1、(完整word版)防火墙测试报告防火墙测试报告201306目录1测试目的32测试环境与工具32.1 测试拓扑32。2 测试工具43防火墙测试方案43.1 安全功能完整性验证53.1。1 防火墙安全管理功能的验证53。1.2 防火墙组网功能验证53.1.3 防火墙访问控制功能验证63。1。4 日志审计及报警功能验证73.1.5 防火墙附加功能验证83.2 防火墙基本性能验证93.2.1 吞吐量测试93。2。2 延迟测试103.3 压力仿真测试103.4 抗攻击能力测试113。5 性能测试总结121 测试目的防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,
2、通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2 测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。2。1 测试拓扑本次测试采用以下的拓扑配置:没有攻击源时的测试拓扑结构有攻击源时的测试拓扑结构2.2 测试工具本次测试用到的测试工具包括:待测防火墙一台;网络设备专业测试仪表SmartBits 6000B一台;笔记本(或台式机)二台。测试详细配置如下:产品型号防火墙技术类型机箱规格防火墙软件及版本防火墙工作模式FORTINET
3、1000AFA2ASIC防火墙2U3.00b0668(MR6 Patch 2)NAT模式透明模式混合模式设备吞吐量CPU与存储硬件端口电源防火墙2GbpsVPN 400MbpsASIC version: CP5ASIC SRAM: 64MCPU: Intel(R) Xeon(TM) CPU 3。20GHzRAM: 1009 MBCompact Flash: 122 MB /dev/hdc10个1000Base-T端口2个千兆小包加速口2个冗余220V交流电源3 防火墙测试方案为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严
4、格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求RFC2544 Benchmarking Methodology for Network Interconnect Devices3.1 安全功能完整性验证目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。3。1。1 防火墙安全管理功能的验证1) 测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。2) 测试时间:_20087-23_3)
5、测试人员:_XXX XXX一 4) 过程记录:测试项测试用例测试结果备注管理方式本地管理Yes(Y)No()集中控管需要配置Forti manager设备远程命令行管理Yes(Y)No()远程GUI管理Yes(Y)No()管理地址认证Yes(Y)No()集中控管Yes(Y)No()管理员接入安全管理员分级管理Yes(Y)No()密码至少6位连续登陆三次失败,账户锁定3分钟静态口令Yes()No()口令长度大于等于7Yes()No()有登录尝试次数限制Yes(Y)No()信道加密Yes(Y)No()密钥长度支持128位以上Yes()No()3.1.2 防火墙组网功能验证1) 测试目的:本项测试通
6、过查看相应配置项,验证防火墙参与网络组织的能力。2) 测试时间:_20087-23_3) 测试人员:_XXX XXX一 4) 过程记录:测试项测试用例测试结果备注接口=4个接口Yes(Y)No()支持灵活的安全域划分,且安全分区与接口无关Yes(Y)No()支持子接口Yes(Y)No()组网协议静态路由Yes(Y)No()动态路由Yes(Y)No()支持802。1Q VLAN协议Yes(Y)No()物理结构符合标准机架要求Yes(Y)No()支持虚拟防火墙Yes(Y)No()3.1。3 防火墙访问控制功能验证1) 测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。2) 测试时间:_
7、20087-22_3) 测试人员:_XXX 钱振 4) 过程记录:步骤检查内容结果备注1查看安全分区配置a) 支持安全分区;(Y)b) 无明确的安全分区;(Y)2查看过滤规则菜单的配置参数c) 支持源/目的IP地址/端口过滤;(Y)d) 支持TCP状态检测过滤;(Y)e) 支持UDP状态检测过滤;(Y)f) 支持ICMP协议过滤;(Y)g) 支持自定制协议超时时间()3查看应用服务的安全过滤配置a)支持HTTP代理;(Y)b)支持SMTP代理;()c)支持POP3 代理;()d)支持FTP代理; ()e) 支持h。323代理()f) 支持应用代理的自动启用( )4内容过滤支持检验a) 支持过滤
