RAM:
1009MB
CompactFlash:
122MB/dev/hdc
10个1000Base-T端口
2个千兆小包加速口
2个冗余220V交流电源
3防火墙测试方案
为全面验证测试防火墙的各项技术指标,本次测试方案的容包括了以下主要局部:
根本性能测试、压力仿真测试、抗攻击测试。
测试严格依据以下标准定义的各项规:
GB/T18020-1999信息技术应用级防火墙平安技术要求
GB/T18019-1999信息技术包过滤防火墙平安技术要求
RFC2544BenchmarkingMethodologyforNetworkInterconnectDevices
3.1平安功能完整性验证
目标:
验证防火墙在平安管理、组网能力、访问控制、日志、报警、审计等必要的平安功能组成的完整性以及集成在防火墙中的其它辅助平安功能。
3.1.1防火墙平安管理功能的验证
1)测试目的:
本项测试通过查看相应配置项,验证防火墙具备必要的平安管理手段。
2)测试时间:
__2021-7-23____
3)测试人员:
___XXXXXX一
4)过程记录:
测试项
测试用例
测试结果
备注
管理方式
本地管理
Yes〔Y〕No〔〕
集中控管需要配置Fortimanager设备
远程命令行管理
远程GUI管理
管理地址认证
集中控管
管理员接入平安
管理员分级管理
密码至少6位
连续登陆三次失败,账户锁定3分钟
静态口令
Yes〔〕No〔〕
口令长度大于等于7
有登录尝试次数限制
信道加密
密钥长度支持128位以上
3.1.2防火墙组网功能验证
本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。
_2021-7-23____
接口
>
=4个接口
支持灵活的平安域划分,且平安分区与接口无关
支持子接口
组网协议
静态路由
动态路由
支持802.1QVLAN协议
物理构造
符合标准机架要求
支持虚拟防火墙
3.1.3防火墙访问控制功能验证
本项测试用于明确防火墙平安规那么配置的合理性和完整性。
_2021-7-22____
___XXX钱振
步骤
检查容
结果
1
查看平安分区配置
a)支持平安分区;
〔Y〕
b)无明确的平安分区;
2
查看过滤规那么菜单的配置参数
c)支持源/目的IP地址/端口过滤;
d)支持TCP状态检测过滤;
e)支持UDP状态检测过滤;
f)支持ICMP协议过滤;
g)支持自定制协议超时时间〔〕
3
查看应用效劳的平安过滤配置
a)支持HTTP代理;
b)支持SMTP代理;
〔〕
c)支持POP3代理;
d)支持FTP代理;
〔〕
e)支持h.323代理〔〕
f)支持应用代理的自动启用〔〕
4
容过滤支持检验
a)支持过滤java组件〔Y〕
b)支持过滤Activex组件〔Y〕
c)支持过滤ZIP文件〔Y〕
d)支持过滤EXE文件〔Y〕
在病毒检查中配置
注解:
验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况那么在备注一栏中补充说明。
3.1.4日志审计及报警功能验证
验证防火墙日志审计容的完整性及报警能力。
_2021-06___
___xxxxxx
检查日志的审计功能界面
a)带有日志查阅工具;
b)日志分级,分类存储〔Y〕
支持向fortiAnalyzer或syslog效劳器上传日志
检查登录防火墙的日志记录。
c)记录包含登录时间;
d)记录包含登录者账号信息;
e)记录包含成功/失败信息;
Q
检查退出防火墙的日志记录。
f)记录包含退出时间;
检查防火墙功能被启动的日志记录
g)记录包含功能启用时间;
h)记录包含操作员标识〔〕
5
检查对防火墙平安规那么进展配置的记录
i)记录包含配置时间;
j)记录包含操作员标识;
k)配置变化〔相应项的增、删、改〕;
6
检查防火墙对所监控的TCP连接做的记录
l)tcp连接发起的时间;
m)tcp连接终止的时间;
n)源ip地址;
o)源端口号;
p)目的ip地址;
q)目的端口号;
1、验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况那么在备注一栏中补充说明。
3.1.5防火墙附加功能验证
本项测试通过查看相应配置项,明确防火墙提供的其他附加功能。
查看地址配置
a)支持桥接模式;
b)支持IP/MAC绑定;
查看DNS的配置菜单
c)支持DNS解析;
DNS代理
查看路由配置
d)支持虚拟路由器〔Y〕
e)支持源地址路由〔〕
f)支持目的地址路由〔〕
查看NAT配置
g)支持MIP;
h)支持DIP;
i)支持VIP;
查看VPN配置
j)支持DES加密IPSec〔Y〕
k)支持3DES加密IPSec〔Y〕
l)支持AES加密;
m)支持Site-to-SiteVPN;
深度检测
n)支持深度检测(DI)防火墙〔Y〕
预定义检测规那么
7
DoS/DDoS防护
o)支持Synflood防护〔Y〕
p)支持udpflood防护〔Y〕
q)支持icmpflood防护〔Y〕
