防火墻測試驗收方案

防火墻測試方案引言防火墻是實現(xiàn)網(wǎng)絡安全體系的重要設備，其目的是要在內(nèi)部、外部兩個網(wǎng)絡之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。隨著網(wǎng)上黑客活動的日益猖獗，越來越多的上網(wǎng)企業(yè)開始重視網(wǎng)絡安全問題。特別是近兩三年來，以防火墻為核心的安全產(chǎn)品需求市場迅速成長起來，瞬間出現(xiàn)了眾多提供防火墻產(chǎn)品的廠家，光國內(nèi)就有幾十家。各種防火墻品種充斥市場，良莠不齊，有軟件的防火墻，硬件的防火墻，也有軟硬一體化的防火墻；有面向個人的防火墻，面向小企業(yè)的低檔防火墻，也有中高檔的防火墻，技術(shù)實現(xiàn)上有包過濾的防火墻、應用代理的防火墻，也有狀態(tài)檢測的防火墻。由于防火墻實現(xiàn)方式靈活，種類多，而且往往要與復雜的網(wǎng)絡環(huán)境整合在一起使用，因此，對防火墻進行測試評估是選購防火墻產(chǎn)品的一個重要環(huán)節(jié)。評估測試防火墻是一個十分復雜的工作。一般說來，防火墻的安全和性能是最重要的指標，用戶接口（管理和配置界面）和審計追蹤次之，然后才是功能上的擴展性。但是安全和性能之間似乎常常構(gòu)成一對矛盾。在防火墻技術(shù)的發(fā)展方面，業(yè)界一直在致力于為用戶提供安全性和性能都高的防火墻產(chǎn)品。沿著這一方向，防火墻產(chǎn)品經(jīng)歷了以軟件實現(xiàn)為主的代理型防火墻，以硬件實現(xiàn)為主的包過濾防火墻，以及兼有包過濾型防火墻的高速性特點和代理性防火墻高安全性特點的狀態(tài)檢測防火墻。另外，為了使靈活多變，難以掌握的防火墻安全技術(shù)能更有效地被廣大用戶使用，直觀易用的界面和詳盡明晰的報表審計能力被越來越多的防火墻產(chǎn)品采用，同時，防火墻產(chǎn)品在與網(wǎng)絡應用環(huán)境整合的過程中也在不斷地集成和加入新的網(wǎng)絡功能。因此，當前必須從安全性、性能、可管理性和輔助功能等方面綜合進行評測，才能客觀反映一個防火墻產(chǎn)品的素質(zhì)。測試的背景和目的在防火墻產(chǎn)品市場上，產(chǎn)品一般分為高、中、低三檔?？紤]到，高檔防火墻普遍是各公司最新或計劃推出的產(chǎn)品，證券作為大型的安全產(chǎn)品使用者，使用的防火墻產(chǎn)品以中、高檔為主，為了便于橫向比較各公司的產(chǎn)品，在本次測試中將統(tǒng)一以中檔防火墻產(chǎn)品作為測評的對象。為了較全面地評估各公司的防火墻產(chǎn)品，本次防火墻產(chǎn)品的測試分成以下幾個部分：功能測試、安全防范能力測試、性能測試和設備可靠性測試。參考資料GB/T18020-1999信息技術(shù)應用級防火墻安全技術(shù)要求GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求FWPDFirewallProductCertificationCriteriaVersion測試項目.測試項目包過濾，NAT地址綁定，本地訪問控制，多播， TRUNK代理總^由，內(nèi)容過濾，報警，審計實時監(jiān)控攻擊，雙機熱備，性能。.測試環(huán)境簡略拓撲圖

