防火墙测试报告.docx

1、防火墙测试报告防火墙测试报告2021061测试目的防火墙是实现网络平安体系的重要设备，其目的是要在部、外部两个网络之间建立一个平安控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出部网络的效劳和访问的审计和控制。本次测试从稳定性、可靠性、平安性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试容中不同工程的说明。2.1 测试拓扑本次测试采用以下的拓扑配置：没有攻击源时的测试拓扑构造有攻击源时的测试拓扑构造2.2 测试工具本次测试用到的测试工具包括：待测防火墙一台；网络设备专业测试仪表SmartBits 6

2、000B一台；笔记本或台式机二台。测试详细配置如下：产品型号防火墙技术类型机箱规格防火墙软件及版本防火墙工作模式FORTINET1000AFA2ASIC防火墙2U3.00-b0668(MR6 Patch 2)NAT模式透明模式混合模式设备吞吐量CPU与存储硬件端口电源防火墙2GbpsVPN 400MbpsASIC version: CP5ASIC SRAM: 64MCPU: Intel(R) Xeon(TM) CPU 3.20GHzRAM: 1009 MBCompact Flash: 122 MB /dev/hdc10个1000Base-T端口2个千兆小包加速口2个冗余220V交流电源3防火墙

3、测试方案为全面验证测试防火墙的各项技术指标，本次测试方案的容包括了以下主要局部：根本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规：GB/T 18020-1999 信息技术应用级防火墙平安技术要求GB/T 18019-1999 信息技术包过滤防火墙平安技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices3.1 平安功能完整性验证目标：验证防火墙在平安管理、组网能力、访问控制、日志、报警、审计等必要的平安功能组成的完整性以及集成在防火墙中的其它辅助平安功能。3.1.1 防火墙平安管理功能的

4、验证1)测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的平安管理手段。2)测试时间：_2021-7-23_3)测试人员：_XXX XXX一 4)过程记录：测试项测试用例测试结果备注管理方式本地管理YesYNo集中控管需要配置Forti manager设备远程命令行管理YesYNo远程GUI管理YesYNo管理地址认证YesYNo集中控管YesYNo管理员接入平安管理员分级管理YesYNo密码至少6位连续登陆三次失败，账户锁定3分钟静态口令YesNo口令长度大于等于7YesNo有登录尝试次数限制YesYNo信道加密YesYNo密钥长度支持128位以上YesNo3.1.2 防火墙组网功能

5、验证1)测试目的：本项测试通过查看相应配置项，验证防火墙参与网络组织的能力。2)测试时间：_2021-7-23_3)测试人员：_XXX XXX一 4)过程记录：测试项测试用例测试结果备注接口=4个接口YesYNo支持灵活的平安域划分，且平安分区与接口无关YesYNo支持子接口YesYNo组网协议静态路由YesYNo动态路由YesYNo支持802.1Q VLAN协议YesYNo物理构造符合标准机架要求YesYNo支持虚拟防火墙YesYNo3.1.3 防火墙访问控制功能验证1)测试目的：本项测试用于明确防火墙平安规那么配置的合理性和完整性。2)测试时间：_2021-7-22_3)测试人员：_XXX

6、 钱振 4)过程记录：步骤检查容结果备注1查看平安分区配置a）支持平安分区；Yb）无明确的平安分区；Y2查看过滤规那么菜单的配置参数c）支持源/目的IP地址/端口过滤；Yd）支持TCP状态检测过滤；Ye）支持UDP状态检测过滤；Yf）支持ICMP协议过滤；Yg）支持自定制协议超时时间3查看应用效劳的平安过滤配置a)支持HTTP代理；Yb)支持SMTP代理；c)支持POP3 代理；d)支持FTP代理; e) 支持h.323代理f) 支持应用代理的自动启用 4容过滤支持检验a) 支持过滤java 组件Yb) 支持过滤Activex组件Yc) 支持过滤ZIP文件Yd) 支持过滤EXE文件Y在病毒检查

7、中配置注解：验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况那么在备注一栏中补充说明。3.1.4 日志审计及报警功能验证1)测试目的：验证防火墙日志审计容的完整性及报警能力。2)测试时间：_2021-06_3)测试人员：_xxxxxx 4)过程记录：步骤检查容结果备注1检查日志的审计功能界面a）带有日志查阅工具；Yb）日志分级，分类存储Y支持向fortiAnalyzer或syslog效劳器上传日志2检查登录防火墙的日志记录。c）记录包含登录时间；Yd）记录包含登录者账号信息；Ye）记录包含成功/失败信息；YQ检查退出防火墙的日志记录。f）记录包含退出时间；Y4检查防火墙功能被启动的日志

8、记录g）记录包含功能启用时间；Yh）记录包含操作员标识5检查对防火墙平安规那么进展配置的记录i）记录包含配置时间；Yj）记录包含操作员标识；Yk）配置变化相应项的增、删、改；Y6检查防火墙对所监控的TCP连接做的记录l）tcp连接发起的时间；Ym） tcp连接终止的时间；Yn）源ip地址；Yo）源端口号；Yp）目的ip地址；Yq）目的端口号；Y注解：1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况那么在备注一栏中补充说明。3.1.5 防火墙附加功能验证1)测试目的：本项测试通过查看相应配置项，明确防火墙提供的其他附加功能。2)测试时间：_2021-06_3)测试人员：_XXX XX

9、X一 4)过程记录：步骤检查容结果备注1查看地址配置a）支持桥接模式；Yb）支持IP/MAC绑定；Y2查看DNS的配置菜单c）支持DNS解析；YDNS代理3查看路由配置d）支持虚拟路由器Ye）支持源地址路由f）支持目的地址路由4查看NAT配置g）支持MIP；Yh）支持DIP；Yi）支持VIP；Y5查看VPN配置j）支持DES加密IPSecYk）支持3DES加密IPSecYl）支持AES加密；Ym）支持Site-to-Site VPN；Y6深度检测n）支持深度检测(DI)防火墙Y预定义检测规那么7DoS/DDoS防护o）支持Synflood防护Yp）支持 udpflood防护Yq）支持 icmp

