DPtech-FW-UTM基本功能测试方案.doc

资源描述

DPtech防火墙/UTM产品测试方案缩略语清单：缩略语英文全名中文解释 ACL Acess Control List 访问控制列表 CLI Command Line Interpreter 命令行解释程序 DOS Denial of Service 拒绝服务 GUI Graphical User Interfaces 图形用户接口 HTTP Hypertext Transfer Protocol 超文本传输协议 IMAP Internet Message Access Protocol 因特网消息访问协议 IPSEC IP Security Protocol 因特网安全协议 LDAP Lightweight Directory Access Protocol 轻度目录访问协议 NAT Network Address Translation 网络地址转换 PAT Port Address Translate 端口地址映射 POP Post Office Protocol 邮局协议 QoS Quality of Service 服务质量 OSPF Open Shortest Path First 开放最短路径优先 RADIUS Remote Access Dial-InUser Service 远程用户拨号认证 RIP Routing Information Protocol 路由信息协议 TCP Transfer Control Protocol 传输控制协议 SMTP Simple Message Transfer Protocol 简单邮件传输协议 SNMP Simple network Management rotocol 简单网络管理协议 SSH Secure Shell 安全防卫盾 SSL Security Socket Layer 加密套接字协议层 UDP User Datagram Protocol 用户数据报协议 URL Uniform Resource Locator 一致资源定位器 VPN Virtual Private Network 虚拟个人网络 VLAN Virtual Local Area Network 虚拟局域网目录 1 简介 4 1.1 目的 4 1.2 范围 4 2 测试计划 4 2.1 测试环境一 4 2.2 测试环境二 5 3 测试方法及步骤 5 3.1 性能特性测试项目 5 T01 防火墙/UTM性能指标测试 5 T01-01 防火墙/UTM整机转发吞吐量 5 T01-02 每秒新建连接能力 6 T01-03 防火墙/UTM最大并发会话数 6 T01-04 防火墙/UTMVPN加密隧道的吞吐量 7 3.2 功能特性测试项目 8 T02 管理功能测试 8 T03 端口映射 8 T04 ACL 9 T05 包过滤 9 T06 NAT 10 T06-01 静态地址转换 10 T06-02 动态地址转换 10 T06-03 内部服务器 11 T07 SNMP 11 T08 Flood攻击防范 12 T08-01 SynFlood 12 T09 防火墙/UTM 动态路由支持 12 注：路由协议的测试已设备实际支持的情况为准 12 T09-01 RIPv1/v2 12 T09-02 OSPF 13 T09-03 BGP 13 T10 FW/UTM虚拟防火墙功能 13 T10-01 FW/UTM 虚拟防火墙功能 13 T11 FW/UTM IPS功能测试 14 T12 FW/UTM 防病毒测试 15 T13 FW/UTM URL过滤功能测试 15 T14 FW/UTM 带宽管理功能测试 16 1 简介 1.1 目的本文给出了DPtech防火墙/UTM产品测试所需的软硬件环境、测试思路以及测试用例供参考。 1.2 范围本文描述的测试项（测试用例）针对DPtech系列防火墙/UTM产品。 2 测试计划 2.1 测试环境一图1 性能测试环境1 表1 测试环境软硬件配置表设备或软件名称描述数量 DPtech FW 防火墙/UTM 1/1 SmartBits 测试设备性能的仪器 1 Switch 交换机 2 注：如没有交换机也可以直接连接SMB与防火墙/UTM 进行测试 2.2 测试环境二图2 性能测试环境2 表2 测试环境软硬件配置表设备或软件名称描述数量 DPtech FW 防火墙/UTM 1/1 Avalanche/Reflector 2500 性能测试仪器 1 注：如没有Avalanche/Reflector测试仪器；可用SMB两块卡模拟Avalanche/Reflector进行测试； 3 测试方法及步骤 3.1 性能特性测试项目 T01 防火墙/UTM 性能指标测试 T01-01 防火墙/UTM 整机转发吞吐量测试目的验证防火墙/UTM 的整机转发能力遵循标准测试计划测试设计测试计划测试条件 (1) 测试组网：参见图1；测试过程 (1) 性能测试仪的两个端口分别与被测设备的端口A和B相连。（端口数量按照客户要求配置，进行Fullmesh网状流量测试） (2) 在防火墙/UTM上配置201条安全策略，前200条均为deny，最后一条为允许全部通过 (3) SmartFlow设置主要参数如下：双向UDP数据包，包长为64、128、256、1024、1518字节，时长为120秒，且不能匹配前200条策略。 (4) 记录测试结果预期结果帧长 64 128 256 512 1024 1280 1518 吞吐量其它说明和注意事项测试结果帧长 64 128 256 512 1024 1280 1518 吞吐量 T01-02 每秒新建连接能力测试目的验证防火墙/UTM每秒新建会话数能力遵循标准测试计划测试设计测试计划测试条件 (1) 测试组网：参见图2；测试过程 (2) 防火墙/UTM工作在NAT模式； (3) 设定avalanche测试仪模拟客户端500用户，防火墙/UTM nat转换地址池个数为20； (4) 采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。通过调节通信联接的建立速率，搜索防火墙/UTM能支持的最大的联接建立速率。 (5) 分别在设置一条全允许规则和设置201 条安全控制规则的条件下，完成上述测试过程，（其中，前200条均为deny，最后一条为允许全部通过）预期结果防火墙/UTM每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率________ Connections/Sec 201 条允许规则条件下，最大的新建连接速率 ________ Connections/Sec 其它说明和注意事项测试结果不允许出现一例失败，否则认为数据无效测试结果防火墙/UTM每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率 ________Connections/Sec 201 条允许规则条件下，最大的新建连接速率 ________Connections/Sec T01-03 防火墙/UTM最大并发会话数测试目的验证防火墙/UTM设备的最大并发会话数遵循标准测试计划测试设计测试计划测试条件 (1) 测试组网：参见图2；测试过程 (1) 防火墙/UTM工作在NAT模式； (2) 设定avalanche测试仪模拟客户端500用户，防火墙/UTMnat转换地址池个数为20； (3) 采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。设定通信联接的建立速率为10000 conn/s，搜索防火墙/UTM能支持的最大的并发会话处理能力。 (4) 分别在设置一条全允许规则和设置1001 条安全控制规则的条件下，完成上述测试过程，（其中，前1000条均为deny，最后一条为允许全部通过）预期结果防火墙/UTM每秒新建会话能力：一条全允许规则条件下，最大并发会话数________ Connections 1001 条允许规则条件下，最大并发会话数 ________ Connections 其它说明和注意事项测试结果不允许出现一例失败，否则认为数据无效测试结果防火墙/UTM每秒新建会话能力：一条全允许规则条件下，最大并发会话数________Connections 1001 条允许规则条件下，最大并发会话数________Connections T01-04 防火墙/UTMVPN加密隧道的吞吐量测试目的验证防火墙/UTMVPN加密隧道的吞吐量遵循标准测试计划测试设计测试计划测试条件测试过程 (1) 在两台防火墙/UTM的外区接口之间建立1 条VPN 加密隧道，把仪表分别与两台防火墙/UTM 的内区接口相连； (2) 发送双向的UDP 测试数据流，搜索接口的吞吐量，采样时长设置为120 秒； (3) 分别对帧长为64、128、256、512、1024、1280、1518 字节的测试帧，重复上述测试过程。预期结果帧长 64 128 256 512 1024 1280 1518 吞吐量其它说明和注意事项测试结果帧长 64 128 256 512 1024 1280 1518 吞吐量 3.2 功能特性测试项目 T02 管理功能测试测试目的验证防火墙/UTM 设备的设备管理功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC机器与防火墙/UTM 相连； (2) 配置防火墙/UTM 为用户名/密码管理或软证书管理方式；预期结果 PC机通过两种方式都可管理设备其它说明和注意事项测试结果 T03 端口映射测试目的验证防火墙/UTM 设备的端口映射功能遵循标准测试计划测试设计测试计划测试条件测试过程 (3) PC01模拟客户端，PC02模拟服务器端（安装有FTP或HTTP服务器端软件） (4) PC02上将FTP服务器端口改为8000，防火墙/UTM 上配置端口映射； (5) PC01 ftpPC02的ip：8000端口，可正常访问PC02的ftp服务；预期结果 PC01可以正常访问PC02的FTP服务其它说明和注意事项测试结果 T04 ACL 测试目的验证防火墙/UTM 设备的ACL功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) 防火墙/UTM 连接两PC机器的两端口加入不同安全域，配置面向对象ACL（域间策略）阻止PC01与PC02互访或根据客户实际要求限制对某些IP地址或端口的访问； (2) 