(JuniperISG2000测试报告.docVIP

Juniper NetScreen-ISG2000 防火墙测试报告 2004年5月目 录 1 测试目的 2 2 测试环境与工具 2 2.1 测试拓扑 2 2.2 测试工具 4 3 防火墙测试方案 5 3.1 安全功能完整性验证 5 3.1.1 防火墙安全管理功能的验证 5 3.1.2 防火墙组网功能验证 6 3.1.3 防火墙访问控制功能验证 6 3.1.4 防火墙日志审计及报警功能验证 7 3.1.5 防火墙附加功能验证 8 3.1.6 功能测试总结： 9 3.2 抗攻击能力验证 10 3.2.1 防火墙内核安全测试 10 3.2.2 防火墙抗DoS/DDoS攻击测试 11 3.2.3 抗攻击能力测试总结 11 3.3 防火墙基本性能验证 11 3.3.1 吞吐量测试 12 3.3.2 延迟测试 13 3.3.3 丢包率测试 14 3.3.4 并发连接测试 15 3.3.5 性能测试总结 15 3.4 压力仿真测试 15 3.4.1 大量的控制规则对性能影响的测试 16 3.4.2 大量Session数对性能影响的测试 17 3.4.3 压力测试总结 18 3.5 防火墙可靠性验证 18 5.5.1防火墙与交换机Full Mesh连接，HA为Active-Passive 19 5.5.2防火墙与交换机Full Mesh连接，HA为Active-Active 21 5.5.3可靠性测试总结 23 4 测试结论： 24 测试目的 防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证Juniper NS-ISG2000防火墙的技术指标，并考虑XXX网络防火墙接入点的实际拓扑及业务流量，尽可能的利用测试环境及工具模拟实际状况，测试防火墙的各项指标，保证防火墙在XXX实际网络中运行的稳定可靠性。 测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 测试拓扑 本次测试采用以下的拓扑配置。 防火墙路由/NAT模式性能测试拓扑 防火墙全透明模式性能测试拓扑 防火墙高可靠性Active-Passive Full Mesh结构测试拓扑 防火墙高可靠性Active-Active Full Mesh结构测试拓扑 测试工具 本次测试用到的测试工具包括： 4台测试用Catalyst 3550交换机; Netscreen ISG-2000两台（GE接口；ScreenOS 5.0）； Internet Scanner 扫描器一套 网络设备专业测试仪表 SmartBits 600 一台 笔记本（或台式机）两台 ISG2000详细配置如下: 产品型号 防火墙技术类型 机箱规格 防火墙软件及版本 防火墙工作模式 ISG-2000 基于新一代ASIC技术的纯硬件防火墙 3U ScreenOS 5.0 Route模式； 全透明模式； NAT 设备吞吐量 CPU与存储硬件 端口 电源 4 G Firewall 1G VPN 基于ASIC芯片架构 4GE+2 Copper GE 冗余双电源 防火墙测试方案 为全面验证ISG2000防火墙的各项技术指标，本次测试方案的内容包括了以下主要部分：安全功能完整性测试、性能测试、压力仿真测试、抗攻击测试及可靠性测试。测试严格依据以下标准定义的各项规范： GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 安全功能完整性验证 目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。 防火墙安全管理功能的验证 测试目的： 本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。 测试时间：___________________ 测试人员：___________________ 过程记录： 测试项 测试用例 测试结果 备注 管理方式 本地管理 Yes（√）No（） 远程命令行管理 Yes（√）No（） 远程GUI管理 Yes（√）No（） 管理地址认证 Yes（√）No（） 集中控管 Yes（√）No（） 管理员接入安全 管理员分级管理 Yes（√