10、flood防护Yr）支持windows winnuke attack 防护Ys）支持ping of death 防护Yt）支持 Teardrop 防护Yu）支持 Land Attack防护Y注解：1、验证结果附合选项要求的，在结果一栏的相应项打勾，特殊情况那么在备注一栏中补充说明。3.2 防火墙根本性能验证性能测试局部主要利用SmartBits6000B专业测试仪，依照RFC2544定义的规，对防火墙的吞吐量、延迟和丢包率三项重要指标进展验证。在性能测试中，需要综合验证防火墙桥接模式的性能表现。拓扑图采用以下方案：3.2.1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丧失情况下的

11、最大数据传输速率，是测试防火墙在正常工作时的数据传输处理能力，是其它指标的根底。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丧失会导致由于高层协议等待超时而产生重大延迟，所以知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。1)测试时间：_2021-06_2)测试人员：_XXX XXX一 3)测试结果：(单条规那么, 2GE, 1G双向流量测试 小包加速结果)帧长字节64128256512102412

12、801518桥接模式双向零丢包率吞吐率(%)100100100100100100100(单条规那么, 2GE, 1G双向流量测试 无小包加速结果)帧长字节64128256512102412801518桥接模式双向零丢包率吞吐率(%)14.4825.8745.1087.501001001003.2.2 延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开场至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用，如网络、视频会议、数据库复制等应用影响很大，因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试100%吞吐率下进展，横向比拟的

13、是存储转发的延迟结果。单机转发延迟一条规那么，2个GE口，1Gbps双向流量1)测试时间：_2021-06_2)测试人员：_XXX XXX一 3)测试结果：(单条规那么, 2GE, 1G双向流量测试 小包加速结果)帧长字节64128256512102412801518包转发延迟(us)CT3.84.66.28.912.414.716.8包转发延迟(us)S&F3.23.64.24.94.24.54.7(单条规那么, 2GE, 1G双向流量测试 无小包加速结果)帧长字节64128256512102412801518包转发延迟(us)CT40.239.949.755.683.190.9101.2包

14、转发延迟(us)S&F39.738.947.751.67580.789.13.3压力仿真测试考虑到防火墙在实际应用中的复杂性，包括大量的控制规那么设置、混杂业务流、多并发Session以及功能模块的启用都有可能对防火墙的性能发挥产生影响。因此，在本次的测试方案中，我们需要进展压力仿真测试，模拟实际应用的复杂度。考虑到测试时间及测试环境的限制，压力测试选取以下最为重要的几点进展，本次测试进展防火墙桥接模式的验证，拓扑图采取以下方案：防火墙部署在实际网络中，较多的平安控制规那么的设置是影响性能发挥的一个重要原因。规那么设置的条数与网络规模的大小以及平安策略的粒度有关。本次测试以100条控制规那么压

15、力为前提进展，性能考虑吞吐量和延迟和丢包率。1)测试时间：_2021-_2)测试人员：_XXX XXX一 3)测试结果：单机吞吐率100条规那么，2个GE口， 1Gbps双向流量测试 小包加速结果帧长字节64128256512102412801518桥接模式双向零丢包率，压力吞吐率%100100100100100100100单机吞吐率100条规那么，2个GE口， 1Gbps双向流量测试 无小包加速结果帧长字节64128256512102412801518桥接模式双向零丢包率，压力吞吐率%14.4825.8745.1079.17100100100单机转发延迟100条规那么，2个GE口， 1Gbp

16、s双向流量 小包加速结果帧长字节64128256512102412801518包转发延迟(us)CT3.74.96.38.412.715.417.0包转发延迟(us)S&F3.23.94.34.34.65.24.9单机转发延迟100条规那么，2个GE口， 1Gbps双向流量 无小包加速结果帧长字节64128256512102412801518包转发延迟(us)CT42.337.136.749.778.293102包转发延迟(us)S&F41.836.134.645.770.182.889.83.4 抗攻击能力测试采用以下拓扑进展测试，攻击源使用UDP flood、ICMP flood、SYN

17、flood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进展攻击，攻击流量约80Mbps。1）测试时间：_2021_2）测试人员：_XXX XXX一 3）测试结果：Netscreen SSG550单条规那么, 1G双向流量测试，在没有受到防火墙保护条件下：a)防火墙存可用率为84%，系统占用CPU率9%，总session数为接近 214435 条。b)单机吞吐率：帧长字节64128256512102412801518桥接模式双向零丢包率，压力吞吐率%6.9510.053.133.768.766.8812.50c)单机转发延迟： 吞吐量过低，延时测试失败1条规那么, 1G双向流量测试，

18、在受到防火墙保护条件下：a)防火墙存可用率为 84%，系统占用CPU率9%，总session数106条。b)单机吞吐率：小包加速帧长字节64128256512102412801518桥接模式双向零丢包率，压力吞吐率%100100100100100100100无小包加速帧长字节64128256512102412801518桥接模式双向零丢包率，压力吞吐率%6.9511.3219.4435.6665.5880.0587.49c)单机转发延迟：小包加速帧长字节64128256512102412801518包转发延迟(us)CT3.84.76.38.612.715.616.9包转发延迟(us)S&F3.23.74.24.64.55.44.7无小包加速帧长字节64128256512102412801518包转发延迟(us)CT57.3314435646.983.5265138.7包转发延迟(us)S&F56.8313433642.975.4254.8126.6