Q╱GDW 10940-2018 防火墻測(cè)試要求

防火墻測(cè)試要求2019-07-26發(fā)布2019-07-26實(shí)施國(guó)家電網(wǎng)有限公司發(fā)布I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 1 25.1總體說(shuō)明 25.2功能測(cè)試要求 25.3性能測(cè)試要求 95.4安全測(cè)試要求 5.5開發(fā)者保障要求 6測(cè)試方法 6.1測(cè)試環(huán)境 6.2測(cè)試工具 6.3功能測(cè)試方法 6.4性能測(cè)試方法 6.5安全測(cè)試方法 編制說(shuō)明 1防火墻測(cè)試要求本標(biāo)準(zhǔn)規(guī)定了國(guó)家電網(wǎng)有限公司防火墻產(chǎn)品的測(cè)試要求和測(cè)試方法，要求包括功能測(cè)試要求、性能測(cè)試要求、安全測(cè)試要求和開發(fā)者保障要求。本標(biāo)準(zhǔn)適用于國(guó)家電網(wǎng)有限公司防火墻產(chǎn)品的設(shè)計(jì)、開發(fā)與測(cè)試。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18336—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則GB/T20281—2015信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)Q/GDW11802網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)監(jiān)控預(yù)警平臺(tái)數(shù)據(jù)接入規(guī)范3術(shù)語(yǔ)和定義GB/T18336—2015、GB/T20281—2015和GB/T25069—2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。明確定義了源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)服務(wù)、策略有效期的訪問(wèn)控制策略。在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLAN的成員能夠相互通訊4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。DNAT:目的網(wǎng)絡(luò)地址轉(zhuǎn)換(DestinationNAT)DNS:域名系統(tǒng)(DomainNameSystem)FTP:文件傳輸系統(tǒng)(FileTransferProtocol)HTTP:超文本傳輸協(xié)議(HypertextTransferProtocol)ICMP:網(wǎng)間控制報(bào)文協(xié)議(InternetControlMessagesProtoc2NAT:網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation)NTP:網(wǎng)絡(luò)時(shí)間同步協(xié)議(NetworkTimeProtocol)OSPF:開放式最短路徑優(yōu)先(OpenShortestPathFirst)RIP:路由選擇信息協(xié)議(RoutingInformationProtocol)SMTP:簡(jiǎn)單郵件傳輸協(xié)議(SimpleMailTransferProtocol)SNMP:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)STP:生成樹協(xié)議(SpanningTreeProtocol)TCP:傳輸控制協(xié)議(TransportControlProtocol)UDP:用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol)URL:統(tǒng)一資源定位器(UniformResourceLocator)USB:通用串行總線(UniversalSerialBus)VPN:虛擬專用網(wǎng)(VirtualPrivateNetwork)VRRP:虛擬路由器冗余協(xié)議(VirtualRouterRedundancyProtocol)5測(cè)試要求5.1總體說(shuō)明本標(biāo)準(zhǔn)將防火墻測(cè)試要求分為功能測(cè)試要求、性能測(cè)試要求、安全測(cè)試要求、開發(fā)者保障要求四個(gè)a)功能測(cè)試要求：根據(jù)國(guó)家電網(wǎng)公司對(duì)防火墻產(chǎn)品的需求提出的防火墻產(chǎn)品應(yīng)具備的功能要求；b)性能測(cè)試要求：根據(jù)國(guó)家電網(wǎng)公司對(duì)防火墻產(chǎn)品的需求提出的防火墻產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)的要求，性能測(cè)試要求從防火墻產(chǎn)品的實(shí)際應(yīng)用角度對(duì)產(chǎn)品的性能指標(biāo)提出了要求；c)安全測(cè)試要求：根據(jù)國(guó)家電網(wǎng)公司對(duì)防火墻產(chǎn)品的安全要求以及防火墻產(chǎn)品自身的特點(diǎn)提出的防火墻產(chǎn)品的自身安全和防護(hù)能力的要求；d)開發(fā)者保障要求：針對(duì)防火墻開發(fā)者和防火墻自身提出的具體保障要求。5.2功能測(cè)試要求5.2.1功能測(cè)試要求列表產(chǎn)品的測(cè)試功能要求由表1所列項(xiàng)目組成。表1產(chǎn)品功能測(cè)試要求項(xiàng)目功能分類功能測(cè)試要求項(xiàng)目包過(guò)濾支持默認(rèn)禁止原則支持基于IP地址的訪問(wèn)控制支持基于端口的訪問(wèn)控制3功能分類功能測(cè)試要求項(xiàng)目包過(guò)濾支持基于協(xié)議類型的訪問(wèn)控制支持基于時(shí)間的訪問(wèn)控制支持基于用戶自定義安全策略的訪問(wèn)控制支持基于MAC地址的訪問(wèn)控制狀態(tài)檢測(cè)支持基于狀態(tài)檢測(cè)技術(shù)的訪問(wèn)控制NAT支持雙向NAT支持動(dòng)態(tài)NAT流量統(tǒng)計(jì)支持根據(jù)IP地址、協(xié)議、時(shí)間等參數(shù)對(duì)流量進(jìn)行統(tǒng)計(jì)支持統(tǒng)計(jì)結(jié)果的報(bào)表形式輸出公司統(tǒng)一監(jiān)控系統(tǒng)支持支持Syslog方式的日志輸出支持SNMP網(wǎng)絡(luò)管理協(xié)議NTP支持支持NTP協(xié)議，支持NTP認(rèn)證管理支持對(duì)授權(quán)管理員的口令鑒別方式支持對(duì)授權(quán