完整word版天融信防火墙测试报告文档格式.docx

1、西默DPDK-1000部署模式为透明模式，位于出口路由器和三层核心交换机之间。2.2 测试工具本次测试用到的测试工具包括：待测防火墙一台；网络设备专业测试仪表SmartBits 6000B一台；笔记本（或台式机）二台。测试详细配置如下：产品型号防火墙技术类型机箱规格防火墙软件及版本防火墙工作模式FORTINET1000AFA2ASIC防火墙2U3.00-b0668（MR6 Patch 2）NAT模式透明模式混合模式设备吞吐量CPU与存储硬件端口电源防火墙2GbpsVPN 400MbpsASIC version: CP5ASIC SRAM: 64MCPU: Intel（R） Xeon（TM） C

2、PU 3.20GHzRAM: 1009 MBCompact Flash: 122 MB /dev/hdc10个1000Base-T端口2个千兆小包加速口2个冗余220V交流电源3防火墙测试方案为全面验证测试防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分：基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范：GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices

3、3.1 安全功能完整性验证目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。3.1.1 防火墙安全管理功能的验证1）测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。2）测试时间：_2008-7-23_3）测试人员：_XXX XXX一 4）过程记录：测试项测试用例测试结果备注管理方式本地管理Yes（Y）No（）集中控管需要配置Forti manager设备远程命令行管理远程GUI管理管理地址认证集中控管管理员接入安全管理员分级管理密码至少6位连续登陆三次失败，账户锁定3分钟静态口令Yes（）N

4、o（）口令长度大于等于7有登录尝试次数限制信道加密密钥长度支持128位以上3.1.2 防火墙组网功能验证本项测试通过查看相应配置项，验证防火墙参与网络组织的能力。_2008-7-23_接口=4个接口支持灵活的安全域划分，且安全分区与接口无关支持子接口组网协议静态路由动态路由支持802.1Q VLAN协议物理结构符合标准机架要求支持虚拟防火墙3.1.3 防火墙访问控制功能验证本项测试用于明确防火墙安全规则配置的合理性和完整性。_2008-7-22_XXX 钱振 步骤检查内容结果1查看安全分区配置a）支持安全分区；（Y）b）无明确的安全分区；2查看过滤规则菜单的配置参数c）支持源/目的IP地址/端

5、口过滤；d）支持TCP状态检测过滤；e）支持UDP状态检测过滤；f）支持ICMP协议过滤；g）支持自定制协议超时时间（）3查看应用服务的安全过滤配置a）支持HTTP代理；b）支持SMTP代理；（）c）支持POP3 代理；d）支持FTP代理; （）e） 支持h.323代理（）f） 支持应用代理的自动启用（ ）4内容过滤支持检验a） 支持过滤java 组件（Y）b） 支持过滤Activex组件（Y）c） 支持过滤ZIP文件（Y）d） 支持过滤EXE文件（Y）在病毒检查中配置注解：验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.1.4 日志审计及报警功能验证验证防

6、火墙日志审计内容的完整性及报警能力。检查日志的审计功能界面a）带有日志查阅工具；b）日志分级，分类存储（Y）支持向fortiAnalyzer或syslog服务器上传日志检查登录防火墙的日志记录。c）记录包含登录时间；d）记录包含登录者账号信息；e）记录包含成功/失败信息；Q检查退出防火墙的日志记录。f）记录包含退出时间；检查防火墙功能被启动的日志记录g）记录包含功能启用时间；h）记录包含操作员标识（）5检查对防火墙安全规则进行配置的记录i）记录包含配置时间；j）记录包含操作员标识；k）配置变化（相应项的增、删、改）；6检查防火墙对所监控的TCP连接做的记录l） tcp连接发起的时间；m） tc

7、p连接终止的时间；n） 源ip地址；o） 源端口号；p） 目的ip地址；q） 目的端口号；1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况则在备注一栏中补充说明。3.1.5 防火墙附加功能验证本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。查看地址配置a）支持桥接模式；b）支持IP/MAC绑定；查看DNS的配置菜单c）支持DNS解析；DNS代理查看路由配置d）支持虚拟路由器（Y）e）支持源地址路由（）f）支持目的地址路由（）查看NAT配置g）支持MIP；h）支持DIP；i）支持VIP；查看VPN配置j）支持DES加密IPSec（Y）k）支持3DES加密IPSec（Y）l）

8、支持AES加密；m）支持Site-to-Site VPN；深度检测n）支持深度检测（DI）防火墙（Y）预定义检测规则7DoS/DDoS防护o）支持Synflood防护（Y）p）支持 udpflood防护（Y）q）支持 icmpflood防护（Y）r）支持windows winnuke attack 防护（Y）s）支持ping of death 防护（Y）t）支持 Teardrop 防护（Y）u）支持 Land Attack防护（Y）3.2 防火墙基本性能验证性能测试部分主要利用SmartBits6000B专业测试仪，依照RFC2544定义的规范，对防火墙的吞吐量、延迟和丢包率三项重要指标进行验

9、证。在性能测试中，需要综合验证防火墙桥接模式的性能表现。拓扑图采用以下方案：3.2.1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。1）测试时间：2）测试人员：3）测试结果：（单条规则, 2GE, 1G双向流量测试 小包加速结果）帧长（字节）6412