圖1管理器圖2說明：在括號內(nèi)的IP地址，為測試單一防火墻功能時所用的 IP地址。圖2僅為測試TRUNK代理路由和非IP規(guī)則時使用.三.測試前軟件環(huán)境的準備.子網(wǎng)主機具有Linux,windows2000（or98orNT）兩種環(huán)境。.測試環(huán)境Linux主機配置www即，telnet服務，同時安裝nmap,http_load,sendudp等測試工具；Windows主機配置ftp,telnet,iis,snmp等服務，同時安裝IE,Netscape等瀏覽希.防火墻的默認路由均指向其通往廣域網(wǎng)的路由器或三層交換機。.在廣域網(wǎng)中采用靜態(tài)路由和動態(tài)路由（rip或ospf）兩種。.。四.功能說明及規(guī)則設計。針對防火墻各項功能，分別加以說明。A.包過濾 區(qū)間通信。）單一地址2.）多地址規(guī)則設計:a.方向：區(qū)1—＞區(qū)2b.操作：允許（拒絕）c.協(xié)議：tcp,udp,icmp和其它協(xié)議號的協(xié)議。d.審計：是（否）e. 有效時間段B.地址綁定 ip,mac地址綁定。防止地址欺騙單一地址綁定多地址綁定。規(guī)則設計：a.方向：區(qū)1—＞區(qū)2b.操作：允許（或拒絕）C本地訪問控制 對管理主機的訪問進行控制.）單一地址. ）多地址規(guī)則設計：a.操作：1.允許ping,telnet等。2.允許管理2.DNAT 地址，端口的轉(zhuǎn)換。私有ip轉(zhuǎn)為公網(wǎng)ip。.）一對一.）多對一.）多對多規(guī)則設計：a.方向：區(qū)1—＞區(qū)2.操作：拒絕（或允許）協(xié)議：tcp,udp,icmp和其它協(xié)議號的協(xié)議。審計：是（否）E多播 解決一對多的通信。.單一多播源，多接收端。.多多播源，多接收端。，代理路由 復用鏈路 ，為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進行路由H.報警 利用郵件，TRAP,蜂鳴等及時向管理員報告防火墻的信息I.審計 審計防火墻上的訪問 ，及事件信息，防火墻的狀態(tài).J.實時監(jiān)控 實時檢測防火墻的通訊情況 ，跟蹤防火墻的運行狀況K攻擊 防攻擊。檢測企圖通過防火墻實施攻擊的行為 ，并報警，阻斷攻擊。L.雙機熱備 設備冗余。同一網(wǎng)絡，兩臺防火墻，一臺設為激活狀態(tài)，另一臺設為備份狀態(tài)。當激活狀態(tài)的防火墻down掉時，備份防火墻接管。通過測試用例來對具體的操作進行闡述。在所有的規(guī)則制定中考慮范圍內(nèi)取非，范圍的臨界值，中間值情況 ，時間的控制等。A.包過濾測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對ICMP數(shù)據(jù)包的過濾效果測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作.加載ICMP全通規(guī)則。.重復步驟1測試結(jié)果步驟預期結(jié)果實測結(jié)果1.正向ping成功，反向ping不通，被禁止。2.訪問被禁止，規(guī)則不允許。3都可以相互ping通。備注

測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作1.加載telnet全通規(guī)則，重復步驟 1.測試結(jié)果步驟預期結(jié)果實測結(jié)果1.正向成功，反向被禁止2.訪問被禁止，沒有允許UDP服務。TCP＞議的放開，對UDP＞議不發(fā)生影響。3.telnet訪問都成功。備注測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果，側(cè)重于實時效果測試環(huán)境.路由模式.Linux,windows。規(guī)則指定生效時間：9:00—10:00執(zhí)行操作.保持上述telnet已建立的連接，并不斷的 telnet沒有建立連接的。.在9:59-10:01之間，查看telnet狀態(tài)的反應。測試結(jié)果步驟預期結(jié)果實測結(jié)果1.正向telnet成功，反向被禁止。3已建立的telnet連接被斷開。備注測試項目包過濾測試日期

