河北网通测试报告初稿.docx

河北网通测试报告初稿.docx

《河北网通测试报告初稿.docx》由会员分享，可在线阅读，更多相关《河北网通测试报告初稿.docx（44页珍藏版）》请在冰豆网上搜索。

河北网通测试报告初稿

河北网通

CheckPoint安全产品测试报告

（初稿）

2006-3-26

1.前言

随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。

城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。

网络的安全性直接影响到社会的经济效益。

例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。

随着网络安全问题重要性增加，如何保证城域网安全，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为城域网建设和运营所关注的重点。

本测试建议按照CheckPoint针对河北网通提交的城域网安全方案制定，主要目的在于验证方案在河北网通城域网中的可用性，适用性和扩展性。

2.参考标准

RFC2544/2647

GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》

GB/T18019-1999《信息技术包过滤防火墙安全技术要求》

GB/T18020-1999《信息技术应用级防火墙安全技术要求》等

3.虚拟防火墙测试

3.1测试平台

参考实际的防火墙使用环境建立测试平台，分别模拟内部网络、公共网络。

3.1.1测试拓扑

（1）

6808通过策略路由区分用户，将重要用户流量送到CheckPointVSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。

CheckPointVSX直接通过一条物理链路上连到7609，7609上写静态路由将到重要用户网段的流量送回CheckPointVSX。

（2）

6808通过策略路由区分用户，将重要用户流量送到CheckPointVSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。

CheckPointVSX通过一条物理链路连回6808，6808通过trunk利用原有物理链路上连7609，7609上写静态路由将到重要用户网段的流量送到CheckPointVSX。

（3）

在7609上起VRF，与客户A关联；在6808上起VRF，分别与CheckPointVSX和客户B关联。

客户A和客户B需要访问互联网时，通过MPLS到达与CheckPointVSX相连的VRF，6808通过trunk将流量送到CheckPointVSX。

CheckPointVSX根据VLAN标识将流量分配到相关虚拟防火墙VS1和VS2。

虚拟防火墙VS1和VS2实施NAT，并进行访问控制和攻击防范。

CheckPointVSX通过一条直接物理链路上连到7609。

（4）

在7609上起VRF，与客户A关联；在6808上起VRF，分别与CheckPointVSX和客户B关联。

客户A和客户B需要访问互联网时，通过MPLS到达与CheckPointVSX相连的VRF，6808通过trunk将流量送到CheckPointVSX。

CheckPointVSX根据VLAN标识将流量分配到相关虚拟防火墙VS1和VS2。

虚拟防火墙VS1和VS2实施NAT，并进行访问控制和攻击防范。

CheckPointVSX通过一条物理链路连回6808，6808通过trunk利用原有物理链路上连7609。

3.1.2测试设备

1．CheckPointVSX/Crossbeam防火墙一台

2．6808和7609各一台

3．预装Windows2000Server的PC服务器若干

4．笔记本电脑或台式机若干（至少三台）

3.2测试方法

1．普通重要用户集中互联网访问控制：

通过策略路由将数据包送往不同的虚拟防火墙处理

2．MPLS用户的集中互联网访问控制

通过VLANtrunk将MPLS用户流量送往不同的虚拟防火墙处理

3.3功能测试

3.3.1防火墙设备和策略基本管理

【测试目标】

通过实现主要的防火墙管理功能验证待测系统操作界面的配置能力和可以实现的配置项目，以及对系统的管理功能。

【测试步骤】

步骤

测试内容

1.

初始化设置系统

2.

