天融信防火墙测试报告.doc

西默流控-DPDK1000 测试报告 2013．08．15 目录 1 产品介绍 3 2 测试目的 3 2.1 测试拓扑 3 2.2 测试环境和设备 5 3 流控测试方案 6 3.1 安全功能完整性验证 6 3.1.1 防火墙安全管理功能的验证 6 3.1.2 防火墙组网功能验证 6 3.1.3 防火墙访问控制功能验证 7 3.1.4 日志审计及报警功能验证 8 3.1.5 防火墙附加功能验证 9 3.2 防火墙基本性能验证 10 3.2.1 吞吐量测试 10 3.2.2 延迟测试 11 3.3 压力仿真测试 11 3.4 抗攻击能力测试 13 3.5 性能测试总结 14 产品介绍 随着信息技术和网络技术日新月异的发展，特别是国际互联网的出现、发展及逐渐普及，各行各业的信息化实现了跨跃式发展，信息技术应用的深度和广度上也达到前所未有的地步，各种依托于网络的新兴应用层出不穷，在极大丰富了人们的互联网生活的同时，网络带来了诸多问题，给企业、单位的网络管理者带来了新的挑战。 一方面企事业单位各种关键应用（如：ERP、CRM、OA系统、视频会议系统等）对带宽和延迟提出了更高的要求；另一方面P2P下载、网络电视、即时通讯及在线购物等与工作无关的应用日益泛滥。企事业单位有限的网络资源正被P2P下载、网络电视等应用所吞噬，关键应用的服务质量得不到保障。网速越来越慢、网络业务中断越来越频繁，不仅极大浪费了宝贵的带宽资源，也严重影响了本单位关键应用的正常运行。 西默智能流量管理设备DPDK-1000是西默科技推出的基于应用层的、专业的流量管理产品， 基于时间、VLAN、用户、应用、数据流向等条件，通过监控网络流量、分析流量行为、设置流量管理策略，实现全面的智能流量管理。 通过流量限速功能，能够在不封堵某种网络应用的情况下，将其上传、下载带宽限定在某个合理的范围内，这样既可以保持相关网络应用的可用性，又能够防止这些应用对有限带宽资源的无序抢占。 通过流量限额功能，能够为指定的网络应用设定流量限额阀值，在预定的周期性时间段及某（些）VLAN范围内，限制应用的流量总额，实现了对非关键业务，特别是不良应用在使用上的有效约束。 通过连接控制功能，能够对并发连接数和每秒新建连接数进行控制，有效限制某（些）用户或某（些）应用对网络设备资源的无限占用，避免产生异常流量和网络攻击。 测试目的 该测试目的在于，目的在于，，2.1 测试拓扑 本次测试采用以下的拓扑配置：西默DPDK-1000部署模式为透明模式，位于出口路由器和三层核心交换机之间。 2.2 测试工具 本次测试用到的测试工具包括： 待测防火墙一台； 网络设备专业测试仪表SmartBits 6000B一台； 笔记本（或台式机）二台。 测试详细配置如下： 产品型号 防火墙技术类型 机箱规格 防火墙软件及版本 防火墙工作模式 FORTINET 1000AFA2 ASIC 防火墙 2U 3.00-b0668 (MR6 Patch 2) NAT模式 透明模式 混合模式 设备吞吐量 CPU与存储硬件 端口 电源 防火墙2Gbps VPN 400Mbps ASIC version: CP5 ASIC SRAM: 64M CPU: Intel(R) Xeon(TM) CPU 3.20GHz RAM: 1009 MB Compact Flash: 122 MB /dev/hdc 10个1000Base-T端口 2个千兆小包加速口 2个冗余220V交流电源 防火墙测试方案 为全面验证测试GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标：验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。 3.1.1 防火墙安全管理功能的验证 测试目的：本项测试通过查看相应配置项，验证防火墙具备必要的安全管理手段。 测试时间：__2008-7-23____ 测试人员：___XXX XXX一 过程记录： 测试项 测试用例 测试结果 备注 管理方式 本地管理 Yes（Y）No（） 集中控管需要配置Forti manager设备 远程命令行管理 Yes（Y）No（） 远程GUI管理 Yes（Y）No（） 管理地址认证 Yes（Y）No（） 集中控管 Yes（Y）No（） 管理员接入安全