F5 AFM防火墙模块测试报告.docxVIP

F5 AFM防火墙模块测试报告 F5 AFM防火墙模块 测 试 报 告 F5 Networks 目 录 TOC \o 1-2 \h \z HYPERLINK 一、 综述 1 HYPERLINK 1. 测试目的 1 HYPERLINK 2. 测试拓扑 2 HYPERLINK 3. 测试设备 2 HYPERLINK 4. IP地址划分 2 HYPERLINK 二、 防火墙访问控制 3 HYPERLINK 1. 基于IP地址的访问控制功能 3 HYPERLINK 2. 基于协议的地址访问控制功能 7 HYPERLINK 3. 基于时间的访问控制功能 11 HYPERLINK 三、 防火墙应用模式 13 HYPERLINK 1. 路由模式 13 HYPERLINK 2. 透明模式 13 HYPERLINK 四、 防火墙用户认证 15 HYPERLINK 1. 基于AD认证的用户认证 15 HYPERLINK 2. 基于Radius认证 18 HYPERLINK 五、 防火墙日志及管理报表 21 HYPERLINK 1. 日志发送至外部服务器 21 HYPERLINK 2. 防火墙日志记录 24 HYPERLINK 3. ACL详细报表 25 HYPERLINK 六、 测试总结 27 F5 AFM应用安全产品测试报告 第 PAGE 2 2 3 页 综述 测试目的 通过本次测试，预期达到以下测试目的： 测试验证F5 AFM高级防火墙的防护能力； 验证其安全策略的配置方法及了解配置的难易程度； 验证F5 AFM的访问控制功能，包括基于IP地址，协议，时间的访问控制 验证F5 AFM的应用部署模式，包括路由模式和透明模式 验证F5 AFM的认证功能，包括radius认证，AD认证 验证F5 AFM的日志和管理功能；  测试拓扑 F5 AFM采用路由模式部署，各区域网关均指向F5对应VLAN的SelfIP。 网络中划分了3个安全区域，外网区Untrust Zone，内网区Trust Zone和DMZ区。 在DMZ区部署一台AD服务器，并在同一台服务器上起syslog服务。 测试设备 测试设备 数量 备注 F5 AFM 一台 版本：V11.3.0 测试服务器 三台 测试终端 两台 IP地址划分 AFM IP地址分配 Vlan Port Assignment Self IP Address VS IP Gateway Internal 1.4 35 External 1.3 35 DMZ 1.2 35 服务器 IP地址分配： IP Address Gateway S1 10 35 S2 60 35 S3 08 35 ADsyslog 39 35 测试终端 IP地址分配： IP Address Gateway PC-1 20 PC-2 　20 35 防火墙访问控制 F5 AFM具备网络防火墙的各项功能，本节重点测试其访问控制功能。 基于IP地址的访问控制功能 项目：访问控制功能 分项目：基于IP地址的访问控制功能 测试目的： 验证AFM的访问控制功能，是否能有效地完成基于源IP的访问控制功能。 预置条件： 按测试结构连接好网络及各个相关设备，并配置好相应的配置。 AFM配置相应的策略阻止相应的数据包。 测试过程： 创建VS IP 52；53 测试终端源IP为20 配置rule拒绝源IP为20 配置vs_test_3使用上述rule 测试客户端对vs_test_3的访问 预期结果： AFM的访问控制功能能有效地完成基于源IP的访问控制功能；（结果截图见“备注”部分） 实际结果： 符合预期结果，可以阻挡源IP20的访问 备注: 配置VS（对外提供服务的IP） 查看终端能否访问vip，验证通过 配置rule拒绝源IP 20 配置rule list 在rule_list中创建rule 在Virtual Servers—选择vs_test_3,在此vs中选择Security—Policies中选择add 将rule list配置到vs_test_3上 在Security—Network Firewall—Active Rules中可以看到如下内容 测试终端访问53无法常访问 查看log 基于协议的地址访问控制功能 项目：访问控制功能 分项目：基于协议的访问控制功能 测试目的： 验证AFM的访问控制功能，是否能有效地完成基于协议的访问控制功能。 预置条件： 按测试结构连接好网络及各个相关设备，并配置好相应的配置。 AFM配置响应策略阻止相应的数据包。 测试过程： 创建VS vs_test_1 51端口