防火墙测试报告汇总

1、XX公司防火墙测试报告设备名称：设备型号：受测单位：测试类别：委托测试口行业标准技术要求测试依据：口 国家标准口企业标准报告日期：2012年4月 日公章公安部第一研究所信息安全等级保护测评中心测试报告说明1、测试报告无“公安部第一研究所信息安全等级保护测评中心”公 章无效。2、测试报告无编制、审核、批准人签字无效。3、测试报告不得涂改和部分复印。4、对测试报告有异议，应于收到报告之日起十五日内向测评中心提 出申诉，逾期不予受理。5、测试结果仅对被检样品有效。防火墙测试报告设备名称委托单位测试单位公安宫B第 研究所指息安全等级保护测评中心委托单位通信资料地址邮政编码电话联系人测试地点公安宫B第

2、研究所指息安全等级保护测评中心测试内容1.2.3.测试日期2012年3月27日防火墙测试报告测试结果受XX公司委托，公安部第一研究所信息安全等级保护测评中心 于2012年3月27日对XX公司的防火墙（型号：）进行了委托测试。根据测试内容，对受测设备的测试结果如下：1、在数据吞吐量测试中，分别对双路光纤通道（理论性能20Gbps）与四路光纤通道（理论性能 40Gbps） 2种条件下的吞吐性 能进行了测试，共使用4种测试用例（64byte/256byte/512byte/1518byte UDP数据包），受测设备吞吐量在两种测试条件下分别达到20Gbps与 40Gbps;2、在最大并发连接数测试中

3、，受测设备在测试策略限定的时间段内，最大并发连接数上升并维持在 3000000;3、在单位时间（每秒）新建连接数测试中，受测设备在有效测 试时间的前45秒中每秒新建连接数达到10万（100000）;在有效测 试时间的后15秒内每秒新建连接数达到7.5万-8万（75000-80000）。编制：审核：批准:防火墙测试报告测试环境及受测设备描述测试环境用途设备型号数量受测设备1台吞度量性能测试设备IXIA1台并发连接和新建连接性能测试设备IXIA1台防火墙测试报告厅P测试项目测试条件测试用例测试结果1管理方式通过RADIUS等认证服务器对设备用户进行认证通过RADIUS等认证服务器对设备用户进 行认

4、证通过通过SSHW理通过配置能够使用SSH方式管理防火墙通过通过telnet管理通过配置能够使用Telnet方式管理防火墙通过通过http管理通过配置能够使用HTTP方式管理防火墙通过通过https管理通过配置能够使用HTTPS方式管理防火墙通过2SNMPv2&v31 .支持 SNMPTrap方式，为网 管系统提供系统 运行状态2 .支持 SNMPTrap方式向外发 送审计日志1 .支持 SNMP Trap 方式，为网管系统提 供系统运行状态利用工具获得系 统运行信息，包 括CPU使用率、 内存使用率等。2 .支持 SNMP Trap 方式向外发送审计日 志(1) 通过 SNMP 配

5、置，添力口 SNMP通过服务器；能够日志级别有 选择的发送 SNMP日志；模拟事件触发， 查看服务器日志 接受状态。3会话管理验证防火墙会话监控(1)在PC1上，利用IXIA等流量工具 向目标机的/、同 端口建立多条会 话；(2)通过用户界面， 在被测设备上根据源主机IP查看 其所有会话信 息。通过会话统计(1)在PC1上，利用IXIA等流量工具 向目标机建立多 条会话；(2)通过用户界面，在被测设备上根据源主机IP查看 会话统计信息；(3)通过用户界面，在被测设备上根 据目的主机IP查 看会话统计信 息；(4)通过用户界面，在被测设备上根 据业务端汁看 会话统计信息。通过会话临时阻断(1)从

6、 PC1 Telnet 至 PC2 ;(2)通过用户界面，在被测设备上根据源主机IP查看 其所有会话信 息；阻断该会话；通过设置一定的阻断 时间，在阻断时 间内，PC1不能 再 Telnet至 UPC2。4Syslog日志被测设备各功能模块 能够发送正确的日志 信息到Syslog服务 器。在被测设备上配 置Syslog服务 器端口和地址， 并启用日志服务 器；允许被测设备的 相关模块向服务 器发送日志；在被测设备上对 已允许发送日志 的功能模块进行 操作，在Syslog 服务器上观察日彳巨息、°通过5NAT地址转换机制1 .终端上电启动正 常2 .通过直连网线将 终端的LAN 口与P