)管理員、可信主機(jī)、主機(jī)和用戶進(jìn)行身份鑒別支持鑒別失敗處理支持本地和遠(yuǎn)程管理支持遠(yuǎn)程管理安全支持管理員權(quán)限劃分支持設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)支持設(shè)置和修改安全策略支持策略查詢支持策略分組支持管理審計(jì)日志支持防火墻狀態(tài)和網(wǎng)絡(luò)數(shù)據(jù)流狀態(tài)監(jiān)控支持獨(dú)立的管理接口支持USBKey等身份鑒別信息載體支持對(duì)授權(quán)管理員選擇至少兩種身份鑒別技術(shù)IP/MAC綁定支持IP/MAC地址綁定路由支持靜態(tài)路由功能支持OSPF方式的動(dòng)態(tài)路由功能支持RIP方式的動(dòng)態(tài)路由功能支持根據(jù)數(shù)據(jù)包信息設(shè)置策略路由支持策略路由功能雙機(jī)熱備支持主-備模式的雙機(jī)熱備支持主-主模式的雙機(jī)熱備支持物理設(shè)備狀態(tài)檢測(cè)支持會(huì)話狀態(tài)同步支持配置同步支持鏈路狀態(tài)檢測(cè)的雙機(jī)熱備4功能分類功能測(cè)試要求項(xiàng)目雙機(jī)熱備支持VRRP和STP協(xié)議支持冗余心跳線機(jī)制網(wǎng)絡(luò)適應(yīng)性支持基于路由轉(zhuǎn)發(fā)的接入方式支持基于透明網(wǎng)橋的接入方式支持路由轉(zhuǎn)發(fā)和透明網(wǎng)橋轉(zhuǎn)發(fā)兩種模式同時(shí)具備的混合接入方式支持VLANTrunk深度包檢測(cè)支持基于URL的訪問(wèn)控制支持基于電子郵件信頭的訪問(wèn)控制支持基于文件類型的訪問(wèn)控制支持基于關(guān)鍵字的訪問(wèn)控制會(huì)話維持支持基于協(xié)議、端口、策略的會(huì)話維持功能動(dòng)態(tài)開放端口支持動(dòng)態(tài)開放端口功能連接數(shù)控制支持設(shè)置單IP的最大并發(fā)會(huì)話數(shù)協(xié)同聯(lián)動(dòng)支持于其他安全產(chǎn)品的協(xié)同聯(lián)動(dòng)用戶鑒別支持基于用戶身份鑒別的訪問(wèn)控制帶寬管理支持客戶端占用帶寬大小的限制支持動(dòng)態(tài)客戶端帶寬管理負(fù)載均衡支持將網(wǎng)絡(luò)流量負(fù)載均衡到多臺(tái)服務(wù)器VPN功能支持IPSec協(xié)議支持建立“防火墻至防火墻”和“客戶端至防火墻”兩種形式的VPN支持VPN認(rèn)證加密算法和驗(yàn)證算法應(yīng)符合國(guó)家密碼管理的規(guī)定支持純IPv6網(wǎng)絡(luò)環(huán)境支持IPv6隧道技術(shù)支持IPv6雙棧技術(shù)支持IPv6Core協(xié)議一致性支持IPv6NDP協(xié)議一致性支持IPv6Autoconfig協(xié)議一致性支持IPv6PMTU協(xié)議一致性支持ICMPv6協(xié)議一致性支持IPv6網(wǎng)絡(luò)環(huán)境下的協(xié)議健壯性支持IPv6網(wǎng)絡(luò)環(huán)境下的自身管理支持IPv4和IPv6兩種網(wǎng)絡(luò)的相互轉(zhuǎn)換會(huì)話管理支持主動(dòng)釋放會(huì)話占用的狀態(tài)表資源應(yīng)用協(xié)議控制支持識(shí)別、控制各種應(yīng)用協(xié)議類型并過(guò)濾主流應(yīng)用的內(nèi)容應(yīng)用內(nèi)容控制支持識(shí)別并控制各種應(yīng)用類型5防火墻應(yīng)具備包過(guò)濾功能，具體測(cè)試要求如下：a)防火墻的安全策略應(yīng)使用最小安全原則，即除非明確允許，否則就禁止，在防火墻故障或失效情況下，也應(yīng)保持默認(rèn)禁止；b)防火墻的安全策略應(yīng)包含基于源IP地址、目的IP地址的訪問(wèn)控制；c)防火墻的安全策略應(yīng)包含基于源端口、目的端口的訪問(wèn)控制；d)防火墻的安全策略應(yīng)包含基于協(xié)議類型的訪問(wèn)控制；e)防火墻的安全策略應(yīng)包含基于時(shí)間的訪問(wèn)控制，要求如下：1)支持基于絕對(duì)時(shí)間的訪問(wèn)控制，要求精確到秒級(jí)；2)支持基于相對(duì)時(shí)間的訪問(wèn)控制，需支持按周循環(huán)的相對(duì)時(shí)間。f)防火墻應(yīng)支持用戶自定義的安全策略，安全策略可以是IP地址、端口、協(xié)議類型和時(shí)間的部g)安全策略應(yīng)包含基于MAC地址的訪問(wèn)控制；h)應(yīng)支持用戶自定義的安全策略，安全策略可以是MAC地址、IP地址、端口、協(xié)議類型和時(shí)間的部分或全部組合；i)防火墻可根據(jù)配置，對(duì)一定時(shí)間內(nèi)未使用的策略進(jìn)行自動(dòng)修改或刪除。5.2.3狀態(tài)檢測(cè)防火墻應(yīng)具備狀態(tài)檢測(cè)功能，支持基于狀態(tài)檢測(cè)技術(shù)的訪問(wèn)控制。b)SNAT應(yīng)至少可實(shí)現(xiàn)“多對(duì)一”地址轉(zhuǎn)換，使得內(nèi)部網(wǎng)絡(luò)主機(jī)正常訪問(wèn)外部網(wǎng)絡(luò)時(shí)，其源IP地址被轉(zhuǎn)換，并應(yīng)屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址；c)DNAT應(yīng)至少可實(shí)現(xiàn)“一對(duì)多”地址轉(zhuǎn)換，將DMZ的IP地址/端口映射為外部網(wǎng)絡(luò)合法IP地址/端口，使外部網(wǎng)絡(luò)主機(jī)通過(guò)訪問(wèn)映射地址和端口實(shí)現(xiàn)對(duì)DMZ服務(wù)器的訪問(wèn)；5.2.5流量統(tǒng)計(jì)防火墻應(yīng)具備流量統(tǒng)計(jì)功能，具體測(cè)試要求如下：a)防火墻應(yīng)能夠通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、時(shí)間和協(xié)議類型等參數(shù)或它們的組合對(duì)流量進(jìn)行正確b)防火墻應(yīng)能夠?qū)崟r(shí)或者以報(bào)表形式輸出流量統(tǒng)計(jì)結(jié)果。