Check-Point-VSX-1-虛擬防火墻測(cè)試方案

PAGEPAGE19CheckPoint虛擬防火墻測(cè)試方案 version2.2CheckPoint安全軟件科技有限公司2009年6月目錄TOC\o"1-6"\h\z\u1 測(cè)試方案概述 32 測(cè)試環(huán)境和拓?fù)浣Y(jié)構(gòu) 42.1 功能測(cè)試拓?fù)浣Y(jié)構(gòu)及環(huán)境說(shuō)明 42.1.1 單機(jī)功能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN） 42.1.2 雙機(jī)冗余功能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN） 42.1.3 功能測(cè)試拓?fù)浣Y(jié)構(gòu)（SitetoSiteVPN） 52.2 性能測(cè)試拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)及環(huán)境說(shuō)明 52.2.1 單機(jī)網(wǎng)絡(luò)/應(yīng)用性能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN） 52.2.2 雙機(jī)網(wǎng)絡(luò)/應(yīng)用性能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN） 62.2.3 VPN性能測(cè)試拓?fù)浣Y(jié)構(gòu)(SitetoSiteVPN) 72.3 當(dāng)前測(cè)試版本 73 功能測(cè)試 83.1 測(cè)試環(huán)境初始化 83.2 物理指標(biāo) 93.3 設(shè)備虛擬化能力測(cè)試 103.3.1 測(cè)試目標(biāo) 103.3.2 測(cè)試用例 103.3.3 測(cè)試方法 103.4 組網(wǎng)功能測(cè)試 113.4.1 測(cè)試目標(biāo) 113.4.2 測(cè)試用例 113.4.3 測(cè)試方法 113.5 高可用性測(cè)試 123.5.1 測(cè)試目標(biāo) 123.5.2 測(cè)試用例 123.5.3 測(cè)試方法 133.6 防火墻功能測(cè)試 143.6.1 測(cè)試目標(biāo) 143.6.2 測(cè)試用例 143.6.3 測(cè)試方法 143.7 IPS功能測(cè)試 153.7.1 測(cè)試目標(biāo) 153.7.2 測(cè)試用例 153.8 WEB過(guò)濾功能測(cè)試 163.8.1 測(cè)試目標(biāo) 163.8.2 測(cè)試用例 163.9 集中管理系統(tǒng)冗余 173.9.1 測(cè)試目標(biāo) 173.9.2 測(cè)試用例 173.10 日志管理 183.10.1 測(cè)試目標(biāo) 183.10.2 測(cè)試用例 183.11 報(bào)表管理 203.11.1 測(cè)試目標(biāo) 203.11.2 測(cè)試用例 20測(cè)試方案概述本方案用于測(cè)試CheckPointVSX-1系列虛擬防火墻。測(cè)試方案主要分為兩個(gè)部分：功能測(cè)試和性能測(cè)試。功能測(cè)試部分用于測(cè)試和驗(yàn)證CheckPoint系列防火墻可實(shí)現(xiàn)的功能，主要包括：設(shè)備虛擬化能力（虛擬化組件及資源控制功能）組網(wǎng)功能高可用性功能防火墻功能IPS功能WEB過(guò)濾功能SSLVPN功能集中管理系統(tǒng)冗余功能日志管理功能報(bào)表功能；性能測(cè)試部分用于測(cè)試CheckPoint系列防火墻/VPN/應(yīng)用層安全的性能指標(biāo)，測(cè)試指標(biāo)主要包括：UDP數(shù)據(jù)包網(wǎng)絡(luò)吞吐量BlendTraffic數(shù)據(jù)包網(wǎng)絡(luò)吞吐量（和各模塊相關(guān)）最大并發(fā)連接數(shù)每秒新建連接數(shù)由于性能測(cè)試部分與測(cè)試設(shè)備密切相關(guān)，因此，在測(cè)試方案設(shè)計(jì)時(shí)，我們將功能測(cè)試方案和性能測(cè)試方案獨(dú)立設(shè)計(jì)；以便于在沒(méi)有性能測(cè)試的環(huán)境下，仍然可以實(shí)現(xiàn)全面的功能測(cè)試；測(cè)試環(huán)境和拓?fù)浣Y(jié)構(gòu)功能測(cè)試拓?fù)浣Y(jié)構(gòu)及環(huán)境說(shuō)明單機(jī)功能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN）測(cè)試設(shè)備CheckPointPower-111085，建立至少2個(gè)虛擬防火墻（以驗(yàn)證虛擬防火墻的安全獨(dú)立性）SpirentAvalanche/ReflectorSpirentSmartBit測(cè)試千兆交換機(jī)2臺(tái)補(bǔ)充說(shuō)明需配置一臺(tái)Power-1的管理服務(wù)器。