以不同用户等级登录系统

3

创建设备本身的安全访问列表Any,Any,Any,Accept

4

校验策略

5

安装策略

6

登录系统远程管理

【测试结果】

测试项目

测试结果

1.用户界面支持

命令行（CLI）

（√）是/否

Web界面

（√）是/否

GUI界面

（√）是/否

控制台管理

（√）是/否

其他

6.多级用户管理：

修改对象

（√）是/否

修改策略

（√）是/否

完全权限

（√）是/否

9.基本防火墙管理功能：

1）登录

用户名/口令

（√）是/否

其他

RADIUS,证书

2）策略创建

基于用户创建策略

（√）是/否

基于组创建策略

（√）是/否

基于IP地址创建策略

（√）是/否

基于端口创建策略

（√）是/否

3）安装校验策略

支持策略校验

（√）是/否

11.远程管理：

Web界面支持SSL

（√）是/否

支持SSH

（√）是/否

版本_V2______

专用客户端加密

（√）是/否

小结

CheckPoint虚拟防火墙VSX具有丰富的管理功能。

可以进行本地管理，也可以通过远程管理。

具有专用管理客户端软件，Web和命令行管理方式，提供给用户多种选择。

虚拟防火墙VSX的策略配置非常直观且易于设定。

尤其提供策略验证功能，在规则很多且前后有冲突时，可以进行自动检测，并提示用户，从而有效地避免错误的发生。

3.3.2虚系统

检测对虚拟系统的支持情况。

虚拟系统可以在一个物理的设备虚拟出多个逻辑设备，各个虚拟系统之间都是独立的。

【测试目标】

测试系统是否提供对虚拟系统的支持及相应的工作模式的配合。

【测试步骤】

步骤

测试内容

1

通过防火墙管理界面定义虚拟路由器

2

通过防火墙管理界面定义虚拟交换机

3

通过防火墙管理界面定义虚拟防火墙（路由模式）

4

定义安全策略，测试虚拟防火墙工作状态

5

通过防火墙管理界面定义虚拟防火墙（透明模式）

6

定义安全策略，测试虚拟防火墙工作状态

【测试结果】

测试项目

测试结果

虚拟防火墙支持

（√）是/否

虚拟路由器支持

（√）是/否

虚拟交换机支持

（√）是/否

虚拟防火墙路由模式支持

（√）是/否

虚拟防火墙透明模式支持

（√）是/否

小结

CheckPoint虚拟防火墙VSX可以实现完整的虚拟网络环境。

它可以虚拟路由器，交换机，路由模式防火墙和桥模式（透明模式）防火墙。

同时路由模式防火墙和桥模式防火墙可以共存，具有灵活的适应性。

3.3.3状态监测

状态监测是根据安全策略实施对通过防火墙的数据流进行控制，允许通过或采取相应措施。

防火墙系统的安全规则，每一条策略都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个策略开始查起，如果符合，然后执行该策略指示的动作，状态检测技术针对协议，抽取连接的状态信息，并建立状态连接表。

当没有一条合适的策略时，系统的默认动作是拦截。

【测试目标】

测试防火墙的状态检测机制是否正常，防火墙系统的安全规则的构成要素的是否清晰、详细，安全策略能够是否得以可靠执行。

状态连接表是否可以正常建立，并具备安全性和可靠性。

【测试步骤】

步骤

测试内容

1

根据条件域建立源地址/掩码为（___.___.___.___/__）,目的地址/掩码为（___.___.___.___/__）,协议为____的安全策略。

2

根据选项域，选择日志选项、报警选项。

3

动作项选择Drop。

4

使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包被丢弃，则安全策略生效。

5

重复1、2步骤，动作项选择Reject。

6

使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包被拒绝，并返回信息，则安全策略生效。

7

重复1、2步骤，动作项选择Accept。

8

使用笔记本或台式机模拟客户端，发起对服务器的访问，观察日志，如数据包通过防火墙，则安全策略生效。

【测试结果】

安全策略构成测试结果

条件域

源地址/掩码

（√）是/否

源端口

（√）是/否

目的地址/掩码

（√）是/否

目的端口

（√）是/否

传输协议

（√）是/否

其他

选项域

日志

（√）是/否

时间

（√）是/否

告警

（√）是/否

其他

动作域

允许

（√）是/否

阻止（Drop）

（√）是/否

拒绝（Reject）

（√）是/否

其他

状态表有效性检测结果

状态表有效性

安全规则有效

（√）是/否

TCP连接建立有效性

（√）是/否

UDP虚连接建立有效性

（√）是/否

ICMP连接建立检测

（√）是/否

小结

CheckPoint虚拟防火墙VSX采用CheckPoint发明且拥有专利的状态监测技术设置规则对流量进行访问控制。

规则设定可以根据源地址/掩码，源端口，目的地址/掩码，目的端口，协议类型，时间，采取接受，丢弃和拒绝的行动，并决定对匹配流量是否审计如记录日志，报警等。

CheckPoint的状态监测技术不是简单的端口控制，而是基于协议的控制，它不仅检查端口，还要检查通信是否符合该协议的定义，跟踪协议的执行过程以判断流量是否符合预期用法。