5.2.6公司統(tǒng)一監(jiān)控系統(tǒng)支持防火墻應(yīng)支持公司統(tǒng)一監(jiān)控系統(tǒng)，具體測(cè)試要求如下：a)防火墻應(yīng)支持將Syslog日志輸出到指定的服務(wù)器，基本數(shù)據(jù)格式、數(shù)據(jù)質(zhì)量要求等應(yīng)符合Q/GDW11802及公司統(tǒng)一監(jiān)控系統(tǒng)數(shù)據(jù)接入規(guī)范的其他要求；b)防火墻應(yīng)支持通過(guò)安全增強(qiáng)的SNMP協(xié)議對(duì)防火墻進(jìn)行監(jiān)控，可對(duì)防火墻的CPU狀態(tài)、內(nèi)存利6a)防火墻應(yīng)支持使用NTP進(jìn)行時(shí)間同步；b)防火墻應(yīng)支持對(duì)NTP時(shí)間源的認(rèn)證。防火墻應(yīng)具備管理功能，具體測(cè)試要求如下：1)支持對(duì)授權(quán)管理員的口令鑒別方式，并可根據(jù)口令長(zhǎng)度4)防火墻應(yīng)對(duì)授權(quán)管理員選擇兩種或兩種以上組合的鑒別技術(shù)進(jìn)行身份鑒別；5)防火墻應(yīng)具有登錄失敗處理功能，身份鑒別在經(jīng)過(guò)一個(gè)可設(shè)定的鑒別失敗最大次數(shù)后，防6)遠(yuǎn)程管理過(guò)程中，防火墻應(yīng)通過(guò)指定IP的方式限定可對(duì)防火墻進(jìn)行管理的主機(jī)，且并發(fā)管理連接數(shù)限定，且管理端與防火墻之間的所有通訊應(yīng)加密；7)防火墻應(yīng)支持管理員權(quán)限劃分，至少需分為三個(gè)部分，可將防火墻系統(tǒng)管理、安全策略管8)防火墻應(yīng)為每一個(gè)規(guī)定的授權(quán)管理員、可信主機(jī)、主機(jī)和用戶提供一套唯一的為執(zhí)行安全2)防火墻應(yīng)支持通過(guò)專用的網(wǎng)絡(luò)接口進(jìn)行遠(yuǎn)程管理，并可限定可進(jìn)行遠(yuǎn)程管理的網(wǎng)絡(luò)接口；4)防火墻應(yīng)支持在線和離線兩種升級(jí)方式，不會(huì)因升級(jí)影響系統(tǒng)的正常工作。1)防火墻向授權(quán)管理員提供設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)的功能；2)防火墻向授權(quán)管理員提供設(shè)置、查詢和修改各種安全策略的功能；3)防火墻向授權(quán)管理員提供根據(jù)條件進(jìn)行策略查詢的功能；4)防火墻向授權(quán)管理員提供根據(jù)策略分組功能，可對(duì)具備特定條件的策略進(jìn)行分組；5)防火墻向授權(quán)管理員提供管理審計(jì)日志的功能；6)防火墻向授權(quán)管理員提供監(jiān)控防火墻狀態(tài)和網(wǎng)絡(luò)數(shù)據(jù)流狀態(tài)的功能。7防火墻應(yīng)具備路由功能，具體測(cè)試要求如下：a)防火墻應(yīng)支持靜態(tài)路由功能；b)防火墻應(yīng)支持OSPF方式的動(dòng)態(tài)路由功能；c)防火墻應(yīng)支持RIP方式的動(dòng)態(tài)路由功能；d)具有多個(gè)相同屬性網(wǎng)絡(luò)接口(多個(gè)外部網(wǎng)絡(luò)接口、多個(gè)內(nèi)部網(wǎng)絡(luò)接口或多個(gè)DMZ網(wǎng)絡(luò)接口)的防火墻應(yīng)能夠根據(jù)數(shù)據(jù)包源IP地址、目的IP地址、進(jìn)入接口、傳輸層接口或數(shù)據(jù)包負(fù)載內(nèi)容等參數(shù)來(lái)設(shè)置路由策略；e)具有多個(gè)相同屬性網(wǎng)絡(luò)接口(多個(gè)外部網(wǎng)絡(luò)接口、多個(gè)內(nèi)部網(wǎng)絡(luò)接口或多個(gè)DMZ網(wǎng)絡(luò)接口)的防火墻應(yīng)能夠根據(jù)下一跳接口、協(xié)議和端口、應(yīng)用類型等參數(shù)來(lái)設(shè)置路由策略，且支持基于多鏈路負(fù)載情況進(jìn)行自動(dòng)選擇最優(yōu)線路。5.2.11雙機(jī)熱備防火墻應(yīng)具備雙機(jī)熱備功能，具體測(cè)試要求如下：a)防火墻應(yīng)支持兩臺(tái)相同防火墻以“一主一備”的方式進(jìn)行部署，當(dāng)主防火墻意外停止工作時(shí)，備用防火墻可接管主防火墻進(jìn)行工作，切換時(shí)間應(yīng)小于5秒；b)防火墻應(yīng)支持兩臺(tái)相同防火墻以“雙主”的方式進(jìn)行部署，兩臺(tái)防火墻以“負(fù)載分擔(dān)”的方式c)防火墻應(yīng)支持物理設(shè)備狀態(tài)檢測(cè)。當(dāng)主防火墻因自身出現(xiàn)斷電或其他故障停止工作時(shí)，備用防火墻應(yīng)及時(shí)發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時(shí)間應(yīng)小于5秒；d)防火墻應(yīng)支持會(huì)話狀態(tài)的同步，可自動(dòng)或手動(dòng)進(jìn)行會(huì)話狀態(tài)同步；e)防火墻應(yīng)支持配置的同步，可自動(dòng)或手動(dòng)進(jìn)行系統(tǒng)、策略的配置同步；f)防火墻應(yīng)具備基于鏈路狀態(tài)檢測(cè)的雙機(jī)熱備功能，當(dāng)與主防火墻直接相連的鏈路發(fā)生故障而無(wú)法正常工作時(shí)，備用防火墻應(yīng)及時(shí)發(fā)現(xiàn)并接管主防火墻進(jìn)行工作，切換時(shí)間應(yīng)小于5秒；h)在透明模式下，防火墻可支持STP協(xié)議；i)防火墻應(yīng)支持通過(guò)冗余心跳線機(jī)制實(shí)現(xiàn)雙機(jī)熱備功能；j)防火墻可支持鏈路狀態(tài)檢測(cè)協(xié)議如IP-Link,BFD等。5.2.12網(wǎng)絡(luò)適應(yīng)性防火墻應(yīng)能以不同的接入方式接入多種網(wǎng)絡(luò)環(huán)境，具體測(cè)試要求如下：a)防火墻應(yīng)支持基于路由轉(zhuǎn)發(fā)的接入方式接入網(wǎng)絡(luò)；b)防火墻應(yīng)支持基于透明網(wǎng)橋的接入方式接入網(wǎng)絡(luò)；c)防火墻應(yīng)支持路由轉(zhuǎn)發(fā)和透明網(wǎng)橋兩種模式同時(shí)具備的混合模式接入網(wǎng)絡(luò)；5.2.13深度包檢測(cè)防火墻應(yīng)具備深度包檢測(cè)功能，具體測(cè)試要求如下：a)防火墻的安全策略應(yīng)包含基于URL的訪問(wèn)控制；b)防火墻的安全策略應(yīng)包含基于電子郵件中的Subject、To、From域等進(jìn)行的訪問(wèn)控制；c)防火墻的安全策略應(yīng)包含基于文件類型的訪問(wèn)控制；d)防火墻的安全策略應(yīng)包含基于關(guān)鍵字的訪問(wèn)控制，對(duì)HTTP網(wǎng)頁(yè)數(shù)據(jù)和電子郵件正文數(shù)據(jù)進(jìn)行檢查。