硬件推薦配置：CPU至強(qiáng)3.0以上/內(nèi)存4G/硬盤(pán)80G/雙機(jī)冗余功能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN）測(cè)試設(shè)備CheckPointPower-111085，建立至少4個(gè)虛擬防火墻（以驗(yàn)證虛擬防火墻的冗余和負(fù)載均衡能力）SpirentAvalanche/ReflectorSpirentSmartBit測(cè)試千兆交換機(jī)2臺(tái)功能測(cè)試拓?fù)浣Y(jié)構(gòu)（SitetoSiteVPN）略性能測(cè)試拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)及環(huán)境說(shuō)明單機(jī)網(wǎng)絡(luò)/應(yīng)用性能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN）測(cè)試設(shè)備CheckPointPower-111085，建立至少2個(gè)虛擬防火墻（根據(jù)端口類(lèi)型來(lái)進(jìn)行配置）。SpirentAvalanche/ReflectorSpirentSmartBit測(cè)試千兆交換機(jī)2臺(tái)雙機(jī)網(wǎng)絡(luò)/應(yīng)用性能測(cè)試拓?fù)浣Y(jié)構(gòu)（除SitetoSiteVPN）測(cè)試設(shè)備CheckPointPower-111085，建立至少2個(gè)虛擬防火墻（根據(jù)端口類(lèi)型來(lái)進(jìn)行配置）。SpirentAvalanche/ReflectorSpirentSmartBit測(cè)試千兆交換機(jī)2臺(tái)VPN性能測(cè)試拓?fù)浣Y(jié)構(gòu)(SitetoSiteVPN)略當(dāng)前測(cè)試版本當(dāng)前測(cè)試軟件版本為CheckPointNGXR65PowerVSX版本；當(dāng)前測(cè)試硬件平臺(tái)為CheckPointPower-111000系列硬件平臺(tái)；功能測(cè)試測(cè)試環(huán)境初始化略物理指標(biāo)略設(shè)備虛擬化能力測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，達(dá)到以下目標(biāo)：了解虛擬防火墻的虛擬化能力，能夠支持哪些虛擬化組件；了解虛擬防火墻的資源控制能力，以保證在某一臺(tái)虛擬防火墻收到攻擊時(shí)，不會(huì)造成整個(gè)虛擬防火墻平臺(tái)的崩潰；測(cè)試用例測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果虛擬換能力R31虛擬防火墻是否支持創(chuàng)建虛擬防火墻R32虛擬路由器是否支持創(chuàng)建虛擬路由器R33虛擬交換機(jī)是否支持創(chuàng)建虛擬交換機(jī)R34虛擬網(wǎng)線(xiàn)是否支持創(chuàng)建虛擬網(wǎng)線(xiàn)R35路由功能1虛擬防火墻支持哪些動(dòng)態(tài)路由（單播、多播）R36路由功能2虛擬路由器支持哪些動(dòng)態(tài)路由（單播、多播）資源控制能力R37CPU資源控制定義各虛擬系統(tǒng)所占用的CPU資源分配比例；當(dāng)某虛擬防火墻使用定義的CPU資源份額時(shí)，別的虛擬防火墻將無(wú)法占用該部分CPU資源；當(dāng)某虛擬防火墻空閑時(shí)，將允許空閑的CPU資源份額被其他虛擬防火墻使用R38防火墻狀態(tài)表控制分別定義各虛擬防火墻所能夠使用的最大并發(fā)連接數(shù)，以控制該虛擬防火墻所使用的內(nèi)存資源測(cè)試方法略組網(wǎng)功能測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻的組網(wǎng)能力，以適應(yīng)不同的網(wǎng)絡(luò)應(yīng)用需求。