防火墙测试验收方案.docxVIP

PAGE PAGE 1 防火墙测试方案 一、 引言 防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立 一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光国内就有几十家。各种防火墙品种充斥市场，良莠不齐，有软件 的防火墙，硬件的防火墙，也有软硬一体化的防火墙;有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的 防火墙，也有状态检测的防火墙。由于防火墙实现方式灵活，种类多,而且往往要与复杂的网络环境整合在一起使用，因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的安全和性能是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性.但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此，当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上，产品一般分为高、中、低三档。考虑到，高档防火墙普遍是各 公司最新或计划推出的产品，证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主，为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作 为测评的对象。 为了较全面地评估各公司的防火墙产品，本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020—1999 信息技术应用级防火墙安全技术要求GB/T 18019—1999 信息技术包过滤防火墙安全技术要求FWPD:Firewall Product Certification Criteria Version 3。0a 测试项目 一．测试项目 PAGE PAGE 10 包过滤，NAT，地址绑定,本地访问控制，多播，TRUNK，代理路由,内容过滤，报警， 审计实时监控，攻击,双机热备，性能. 二．测试环境简略拓扑图 10.10。11.10 10。10.12.20 30） 20 10。10.11(2）.1 10。10。1。240 10。10。1。1 10.10。 3.1 FW1 10。10。2。1 10。10。2。240 （0)  10.10。3.10 （192。168。3。 10。10。3。 172。10。1。10 FW2 172。10。1.1 192。168。1.10 172。10.2。1 192。168。2.1 FW3 192。168.1。1 172.10.1。20 172。10.3.1 （52） 172。10.3。10 172.10。3.20 （192。168。2。251) 54 192.168。3。1 192.168。1。20 192。168.3.10 192。168.3.20 54 (192.168。2。253） 图 1  管理器 172。16。1.10 192。168.1。 10 192。168.1.251 172.16.1。20 192。168.1。 20 192。168。1.11 192.168。1。21 图 2 说明：在括号内的IP 地址,为测试单一防火墙功能时所用的IP 地址。图 2 仅为测试TRUNK,代理路由和非IP 规则时使用。 三．测试前软件环境的准备 子网主机具有Linux，windows 2000（or 98 or NT)两种环境. 测试环境Linux 主机配置www,ftp，telnet 服务，同时安装nmap,http_load，sendudp 等测试工具；Windows 主机配置ftp,telnet，iis，snmp 等服务，同时安装 IE，Netscape 等浏览器 防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip 地址为当前网段的 1 地址。例：当前主机所在网段为 ，那么它的网关为 192。168。1。1， 即防火墙接入