DPtech_FW1000系列防火墻系統(tǒng)測試方案

1、DPtechFW1000測試方案DPtech杭州迪普科技有限公司2011年10月.下載可編輯.下載可編輯.DPtechFW1000測試方案.1第1章產品介紹.1第2章測試計劃.22.1測試方案.22.2測試環(huán)境.22.2.1測試環(huán)境一.22.2.2測試環(huán)境二.2第3章測試內容.43.1性能特性.43.2功能特性.43.3管理特性.43.4安全性.3.5高可靠性.44第4章測試方法及步驟.5HYPERLINKl_TOC_2500014.1性能測試.5HYPERLINKl_TOC_2500004.2FW功能測試.74.3DPI功能測試.134.4管理特性.144.5安全特性.15第5章測試總結.1

2、7第1章產品介紹目前，Web2.0音頻/視頻、P2P云計算等各種新應用、新業(yè)務層出不窮，傳統(tǒng)的基于端口進行應用識別和訪問控制的FVV已遠遠無法滿足各種新應用下安全防護的需求，增加其它輔助設備又會增加組網復雜性；而通過在傳統(tǒng)FW上簡單疊加部分應用層安全防護功能，也由于系統(tǒng)設計和硬件架構的天然不足，造成性能的大幅衰減，導致應用層功能不敢真正啟用。特別在對性能、穩(wěn)定性要求苛刻的數據中心，此問題顯得尤為嚴峻。為解決上述難題，迪普科技推出了基于全新多核處理器架構的下一代FWDPtechFW100CN系列應用FWFW1OO0寸網絡層、應用層安全進行融合，并采用獨有的“并行流過濾引擎”技術，全部安全策略可以

3、一次匹配完成，即使在應用層功能不斷擴展、特征庫不斷增加的情況下，也不會造成性能的下降和網絡時延的增加。以萬兆應用FWFW1000-G為E例，在開啟FWFWec/SSLVPNNATURL過濾、攻擊防護、行為審計功能的情況下，擴展應用控制協(xié)議庫、URL過濾庫等，處理能力依然可達萬兆線速。FW100CN系列開創(chuàng)了應用FW的先河?；诘掀湛萍甲灾髦R產權的萬兆級應用安全硬件處理平臺和ConPlatOS安全操作系統(tǒng)，是目前業(yè)界性能最高的應用FW無以倫比的高可用性、高性能和高可靠性，使得FW100CN系列可以放心規(guī)模部署于數據中心、大型園區(qū)網等各種復雜場景；另外，功能豐富并可按需擴展的應用FW方案，也簡化

4、了網絡的安全架構，并大大降低了企業(yè)網絡總體擁有成本！第2章測試計劃測試方案DPtechFW產品主要包括包過濾、NAT靜/動態(tài)路由、虛擬FW多種VPN等幾大主體功能，本文檔的測試項主要以上述主體功能的測試展開；同時，測試中還涉及到限流等多種響應方式，設備的可管理性、高可靠性等諸多方面的測試，以充分展示設備的完備功能和高性能。測試環(huán)境測試環(huán)境一圖1性能測試環(huán)境1設備或軟件名稱描述數量DPtechFWSmartBitsSwitchFW測試設備性能的儀器交換機1122.2.2測試環(huán)境二viLuiche圖2性能測試環(huán)境2設備或軟件名稱描述數量DPtechFWAvalanche/Reflector2500

5、FW1性能測試儀器1第3章測試內容性能特性FW的性能指標為吞吐量、每秒新建數、每秒并發(fā)數，性能測試部分將主要針對這幾點進行測試。功能特性產品功能包括管理功能、ACL包過濾、NATDPI（攻擊防護，防病毒，帶寬限速，URLM濾）等幾大主體功能，功能測試部分將主要針對這幾點進行測試。管理特性為方便IT人員管理，設備提供了良好的可管理性。支持HTTPS等安全管理方式，支持Web的友好界面，簡化FW的配置，方便用戶操作和維護。特征庫的升級支持手動和自動兩種方式，用戶可根據實際情況隨意選擇特征庫的升級時間。安全性可設置管理員的權限，不同權限的管理員訪問設備的功能權限不同?？稍O置的權限選項有系統(tǒng)配置、業(yè)務

