终结者测试报告0811.docVIP

DCFW-1800E终结者系列防火墙测试报告  随着信息技术的发展和计算机网络的普及，网络安全日益成为影响网络应用的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，也对网络安全提出了更高的要求。现今用户应用不断增加，P2P下载，QQ、MSN即使消息的应用，无线网络的便捷部署，同时由于安全威胁的不断增加，病毒、木马泛滥，局域网遍布ARP病毒，影响正常业务应用。针对这些安全威胁，业界的安全技术及产品也推陈出新。笔者对神州数码新发布的DCFW-1800E“终结者”系列防火墙进行了针对性的测试：现今市面的硬件防火墙在路由转发、NAT，反向NAT等功能模块都已十分成熟，针对目前的安全威胁和用户需求，大致针对以下常用功能：ARP 攻击防护、WEB 认证、P2P控制、IM控制、多链路负载均衡、禁用反向路由、会话数控制、SSL VPN等功能进行测试，并对性能进行全面测试。 一 功能测试 ARP攻击防护 ARP攻击防护是针对与客户端PC ARP病毒泛滥，特别开发的功能，此功能可以在强制/非强制状态下，要求所有客户PC安装客户端软件，安装后，内网ARP攻击将得到控制。 测试方法 神州数码终结者为内网网关，内网存在ARP攻击或病毒，如图1所示： 图1.ARP供给防护示意图 在神州数码终结者的接口上，启用ARP认证功能，不选择强制 用户可以照常上网，用户也可以登录相应的WEB页面，自己手动下载ARP客户端，下载后可正常上网。 在做为网关的接口上，启用ARP认证功能，选择强制 已经下载了客户端的用户，可以继续正常上网；未下载客户端的PC，不能正常上网，WEB页面被重定向到客户端下载页面，下载客户端后可正常上网. 测试效果非常明显，技术先进，无认证的非法用户得到控制，内网可完全避免ARP攻击。 Web认证 使用神州数码终结者和本地/RADIUS/AD/LDAP服务器联动，对用户进行WEB认证，通过认证的用户，才能正常上网。 测试方法 测试拓扑结构如图2所示：用户通过神州数码终结者接入网络，神州数码终结者可与RADIUS/AD/LDAP服务器连接或做本地认证。 图2.Web认证测试示意图 配置本地用户或者RADIUS/AD/LDAP服务器相关信息。 在未Web认证区，配置用户上网策略为“允许”，用户可以自由上网。 在Web认证区,配置用户所处ZONE的policy，用户上网策略动作为“WEB认证”并放置于策略顶端,这样用户不能正常上网，WEB访问被重定向到WEB认证页面：当输入用户名密码，通过认证后，用户可以正常访问网络；如果输入错误的用户名密码，未通过认证，不能访问网络 P2P控制 神州数码终结者可以对流行的P2P软件进行允许/阻止/限制流量等控制（支持的软件，请参看列表） 测试方法 用户通过防火墙连接网络，配置用户policy为全通，用户可以上网，可以正常使用P2P进行下载(支持的P2P软件，请查看列表)。 配置策略，选择想控制的P2P软件，动作为允许，置于策略顶部——用户可以正常使用P2P进行下载。 将P2P策略动作修改为“阻止”，重新启动P2P软件，用户不能下载 将P2P策略动作修改为“允许”，标记QOS TAG，然后配置QOS，对P2P软件进行流量控制，使用P2P软件下载，下载速度在流控范围内（使用BT和EMULE测试）eMule eMule 0.48a 支持 BT BitComet 0.94/0.97/0.99 final/1.0 均支持 比特精灵 3.3.1.232/3.3.2.100/3.3.2.132 均支持 迅雷 5.7.3.389/5.7.6.426/5.7.441/5.7.12.493 均支持 Web迅雷 1.10.2.173/1.12.2.210 均支持 POCO 2006/2007Beta/1.1.1036/1.1.1036v/1.2.7.44 均支持 PPLive 1.8.19/1.8.18/1.9.21.1346/1.9.23/1.9.35 均支持 KuGoo V3.243/2007 V4.007/4.022/4.024 均支持 百度下吧 V2.4 支持 vagaa 2.6.5.7/2.6.5.9/2.6.5.10 均支持 PP点点通 v1.9.35正式版 支持 IM控制 神州数码终结者可以对流行的IM软件进行允许/限制登录/限制文件传输等控制（支持的软件，请参看列表）。 测试方法 用户通过防火墙IM软件 配置用户policy为全通，用户可以上网，可以正常使用IM软件登录、文件传输； 配置IM-PROFILE，选择要控制的IM软件，配置允许/限制登录/限制文件传输；将IM-PROFILE绑定到用户策略上，用户重新登录IM软件观察状态。 IM软件