防火墙测试验收方案.doc

1、 防火墙测试方案一、 引言防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。随着网上黑客活动的日益猖獗，越来越多的上网企业开始重视网络安全问题。特别是近两三年来，以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光国内就有几十家。各种防火墙品种充斥市场，良莠不齐，有软件的防火墙，硬件的防火墙，也有软硬一体化的防火墙；有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的防火墙，也有状态检

2、测的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的安全和性能是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面，业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，

3、难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时，防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此，当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。测试的背景和目的在防火墙产品市场上，产品一般分为高、中、低三档。考虑到，高档防火墙普遍是各公司最新或计划推出的产品，证券作为大型的安全产品使用者，使用的防火墙产品以中、高档为主，为了便于横向比较各公司的产品，在本次测试中将统一以中档防火墙产品作为测评的对象。为了较全面地评估各公司的防火墙产品，本次防火墙

4、产品的测试分成以下几个部分：功能测试、安全防范能力测试、性能测试和设备可靠性测试。参考资料GB/T 18020-1999信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求FWPD：Firewall Product Certification Criteria Version 3.0a测试项目一 测试项目包过滤，NAT，地址绑定，本地访问控制，多播，TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击，双机热备,性能。二 测试环境简略拓扑图10.10.11.1010.10.12.20 10.10.11(2).1 10.10.1.24010.10.

5、3.10 10.10.1.1 10.10.3.1（192.168.3.30）FW110.10.2.110.10.3.2010.10.2.240（192.168.1.30） 172.1.1.1 192.168.1.10172.10.1.10 FW2172.10.2.1 192.168.2.1 FW3172.10.1.1192.168.1.1172.10.1.20172.10.3.1192.168.3.1192.168.1.20（192.168.2.252）192.168.3.10 192.168.3.20172.10.3.10 172.10.3.20（192.168.2.251）172.10.2

6、.254 192.168.2.254（192.168.2.253） 图1 管理器 172.16.1.10 192.168.1.10 192.168.1.251 172.16.1.20 192.168.1.20 192.168.1.11 192.168.1.21 图2 说明：在括号内的IP地址，为测试单一防火墙功能时所用的IP地址。图2仅为测试TRUNK,代理路由和非IP规则时使用. 三测试前软件环境的准备1. 子网主机具有Linux，windows 2000（or 98 or NT）两种环境。2. 测试环境Linux主机配置www，ftp，telnet服务，同时安装nmap，http_load

7、，sendudp等测试工具；Windows主机配置ftp，telnet，iis，snmp等服务，同时安装IE，Netscape等浏览器3. 防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip地址为当前网段的1地址。例：当前主机所在网段为192.168.1.0，那么它的网关为192.168.1.1，即防火墙接入接口的ip地址。4. 防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5. 在广域网中采用静态路由和动态路由（rip或ospf）两种。6. 。四.功能说明及规则设计。针对防火墙各项功能，分别加以说明。A. 包过滤区间通信。 1.）单一地址 2.）多地址 规则设计：a.方向

8、：区1区2 b.操作：允许（拒绝） c.协议：tcp，udp，icmp和其它协议号的协议。 d.审计：是（否） e.有效时间段B.地址绑定ip，mac地址绑定。防止地址欺骗。a) 单一地址绑定b) 多地址绑定。规则设计：a.方向：区1区2 b.操作：允许（或拒绝）C本地访问控制对管理主机的访问进行控制 1）单一地址 2.）多地址 规则设计：a.操作：1.允许ping ，telnet等。 2.允许管理D NAT地址，端口的转换。私有ip转为公网ip。1）一对一2.）多对一3.）多对多规则设计：a.方向： 区1区2. b.操作：拒绝（或允许） c.协议：tcp，udp，icmp和其它协议号的协议。

9、 d.审计：是（否）E多播解决一对多的通信。1. 单一多播源，多接收端。2. 多多播源，多接收端。 G.TRUNK,代理路由复用链路,为防火墙单一区域内的子网通信进行路由.H.报警利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.I .审计审计防火墙上的访问,及事件信息,防火墙的状态.J.实时监控实时检测防火墙的通讯情况,跟踪防火墙的运行状况.K攻击防攻击。检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。L双机热备设备冗余。 同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙down掉时，备份防火墙接管。通过测试用例来对具体的操作进行阐述。在所有的规则制定

10、中考虑范围内取非，范围的临界值，中间值情况,时间的控制等。A. 包过滤测试项目包过滤测试日期测试内容IP过滤规则对ICMP数据包的过滤效果测试环境1. 路由模式2. Linux，windows。规则指定1. 192.168.1.10-100192.168.2.254 ICMP允许。（内到外）192.168.2.254192.168.3.10 ICMP允许。（外到DMZ）192.168.3.1-15192.168.1.10 ICMP允许。（DMZ到内）执行操作1. 在192.168.1.10上ping 192.168.2.254，在192.168.2.254上ping 192.168.3.10，

11、在192.168.3.10上ping 192.168.1.10。并反方向ping。2. 在192.168.1.10上telnet 192.168.2.254，在192.168.2.254上telnet 192.168.3.10，在192.168.3.10上telnet 192.168.1.10。并反方向ftp，telnet。3. 加载ICMP全通规则。4. 重复步骤1测试结果步骤预期结果实测结果1.正向ping成功，反向ping不通，被禁止。2.访问被禁止，规则不允许。3都可以相互ping通。备注测试项目包过滤测试日期测试内容IP过滤规则对TCP数据包的过滤效果测试环境1. 路由模式2. Li

12、nux，windows。规则指定1： 192.168.1.10192.168.2.254 telnet允许。（内到外）192.168.2.254192.168.3.10 telnet允许。（外到DMZ）192.168.3.10192.168.1.10 telnet允许。（DMZ到内）执行操作1. 在192.168。1.10上telnet 192.168.2.254，在192.168.2.254上telnet 192.168.3.10，在192.168.3.10上telnet 192.168.1.10，并反向telnet。2. 在192.168.1.10用nslookup 到192.168.2.254上进行名字解析或其它的udp服务。3. 加载telnet全通规则，重复步骤1.测试结果步骤