測試內(nèi)容在IP包過濾中，由于FTP服務的特殊性，所以下面幾個用例主要針對 FTP進行測試。這個用例主要用來測試 FTP建立連接后，防火墻對 20端口的特殊處理測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作1.,進行大文件（1G）的數(shù)據(jù)傳輸。2.passive進行即文件的傳輸。測試結(jié)果步驟預期結(jié)果實測結(jié)果1,3,5訪問被禁止2,4訪問成功。備注測試項目包過濾測試日期測試內(nèi)容IP包過濾包括ICMP、UDRTCP和非（ICMP、UDPTCP）包的過濾，UDPi濾行測試測試環(huán)境.路由模式.Linux,windows。規(guī)則指定生效時間：9:00-10:00?！硤?zhí)行操作.保持連接。查看在10:00時連接的狀態(tài)。.保持Client對Server的主動，不間斷的連接去掉時間限制，重新加載規(guī)則 1,在連接重新建立的同時，加載規(guī)則 2。測試結(jié)果步驟預期結(jié)果實測結(jié)果1.連接成功2.連接被斷開。3.連接建立后，馬上又被斷開。備注目的：測試UDP過濾的基本功能、在規(guī)則有效時間上的實時性、規(guī)則變化時對動態(tài)連接表的實時刷新性能等說明：對于EIP的測試，通過在包過濾中 IP協(xié)議的設置過程中同步設置，用發(fā)包工具對其進行測試,例如：igmp,ospf包等。B.地址綁定

測試項目IPMAC地址綁定測試日期測試內(nèi)容測試IPMAC綁定的基本功能，以及在 MACM址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得兩種IP欺騙的情況下防火墻的處理能力測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1訪問成功2,3訪問被禁止，IP或MA8匹配。備注首先，加載IP全通過濾規(guī)則測試項目IPMAC地址綁定測試日期測試內(nèi)容在制定IPMAC綁定規(guī)則時，可以只綁定一個區(qū)域當中的某幾個主機的地址，絕大多數(shù)主機可能不需要綁定，此時，我們還可以指定防火墻對那些沒指定的主機的綁定過濾規(guī)則。這個用例主要用來測試防火墻對綁定規(guī)則之外的主機的訪問的處理能力。測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作1.修改規(guī)則，綁定之外的主機允許通過。測試結(jié)果步驟預期結(jié)果實測結(jié)果1.訪問成功2訪問禁止4.訪問成功備注首先，加載IP全通過濾規(guī)則

測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容這個用例主要用來測試一對一的同時對多個方向上的轉(zhuǎn)換功能測試環(huán)境.路由模式。.Linux‘Windows規(guī)則指定執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1訪問成功2訪問成功3訪問失敗4訪問成功5訪問成功備注在訪問成功的同時在對端機器上用 netstat命令看是真實IP還是轉(zhuǎn)換后的IP地址。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容這個用例主要在于測試同時雙向的 NAT轉(zhuǎn)換功能測試環(huán)境1.路由模式2.Linx,windows規(guī)則指定執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1訪問成功2訪問成功3訪問成功4訪問成功備注服務都開放，同時用netstat 進行查看連接的IP地址。

測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對一轉(zhuǎn)換時的基本功能測試環(huán)境.路由模式.Linux,windows。規(guī)則指定1.以上不提供服務轉(zhuǎn)換。執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1訪問成功2訪問成功備注首先，加載IP全通過濾規(guī)則。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對一轉(zhuǎn)換時的服務轉(zhuǎn)換功能測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1.訪問成功2.訪問成功。3.訪問失敗。備注首先，加載IP全通過濾規(guī)則。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對多轉(zhuǎn)換時的服務轉(zhuǎn)換功能

測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作.加載規(guī)則1。.在規(guī)則1的基礎上，加載規(guī)則 2。測試結(jié)果步驟預期結(jié)果實測結(jié)果2,4訪問成功備注首先，加載IP全通過濾規(guī)則測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對多轉(zhuǎn)換時的 FTP服務轉(zhuǎn)換功能測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作.加載規(guī)則1。.在規(guī)則1的基礎上加載規(guī)則 2. ,2121。測試結(jié)果步驟預期結(jié)果實測結(jié)果2,4訪問應該能夠成功備注首先，加載IP全通過濾規(guī)則E.多播。測試項目多播測試日期測試內(nèi)容數(shù)據(jù)的轉(zhuǎn)發(fā)（分區(qū)方向的控制），組的加入。測試環(huán)境.路由模式.Linux,windows。規(guī)則指定

