《防火墙测试报告汇总.doc》由会员分享,可在线阅读,更多相关《防火墙测试报告汇总.doc(17页珍藏版)》请在三一办公上搜索。
1、XX公司防火墙测试报告设备名称: 设备型号:受测单位: 测试类别:委托测试测试依据: 国家标准 行业标准 企业标准 技术要求报告日期:2012年4月 日 公章公安部第一研究所信息安全等级保护测评中心测试报告说明1、测试报告无“公安部第一研究所信息安全等级保护测评中心”公章无效。2、测试报告无编制、审核、批准人签字无效。3、测试报告不得涂改和部分复印。4、对测试报告有异议,应于收到报告之日起十五日内向测评中心提出申诉,逾期不予受理。5、测试结果仅对被检样品有效。公安部第一研究所信息安全等级保护测评中心防火墙测试报告设备名称委托单位测试单位公安部第一研究所信息安全等级保护测评中心委托单位通信资料地
2、址邮政编码电话联系人测试地点公安部第一研究所信息安全等级保护测评中心测试内容1. 2. 3. 测试日期2012年3月27日公安部第一研究所信息安全等级保护测评中心防火墙测试报告测试结果受XX公司委托,公安部第一研究所信息安全等级保护测评中心于2012年3月27日对XX公司的防火墙(型号:)进行了委托测试。根据测试内容,对受测设备的测试结果如下:1、在数据吞吐量测试中,分别对双路光纤通道(理论性能20Gbps)与四路光纤通道(理论性能40Gbps)2种条件下的吞吐性能进行了测试,共使用4种测试用例(64byte/256byte/512byte/1518byte UDP数据包),受测设备吞吐量在两
3、种测试条件下分别达到20Gbps与40Gbps;2、在最大并发连接数测试中,受测设备在测试策略限定的时间段内,最大并发连接数上升并维持在3000000;3、在单位时间(每秒)新建连接数测试中,受测设备在有效测试时间的前45秒中每秒新建连接数达到10万(100000);在有效测试时间的后15秒内每秒新建连接数达到7.5万-8万(75000-80000)。编制: 审核: 批准:公安部第一研究所信息安全等级保护测评中心防火墙测试报告测试环境及受测设备描述测试环境用途设备型号 数量受测设备1台吞度量性能测试设备IXIA1台并发连接和新建连接性能测试设备IXIA 1台公安部第一研究所信息安全等级保护测评
4、中心防火墙测试报告序号测试项目测试条件测试用例测试结果1管理方式通过RADIUS等认证服务器对设备用户进行认证通过RADIUS等认证服务器对设备用户进行认证通过通过SSH管理通过配置能够使用SSH方式管理防火墙通过通过telnet管理通过配置能够使用Telnet方式管理防火墙通过通过http管理通过配置能够使用HTTP方式管理防火墙通过通过https管理通过配置能够使用HTTPS方式管理防火墙通过2SNMPv2&v31. 支持SNMP Trap方式,为网管系统提供系统运行状态2. 支持SNMP Trap方式向外发送审计日志1. 支持SNMP Trap方式,为网管系统提供系统运行状态(1) 利用
5、工具获得系统运行信息,包括CPU使用率、内存使用率等。2. 支持SNMP Trap方式向外发送审计日志(1) 通过SNMP配置,添加SNMP服务器;(2) 能够日志级别有选择的发送SNMP日志;(3) 模拟事件触发,查看服务器日志接受状态。通过3会话管理验证防火墙会话监控(1) 在PC1上,利用IXIA等流量工具向目标机的不同端口建立多条会话;(2) 通过用户界面,在被测设备上根据源主机IP查看其所有会话信息。通过会话统计(1) 在PC1上,利用IXIA等流量工具向目标机建立多条会话;(2) 通过用户界面,在被测设备上根据源主机IP查看会话统计信息;(3) 通过用户界面,在被测设备上根据目的主
6、机IP查看会话统计信息;(4) 通过用户界面,在被测设备上根据业务端口查看会话统计信息。通过会话临时阻断(1) 从PC1 Telnet至PC2;(2) 通过用户界面,在被测设备上根据源主机IP查看其所有会话信息;(3) 阻断该会话;(4) 设置一定的阻断时间,在阻断时间内,PC1不能再Telnet到PC2。通过4Syslog日志被测设备各功能模块能够发送正确的日志信息到Syslog服务器。(1) 在被测设备上配置Syslog服务器端口和地址,并启用日志服务器;(2) 允许被测设备的相关模块向服务器发送日志;(3) 在被测设备上对已允许发送日志的功能模块进行操作,在Syslog服务器上观察日志信
7、息。通过5NAT地址转换机制1 终端上电启动正常2 通过直连网线将终端的LAN口与PC机以太网接口连接1、 终端设置工作在NAT模式2、 配置分配终端内部的IP地址段等参数3、 连接到LAN口的PC机,PC是否可以正常访问外部的服务器4、 网关内部放置一台WEB server,在网关上进行相应的地址映射设置5、 通过外网用户访问 web server ,观察是否成功6、 设备应能对服务器进行探测,确定服务器是否存活,至少支持2种探测方式通过6端口联动(1) 终端上电启动正常(2) 通过直连网线将终端的LAN口与PC机以太网接口连接1、终端配置端口联动功能使ge0/0/0和ge0/0/1联动通过