85.2.14會(huì)話維持防火墻應(yīng)根據(jù)協(xié)議、端口、安全策略等條件進(jìn)行會(huì)話維持，保證特定會(huì)話可在較長(zhǎng)時(shí)間內(nèi)維持活躍狀態(tài)。5.2.15動(dòng)態(tài)開放端口防火墻應(yīng)具備動(dòng)態(tài)開放端口功能，支持主動(dòng)模式和被動(dòng)模式的FTP、以H.323協(xié)議建立視頻會(huì)議和5.2.16連接數(shù)控制防火墻應(yīng)能夠設(shè)置單IP的最大并發(fā)會(huì)話數(shù)，防止大量非法連接產(chǎn)生時(shí)影響網(wǎng)絡(luò)的性能。5.2.17協(xié)同聯(lián)動(dòng)防火墻應(yīng)按照一定的安全協(xié)議與其他安全產(chǎn)品協(xié)同聯(lián)動(dòng)，并支持手工或自動(dòng)方式來(lái)配置聯(lián)動(dòng)策略。防火墻應(yīng)具備基于用戶/用戶組的網(wǎng)絡(luò)訪問(wèn)控制功能，支持的用戶鑒別方式具體技術(shù)要求如下：a)支持本地鑒別方式；b)支持結(jié)合第三方鑒別系統(tǒng)，如基于radius、LDAP服務(wù)器的鑒別方式；c)支持基于策略的鑒別方式。5.2.19帶寬管理防火墻應(yīng)具備帶寬管理功能，具體測(cè)試要求如下：a)防火墻應(yīng)能夠根據(jù)安全策略中設(shè)定的大小限制客戶端占用的帶寬；b)防火墻應(yīng)能夠根據(jù)安全策略和網(wǎng)絡(luò)流量動(dòng)態(tài)調(diào)整客戶端占用的帶寬。5.2.20負(fù)載均衡本項(xiàng)應(yīng)遵循GB/T20281—2015中.4.2的要求。5.2.21VPN功能a)防火墻應(yīng)支持以IPSec協(xié)議為基礎(chǔ)構(gòu)建VPN;b)防火墻應(yīng)支持建立“防火墻至防火墻”和“客戶端至防火墻”兩種形式的VPN;c)防火墻應(yīng)支持預(yù)共享密鑰和X.509數(shù)字證書兩種認(rèn)證方式進(jìn)行國(guó)密VPN認(rèn)證；d)防火墻所使用的加密算法和驗(yàn)證算法應(yīng)符合國(guó)家密碼管理的規(guī)定，宜采用國(guó)密算法。防火墻應(yīng)支持IPv6協(xié)議，具體測(cè)試要求如下：a)防火墻應(yīng)支持純IPv6網(wǎng)絡(luò)環(huán)境，能夠在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作；b)防火墻應(yīng)支持通過(guò)隧道技術(shù)實(shí)現(xiàn)IPv6通訊，具體要求如下：1)防火墻應(yīng)支持6over4網(wǎng)絡(luò)環(huán)境，能夠在6over4網(wǎng)絡(luò)環(huán)境下正常工作；2)防火墻應(yīng)支持6to4網(wǎng)絡(luò)環(huán)境，能夠在6to4網(wǎng)絡(luò)環(huán)境下正常工作；9c)防火墻應(yīng)支持IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境，可同時(shí)進(jìn)行IPv6和IPv4的通訊；d)防火墻宜支持IPv6Core協(xié)議一致性；e)防火墻宜支持IPv6NDP協(xié)議一致性；f)防火墻宜支持IPv6Autoconfig協(xié)議一致性；h)防火墻宜支持ICMPv6協(xié)議一致性；i)防火墻應(yīng)支持IPv6網(wǎng)絡(luò)環(huán)境下的協(xié)議健壯性，能夠抵御畸形協(xié)議報(bào)文攻擊，具體要求如下：3)其他協(xié)議畸形報(bào)文。j)防火墻應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下的自身管理；k)防火墻應(yīng)支持將IPv4和IPv6兩種網(wǎng)絡(luò)相互轉(zhuǎn)換，能夠在協(xié)議轉(zhuǎn)換網(wǎng)絡(luò)環(huán)境下正常工作。5.2.23會(huì)話管理防火墻應(yīng)能夠在會(huì)話處于非活躍狀態(tài)一定時(shí)間或會(huì)話結(jié)束后，主動(dòng)釋放其占用的狀態(tài)表資源。5.2.24應(yīng)用協(xié)議控制防火墻應(yīng)能識(shí)別并控制各種應(yīng)用協(xié)議類型，具體技術(shù)要求如下：b)即時(shí)聊天類應(yīng)用、P2P流媒體類應(yīng)用、網(wǎng)絡(luò)流媒體類應(yīng)用、網(wǎng)絡(luò)游戲、股票軟件；c)逃逸或隧道加密特點(diǎn)的應(yīng)用；d)自定義應(yīng)用類型。5.2.25應(yīng)用內(nèi)容控制防火墻應(yīng)能識(shí)別和過(guò)濾主流應(yīng)用的內(nèi)容，具體技術(shù)要求如下：等應(yīng)用對(duì)文件類型進(jìn)行訪問(wèn)控制，包括文件類型的上傳、下載c)其他類型的應(yīng)用內(nèi)容。5.3性能測(cè)試要求5.3.1性能測(cè)試要求列表產(chǎn)品的性能測(cè)試要求由表2所列項(xiàng)目組成。表2性能測(cè)試要求項(xiàng)目性能性能測(cè)試要求項(xiàng)目性能測(cè)試要求整機(jī)吞吐量延遲最大并發(fā)連接數(shù)最大連接速率防火墻的整機(jī)吞吐量視不同速率的防火墻有所不同，具體測(cè)試要求如下；防火墻在如下條件下，整a)防火墻在開啟NAT功能后，整機(jī)吞吐量下降應(yīng)不大于原吞吐量的2%;b)防火墻在開啟全部日志功能后，整機(jī)吞吐量下降應(yīng)不大于原吞吐量的3%;c)防火墻在添加大數(shù)量有效訪問(wèn)控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，萬(wàn)兆防火墻大于12000條)后，整機(jī)吞吐量下降應(yīng)不大于原吞吐量的2%;d)防火墻在開啟主要安全功能(包括但不限于審計(jì)日志、抗攻擊、深度包檢測(cè)、流量統(tǒng)計(jì)、應(yīng)用層協(xié)議控制)后，整機(jī)吞吐量下降應(yīng)不大于原吞吐量的20%。表3防火墻整機(jī)吞吐量測(cè)試要求防火墻分類64字節(jié)短包512字節(jié)中包1518字節(jié)大包配置策略百兆防火墻200Mbps600Mbps500條千兆防火墻5Gbps4000條萬(wàn)兆防火墻28Gbps35Gbps10000條防火墻的延遲視不同速率的防火墻有所不同，具體測(cè)試要求有防火墻在如下條件下，延遲指標(biāo)應(yīng)不a)防火墻在開啟NAT功能后，延遲增加應(yīng)不大于原延遲的2%;b)防火墻在開啟全部日志功能后，延遲增加應(yīng)不大于原延遲的3%;c)防火墻在添加大數(shù)量有效訪問(wèn)控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，萬(wàn)兆防火墻大于12000條)后，延遲增加應(yīng)不大于原延遲的2%;d)防火墻在開啟主要安全功能(包括但不限于審計(jì)日志、抗攻擊、深度包檢測(cè)、流量統(tǒng)計(jì)、應(yīng)用層協(xié)議控制)后，延遲增加應(yīng)不大于原延遲的20%。