執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果2.正常播放。備注測試項目多播測試日期測試內(nèi)容分區(qū)方向的控制測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作在0上用mediaplayer建立多播站，播放影首義件。在10.10.3測試結(jié)果步驟預期結(jié)果實測結(jié)果2.訪問成功，可以正常觀看。備注測試項目多播測試日期測試內(nèi)容與下行流多播路由器的數(shù)據(jù)交換測試環(huán)境1.路由模式,windows。規(guī)則指定執(zhí)行操作在0上用mediaplayer建立多播站，播放影首義件。在0/,影首義件.測試結(jié)果步驟預期結(jié)果實測結(jié)果2.訪問成功，接收正常。3.不能成功.

備注測試項目多播 測試日期測試內(nèi)容多播樹的嫁接（多多播源，多接收端）測試環(huán)境.路由模式.Linux,windows。規(guī)則指定執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果2,3,4訪問成功，正常播放。備注注：橋模式下，多播與之類似，防火墻透明，與路由情況配置一樣，指定區(qū)域即可.不再贅述F.VPN測試項目TRUNK測試日期測試內(nèi)容跨越防火墻，完成同一VLAN內(nèi)的通信.測試環(huán)境.橋模式.Linux,windows。規(guī)則指定??執(zhí)行操作測試結(jié)果步驟預期結(jié)果實測結(jié)果1訪問全部成功。2Telnet成功.ping不成功.備注測試項目TRUNK代理路由測試日期

測試內(nèi)容跨越防火墻，完成同一VLAN內(nèi)的通信.測試環(huán)境.橋模式.Linux,windows。規(guī)則指定???執(zhí)行操作步驟預期結(jié)果實測結(jié)果測試結(jié)果1訪問全部成功。2訪問成功.3所有操作都拒絕.備注G.內(nèi)容過濾測試項目內(nèi)容過濾測試日期測試內(nèi)容對SMTP,HTTP,FTP等應用層進行過濾.測試環(huán)境.路由，橋..Linux,Windows.規(guī)則指定在包過濾中添加相應的過濾規(guī)則 ，其中對內(nèi)容，主題，附件，命令，都進行過濾.在此僅舉一例.其他不再贅述.1.?SMTP主題病毒禁止.FTP:USER 禁止.執(zhí)行操作. .GET頁面禁止..在..120上.usertest測試結(jié)果步驟預期結(jié)果實測結(jié)果1,2,3訪問都不成功。備注H.報警

測試項目報警.測試日期測試內(nèi)容郵件,trap,蜂鳴等.。測試環(huán)境.路由卞II式，橋模式..Linux,windows。規(guī)則指定設定相應的報警 mail.,trap接收地址.執(zhí)行操作.在裝有OpenView等可以接收trap信息的主機上結(jié)束trap..在任意,臺主機上設置mail帳號為報警mail帳號,接收報警mail..當進行相應的報警操作，防火墻開始蜂鳴.測試結(jié)果步驟預期結(jié)果實測結(jié)果1,2,3可以完成.備注I審計測試項目審計.測試日期測試內(nèi)容對防火墻進行事件及訪問日志的審計 .O測試環(huán)境.路由卞II式，橋模式..Linux,windows。規(guī)則指定1查看全部時間日志，事件類型，事件來源全部..協(xié)議全部.執(zhí)行操作1.查看.事件日志.測試結(jié)果步驟預期結(jié)果實測結(jié)果1查看到事件日志.2查看到相應的訪問日志.備注在測試的過程中，在包過濾中選中，進行審計.就可以直接查看以前進行的操作信息 .J.實時監(jiān)控.測試項目實施監(jiān)控測試日期

測試內(nèi)容進行相應的流量，連接等信息查看.測試環(huán)境.路由卞II式，橋模式..Linux,windows。規(guī)則指定1.數(shù)據(jù)包捕捉.?執(zhí)行操作1.直接在工具欄中查看相應的流量，連接等信息.測試結(jié)果步驟預期結(jié)果實測結(jié)果1查看信息，準確.2.捕捉到數(shù)據(jù)包