合勤UTM测试报告汇.docVIP

合勤UTM测试报告 UTM产品介绍 目前，市面上大多数的 UTM产品具备了网络防火墙、VPN、网络入侵检测/防御和网关防病毒等多项基本的功能。同时，很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。另外，诸如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和带宽管理等其他特性，也逐步加入了UTM产品中。ZyWALL 70产品未配备Turbo卡，所以主要只测试了操作界面、产品的性能和VPN功能，主要的UTM功能没有测试，因此此次测试主要涉及UTM功能和在实际使用环境中的测试。 主要功能测试如下 网络功能 防火墙功能 IDP功能 内容过滤 高级功能测试 防垃圾邮件功能 防病毒功能 实际环境测试 测试网络拓扑 按照ZyWALL 70的功能其测试网络拓扑设计如下： 测试过程及结果 网络功能 zyWALL支持多WAN口，支持主从备份、负载均衡和流量重定向三种模式 主从备份模式 主从备份模式下，通过设置WAN口的优先级，可以达到在正常情况下，所有流量只通过主WAN口，一旦主WAN口出现故障时，启用备份WAN口，主WAN口恢复时，流量又回到主WAN口。 测试时设置WAN1口为主WAN口，优先级为1，WAN2口为备份WAN口，优先级为2 在正常情况下，数据应该走WAN1，我们用ping测试网络连通用tracert测试路由 断开WAN1，测试： 再接通WAN1 测试结果：zyWALL能达到主从备份功能，但从ping的过程可以看到主从切换有一定的延时，造成网络丢包，而且tracert的第1跳路由延时很大。这可能与连线检查设置有关。 负载均衡模式 负载均衡模式支持负载最小优先、比重分配、基于溢出三种算法 测试时选用了其中一种按比重分配算法： 正常情况下，数据路由能下分别走WAN1和WAN2： WAN1断线： 测试结果：有负载均衡功能，支持其中一个出口断线时自动转到另一个出口，但切换过程延时较大会有丢包。 流量重定向， 流量重定向功能可实现在防火墙WAN口失效时，将数据转发到另外一台网关设备，从而不会造成网络中断。因测试环境问题，我们只测试了在目标镜像地址上抓包观察。 测试结果：支持流量重定向功能 防火墙功能测试 防火墙功能提供了不同区域之间详尽的访问规则，应对管理员的不同需求，但测试过程中发现，尽管开了WAN口允许ping但仍无法从外网ping通防火墙,而防火墙上面也没有网络诊断的工具，给排障造成非常不便，这可能是防火墙的小bug。 IDP功能 入侵检测与保护功能提供了位于不同区域的保护选项，特征保护码有1960条之多。按功能分为ddos bufferoverflow accesscontrol scan trojanhorse P2P IM virusworm porn webattacks spam等。针对每一个特征码，可以选择是否激活、日志、警示，保护动作可有：no action,drop packet,drop session,reset sender,reset receiver,reset both。 Ddos攻击 防火墙首先失去反应 查看报告可发现DDOS攻击 测试结果：抗DDOS功能可以，但性能太差。 网络扫描测试，通过网络扫描软件，可以模拟出许多网络攻击，我们用XSCAN测试 ZYWALL反应： 但同时也有些误报 测试过程中发现，日志留存时间太短，看不到之前的攻击日志，威胁报告最多只有TOP 10攻击的报告，要看到完全详细的日志只能将日志传送到syslog日志服务器上，再通过日志分析软件分析统计。 结合一些企业需求应用 1封堵P2P软件 将P2P类特征码动作全改为丢弃封包 上BT网站下载种子 仍然可以下载 但速度非常慢，基本上不能正常下载。 运行pplive网络电视软件 IM软件 QQ 但QQ仍能登录，并聊天，但经常断线，信息有时发不出去，文件传输则不能传。 msn则不能登录 测试结果：总体来说入侵检测与保护功能比较全面，但存在问题很多，最明显的是性能问题，以及一些误判、漏报。日志和报表不够具体全面。 内容过滤 内容过滤可包括过滤VPN封包，并可拦截ActiveX Java Applet Cookies Web Proxy等，它还包括一个外部的网址库，厂家已经将其分好类，因为这个数据库由厂家自已维护，你只能查询某些网址是否会被拦截。当然还可以定制，可以定制信任网站、禁用网站和关键字拦截 由于厂家的内容过滤服务已效所以其定内的过滤库无法测试 测试了定制功能 禁止上163.com 一样被过滤 可见它使用的是模糊匹配方式 关键字过滤 添加关键字不能添加中文字，提示有非法字符，估计与IE的编码方式有关： 用关键字unix测试 Google搜索unixnet 可见关键字过滤不但包含网站url还包含网页内容