防火墻分類64字節(jié)短包512字節(jié)中包1518字節(jié)大包配置策略百兆防火墻500條千兆防火墻4000條萬(wàn)兆防火墻10000條最大并發(fā)連接數(shù)視不同速率的防火墻有所不同，具體測(cè)試要求如下：a)百兆防火墻在500條有效訪問(wèn)控制策略的情況下最大并發(fā)連接數(shù)應(yīng)不小于120萬(wàn)個(gè)；b)千兆防火墻在4000條有效訪問(wèn)控制策略的情況下最大并發(fā)連接數(shù)應(yīng)不小于250萬(wàn)個(gè)；c)萬(wàn)兆防火墻在10000條有效訪問(wèn)控制策略的情況下最大并發(fā)連接數(shù)應(yīng)不小于500萬(wàn)個(gè)。最大連接速率視不同速率的防火墻有所不同，具體測(cè)試要求如下：a)百兆防火墻在500條有效訪問(wèn)控制策略的情況下最大連接速率應(yīng)不小于每秒1.5萬(wàn)個(gè)；b)千兆防火墻在4000條有效訪問(wèn)控制策略的情況下最大連接速率應(yīng)不小于每秒8萬(wàn)；c)萬(wàn)兆防火墻在10000條有效訪問(wèn)控制策略的情況下最大連接速率應(yīng)不小于每秒20萬(wàn)；d)防火墻在開啟NAT功能后，最大連接速率下降應(yīng)不大于原最大連接速率的2%;f)防火墻在添加大數(shù)量有效訪問(wèn)控制策略(百兆防火墻大于800條，千兆防火墻大于5000條，g)防火墻在開啟主要安全功能(包括但不限于審計(jì)日志、抗攻擊、深度包檢測(cè)、流量統(tǒng)計(jì)、應(yīng)用層協(xié)議控制)后，最大連接速率下降應(yīng)不大于原最大連接速率的20%。產(chǎn)品的安全測(cè)試要求由表5所列項(xiàng)目組成。安全分類安全測(cè)試要求項(xiàng)目抗攻擊抵御各種典型拒絕服務(wù)攻擊檢測(cè)和記錄端口掃描行為和漏洞掃描行為，不返回掃描信息抵御源IP地址欺騙攻擊抵御IP碎片包攻擊支撐系統(tǒng)支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)支撐系統(tǒng)不含任何高、中風(fēng)險(xiǎn)安全漏洞構(gòu)建于安全的操作系統(tǒng)之上非正常關(guān)機(jī)安全策略恢復(fù)到關(guān)機(jī)前的狀態(tài)日志信息不會(huì)丟失管理員重新認(rèn)證協(xié)議安全異常報(bào)文、畸形報(bào)文不影響系統(tǒng)的正常工作支持識(shí)別協(xié)議穿透安全審計(jì)支持記錄來(lái)自外部網(wǎng)絡(luò)的被安全策略允許的訪問(wèn)請(qǐng)求支持記錄來(lái)自內(nèi)部網(wǎng)絡(luò)和DMZ的被安全策略允許的訪問(wèn)請(qǐng)求支持記錄任何試圖穿越或到達(dá)防火墻的違反安全策略的訪問(wèn)請(qǐng)求支持記錄防火墻的管理行為支持日志的訪問(wèn)授權(quán)支持記錄對(duì)防火墻系統(tǒng)自身的操作支持在防火墻管理端口上的認(rèn)證請(qǐng)求支持對(duì)日志事件和防火墻所采取的相應(yīng)措施的中文描述支持日志記錄存儲(chǔ)和備份的安全支持日志集中管理工具管理日志支持日志的統(tǒng)計(jì)分析和中文報(bào)表生成支持日志存儲(chǔ)耗盡處理機(jī)制表5(續(xù))安全分類安全測(cè)試要求項(xiàng)目支持記錄協(xié)同聯(lián)動(dòng)響應(yīng)行為事件抗?jié)B透支持抵御掃描行為支持惡意代碼檢測(cè)功能支持抵御來(lái)自應(yīng)用層的攻擊防火墻具備抗攻擊能力，具體測(cè)試要求如下：a)能夠抵御典型的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊，包括ICMPFlood攻擊、UDPFlood攻擊、SYNFlood攻擊、TearDrop攻擊、Land攻擊、超大ICMP數(shù)據(jù)攻擊等，保護(hù)自身并防止受b)能檢測(cè)和記錄端口掃描和漏洞掃描信息，包括對(duì)防火墻自身和受保護(hù)網(wǎng)絡(luò)的掃描，不返回掃描e)宜具備基于IP信譽(yù)庫(kù)的過(guò)濾功能，并支持IP信譽(yù)庫(kù)的升級(jí)更新。防火墻的底層支撐系統(tǒng)應(yīng)滿足如下測(cè)試要求：a)確保其支撐系統(tǒng)不提供多余的網(wǎng)絡(luò)服務(wù)，僅開放必要的通訊端口；b)支撐系統(tǒng)不含任何可能導(dǎo)致防火墻權(quán)限丟失、拒絕服務(wù)和敏感信息泄露等的漏洞。防火墻在非正常條件(如斷電、強(qiáng)制關(guān)機(jī))關(guān)機(jī)并重新啟動(dòng)后，應(yīng)滿足如下測(cè)試要求：d)千兆及以下類型防火墻設(shè)備重啟時(shí)間宜小于90秒，千兆以上類型防火墻設(shè)備重啟時(shí)間宜小于180秒。防火墻應(yīng)正確處理異常報(bào)文、畸形報(bào)文，不會(huì)因異常報(bào)文和畸形報(bào)文影響系統(tǒng)的正常工作。防火墻應(yīng)識(shí)別經(jīng)過(guò)偽裝的特殊協(xié)議，抵抗偽裝成正常通訊協(xié)議的攻擊。防火墻應(yīng)具備安全審計(jì)功能，具體測(cè)試要求如下：1)被防火墻策略允許、禁止的訪問(wèn)請(qǐng)求；3)試圖登錄防火墻管理端口和管理身份鑒別請(qǐng)求；5)防火墻的重要管理配置操作：如增加/刪除/修改管理員、保存/刪除審計(jì)日志、更改安全7)防火墻應(yīng)記錄協(xié)同聯(lián)動(dòng)響應(yīng)行為事件；8)防火墻應(yīng)記錄檢測(cè)到的攻擊行為，且日志中應(yīng)包括對(duì)攻擊事件的詳細(xì)描述。b)日志內(nèi)容2)事件發(fā)生的主體、客體和描述，其中數(shù)據(jù)包應(yīng)包括協(xié)議類型、源地址、目的地址、源端口3)指明在管理端口上的認(rèn)證請(qǐng)求是成功還是失敗，若認(rèn)證請(qǐng)求失敗應(yīng)記錄失敗的原因；4)對(duì)日志事件和防火墻采取的相應(yīng)措施進(jìn)行詳細(xì)的描述，描述內(nèi)容應(yīng)為中文。