8、7策略路由本测试需要增加设备router1和router21、 验证防火墙是否能够根据访问的源IP地址选择不同的路由策略进行路由;2、 验证防火墙是否能够根据访问的目的IP地址选择不同的路由策略进行路由;3、 验证防火墙是否能够根据访问报文的协议号选择不同的路由策略进行路由;4、 验证防火墙是否能够根据访问流量的入接口选择不同的路由策略进行路由。通过8支持优先级下载1、 设备上电启动 正常2、 设备以透明模式在server与交换机之间3、 交换机下接PC1和PC24、 PC1和PC2均能FTP访问server1、 防火墙进行优先级配置,且PC1地址设置其优先级高于PC2的地址2、 两PC同时访
9、问服务器地址(192.168.2.100).并同时下载同一个FTP文件通过9流量管理1、设备上电启动 正常2、设备以透明模式串接在internet与内网交换机之间3、交换机下接PC1和PC24、PC1和PC2仅能正常访问internet1、 开启防火墙的应用控制设置,针对PC2地址设置其HTTP的下载速度分别为5KB/S,20KB/S2、 Pc2从 http 下载任意文件3、 观察PC2 的下载速率通过10应用统计1、设备上电启动 正常2、PC机终端通过防火墙隔离与Internet联通1、 仪表A端口模拟Client端,源IP地址为192.168.0.22、 仪表B端口模拟HTTP服务器,地址
10、为211.136.1.10;3、 被测设备的端口A为192.168.0.1/24,端口B为211.136.1.1,配置工作在一对一NAT模式,将192.168.0.2转换为211.136.1.24、 发送HTTP等流量;通过11连接数控制功能1、防火墙上电启动支持2、防火墙以透明模式与测试仪连接3、测试仪器的连接能正常建立1、 开启防火墙的sessions数控制的设置,数值为10000个2、 仪表产生大于10000个并发连接3、 观察sessions建立的状况及数值4、 重复1步骤,针对特定的IP地址进行sessions数控制的设置,数值为30个5、 仪表产生大于100个并发连接6、 观察se
11、ssions建立的状况及数值通过12透明模式1、设备上电启动 正常2、设备以串连方式接在内网交换机之间3、交换机下接PC1和PC21、 Client/Server A、Client/Server B端口配置同一IP网段的IP地址,并互发有状态的IP流量;2、 Client/Server A、Client/Server B透传模式测试在两端PVID相同的情况下,IP单播报文及OSPF组播报文传递;3、 被测设备配置策略,阻断Client/Server A、Client/Server B之间的IP流量;4、 设备接口是否能够工作在Trunk模式下。通过13混合组网功能1、 给设备上电,设备启动正常
12、;2、 通过桥模式接入两台PC,PC1、PC2。3、 通过路由模式接入两台PC,PC1、PC31、 测试设备工作为路由模式,端口A配置3个子接口;2、 子接口1可以接收发送非标记帧;3、 子接口2可以接收发送VLAN ID为100的标记帧;4、 子接口3可以接收发送VLAN ID为200的标记帧;5、 配置被测设备的子接口1与端口B工作在透明模式;6、 配置被测设备的子接口2与端口C工作在路由模式;7、 配置被测设备的子接口3与端口C工作在NAT模式。通过14Ipv6访问控制1、中断上电启动正常;2、防火墙工作在透明模式;3、通过直连网线将终端LAN口与两台PC机以太网口连接。1、终端LAN侧
13、两台PC(PC1、PC2)设置静态IPV6地址(如2009:1:2:3:4:5:6:1、120与2009:1:2:3:4:5:6:2、120),部署在防火墙 Inside;PC3为2009:1:2:3:4:5:6:3部署在防火墙 Outside侧;2、使用IPV6地址方式设置接入控制,允许PC1的IPV6地址访问服务器PC3,禁止PC2的IP地址访问PC3;3、使用两台PC1、PC2访问PC3。4、终端LAN侧两台PC(pc1、pc2)设置静态IPv6地址(如2001:2与2001:3),并分别能够通过防火墙采用ftp/web/ping访问服务器2002:1005、配置两条访问控制列表,一条匹