8、java 组件(Y)b) 支持过滤Activex组件(Y)c) 支持过滤ZIP文件(Y)d) 支持过滤EXE文件(Y)在病毒检查中配置注解:验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3。1。4 日志审计及报警功能验证1) 测试目的:验证防火墙日志审计内容的完整性及报警能力。2) 测试时间:_201306_3) 测试人员:_xxxxxx 4) 过程记录:步骤检查内容结果备注1检查日志的审计功能界面a) 带有日志查阅工具;(Y)b) 日志分级,分类存储(Y)支持向fortiAnalyzer或syslog服务器上传日志2检查登录防火墙的日志记录.c) 记录包含登
9、录时间;(Y)d) 记录包含登录者账号信息;(Y)e) 记录包含成功/失败信息;(Y)Q检查退出防火墙的日志记录.f) 记录包含退出时间;(Y)4检查防火墙功能被启动的日志记录g) 记录包含功能启用时间;(Y)h) 记录包含操作员标识()5检查对防火墙安全规则进行配置的记录i) 记录包含配置时间;(Y)j) 记录包含操作员标识;(Y)k) 配置变化(相应项的增、删、改);(Y)6检查防火墙对所监控的TCP连接做的记录l) tcp连接发起的时间;(Y)m) tcp连接终止的时间;(Y)n) 源ip地址;(Y)o) 源端口号;(Y)p) 目的ip地址;(Y)q) 目的端口号;(Y)注解:1、 验证
10、结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明.3。1。5 防火墙附加功能验证1) 测试目的:本项测试通过查看相应配置项,明确防火墙提供的其他附加功能。2) 测试时间:_2013-06_3) 测试人员:_XXX XXX一 4) 过程记录:步骤检查内容结果备注1查看地址配置a) 支持桥接模式;(Y)b) 支持IP/MAC绑定;(Y)2查看DNS的配置菜单c) 支持DNS解析;(Y)DNS代理3查看路由配置d) 支持虚拟路由器(Y)e) 支持源地址路由()f) 支持目的地址路由()4查看NAT配置g) 支持MIP;(Y)h) 支持DIP;(Y)i) 支持VIP;(Y)5
11、查看VPN配置j) 支持DES加密IPSec(Y)k) 支持3DES加密IPSec(Y)l) 支持AES加密;(Y)m) 支持Site-to-Site VPN;(Y)6深度检测n) 支持深度检测(DI)防火墙(Y)预定义检测规则7DoS/DDoS防护o) 支持Synflood防护(Y)p) 支持 udpflood防护(Y)q) 支持 icmpflood防护(Y)r) 支持windows winnuke attack 防护(Y)s) 支持ping of death 防护(Y)t) 支持 Teardrop 防护(Y)u) 支持 Land Attack防护(Y)注解:1、验证结果附合选项要求的,在结
12、果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3.2 防火墙基本性能验证性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范,对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中,需要综合验证防火墙桥接模式的性能表现.拓扑图采用以下方案:3。2.1 吞吐量测试这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,是其它指标的基础.它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以知道防火墙实际的最大数据传输速率是非常有用的。
13、同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题.更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。1) 测试时间:_201306_2) 测试人员:_XXX XXX一 3) 测试结果:(单条规则, 2GE, 1G双向流量测试 小包加速结果)帧长(字节)64128256512102412801518桥接模式双向零丢包率吞吐率(%)100100100100100100100(单条规则, 2GE, 1G双向流量测试 无小包加速结果)帧长(字节)64128256512102412801518桥接模式双向零丢包率