1)防火墻應(yīng)支持把日志存儲(chǔ)和備份在掉電非易失性存儲(chǔ)介質(zhì)中，并確保永久性和安全性；2)防火墻應(yīng)支持使用日志管理工具管理日志，具備對(duì)審計(jì)事件以時(shí)間、日期、主體ID、客3)防火墻應(yīng)支持通過(guò)防火墻自身或日志管理工具對(duì)日志進(jìn)行統(tǒng)計(jì)分析和生成報(bào)表；5)防火墻應(yīng)支持在日志存儲(chǔ)將要耗盡的情況下采取相應(yīng)的措施，包括向授權(quán)管理員報(bào)警、基于策略的最早產(chǎn)生的日志刪除和系統(tǒng)工作停止等，且至少能夠通知授權(quán)管理員；7)審計(jì)管理員應(yīng)能夠?qū)θ罩具M(jìn)行存檔、刪除和清空。防火墻應(yīng)具備抗?jié)B透功能，具體測(cè)試要求如下：a)防火墻應(yīng)具備抵御檢測(cè)到的掃描行為的能力；1)能夠檢測(cè)并抵御操作系統(tǒng)類、應(yīng)用服務(wù)器類(如web服務(wù)器、FTP服務(wù)器等c)防火墻可支持與有開放接口的入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)。5.5.1開發(fā)者保障要求列表產(chǎn)品的開發(fā)者保障要求由表6所列項(xiàng)目組成。管理分類管理要求項(xiàng)目配置管理配置管理能力配置管理范圍測(cè)試范圍測(cè)試深度功能測(cè)試獨(dú)立性測(cè)試配置管理系統(tǒng)應(yīng)對(duì)所有的配置項(xiàng)做出唯一的標(biāo)識(shí)，并保證只有經(jīng)過(guò)授權(quán)才能修改配置項(xiàng)，還應(yīng)支持系統(tǒng)基本配置項(xiàng)的生成。配置管理文檔應(yīng)包括配置清單、配置述組成系統(tǒng)的配置項(xiàng)。在配置管理計(jì)劃中，應(yīng)描述置管理計(jì)劃相一致。在接受計(jì)劃中，應(yīng)描述對(duì)修改應(yīng)描述對(duì)配置項(xiàng)給出唯一標(biāo)識(shí)的方法，并提供所有的配置項(xiàng)得到有效地維護(hù)的證據(jù)。開發(fā)者應(yīng)提供配置管理文檔。配置管理文檔應(yīng)說(shuō)明配置管理系統(tǒng)至少能跟蹤：產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、管理員文檔和配置管理文檔，并描述配置管理系統(tǒng)是如何跟蹤配置項(xiàng)的。開發(fā)者應(yīng)提供測(cè)試深度的分析。在深度分析中，應(yīng)說(shuō)明測(cè)試文檔中所標(biāo)識(shí)的對(duì)安全功能的測(cè)試，足開發(fā)者應(yīng)測(cè)試安全功能，并提供相應(yīng)的測(cè)試文檔。測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、測(cè)試規(guī)程、預(yù)期的測(cè)試結(jié)果和實(shí)際測(cè)試結(jié)果。測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要測(cè)試的行的測(cè)試，并描述每個(gè)安全功能的測(cè)試概況，這結(jié)果應(yīng)表明測(cè)試成功后的預(yù)期輸出。實(shí)際測(cè)試結(jié)果應(yīng)表明每個(gè)被測(cè)試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。防火墻功能測(cè)試網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)參見圖1,性能測(cè)試網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)參見圖2,安全性測(cè)試網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)參見圖3。測(cè)試設(shè)備包括測(cè)試終端、交換機(jī)、被測(cè)設(shè)備、路由器、性能測(cè)試儀、協(xié)議測(cè)試工具和漏洞掃描儀等。交換機(jī)見跳口心跳口路由器被測(cè)設(shè)備交換機(jī)測(cè)試終端3測(cè)試終端4測(cè)試終端2被測(cè)設(shè)備交換機(jī)圖1功能測(cè)試拓?fù)淇倛D性性能測(cè)試儀被測(cè)設(shè)備圖2性能測(cè)試拓?fù)鋱D被測(cè)設(shè)備圖3安全性測(cè)試拓?fù)鋱D可用的測(cè)試工具包括但不限于：可模擬內(nèi)外網(wǎng)的服務(wù)器和客戶端終端；可對(duì)被測(cè)設(shè)備實(shí)施掃洞掃描器；生成網(wǎng)絡(luò)背景流量的專用網(wǎng)絡(luò)性能測(cè)試儀。只要有利于科學(xué)、公正、測(cè)試結(jié)果，可采取多種測(cè)試工具和測(cè)試方法對(duì)系統(tǒng)進(jìn)行測(cè)試。3)配置基于源IP地址、目的IP地址的包過(guò)濾策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話4)配置基于源端口、目的端口的包過(guò)濾策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話；6)配置基于時(shí)間的包過(guò)濾策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話；7)配置用戶自定義的包過(guò)濾策略，過(guò)濾條件是2)～6)過(guò)濾條件的部分或全部組合，產(chǎn)生相8)配置一條策略，在規(guī)定時(shí)間內(nèi)不產(chǎn)生匹配該策略的訪問(wèn)。3)產(chǎn)生滿足該特定條件的一個(gè)完整的網(wǎng)絡(luò)會(huì)話；b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.3的要求。中的主機(jī)能否通過(guò)防火墻訪問(wèn)外部網(wǎng)絡(luò)中的主機(jī)；源地址、目的地址和包頭信息，來(lái)驗(yàn)證防火墻地址轉(zhuǎn)換功能的有效性。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.4的要求。2)檢查防火墻能否進(jìn)行流量統(tǒng)計(jì)，并如何輸出統(tǒng)計(jì)結(jié)果。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.5的要求。