14、配PC1访问服务器的流量,另一条匹配PC2访问服务器的流量。6、防火墙上配置两条访问控制规则,一条允许匹配规则的报文通过,一条禁止匹配规则的报文通过。7、使用2台PC访问服务器。通过15双栈1、终端上电启动正常2、通过直连网线将终端LAN口与两台PC机以太网接口连接1、 防火墙设置工作双栈模式;2、 如图配置分配终端、RT、防火墙的IP地址等参数;3、 设置全通规则;4、 PC1访问PC2 webFTP服务;通过16Ipv6静态路由1、终端上电启动正常2、通过直连网线防火墙跟两台路由器直连,然后两台路由器分别直连了一台PC1、如上图所示终端LAN侧两台PC(pc1、pc2)设置静态IPv6地址
15、(如2001:2与2004:2),路由器及防火墙分别设置静态IPv6地址。2、两台交换机(思科)分别配置去往对端PC的静态地址。3、防火墙上配置去往PC1及PC2的静态地址如下:4、PC1跟PC2两台PC互相ping对方。通过17Ipv6攻击防御功能1、终端上电启动正常2、如网络拓扑搭建测试环境,并完成基本地址、路由配置1、 如上图所示组网。模拟攻击的测试PC( 2002:2/64)并配置默认路由下一跳为2002:1。在防火墙上入接口(G0/0/0/)和出接口(G0/0/1)上分别配置IPv6地址(2002:1、2003:1)。外部搭建一台DNS服务器(2003:2).2、 在测试PC机上安装
16、了Syn Flooding、UDP Flooding、ICMP Flooding、DNS query flooding攻击工具。3、 然后在PC上用TCP synflood攻击工具发起synflood攻击4、 在PC上用UDP Flooding攻击工具发起udpflood攻击.5、 在PC上用ICMP Flooding攻击工具发起icmpflood攻击在PC上用DNS Query-flood攻击工具发起dns-query-flood攻击通过18双机热备、双击主动1、 两台设备加电工作正常。2、 给两台设备按vrrp经典组网连线。1、 给设备配置主备模式HA。2、 拔出主动设备的一条业务链路,观
17、察备设备可以切为主动工作状态,在插拔过程中不影响ftp下载。3、 讲HA工作状态调至共享模式,通过命令行或webui观察两台设备工作正常。通过19数据吞吐量测试(三层模式,2路光纤通道,最高20Gbps)初始测试负载为满负载(Initial rate % = 100%),之后负载逐级减半,测试在这一过程中的数据吞吐性能和丢包率测试负载数据包大小分别为64字节(byte)、128字节(128byte)、256字节(256byte)、512字节(512byte)、1024字节(1024byte)、1280字节(1280byte)、1518字节(1518byte),数据包(IP Header采用UD
18、P)64byte=52% 10.4Gbps128byte=86% 17.2Gbps256byte=100%20Gbps512byte=100%20Gbps1024byte=100%20Gbps1280byte=100%20Gbps1518byte=100%20Gbps20数据吞吐量测试(三层模式,4路光纤通道,最高40Gbps)初始测试负载为满负载(Initial rate % = 100%),之后负载逐级减半,测试在这一过程中的数据吞吐性能和丢包率测试负载数据包大小分别为64字节(byte)、128字节(128byte)、256字节(256byte)、512字节(512byte)、1024字
19、节(1024byte)、1280字节(1280byte)、1518字节(1518byte),数据包(IP Header采用UDP)64byte=52% 20.8Gbps128byte=86% 34.4Gbps256byte=100%40Gbps512byte=100%40Gbps1024byte=100%40Gbps1280byte=100%40Gbps1518byte=100%40Gbps21最大并发连接数测试(三层模式)测试设备在策略设定的时间段内模拟三百万个客户端同时向防火墙发起连接请求,测试受测设备是否能够保持该并发连接数达到策略要求的时间长度测试采用64byte的TCP数据包 受测设备在设置的有效测试时间段内,最大并发连接数达到并维持在100000022单位时间(每秒)新建连接数测试(三层模式)测试设备模拟每秒十万个新建客户端连接请求,尝试与受测设备建立连接。测试受测设备持续接受连接请求并成功建立连接的能力测试采用64byte的TCP数据包, 大小为64字节(64byte)新建连接数1300023防火墙功能开启后应用层业务流http测试(应用层吞吐测试)1、 一个IXIA端口连接防火墙上联口,一个IXIA端口连接防火墙的下联口;2、IXIA模拟http等应用层流量,记录防火墙设备均能成功连接的情况下的最大应用层吞吐量。吞吐1600000Kbps