帐务中心网路备援建置计画设备案(S9512850)教育训练课程内容.doc

 PAGE 20 -  NUMPAGES 20 新世代防火牆測試計畫 壹、前言 防火牆是企業及校園網路安全性的中心，也是強化安全性原則的理想位置。不過因為傳統防火牆仰賴網路位址、連接埠和通訊協定來分類傳輸流量，今日的網際網路應用程式可以輕易繞過它們，在連接埠間轉換、使用 SSL、暗中跨過連接埠 80 或使用通常會保持開啟的非標準連接埠。這些新的網路應用程式和傳輸方式使得管理人員失去對網路應用的控制權，失去應用程式控制的結果會讓校園暴露在風險之下，這些風險包括網路斷線時間/頻率的增加、增加營運費用以及未經授權傳輸資料造成的資料流失等。 貳、測試目的 新世代防火牆效能評估； 新世代防火牆功能評估：應用程式管控、入侵偵測及防禦系統、即時網路傳輸狀態及報表、使用者認證與頻寬管理、SSL VPN； 分析校園網路應用程式及傳輸內容、以供未來防火牆存取政策及資訊安全策略制定之參考； 參、測試日期 本測試報告係以 2009/12/16 – 2009/12/23 期間的測試記錄所產生的報表為分析及評估之基礎，測試設備取回後，除分析及評估需要所產生的報表及部份網路流量基本資料外，測試所使用的新世代防火牆上的相關系統組態設定及測試期間所有網路流量詳細資訊已完全自測試設備(PA-4050, SN: 0001A100361)中移除。 肆、測試架構說明 圖一：新世代防火牆測試架構圖 PA-4050 上設定兩個虛擬網路區段, 第21/22埠所形成的CAMPUS虛擬網路區段界接校園骨幹交換器與FG-3600防火牆，第23/24埠所形成的TANET虛擬網路區段界接台灣學術網路及FG-3600防火牆。除此之外，網路主要架構未予任何更動。 本測試因僅評估 Palo Alto Networks 新世代防火牆的功能及設備效能初步量測，為儘量降低對校園網路的衝擊，減少測試上線及測試後設備移除的服務中斷時間，採用 PA-4050 虛擬網路區段 (Virtual Wire) 的功能，以通透模式 (Transparent Mode) 導入 PA-4050 新世代防火牆 (如上圖一) ，PA-4050 之第21/22埠之千兆速以太網路通訊埠設定為 CAMPUS 虛擬網路區段, 界接 BI-8000 骨幹網路交換器與舊有 FG-3600 防火牆；第23/24埠之千兆速以太網路通訊埠???定為 TANET 虛擬網路區段, 界接台灣學術網路 路由器與舊有 FG-3600 防火牆；在此兩個虛擬網路區段上設定網路存取政策，開放讓所有的網路流量通過並針對所有支援的通續協定及網路應用程式啟用包含弱點保護 (Vulnerability Protection)、防毒 (Anti Virus) 、防間諜程式 (Anti Spyware) 等網路風險保護 (Threat Protection) 功能。 伍、測試狀況 圖二：測試結束前 PA-4050 系統儀表板 (Dashboard) 系統狀態圖 Palo Alto Networks 新世代防火牆系統儀表板顯示目前設備、網路及資訊安全相關基本狀態，顯示項目可依使用者的需求，由左側項目中選取或自儀表板中移除。 測試期間自 2009/12/16 – 2009/12/23 約 7 天又 16 小時， 測試期間設備的運作狀況良好，平均 CPU 的使用率 4% 左右，即時個別 CPU 核心使用率也均維持在 20% 以下, 絕大多數最高也不超過 30% (如下圖三所示)： 圖三：即時 CPU 使用率狀態圖 (每個數值為每小時的 CPU 平均及最大使用率) 測試期間，正常上課/上班日通過 PA-4050 的每日網路流量約在 650-800GB 之間，例假日的網路流量也有 300 – 400GB 左右(如圖四): 圖四：測試期間通過 PA-4050 的每日網路流量分析圖 網路流量監視報表顯示流經過 Palo Alto Networks 新世代防火牆的網路流量及內容統計圖，管理人員可依據需求顯示網路流量歷史資訊及網路應用程式的使用狀態。 由圖中可知網路應用程式的分佈狀況，前 10 大的網路應用為 Web-Browsing (一般性網頁瀏覽), Xunlei, Flash, YouTube, ms-ds-smb (網路芳鄰), ms-update (微軟系統更新), unknow-tcp (註), FTP, Adobe-Update (Adobe更新), Adobe-Audio等。 陸、測試結果分析與建議 PA-4050 新世代防火牆防火牆效能分析: 實際測試環境下的同時連線數 (Concurrent Session)數值： 圖五：即時連線數相關資訊 以 show session info 命令顯示目前系統連線數的相關訊息，其中包含連線數的目前及歷史資訊，