1)配置防火墻Syslog日志外發(fā)的相關(guān)功能，將Syslog日志發(fā)往指定的日志服務(wù)器，在日志服1)配置防火墻的時(shí)間同步功能，配置指定的NTP時(shí)間源進(jìn)行認(rèn)證；進(jìn)行時(shí)間同步，檢查防火墻的時(shí)間是否自動(dòng)被設(shè)置為時(shí)間源提供的時(shí)間(可選用本地主機(jī)時(shí)間和網(wǎng)絡(luò)時(shí)間源);1)查看防火墻本地和遠(yuǎn)程管理是否必須通過(guò)口令鑒別，且口令復(fù)雜度及使用周期可配置，口4)在登錄過(guò)程中輸入錯(cuò)誤口令，達(dá)到防火墻設(shè)定的最大失敗次數(shù)(如5次)后，查看防火墻是否能夠終止可信主機(jī)或用戶建立會(huì)話的過(guò)程，并對(duì)該失敗用戶做禁止訪問(wèn)處理；13)查看授權(quán)管理員是否具備管理審計(jì)日志的功能；b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.8的要求。3)分別產(chǎn)生正確IP/MAC綁定的會(huì)話和盜用IP的會(huì)話，檢查綁定的有效性。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.9的要求。6.3.9路由1)根據(jù)目標(biāo)地址參數(shù)及出接口配置防火墻靜態(tài)路由表項(xiàng)，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話，檢查策略路2)兩臺(tái)防火墻均啟用動(dòng)態(tài)路由協(xié)議OSPF,配置相關(guān)參數(shù)及鄰居信息，相互發(fā)布對(duì)端路由，檢查防火墻上的區(qū)域、鄰居等信息是否正確，檢查路由學(xué)習(xí)是否成功；3)在防火墻上配置RIP相關(guān)功能參數(shù)的配置，建立鄰居，發(fā)布路由，檢查防火墻獲得路由信4)檢查防火墻是否能夠根據(jù)數(shù)據(jù)包源IP地址、目的IP地址、網(wǎng)絡(luò)入接口、傳輸層接口或數(shù)據(jù)b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.10的要求。1)使用兩臺(tái)防火墻建立雙機(jī)熱備系統(tǒng)(主備模式),使用冗余的心跳線，連續(xù)產(chǎn)生正常的網(wǎng)2)內(nèi)網(wǎng)測(cè)試機(jī)長(zhǎng)時(shí)間ping外部網(wǎng)絡(luò)測(cè)試機(jī)，切斷主防火墻電源，檢查備防火墻是否能夠及時(shí)任意網(wǎng)線，檢查備防火墻是否能夠及時(shí)發(fā)現(xiàn)故障并接管主防火墻進(jìn)行工作；2)配置防火墻全部接口為透明接口，在防火墻兩端使用相同網(wǎng)段的主機(jī)進(jìn)行相互訪問(wèn)；深度包檢測(cè)的測(cè)試方法與預(yù)期結(jié)果如下。3)配置基于文件類型的內(nèi)容過(guò)濾策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話；4)配置基于用戶的內(nèi)容過(guò)濾策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會(huì)話；b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.13的要求。2)在未超過(guò)設(shè)定時(shí)間和超過(guò)設(shè)定時(shí)間兩個(gè)時(shí)段，檢查防火墻的連接狀態(tài)。3)使用支持H.323協(xié)議的視頻工具(如NetMeeting)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的用戶發(fā)起視頻會(huì)議，檢查防火墻是否能及時(shí)打開所使用的動(dòng)態(tài)端口，視頻會(huì)議是否正常進(jìn)行；b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.15的要求。使得單個(gè)IP連接數(shù)超過(guò)設(shè)定的限制值。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.16的要求。2)外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng)絡(luò)主機(jī)主機(jī)發(fā)起策略定義為阻斷的攻擊，檢查防火墻是否能及時(shí)接b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.17的要求。2)配置第三方鑒別服務(wù)器，在防火墻上配置用第三方鑒別服務(wù)器；1)配置防火墻帶寬管理策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)流量；3)從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送流量，使流量的速率超出帶寬允許的范圍。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.19的要求。3)通過(guò)協(xié)議分析儀或包捕獲工具觀察網(wǎng)絡(luò)流量，根據(jù)數(shù)據(jù)包源目標(biāo)地址和流量大小，檢查防b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.20的要求。1)模擬純IPv6網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠支持純IPv6網(wǎng)絡(luò)環(huán)境，在純IPv6網(wǎng)絡(luò)環(huán)境下其2)模擬6over4隧道的網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠支持6over4隧道，在6over4隧道網(wǎng)絡(luò)環(huán)3)模擬6to4隧道的網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠支持6to4隧道，在6to4隧道網(wǎng)絡(luò)環(huán)境下是5)模擬IPv4和IPv6兩種協(xié)議同時(shí)存在的網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠同時(shí)支持IPv4和IPv6兩種協(xié)議，在IPv4/IPv6雙棧網(wǎng)絡(luò)環(huán)境下是否能夠正常工作；6)若防火墻為路由模式，將防火墻與協(xié)議一致性測(cè)試儀串聯(lián)；在協(xié)議一致性測(cè)試儀上選擇IPv6Core協(xié)議一致性測(cè)試套件，并選擇必選項(xiàng)進(jìn)行測(cè)試，并記錄測(cè)試結(jié)果；若防火墻為選擇IPv6Core協(xié)議一致性測(cè)試套件，并選擇必選項(xiàng)進(jìn)行測(cè)試，并記錄測(cè)試結(jié)果；再將協(xié)議一致性測(cè)試儀和路由器串聯(lián)，重新測(cè)試一