例如，如果定义一个tftp服务器使用udp53进行通信，而在CheckPoint防火墙上定义只有dns（udp53）流量才能通过，结果是tftp流量虽然利用udp53,但由于不是dns流量，通讯被防火墙拒绝。

3.3.4支持的服务类型

【测试目标】

测试防火墙系统所能支持的服务类型，以确认防火墙可以为用户提供安全防护的范围。

【测试步骤】

查看防火墙配置界面，确认预定义服务；对于未定义服务，通过防火墙配置界面手工添加。

【测试结果】

预定义协议

测试结果

Daytime

（√）是/否

Discard

（√）是/否

DNS

（√）是/否

Echo

（√）是/否

Exec

（√）是/否

Finger

（√）是/否

FTP

（√）是/否

Gopher

（√）是/否

Http

（√）是/否

Https

（√）是/否

H323

（√）是/否

ICMP

（√）是/否

IGMP

（√）是/否

IKE

（√）是/否

IMAP

（√）是/否

IPsec

（√）是/否

IRC

（√）是/否

Kerberos

（√）是/否

LDAP

（√）是/否

NBT

（√）是/否

NCP

（√）是/否

Netmeeting

（√）是/否

NFS

（√）是/否

NNTP

（√）是/否

NTP

（√）是/否

OSPF

（√）是/否

PCAnywhere

（√）是/否

POP2

（√）是/否

POP3

（√）是/否

PPTP

（√）是/否

Radius

（√）是/否

Redirect

（√）是/否

RIP

（√）是/否

SHELL

（√）是/否

SIP

（√）是/否

SMTP

（√）是/否

SNMP

（√）是/否

Syslog

（√）是/否

Tacacs

（√）是/否

Tacacs+

（√）是/否

Telnet

（√）是/否

Tftp

（√）是/否

Time

（√）是/否

Traceroute

（√）是/否

UUCP

（√）是/否

X11

（√）是/否

协议自定义支持

测试结果

支持协议定义

TCP任意

（√）是/否

UDP任意

（√）是/否

其他

_ICMP，RPC，DEC-RPC，IP_____________

小结

CheckPoint虚拟防火墙VSX预先定义的服务、协议和应用支持的数量超过160种，同时用户还可以自行定义，进行方便的扩展。

此次测试中，受测试设备和环境所限，只测试了一些常用服务，如http,ftp,dns,smtp,pop3,icmp,nbsession,Microsoft-ds等，防火墙可以很好的识别并对其进行访问控制。

对于其它协议，通过查看防火墙管理配置界面，发现在CheckPoint防火墙中均有定义。

协议的扩展也非常简单，对于新的协议的支持，一方面可以通过升级从厂家获得，另一方面用户可以通过管理界面进行非常方便的自定义。

3.3.5网络地址转换

网络地址转换可以解决正式注册IP不足的问题，可以对进入的IP包进行转换，实际应用为地址映射和重定向。

防火墙系统的地址转换规则分为地址映射和重定向两种。

【测试目标】

确认产品NAT配置的灵活性和方便性。

【测试步骤】

步骤

测试内容

1

复位系统，测试环境初始化；

2

在控制工作站上进入待测防火墙的管理界面，设置好各快速以太网口的IP地址。

3

由于待测系统的默认动作是拦截，为了使问题单一和集中，我们把待测防火墙系统设置为可以通过所有IP包，加入安全规则：

条件：

源地址类型/地址/端口

网络/所有/所有

目标地址类型/地址/端口

网络/所有/所有

动作：

通过

4

加入地址转换（NAT）规则

N:

11:

1方式

【测试结果】

测试项目

测试结果

1：

1

（√）是/否

N：

1

（√）是/否

小结

CheckPoint虚拟防火墙VSX可以支持静态地址转换（一对一）和动态地址转换（多对一）。

3.3.6网络日志和报警功能

防火墙系统的网络日志功能包括网络日志和网络监测，网络日志是指将所有对被限制资源进行访问的请求记录下来，而不让尝试访问的人知道。

网络监测可以对所有流过防火墙的IP包进行记录。

3.3.6.1网络日志测试

【测试目标】

测试目的在于考察待测防火墙是否具有网络日志的功能。

【测试步骤】

步骤

测试内容

1

建立安全策略：

条件域：

的源地址/掩码为（___.___.___.___/__）,目的地址/掩码为（___.___.___.___/__）,协议为____。

动作域：

选择Drop。

选项域：

选择日志选项。

2

模拟数据流量，观察网络日志。

3

实施系统管理员操作，观察管理员日志。

4

重新启动系统，观察系统日志。

5

检索指定字段值的日志，如指定源地址的日志。

6

将日志输出到文件

7

如果具有日志分析功能，使用日志分析功能，生成报表。

3.3.6.2网络报警测试

【测试目标】

测试目的在于考察待测防火墙系统是否具有网络报警的功能。

【测试步骤】

步骤

测试内容

1

根据条件域建立源地址/掩码为（___.___.___.___/__）,目的地址/掩码为（___.___.___.___/__）,协议为____的安全策略。

根据选项域，选择报警选项。

动作项选择Drop。

2

模拟触发报警的数据流量。

3

观察报警情况。

【测试结果】

测试项目

测试结果

日志项

网络

日志

防火墙日志

（√）是/否

VPN日志

（√）是/否

攻击防护日志

（√）是/否

管理员日志

（√）是/否

日志功能

日志的完整性测试

可提供日志项超过200项

日志过滤功能

（√）是/否

日志输

出功能

日志服务器

（√）是/否

文件输出

（√）是/否

日志分

析功能

自带日志分析功能

（√）是/否

第三方日志分析接口

（√）是/否

何种接口：

LEA

其他

报警

SNMP报警

（√）是/否

邮件报警

（√）是/否

界面报警

（√）是/否

其它报警方式

用户自定义

小结

CheckPoint虚拟防火墙VSX可以提供丰富的日志功能，可以提供的日志项超过200项，由于对流量检查得比较深入，所以几乎所有用户关注的选项CheckPoint均可提供。

CheckPoint提供专有日志服务器存储日志，日志服务器采用数据库形式存储数据，所以既可以提供实时日志，也可以提供历史日志。

日志存储容量的大小仅与硬盘大小有关。

为了方便日志转储，CheckPoint提供自动日志切换功能，比如在凌晨一点进行日志切换，即将现有活动日志存贮为文件，同时打开一个新的活动日志。

存储的日志文件可以拷贝或备份到其它介质。

为了避免日志容量过大占据全部硬盘空间，从而影响系统，CheckPoint提供自动硬盘剩余空间检测功能，用户可以设置硬盘剩余空间多少时，防火墙报警；硬盘空间剩余多少时，防火墙不再记录日志等。

日志服务器支持冗余，可以指定第二台日志服务器。

防火墙可以同时发送日志给两台日志服务器，也可以定义防火墙发送日志到主日志服务器，当主日志服务器不可用，防火墙发送日志到备份日志服务器。

CheckPoint防火墙可以提供管理员审计日志，例如管理员名字，何时登录，作了何种操作等，均被记录，便于排错。

CheckPoint可以提供接口LEA（日志输出API）供第三方接收并分析日志数据。

除了控制台，snmp和mail报警外，用户可以自定义三种报警方式。

将用户自定义报警（如发短信）脚本或程序放在CheckPoint中央管理服务器相关目录，在流量触发报警后，防火墙会调用用户自定义脚本或程序通知用户。

CheckPoint自带报表功能，通过对日志进行分析，可以对网络状况，攻击和规则库作出统计，供决策分析。

例如可以提供规则库分析，哪条规则的匹配次数最多，流量最大，便于用户调整规则库。

例如可以提供某一台防火墙流量最大前5种服务是什么，便于管理员对网络状况有更清晰的了解。

例如可以提供针对被保护用户的攻击分析，使用户了解在一段时间内所受到的攻击以及防火墙提供的保护。

3.3.7入侵防御功能

入侵检测能力作为一个功能模块运行在防火墙的内部，与防火墙紧密结合在一起，所以相对于标准的网络入侵检测系统NIDS，有一些不同的特点，但是可以满足在一些没有部署IDS地方与防火墙一起部署提供一个更高安全性。

【测试目标】

考察系统是否支持内嵌的入侵检测功能、能够检测的攻击特征（Signature）的数量以及是否能够按照用户的配置来基于防火墙的访问策略来选择是否进行入侵检测，并考察是否提供日志、报警、特征库升级和阻断攻击的能力。