6、配置、系統(tǒng)日志管理、操作日志管理和業(yè)務日志管理。在登錄參數設置上，包括超時時間、錯誤登錄鎖定和鎖定后解鎖。高可靠性抗掉電保護，在設備異常掉電后，當FW灰復供電，系統(tǒng)的狀態(tài)、相關日志和配置信息正常保存。第4章測試方法及步驟性能測試整機轉發(fā)吞吐量測試目的驗證FW勺整機轉發(fā)能力測試條件測試組網：參見圖1;性能測試儀的兩個端口分別與被測設備的端口A和B相連。（端口數量按照客戶要求測試過程配置，進行Fullmesh網狀流量測試）在FW上配置201條安全策略，前200條均為deny，最后一條為允許全部通過SmartFlow設置主要參數如下：雙向UDP數據包，包長為64、128、256、1024、1518字

7、節(jié)，時長為120秒，且不能匹配前200條策略。記錄測試結果預期結果幀長64128256512102412801518吞吐量其它說明和注意事項測試結果幀長64128256512102412801518吞吐量每秒新建連接能力測試目的驗證FW!秒新建會話數能力測試條件測試組網：參見圖2;FW工作在NAT模式；測試過程設定avalanche測試儀模擬客戶端500用戶，FWnat轉換地址池個數為20;采用測試儀表仿真客戶端與服務器之間的HTTP通信過程。通過調節(jié)通信聯接的建立速率，搜索FW能支持的最大的聯接建立速率。分別在設置一條全允許規(guī)則和設置201條安全控制規(guī)則的條件下，完成上述測試過程，（其中，前

8、200條均為deny，最后一條為允許全部通過）預期結果FW每秒新建會話能力：一條全允許規(guī)則條件下，最大的新建連接速率Connections/Sec201條允許規(guī)則條件下，最大的新建連接速率Connections/Sec其它說明和注意事項測試結果不允許出現一例失敗，否則認為數據無效測試結果FW每秒新建會話能力：一條全允許規(guī)則條件下，最大的新建連接速率201條允許規(guī)則條件下，最大的新建連接速率Connections/SecConnections/Sec最大并發(fā)會話數測試目的驗證FV設備的最大并發(fā)會話數測試條件測試組網：參見圖2；FV工作在NAT模式；測試過程設定avalanche測試儀模擬客戶端5

9、00用戶，FWna轉換地址池個數為20；采用測試儀表仿真客戶端與服務器之間的HTTP通信過程。設定通信聯接的建立速率為10000conn/s，搜索FV能支持的最大的并發(fā)會話處理能力。分別在設置一條全允許規(guī)則和設置1001條安全控制規(guī)則的條件下，完成上述測試過程，（其中，前1000條均為deny，最后一條為允許全部通過）預期結果FV每秒新建會話能力：一條全允許規(guī)則條件下，最大并發(fā)會話數Connections1001條允許規(guī)則條件下，最大并發(fā)會話數Connections其它說明和注意事項測試結果不允許出現一例失敗，否則認為數據無效FV每秒新建會話能力：測試結果一條全允許規(guī)則條件下，最大并發(fā)會話數C

10、onnections1001條允許規(guī)則條件下，最大并發(fā)會話數ConnectionsVPF加密隧道的吞吐量過程。預期結果幀長64128256512102412801518吞吐量其它說明和注意事項測試結果幀長64128256512102412801518吞吐量FW功能測試管理功能測試測試目的驗證FW設備的設備管理功能測試條件噥PC00/24/24測試過程PC機器與FW相連；配置FW為用戶名/密碼管理或軟證書管理方式；預期結果PC機通過兩種方式都可管理設備其它說明和注意事項測試結果端口映射測試目的驗證FW設備的端口映射功能測試條件2PC-01防火墻PC-000/24/24/24測試過程PC01模擬客

11、戶端，PC02模擬服務器端（安裝有FTP或HTTP服務器端軟件）；PC02上將FTP服務器端口改為8000，FW上配置端口映射；PC01ftpPC02的ip:8000端口，可正常訪問PC02的ftp服務；預期結果PC01可以正常訪問PC02的FTP服務其它說明和注意事項測試結果ACL測試目的驗證FW設備的AC功能測試條件參妙PC-01防火墻PC-000/24/24/24測試過程FW連接兩PC機器的兩端口加入不同安全域，配置面向對象ACL（域間策略）阻止PC01與PC02互訪或根據客戶實際要求限制對某些IP地址或端口的訪問；測試PC01與PC02的互訪功能是否符合既定域間策略；預期結果PC01與