測(cè)試用例測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果R41路由模式虛擬防火墻是否可以運(yùn)行在路由模式R42NAT模式虛擬防火墻是否可以運(yùn)行在NAT模式(動(dòng)態(tài)、靜態(tài))R43橋模式虛擬防火墻是否可以運(yùn)行在橋模式R44混合模式在同一硬件平臺(tái)上，部分虛擬防火墻以橋模式運(yùn)行，部分防火墻以路由模式運(yùn)行測(cè)試方法略高可用性測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻雙機(jī)冗余能力，包括：主備模式（Active-Standby）測(cè)試負(fù)載均衡（Active-Active）測(cè)試測(cè)試用例測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果R51主備模式-1虛擬防火墻是否支持路由模式下的主備模式R52主備模式-2虛擬防火墻是否支持橋模式下的主備模式R53主備模式-3在路由模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，是否會(huì)造成其他虛擬防火墻也同時(shí)進(jìn)行fail-over切換R54主備模式-4在路由模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，不會(huì)造成連接中斷（FTP/Telnet）R55主備模式-5在橋模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，是否會(huì)造成其他虛擬防火墻也同時(shí)進(jìn)行fail-over切換R56主備模式-6在橋模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，不會(huì)造成連接中斷（FTP/Telnet）R57負(fù)載均衡-1是否支持路由模式下的負(fù)載均衡，即一部分虛擬防火墻運(yùn)行在硬件平臺(tái)A，另一部分虛擬防火墻運(yùn)行在硬件平臺(tái)B；R58負(fù)載均衡-2是否支持橋模式下的負(fù)載均衡，即一部分虛擬防火墻運(yùn)行在硬件平臺(tái)A，另一部分虛擬防火墻運(yùn)行在硬件平臺(tái)B；R59負(fù)載均衡-3在路由模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，是否會(huì)造成其他虛擬防火墻也同時(shí)進(jìn)行fail-over切換R510負(fù)載均衡-4在路由模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，不會(huì)造成連接中斷（FTP/Telnet）R511負(fù)載均衡-5在橋模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，是否會(huì)造成其他虛擬防火墻也同時(shí)進(jìn)行fail-over切換R512負(fù)載均衡-6在橋模式時(shí)，當(dāng)某一個(gè)虛擬防火墻fail-over切換時(shí)，不會(huì)造成連接中斷（FTP/Telnet）R513混合模式-1在混合模式下（部分虛擬防火墻運(yùn)行在橋模式，部分運(yùn)行在路由模式），虛擬防火墻是否支持主備模式R514混合模式-2在混合模式下（部分虛擬防火墻運(yùn)行在橋模式，部分運(yùn)行在路由模式），虛擬防火墻是否支持負(fù)載均衡測(cè)試方法略防火墻功能測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，了解虛擬防火墻可以實(shí)現(xiàn)的基本功能，以及其虛擬化程度，包括：訪(fǎng)問(wèn)控制功能NAT功能用戶(hù)認(rèn)證功能IPSECVPN功能SSLVPN功能測(cè)試用例測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果在本測(cè)試中，將建立至少兩個(gè)虛擬防火墻，并對(duì)2個(gè)虛擬防火墻部署不同的安全策略，測(cè)試各虛擬防火墻是否嚴(yán)格執(zhí)行了所配置的策略，而不會(huì)受到其他虛擬防火墻策略的影響R61訪(fǎng)問(wèn)控制-1是否支持訪(fǎng)問(wèn)控制(FTP/PING/HTTP)R62訪(fǎng)問(wèn)控制-2是否支持訪(fǎng)問(wèn)控制策略的獨(dú)立性R63NAT功能-1是否支持各種NAT模式(動(dòng)態(tài)、靜態(tài))R64NAT功能-2是否支持NAT策略的獨(dú)立性R