测试PC01与PC02的互访功能是否符合既定域间策略；预期结果 PC01与PC02间互访符合既定域间ACL策略其它说明和注意事项 Pc 1 为untrust, PC2 为 DMZ，允许20.0.0.2 可以访问PC1 ，不允许20.0.0.3访问PC2 ，PING，和HTTP 测试结果允许20.0.0.2 可以访问PC1 ，不允许20.0.0.3访问PC2 T05 包过滤测试目的验证防火墙/UTM 设备的包过滤功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) 防火墙/UTM 开启包过滤功能，防火墙/UTM 配置包过滤策略； (2) PC01访问PC02； (3) 观察防火墙/UTM 设备能否按照既定的包过滤策略访问；预期结果防火墙/UTM 能够正常按照既定包过滤策略进行互访其它说明和注意事项 1 允许ping http 2 阻断 FTP 3 允许FTP 4 允许FTP get ,阻断FTP put Pc 1 为untrust, PC2 为 DMZ 测试结果 4没有阻断FTP put ，因为FTP GET和PUT 在检测的是时候是采用通用的同样的5元组，source ip ,dst ip.source port ,dst ip ,propole ,GET 和PUT 所用的一样的，检测线条太粗，只能采用深度检测，检测关键字，识别上传还是下载 T06 NAT T06-01 静态地址转换测试目的验证防火墙/UTM 设备的静态地址转换功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC01模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01、PC02处于不同网段；防火墙/UTM 配置静态一对一地址静态地址转换功能； (2) PC01访问PC02的FTP服务，在PC02端抓包； (3) PC01可正常访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为防火墙/UTM 上所配置的静态映射地址；预期结果 PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为防火墙/UTM 上预先配置的静态映射地址其它说明和注意事项 Pc-01为trust,pc-02为untrust，PC02 网关不指向20.0.0.1 测试结果 PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为防火墙/UTM 上预先配置的静态映射地址 T06-02 动态地址转换测试目的验证防火墙/UTM 设备的动态地址访问功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC01模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01、PC02处于不同网段；防火墙/UTM 配置动态地址转换功能； (2) PC01访问PC02的FTP服务，在PC02端抓包； (3) PC01可正常访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为防火墙/UTM 上所配置的地址池中的地址；预期结果 PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为防火墙/UTM 上预先配置的地址池中的地址其它说明和注意事项接口配置同t06-01 ，先进行EASY IP的方式进行NAT转换，然后采用PAT，NO-PAT 测试结果 T06-03 内部服务器测试目的验证防火墙/UTM 设备的内部服务器功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC01模拟内网主机，PC02模拟外外网主机，PC01、PC02处于不同网段；防火墙/UTM 配置内部服务器功能； (2) PC01开启FTP服务，PC02访问防火墙/UTM 外网口地址进而可以访问PC01的FTP服务； (3) PC02可以正常访问PC01的FTP服务预期结果 PC02可以正常访问PC01的FTP服务其它说明和注意事项接口配置同t06-01,先是在PC-02上不指定网关到G0/2上，需要配置静态NAT，才能够访问内部服务器，然后在PC-O2指定网关到G0/2上，就通过以上配置外部网络可访问内部的服务器测试结果 T07 SNMP 测试目的验证防火墙/UTM 设备的SNMP功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC与防火墙/UTM 一接口向连，PC装有MIB Browser软件； (2) 防火墙/UTM 配置SNMP，PC机通过MIB Browser与防火墙/UTM 连接； (3) 通过MIB Browser软件查找相应MIB项；预期结果通过客户端PC安装的MIB Browser软件查找相应 MIB项其它说明和注意事项测试结果 T08 Flood攻击防范 T08-01 SynFlood 测试目的验证防火墙/UTM 设备的抵御SynFlood功能遵循标准测试计划测试设计测试计划测试条件测试过程 (1) 防火墙/UTM 开启SynFlood攻击防范功能； (2) 使用测试仪器模拟进行SynFlood攻击，攻击防火墙/UTM 内网区域的PC； (3) 观察防火墙/UTM 设备能否对SynFlood攻击进行防御，并在PC上抓包进行验证预期结果防火墙/UTM 能够正常抵御SynFlood攻击其它说明和注意事项测试结果 T09 防火墙/UTM 动态路由支持注：路由协议的测试已设备实际支持的情况为准 T09-01 RIPv1/v2 测试目的验证防火墙/UTM 对RIP协议的支持遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC1、PC2的网关分别指向FW1和FW2。 (2) 在FW1和FW2上面配置RIP动态路由,并进行发布。 (3) 一段时间后在FW1和FW2上分别查看RIP路由学习情况，并从PC1 ping PC2。预期结果 FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项测试结果 T09-02 OSPF 测试目的验证防火墙/UTM 对OSPF协议的支持遵循标准测试计划测试设计测试计划测试条件测试过程 (1) PC1、PC2的网关分别指向FW1和FW2。 (2) 在FW1和FW2上面配置OSPF动态路由,并进行发布。 (3) 一段时间后在FW1和FW2上分别查看OSPF路由学习情况，并从PC1 ping PC2。预期结果 FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项测试结果 T09-03 BGP 测试目的验证防火墙/UTM 对BGP协议的支持遵循标准测试计划测试设计测试计划测试条件测试过程 (4) PC1、PC2的网关分别指向FW1和FW2。 (5) 在FW1和FW2上面配置BGP动态路由,并进行发布。一段时间后在FW1和FW2上分别查看BGP路由学习情况，并从PC1 ping PC2。预期结果 FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项测试结果 T10 FW/UTM虚拟防火墙功能 T10-01 FW/UTM 虚拟防火墙功能测试目的验证虚拟防火墙功能遵循标准测试计划测试设计随着近年来VPN技术的兴起和不断发展，虚拟防火墙技术应运而生。通过在防火墙设备上创建逻辑上的虚拟防火墙，能够提供防火墙的出租业务。每个虚拟防火墙都是VPN实例、安全实例和配置实例的综合体，能够为虚拟防火墙用户提供私有的路由转发平面、安全策略服务。测试条件测试过程 (1) 在上面防火墙/UTM 组网中，内网的服务器划分为三个区域(area1、area2、area3)，并且这三个区域的网络地址完全重叠，3个服务器的地址均为192.168.1.2，后分别接入防火墙/UTM 的内网接口上，防火墙/UTM 上对应的直连地址为192.168.1.1 (2) 在防火墙/UTM 上进行虚拟防火墙的相关配置，模拟出3个独立的防火墙分别把内网区域3个服务器映射为不同的公网IP。然后从外网区域访问分别3个服务器。 (3) 针对内网区域3个服务器配置不同的安全控制策略，然后再分别从外网区域访问分别3个服务器。预期结果 (1) 步骤2，从外网区域都能够同时正常访问3个服务器。 (2) 步骤3，从其他区域访问3个服务器时，会受到针对每个服务器配置的安全策略的控制。其它说明和注意事项测试结果 T11 FW/UTM IPS功能测试测试目的验证入侵检测功能遵循标准测试计划测试设计随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。IPS功能正是通过对报文进行深度检测，对应用层威胁进行实时防御，保障网络安全。测试条件测试过程 (1) 利用使用x-scan扫描Internet上基于IIS的WWW服务器。预期结果 (2) 可以查看到相关的攻击日志其它说明和注意事项无测试结果 T12 FW/UTM 防病毒测试测试目的验证防病毒功能遵循标准测试计划测试设计信息技术飞速发展，网络应用日益复杂和多元化，各种安全威胁也随之而来，病毒、蠕虫、木马、间谍软件、恶意攻击使得普通的网络安全防御无能为力。据权威机构统计，90%以上的企业都曾遭受过病毒的攻击。测试条件测试过程 (1) PC到www.eicar.org 下载eicar测试病毒。预期结果 (1) 可以查看到相关的病毒阻断日志其它说明和注意事项无测试结果 T13 FW/UTM URL过滤功能测试测试目的验证URL过滤功能遵循标准测试计划测试设计面对纷乱复杂的互联网，恶意钓鱼网站，恶意站点日益繁多，使得传统的包过滤，代理式防火墙无法适应这类功能要求。测试条件测试过程 (1) 使用PC机访问被过滤的URL站点预期结果 (1) 可以查看到相关的阻断日志其它说明和注意事项无测试结果 T14 FW/UTM 带宽管理功能测试测试目的验证带宽管理功能遵循标准测试计划测试设计 P2P,流媒体大量占用了网络接口带宽，使得正常的网络应用无法实现，现如今迫切需要对带宽进行合理规划，管理。测试条件测试过程 (1) 使用PC在线观看电影，使用迅雷下载限速。预期结果 (1) 可以带宽被限制其它说明和注意事项无测试结果

展开阅读全文