【测试步骤】

步骤

测试内容

1

观察防火墙攻击防御部分设置，查看可防御攻击种类和范围

2

模拟几种攻击测试，查看结果

【测试结果】

测试项目

测试结果

入侵防御功能模块是否提供全局开关

（√）是/否

对每个具体的攻击可配置是否启用

（√）是/否

对每个具体的攻击可自定义告警方式

（√）是/否

对每个具体的攻击提供的告警方式的种类

Snmptrap（√）是/否

Email（√）是/否

对每个具体的攻击可自定义是否采用监听模式

（√）是/否

对检测到的入侵事件提供日志

（√）是/否

方便地进行攻击库的升级

（√）是/否

小结

CheckPoint虚拟防火墙VSX通过SmartDefense工具对攻击进行防护，它不仅可以防范网络层的攻击，也可以防范应用层的攻击。

SmartDefense可以工作在监听模式，即只检查并记录日志，但不采取拦截动作，从而可以更好的适应用户网络。

CheckPoint可以提供攻击分类库和底层代码的在线升级功能，从而保证可以防御最新的攻击。

本次测试，由于条件有限，使用大包ping，红色代码蠕虫，尼姆达蠕虫进行测试，防火墙均有效拦截攻击，并在日志中显示相关条目。

4.实体防火墙（非虚拟）测试

4.1测试平台

参考实际的防火墙使用环境建立测试平台，分别模拟内部网络、公共网络。

4.1.1测试拓扑

4.1.2测试设备

1．CheckPointVPN-1Pro/Crossbeam防火墙一台

2．6808和7609各一台

3．预装Windows2000Server的PC服务器若干

4．笔记本电脑或台式机若干（至少三台）

4.2测试方法

在模拟环境中测试，验证防火墙在信任域与非信任域之间的访问控制能力。

4.3功能测试

4.3.1防火墙设备和策略基本管理

【测试目标】

通过实现主要的防火墙管理功能验证待测系统操作界面的配置能力和可以实现的配置项目，以及对系统的管理功能。

【测试步骤】

步骤

测试内容

3.

初始化设置系统

4.

以不同用户等级登录系统

3

创建设备本身的安全访问列表Any,Any,Any,Accept。

4

校验策略

5

安装策略

6

登录系统远程管理

【测试结果】

测试项目

测试结果

14.用户界面支持

命令行（CLI）

（√）是/否

Web界面

（√）是/否

GUI界面

（√）是/否

控制台管理

（√）是/否

其他

19.多级用户管理：

修改对象

（√）是/否

修改策略

（√）是/否

完全权限

（√）是/否

22.基本防火墙管理功能：

1）登录

用户名/口令

（√）是/否

其他

RADIUS，证书

2）策略创建

基于用户创建策略

（√）是/否

基于组创建策略

（√）是/否

基于IP地址创建策略

（√）是/否

基于端口创建策略

（√）是/否

3）安装校验策略

支持策略校验

（√）是/否

24.远程管理：

Web界面支持SSL

（√）是/否

支持SSH

（√）是/否

版本__V2_____

专用客户端加密

（√）是/否

小结

CheckPoint防火墙VPN-1Pro具有丰富的管理功能。

可以进行本地管理，也可以通过远程管理。

具有专用管理客户端软件，Web和命令行管理方式，提供给用户多种选择。

VPN-1Pro的策略配置非常直观且易于设定。

尤其提供策略验证功能，在规则很多且前后有冲突时，可以进行自动检测，并提示用户，从而有效地避免错误的发生。

4.3.2状态监测

状态检测是根据安全策略实施对通过防火墙的数据流进行控制，允许通过或采取相应措施。

防火墙系统的安全规则，每一条策略都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个策略开始查起，如果符合，然后执行该策略指示的动作，状态检测技术针对协议，抽取连接的状态信息，并建立状态连接表。

当没有一条合适的策略时，系统的默认动作是拦截。

【测试目标】

测试防火墙的状态检测机制是否正常，防火墙系统的安全规则的构成要素的是否清晰、详细，安全策略能够是否得以可靠执行。

状态连接表是否可以正常建立，并具备安全性和可靠性。

【测试步骤】

步骤

测试内容

1

根据条件域建立源地址/掩码为（___.___.___.___/__）,目的地址/掩码为（___.___.___.___/__）,协议为____的安全策略。

2