次IPv6Core協(xié)議一致性；比較兩次IPv6Core8)若防火墻為路由模式，將防火墻與協(xié)議一致性測(cè)試儀串聯(lián)；在協(xié)議一致性測(cè)試儀上選擇IPv6Autoconfig協(xié)議一致性測(cè)試套件，并選擇必選項(xiàng)進(jìn)行測(cè)試，并記錄測(cè)試結(jié)果；若防火墻為網(wǎng)橋模式，將防火墻、協(xié)議一致性測(cè)試儀和任意一臺(tái)路由器串聯(lián)；在協(xié)議一致性測(cè)試儀上選擇IPv6Autoconfig協(xié)議一致性測(cè)試套件，并選擇必選項(xiàng)進(jìn)行測(cè)試，并記錄測(cè)試比較兩次IPv6Autoconfig協(xié)議一致性結(jié)果是否一致；12)模擬IPv6網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠支持在IPv6網(wǎng)絡(luò)環(huán)境下自身管理；13)模擬IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境，檢測(cè)防火墻是否能夠支持IPv4和IPv6兩種協(xié)議相互轉(zhuǎn)換，在IPv4/IPv6協(xié)議轉(zhuǎn)換網(wǎng)絡(luò)環(huán)境下是否能夠正常工作。1)防火墻應(yīng)具有默認(rèn)的會(huì)話超時(shí)機(jī)制，則需文檔說(shuō)明各協(xié)議的超時(shí)結(jié)束時(shí)間，或者配置各協(xié)2)在不經(jīng)過(guò)防火墻的條件下，從客戶端主機(jī)向服務(wù)器發(fā)起連接會(huì)話，并確認(rèn)該會(huì)話不會(huì)在防3)從內(nèi)部網(wǎng)絡(luò)指定主機(jī)向外部網(wǎng)絡(luò)服務(wù)器、或者從外部網(wǎng)絡(luò)向DMZ區(qū)服務(wù)器建立相應(yīng)的連接會(huì)話，并不再對(duì)該會(huì)話進(jìn)行任何操作，通過(guò)主機(jī)查看該會(huì)話的狀態(tài)。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.23的要求。應(yīng)用層協(xié)議控制的測(cè)試方法與預(yù)期結(jié)果如下：b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.24的要求。3)配置其他應(yīng)用的內(nèi)容關(guān)鍵詞過(guò)濾規(guī)則，如即時(shí)通訊。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.2.25的要求。3)按5.3.2的測(cè)試要求進(jìn)行配置，使用性能測(cè)試儀測(cè)試防火墻在不丟包的情況下，雙向UDP(分別在64字節(jié)、512字節(jié)和1518字節(jié)條件下)的吞吐量，測(cè)試持續(xù)時(shí)間3分鐘；1)使用性能測(cè)試儀連接防火墻的一對(duì)接口；2)配置防火墻的工作模式為路由模式，配置一條雙向全通規(guī)則；3)按5.3.3的測(cè)試要求進(jìn)行配置，使用性能測(cè)試儀測(cè)試防火墻在64字節(jié)、512字節(jié)、1518字節(jié)最大并發(fā)連接數(shù)的測(cè)試方法和預(yù)期結(jié)果如下：1)使用性能測(cè)試儀連接防火墻的一對(duì)接口；2)配置防火墻工作模式為路由模式，配置一條雙向全通規(guī)則；b)預(yù)期結(jié)果：測(cè)試結(jié)果不低于5.3.4的相應(yīng)要求。1)使用性能測(cè)試儀連接防火墻的一對(duì)接口；b)預(yù)期結(jié)果：測(cè)試結(jié)果不低于5.3.5的相應(yīng)要求。6.5安全測(cè)試方法1)配置啟用防火墻的抗拒絕服務(wù)攻擊功能；2)采用滲透測(cè)試工具或?qū)Ｓ媚M攻擊測(cè)試設(shè)備，對(duì)防火墻進(jìn)行多種拒絕服務(wù)攻擊，同時(shí)通過(guò)防火墻建立正常的TCP連接(新建連接速率為100個(gè)/s),持續(xù)時(shí)間1分鐘；3)查看防火墻能否抵御上述攻擊，是否會(huì)造成性能下降或崩潰，檢查拒絕服務(wù)攻擊包通過(guò)的4)防火墻在開放全通策略的情況下，使用IP信譽(yù)庫(kù)中黑名單的IP地址，通過(guò)防火墻對(duì)內(nèi)部服1)查看防火墻涉及文檔或通過(guò)詢問(wèn)廠家等方式獲取防火墻的支撐系統(tǒng)類型及版本并進(jìn)行記4)查看掃描結(jié)果，確認(rèn)通過(guò)端口開放的服務(wù)不包含可利用的漏洞；5)檢查產(chǎn)品文檔，確定防火墻所申明的開放端口；1)記錄防火墻的當(dāng)前狀態(tài)，如安全策略等，并保存配置，并通過(guò)管理界面連接防火墻；2)直接斷開防火墻電源，再接通電源開機(jī)啟動(dòng)；3)再次嘗試通過(guò)界面進(jìn)行管理，檢查安全策略、日志信息等；4)硬重啟與軟重啟防火墻設(shè)備，秒表計(jì)時(shí)，通過(guò)防火墻內(nèi)網(wǎng)測(cè)試機(jī)ping外網(wǎng)測(cè)試機(jī)，pingb)預(yù)期結(jié)果：測(cè)試結(jié)果符合5.4.4的要求。1)監(jiān)聽設(shè)備已啟用的端口，利用工具構(gòu)造報(bào)文對(duì)設(shè)備進(jìn)行模糊攻擊，構(gòu)造針對(duì)通信協(xié)議的惡協(xié)議穿透識(shí)別協(xié)議穿透識(shí)別的測(cè)試方法和預(yù)期結(jié)果如下3)查看防火墻是否可以識(shí)別偽裝的協(xié)議并有效抵抗偽裝成正常通訊協(xié)議的攻擊。b)預(yù)期結(jié)果：測(cè)試結(jié)果符合的要求。1)產(chǎn)生如下事件，檢查防火墻是否記錄以下日志：從外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)和安全區(qū)域的服務(wù)，以及從內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)、安全區(qū)域和防火墻自身；分別從內(nèi)部網(wǎng)絡(luò)、外和安全區(qū)域發(fā)起防火墻安全策略所禁止的數(shù)據(jù)包；嘗試登錄防火墻管理端口，鑒別；進(jìn)行增加、刪除和修改管理員，保存和刪除審計(jì)日志、更改安全策略、配置參數(shù)、2)從本地或遠(yuǎn)程管理端嘗試以非授權(quán)管理員的身份訪問(wèn)日志；3)以授權(quán)管理員身份登錄，查看是否能進(jìn)行日志查閱、保存、刪除和清空的操作；6)查看防火墻是否能對(duì)審計(jì)事件進(jìn)行檢索和排序；7)查看防火墻是否