7、C机以太网接口 连接1、终端设置工作在 NAT模式2、配置分配终端内 部的IP地址段等 参数3、连接到LAN 口的 PC机，PC是否可 以正常访问外部 的服务器4、网关内部放置一 台 WEB server,在 网关上进行相应 的地址映射设置5、通过外网用户访 问 web server , 观察是否成功6、设备应能对服务 器进行探测，确 定服务器是否存活，至少支持 2 种探测方式通过6端口联动(1)终端上电启动正 常通过直连网线将 终端的LAN 口与PC机以太网接 口连接1、终端配置端口联动功能使ge0/0/0和ge0/0/1 联动通过7策略路由本测试需要增加设备 routeri 和 route

8、r21、验证防火墙是否 能够根据访问的 源IP地址选择不 同的路由策略进 行路由；2、验证防火墙是否 能够根据访问的 目的IP地址选择 不同的路由策略 进行路由；3、验证防火墙是否 能够根据访问报 文的协议号选择 不同的路由策略 进行路由；4、验证防火墙是否 能够根据访问流 量的入接口选择 不同的路由策略 进行路由。通过8支持优先级下载1、设备上电启动 正常2、设备以透明模式 在server与交换 机之间3、交换机下接 PC1 和PC24、 PC1和PC2均能FTP访问 server1、防火墙进行优先级配置，且 PC1地址设置其优先级局于PC2的地址2、两PC同时访问服 务器地址(192.16

9、8.2.100).并同时下载同通过一个FIP义件9流量管理1、设备上电启动 正 常2、设备以透明模式串 接在internet与内 网交换机之间3、交换机下接PC1和PC24、PC1和PC2仅能正 常访问internet1、开启防火墙的 应用控制设置，针对 PC2 地址设置其HIIP的下载速度分别为5KB/S,20KB/S2、Pc2 从 http 下 载任意文件3、观察PC2的下 载速率通过10应用统计1、设备上电启动 正常2、PC机终端通过防火墙隔离与 Internet联通1、仪表A端口模 拟Client端，源 IP 地址为2、仪表B端口模 拟HIIP服务 器，地址为21

10、0 ;3、被测设备的端 口A 为/24, 端口 B 为 ,配 置工作在一对一 NAT模式， 将 转 换 为4、发送HIIP等流 量；通过11连接数控制功能1、防火墙上电启动支 持2、防火墙以透明模式 与测试仪连接3、测试仪器的连接能1、开启防火墙的 sessions数控制 的设置，数值为10000 个2、仪表产牛大干通过正常建立10000个并发连 接3、观察 sessions 建 立的状况及数值4、重复1步骤，针 对特定的IP地址 进彳f sessions数 控制的设置，数 值为30个5

11、、仪表产生大于 100个并发连接6、观察 sessions 建 立的状况及数值12透明模式1、设备上电启动 正常2、设备以串连方式接 在内网交换机之间3、交换机下接PC1和PC21、Client/Server A、 Client/Server B 端 口配置同一 IP网 段的IP地址，并 互发有状态的IP流里;2、Client/Server A、 Client/Server B 透 传模式测试在两 端PVID相同的情 况下，IP单播报 文及OSPFm播报 文传递；3、被测设备配置策 略，阻断 Client/Server A、 Client/Server B 之 间的IP流量；4、设备接口是否能

12、 够工作在Trunk 模式下。通过13混合组网功能1、给设备上电，设 备启动正常；2、通过桥模式接入两台 PC, PC1、1、测试设备工作为路由模式，端口 A配置3个子接口 ；2、子接口 1可以接通过PC2。3、通过路由模式接入两台PC, PC1、PC3收发送非标记 帧；3、子接口 2可以接 收发送 VLAN ID 为100的标记帧；4、子接口 3可以接 收发送 VLAN ID 为200的标记帧；5、配置被测设备的 子接口 1与端口 B工作在透明模 式；6、配置被测设备的 子接口 2与端口C工作在路由模 式；7、配置被测设备的 子接口 3与端口C工作在NAT模 式。14Ipv6访问控制1、中断