r)支持windowswinnukeattack防护〔Y〕
s)支持pingofdeath防护〔Y〕
t)支持Teardrop防护〔Y〕
u)支持LandAttack防护〔Y〕
3.2防火墙根本性能验证
性能测试局部主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规,对防火墙的吞吐量、延迟和丢包率三项重要指标进展验证。
在性能测试中,需要综合验证防火墙桥接模式的性能表现。
拓扑图采用以下方案:
3.2.1吞吐量测试
这项测试用来确定防火墙在接收和发送数据包而没有丧失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的根底。
它反映的是防火墙的数据包转发能力。
因为数据流中一帧的丧失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。
同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。
更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。
1)测试时间:
_2021-06____
2)测试人员:
3)测试结果:
(单条规那么,2GE,1G双向流量测试小包加速结果)
帧长〔字节〕
64
128
256
512
1024
1280
1518
桥接模式双向零丢包率吞吐率(%)
100
(单条规那么,2GE,1G双向流量测试无小包加速结果)
14.48
25.87
45.10
87.50
3.2.2延迟测试
延时是指从测试数据帧的最后一个比特进入被测设备端口开场至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。
延迟指标对于一些对实时敏感的应用,如网络、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。
所有帧长的延迟测试100%吞吐率下进展,横向比拟的是存储转发的延迟结果。
单机转发延迟〔一条规那么,2个GE口,1Gbps双向流量〕
包转发延迟(us)CT
3.8
4.6
6.2
8.9
12.4
14.7
16.8
包转发延迟(us)S&
F
3.2
3.6
4.2
4.9
4.5
4.7
40.2
39.9
49.7
55.6
83.1
90.9
101.2
39.7
38.9
47.7
51.6
75
80.7
89.1
3.3压力仿真测试
考虑到防火墙在实际应用中的复杂性,包括大量的控制规那么设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。
因此,在本次的测试方案中,我们需要进展压力仿真测试,模拟实际应用的复杂度。
考虑到测试时间及测试环境的限制,压力测试选取以下最为重要的几点进展,本次测试进展防火墙桥接模式的验证,拓扑图采取以下方案:
防火墙部署在实际网络中,较多的平安控制规那么的设置是影响性能发挥的一个重要原因。
规那么设置的条数与网络规模的大小以及平安策略的粒度有关。
本次测试以100条控制规那么压力为前提进展,性能考虑吞吐量和延迟和丢包率。
_2021-__
单机吞吐率〔100条规那么,2个GE口,1Gbps双向流量测试小包加速结果〕
桥接模式双向零丢包率,压力吞吐率〔%〕
单机吞吐率〔100条规那么,2个GE口,1Gbps双向流量测试无小包加速结果〕
79.17
单机转发延迟〔100条规那么,2个GE口,1Gbps双向流量小包加速结果〕
3.7
6.3
8.4
12.7
15.4
17.0
3.9
4.3
5.2
单机转发延迟〔100条规那么,2个GE口,1Gbps双向流量无小包加速结果〕
42.3
37.1
36.7
78.2
93
102
41.8
36.1
34.6
45.7
70.1
82.8
89.8
3.4抗攻击能力测试
采用以下拓扑进展测试,攻击源使用UDPflood、ICMPflood、SYNflood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进展攻击,攻击流量约80Mbps。
_2021___
NetscreenSSG550
单条规那么,1G双向流量测试,在没有受到防火墙保护条件下:
a)防火墙存可用率为84%,系统占用CPU率9%,总session数为接近214435条。
b)单机吞吐率:
6.95
10.05
3.13
3.76
8.76
6.88
12.50
c)单机转发延迟:
吞吐量过低,延时测试失败
1条规那么,1G双向流量测试,在受到防火墙保护条件下:
a)防火墙存可用率为84%,系统占用CPU率9%,总session数106条。
小包加速
无小包加速
11.32
19.44
35.66
65.58
80.05
87.49
8.6
15.6
16.9
5.4
57.3
314
435
646.9
83.5
265
138.7
56.8
313
433
642.9
75.4
254.8
126.6