14、吞吐率()14.4825.8745。1087。501001001003.2。2 延迟测试延时是指从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔.延迟指标对于一些对实时敏感的应用,如网络电话、视频会议、数据库复制等应用影响很大,因此好的延时指标对于评价防火墙的性能表现非常重要。所有帧长的延迟测试100%吞吐率下进行,横向比较的是存储转发的延迟结果。单机转发延迟(一条规则,2个GE口,1Gbps双向流量)1) 测试时间:_2013-06_2) 测试人员:_XXX XXX一 3) 测试结果:(单条规则, 2GE, 1G双向流量测试 小包加速结果
15、)帧长(字节)64128256512102412801518包转发延迟(us)CT3.84。66。28。912。414。716.8包转发延迟(us)S&F3.23。64。24.94.24.54。7(单条规则, 2GE, 1G双向流量测试 无小包加速结果)帧长(字节)64128256512102412801518包转发延迟(us)CT40.239。949.755.683。190。9101.2包转发延迟(us)S&F39。738.947。751.67580。789。13.3 压力仿真测试考虑到防火墙在实际应用中的复杂性,包括大量的控制规则设置、混杂业务流、多并发Session以及功能模块的启用都有
16、可能对防火墙的性能发挥产生影响。因此,在本次的测试方案中,我们需要进行压力仿真测试,模拟实际应用的复杂度。考虑到测试时间及测试环境的限制,压力测试选取以下最为重要的几点进行,本次测试进行防火墙桥接模式的验证,拓扑图采取以下方案:防火墙部署在实际网络中,较多的安全控制规则的设置是影响性能发挥的一个重要原因。规则设置的条数与网络规模的大小以及安全策略的粒度有关。本次测试以100条控制规则压力为前提进行,性能考虑吞吐量和延迟和丢包率。1) 测试时间:_2013-_2) 测试人员:_XXX XXX一 3) 测试结果:单机吞吐率(100条规则,2个GE口, 1Gbps双向流量测试 小包加速结果)帧长(字
17、节)64128256512102412801518桥接模式双向零丢包率,压力吞吐率(%)100100100100100100100单机吞吐率(100条规则,2个GE口, 1Gbps双向流量测试 无小包加速结果)帧长(字节)64128256512102412801518桥接模式双向零丢包率,压力吞吐率()14。4825.8745.1079.17100100100单机转发延迟(100条规则,2个GE口, 1Gbps双向流量 小包加速结果)帧长(字节)64128256512102412801518包转发延迟(us)CT3。74。96。38。412.715。417。0包转发延迟(us)S&F3.23。
18、94。34。34。65.24。9单机转发延迟(100条规则,2个GE口, 1Gbps双向流量 无小包加速结果)帧长(字节)64128256512102412801518包转发延迟(us)CT42。337.136.749.778。293102包转发延迟(us)SF41。836.134。645。770.182.889.83.4 抗攻击能力测试采用以下拓扑进行测试,攻击源使用UDP flood、ICMP flood、SYN flood等多种flood攻击和TCP网关协议攻击通过防火墙对PC进行攻击,攻击流量约80Mbps。1) 测试时间:_2013_2) 测试人员:_XXX XXX一 3) 测试结果
19、:Netscreen SSG550单条规则, 1G双向流量测试,在没有受到防火墙保护条件下:a) 防火墙内存可用率为84%,系统占用CPU率9,总session数为接近 214435 条。b) 单机吞吐率:帧长(字节)64128256512102412801518桥接模式双向零丢包率,压力吞吐率(%)6.9510。053.133。768。766.8812.50c) 单机转发延迟:吞吐量过低,延时测试失败1条规则, 1G双向流量测试,在受到防火墙保护条件下:a) 防火墙内存可用率为 84%,系统占用CPU率9%,总session数106条。b) 单机吞吐率:小包加速帧长(字节)641282565
20、12102412801518桥接模式双向零丢包率,压力吞吐率()100100100100100100100无小包加速帧长(字节)64128256512102412801518桥接模式双向零丢包率,压力吞吐率()6。9511。3219.4435。6665。5880。0587.49c) 单机转发延迟:小包加速帧长(字节)64128256512102412801518包转发延迟(us)CT3。84.76。38。612。715。616.9包转发延迟(us)S&F3.23.74.24.64。55。44.7无小包加速帧长(字节)64128256512102412801518包转发延迟(us)CT57。3314435646.983。5265138。7包转发延迟(us)SF56.8313433642.975.4254.8126。619