13、上电启动正常；2、防火墙工作在透明 模式；3、通过直连网线将终 端LAN 口与两台PC 机以太网口连接。1、终端LAN侧 两台 PC (PC1、PC2) 设置静态IPV6地址 (如 2009: 1: 2: 3:4: 5: 6: 1、 120 与 2009: 1: 2: 3: 4: 5:6: 2、120),部署在 防火墙 Inside; PC3 为 2009: 1 : 2: 3: 4:5: 6: 3部署在防火 墙 Outside 侧；2、使用IPV6地 址方式设置接入控 制，允许PC1的IPV6 地址访问服务器 PC3,禁止 PC2的IP 地址访问PC3;3、使用两台通过PC1、PC2 访问 P

14、C3。4、终端LAN侧 两台 PC (pci、pc2) 设置静态IPv6地址(如 2001 : : 2 与 2001 : : 3),并分别能 够通过防火墙采用 ftp/web/ping 访问服 务器 2002： 1005、配置两条访问 控制列表，一条匹配 PC1访问服务器的流 量，另一条匹配PC2访问服务器的流量。6、防火墙上配置 两条访问控制规则， 一条允许匹配规则的 报文通过，一条禁止 匹配规则的报文通 过。7、使用2台PC 访问服务器。15双栈1、终端上电启动正常2、通过直连网线将终端LAN 口与两台 PC机以太网接口连接1、防火墙设置 工作双栈模 式；2、如图配置分 配终端、RT、防火

15、墙的IP 地址等参 数；3、设置全通规 则；4、 PC1 访问PC2 webFTP 服 务；通过16Ipv6静态路由1、终端上电启动正常1、如上图所示终端通过2、通过直连网线防火 墙跟两台路由器直 连，然后两台路由器 分别直连了一台 PCLAN 侧两台 PC （pci、 pc2）设置静态IPv6地址（如 2001 : 2 与2004: : 2）,路由 器及防火墙分别设置 静态IPv6地址。2、两台交换机（思科） 分别配置去往对端 PC的静态地址。3、防火墙上配置去往 PC1及PC2的静态地 址如下：4、PC1跟PC2两台 PC互相ping对方。17Ipv6攻击防御功能1、终端上电启动正常 2、

16、如网络拓扑搭建测 试环境，并完成基本 地址、路由配置1、如上图所示组 网。模拟攻击的 测试 PC 2002: 264）并配置默认 路由下一跳为 2002 : : 1。在防 火墙上入接口（G0/0/0/ ）和出 接口（G0/0/1）上 分别配置IPv6地 址（2002 : : 1、 2003: : 1）。夕卜部 搭建一 DNS服 务器（2003: : 2）.2、在测试PC机上安 装 了SynFlooding、 UDP Flooding、 ICMP Flooding、 DNS query flooding 攻 击工具。3、然后在 PC上用 TCP synflood 攻击 工具发起通过synfloo

17、d 攻击4、在PC上用 UDP Flooding 攻击工 具发起 udpflood 攻击.5、在PC上用ICMP Flooding 攻击工 具发起icmpflood 攻击在PC上用 DNS Query-flood攻击工具 发起 dns-query-f100d 攻击18双机热备、双击主动1、两台设备加电工作正常。2、给两台设备按vrrp经典组网连线。1、给设备配置主备 模式HA2、拔出主动设备的 一条业务链路， 观察备设备可以 切为主动工作状 态，在插拔过程 中不影响ftp下 载。3、讲HA工作状态调 至共享模式，通 过命令行或 webui观察两台 设备工作正常。通过19数据吞吐量测试（三初始测

18、试负载为测试负载数据包64byte=52%层模式，2路光纤通满负裁（Initial大小分别为64字10.4Gbps道，最高20Gbps）rate % = 100%),节（byte）、128字128byte=86%之后负裁逐级减节(128byte)、25617.2Gbps半，测试在这一过W ( 256byte)、256byte=100%程中的数据吞吐512字节20Gbps性能和丢包率(512byte)、1024512byte=100%W ( 1024byte)、20Gbps1280字节1024byte=100%(1280byte)、151820GbpsW ( 1518byte),1280byte=100%数据包(IP Header20Gbps采用UDP）1518byte=100%20Gbps数据吞吐量测试（三初始测试负载为测试负载数据包64byte=52%层模式，4路光纤通满负裁（Initial大小分别为64字20.8Gbps道，最高40Gbps）rate % = 100%),节（byte）、128字128byte=86%20之后负裁逐级减节(128byte)、25634.4Gbps半，测试在这一过W