12、PC02間互訪符合既定域間ACL策略其它說明和注意事項Pc1為untrust,PC2為DMZ允許可以訪問PC1，不允許訪問PC2，PING,和HTTP測試結果允許可以訪問PC1，不允許訪問PC2包過濾測試目的驗證FW設備的包過濾功能測試條件PC-01防火墻PC-000/24/24/24測試過程FW開啟包過濾功能，FW配置包過濾策略；PC01訪問PC02觀察FW設備能否按照既定的包過濾策略訪問；預期結果FW能夠正常按照既定包過濾策略進行互訪其它說明和注意事項1允許pinghttp2阻斷FTP3允許FTP4允許FTPget,阻斷FTPputPc1為untrust,PC2為DMZ測試結果4沒有阻斷F

13、TPput，因為FTPGET和PUT在檢測的是時候是采用通用的同樣的5元組，sourceip,dstip.sourceport,dstip,propole,GET和PUT所用的一樣的，檢測線條太粗，只能采用深度檢測，檢測關鍵字，識別上傳還是下載NAT測試目的驗證FW設備的靜態(tài)地址轉換功能測試條件-IPnetwork1甲斛十PC-01防火墻PC-00/24/24/24測試過程PC01模擬內網主機，PC02模擬外網服務器（裝有服務器軟件如:FTPserver等），PC01PC02處于不同網段；FW配置靜態(tài)一對一地址靜態(tài)地址轉換功能；PC01訪問PC02的FTP服務，在PC02端抓包；PC01可正常

14、訪問PC02的FTP服務，在PC02上抓包可以看到PC01訪問PC02所用源地址為FW上所配置的靜態(tài)映射地址；預期結果PC01可正常訪問PC02上的服務，PC02端抓包看到PC01訪問PC02訪問其服務所用源地址為FW上預先配置的靜態(tài)映射地址其它說明和注意事項Pc-01為trust,pc-02為untrust，PC02網關不指向測試結果PC01可正常訪問PC02上的服務，PC02端抓包看到PC01訪問PC02訪問其服務所用源地址為FW上預先配置的靜態(tài)映射地址動態(tài)地址轉換測試目的驗證FW設備的動態(tài)地址訪問功能測試條件|:IPnetwork.|PC-01防火墻PC-000/24/24/24測試過程

15、PC01PC02模擬內網主機，PC02模擬外網服務器（裝有服務器軟件如:FTPserver等），PC01處于不同網段；FW配置動態(tài)地址轉換功能；PC01訪問PC02的FTP服務，在PC02端抓包；PC01可正常訪問PC02的FTP服務，在PC02上抓包可以看到PC01訪問PC02所用源地址為FW上所配置的地址池中的地址；預期結果PC01可正常訪問PC02上的服務，PC02端抓包看到PC01訪問PC02訪問其服務所用源地址為FW上預先配置的地址池中的地址其它說明和注意事項接口配置同t06-01，先進行EASYIP的方式進行NAT轉換，然后采用PAT,NO-PAT測試結果內部服務器測試目的驗證FW

16、設備的內部服務器功能測試條件W-防火墻IPnetworkPC-000/24測試過程PC01模擬內網主機，服務器功能；/24/24PC-02PC02模擬外外網主機，PC01PC02處于不同網段；FW配置內部PC01開啟FTP服務,PC02訪問FW外網口地址進而可以訪問PC01的FTP服務；PC02可以正常訪問PC01的FTP服務預期結果PC02可以正常訪問PC01的FTP服務其它說明和注意事項接口配置同t06-01,先是在PC-02上不指定網關到G0/2上，需要配置靜態(tài)NAT才能夠訪問內部服務器，然后在PC-O2指定網關到G0/2上，就通過以上配置外部網絡可訪問內部的服務器測試結果SNMP測試目

17、的驗證FW設備的SNM功能測試條件-IPnetworkPC防火墻00/24/24測試過程PC與FW接口向連，PC裝有MIBBrowser軟件；FW配置SNMPPC機通過MIBBrowser與FW連接；通過MIBBrowser軟件查找相應MIB項；預期結果通過客戶端PC安裝的MIBBrowser軟件查找相應MIB項其它說明和注意事項測試結果SynFIood測試目的驗證FW設備的抵御SynFlood功能測試條件測試過程FW開啟SynFlood攻擊防范功能；使用測試儀器模擬進行SynFlood攻擊，攻擊FW內網區(qū)域的PC觀察FW設備能否對SynFlood攻擊進行防御，并在PC上抓包進行驗證預期結果F