65用戶(hù)認(rèn)證-1是否支持用戶(hù)認(rèn)證功能（內(nèi)部用戶(hù)要需要通過(guò)防火墻認(rèn)證后，才能夠訪(fǎng)問(wèn)外部網(wǎng)絡(luò)）R66用戶(hù)認(rèn)證-2是否支持用戶(hù)認(rèn)證策略的獨(dú)立性R67IPSECVPN-1是否支持IPSECVPN功能（點(diǎn)到點(diǎn)，客戶(hù)端到點(diǎn)）R68IPSECVPN-2是否支持IPSECVPN策略的獨(dú)立性R69SSLVPN-1是否支持SSLVPN功能R610SSLVPN-2是否支持SSLVPN策略的獨(dú)立性測(cè)試方法略IPS功能測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻（設(shè)備）的入侵防御能力。測(cè)試主要分為兩個(gè)方面：手工工具測(cè)試設(shè)備測(cè)試測(cè)試用例測(cè)試方法測(cè)試結(jié)果R71,手工測(cè)試(主要側(cè)重于WEB攻擊防御SQL注射跨網(wǎng)站腳本攻擊HTTPHeaderSpoofing目錄遍歷命令注射R72,設(shè)備測(cè)試（如：SpirentThreatEX）掃描類(lèi)攻擊DOS類(lèi)攻擊FTP應(yīng)用攻擊MAIL應(yīng)用攻擊DNS應(yīng)用攻擊VOIP應(yīng)用攻擊SNMP應(yīng)用攻擊MSCIFS應(yīng)用攻擊WEB應(yīng)用攻擊協(xié)議符合性保護(hù)欺騙攻擊保護(hù)其他攻擊類(lèi)型R73,SmartDefense規(guī)則庫(kù)升級(jí)規(guī)則庫(kù)升級(jí)測(cè)試規(guī)則庫(kù)升級(jí)過(guò)程是否造成網(wǎng)絡(luò)連接中端WEB過(guò)濾功能測(cè)試測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻(設(shè)備)的WEB過(guò)濾引擎的安全檢測(cè)能力。測(cè)試用例測(cè)試項(xiàng)目源地址測(cè)試結(jié)果R81基于內(nèi)置數(shù)據(jù)庫(kù)黑客類(lèi)，測(cè)試訪(fǎng)問(wèn)黑客網(wǎng)站是否被過(guò)濾成人類(lèi)，測(cè)試訪(fǎng)問(wèn)成人類(lèi)網(wǎng)站是否被過(guò)濾Web郵件，測(cè)試訪(fǎng)問(wèn)WEB郵件是否被過(guò)濾R82基于URL/IP白名單測(cè)試URL白名單R83基于URL/IP黑名單測(cè)試URL黑名單R84基于主機(jī)白名單測(cè)試主機(jī)白名單（白名單主機(jī)將不受URL過(guò)濾控制）R85報(bào)警信息定制定制報(bào)警信息R86規(guī)則庫(kù)升級(jí)（手動(dòng)/自動(dòng)）規(guī)則庫(kù)升級(jí)過(guò)程中，是否造成網(wǎng)絡(luò)連接中端R87WEB過(guò)濾虛擬化部分虛擬防火墻不使用WEB過(guò)濾，部分使用該功能集中管理系統(tǒng)冗余測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻集中管理系統(tǒng)冗余能力。測(cè)試用例測(cè)試項(xiàng)目測(cè)試方法測(cè)試結(jié)果R91管理系統(tǒng)冗余是否支持管理系統(tǒng)冗余功能R92Fail-over切換Fail-over切換后，能否正常使用所有管理功能日志管理測(cè)試目標(biāo)通過(guò)該測(cè)試，以評(píng)估虛擬防火墻管理系統(tǒng)對(duì)日志的管理能力。測(cè)試用例測(cè)試項(xiàng)目測(cè)試結(jié)果日志類(lèi)型防火墻日志系統(tǒng)審計(jì)日志日志集中管理日志字段源地址/目的地址源段端口/目的端口日志來(lái)源/防火墻規(guī)則NAT日志（源地址翻譯）NAT日志（目的地址翻譯）NAT日志（源端口翻譯）NAT日志（目的端口翻譯）用戶(hù)認(rèn)證日志VPN日志（IKE隧道協(xié)商）VPN日志（加密/解密）VPN用戶(hù)登錄信息防病毒日志W(wǎng)EB過(guò)濾日志垃圾郵件日志日志查詢(xún)基于源地址查詢(xún)基于目的地址查詢(xún)基于服務(wù)查詢(xún)基于日志源查詢(xún)基于時(shí)間查詢(xún)基于防火墻動(dòng)作查詢(xún)基于規(guī)則查詢(xún)基于NAT規(guī)則查詢(xún)其他日志查詢(xún)?nèi)罩究臻g管理日志文件自動(dòng)切換（logsw