18、W能夠正常抵御SynFlood攻擊其它說明和注意事項測試結果RIPv1/v2測試目的驗證FW對RIP協(xié)議的支持測試條件PC-01防火墻-01防火墻-02PC_000/24/24/2410-2-0-100/24測試過程PC1、PC2的網關分別指向FW1和FW2在FW1和FW2上面配置RIP動態(tài)路由，并進行發(fā)布。一段時間后在FW1和FW2上分別查看RIP路由學習情況，并從PC1pingPC2。預期結果FW1與FW2能夠相互學習到對端的動態(tài)路由其它說明和注意事項測試結果OSPF測試目的驗證FW對OSP協(xié)議的支持測試條件Aq鶴；矗Z醪零、鄉(xiāng)PC-01防火墻-01防火墻-02PC-000/24/24/2

19、400/24PC1、PC2的網關分別指向FW1和FW2測試過程在FW1和FW2上面配置OSPF動態(tài)路由，并進行發(fā)布。一段時間后在FW1和FW2上分別查看OSPF路由學習情況，并從PC1pingPC2。預期結果FW1與FW2能夠相互學習到對端的動態(tài)路由其它說明和注意事項測試結果BGP測試目的驗證FW對BG協(xié)議的支持測試條件測試過程PC-000/24PC1、PC2的網關分別指向麟鬱防火墻-0/24FW1和FW2防火墻-0/249PC_000/24在FW1和FW2上面配置BGP動態(tài)路由，并進行發(fā)布。一段時間后在FW1和FW2上分別查看BGP路由學習情況，并從PC1pingPC2。預期結果FW1與FW

20、2能夠相互學習到對端的動態(tài)路由其它說明和注意事項測試結果虛擬FW功能測試目的驗證虛擬FV功能測試過程預期結果在上面FW組網中，內網的服務器劃分為三個區(qū)域（areal、area2、area3），并且這三個區(qū)域的網絡地址完全重疊，3個服務器的地址均為，后分別接入FW的內網接口上，FW上對應的直連地址為在FW上進行虛擬FW的相關配置，模擬出3個獨立的FW分別把內網區(qū)域3個服務器映射為不同的公網IP。然后從外網區(qū)域訪問分別3個服務器。針對內網區(qū)域3個服務器配置不同的安全控制策略，然后再分別從外網區(qū)域訪問分別3個服務器。步驟2，從外網區(qū)域都能夠同時正常訪問3個服務器。步驟3，從其他區(qū)域訪問3個服務器時，

21、會受到針對每個服務器配置的安全策略的控制。其它說明和注意事項測試結果DPI功能測試測試目的驗證URL過濾功能測試條件1Console|-UTMgG02*-1Bernet測試過程使用PC機訪問被過濾的URL站點預期結果可以查看到相關的阻斷日志其它說明和注意事項無測試結果帶寬管理功能測試測試目的驗證帶寬管理功能測試條件Console1-4InternetG0/G0/2PC測試過程使用PC在線觀看電影，使用迅雷下載限速。預期結果可以帶寬被限制其它說明和注意事項無測試結果URL過濾功能測試管理特性測試目的驗證設備的管理方式測試條件1、測試組網，參見圖12、管理臺用串口和設備相連，管理口用網線和設備管理

22、口相連，且IP地址屬同一網段測試過程1、FW支持Web操作（http/https，端口可自定義）、Telnet、SSH串口管理2、用上述方式管理設備，得到預期結果1預期結果1、各種管理方式均支持其它說明和注意事項無測試結果手動升級特征庫測試目的驗證手動升級特征庫1、組網，參見圖1測試條件2、設備中有該特征庫的License3、有要升級的特征庫文件1、在web上導入該特征庫測試過程2、點確定按鈕，升級最新的特征庫3、得到預期結果1預期結果1、特征庫升級成功其它說明和注意事項無測試結果設備狀態(tài)檢測測試目的驗證FWWE界面查看設備CPU內存使用率測試條件1、組網，參見圖1測試過程1、B界面查看設備的CPU和內存使用率2、預期結果1豐富的管理方式預期結果1、可查看設備的CPU內存使用率其它說明和注意事項無測試結果安全特性用戶登陸鎖定的安全性測試目的用戶登陸鎖定的安全性測試條件1、測試組網，參見圖11、在web上添加一個用戶測試過程2、設置錯誤登陸的嘗試次數為3次3、該用戶用錯