f5afm防火墙模块测试报告

1、目录综述1测试目的1一、1. 2. 测试拓扑23. 测试设备24. IP 地址划分2控制3二、1. 基于 IP 地址的控制功能32. 基于协议的地址控制功能83. 基于时间的控制功能12应用模式15路由模式15三、1. 2. 透明模式15四、用户认证171. 基于 AD 认证的用户认证172. 基于 Radius 认证21日志及管理报表24日志发送至外部服务器24五、1. 2. 日志. 283. ACL 详细报表29测试总结31六、一、 综述1 .测试目的通过本次测试，预期达到以下测试目的：测试验证 F5 AFM 高级的防护能力；验证其安全策略的配置方法及了解配置的难易程度；验证 F5 AFM

2、 的控制功能，包括基于 IP 地址，协议，时间的控制验证 F5 AFM 的应用部署模式，包括路由模式和透明模式验证 F5 AFM 的认证功能，包括radius 认证，AD 认证验证 F5 AFM 的日志和管理功能；2 .测试拓扑F5 AFM 采用路由模式部署，各区域网关均指向 F5 对应 VLAN 的 SelfIP。网络中划分了 3 个安全区域，区 Untrust Zone，内网区 Trust Zone 和 DMZ区。在 DMZ 区部署一台AD 服务器，并在同一台服务器上起 syslog 服务。3 .测试设备4 .IP地址划分测试设备数量备注F5 AFM一台版本：V11.3.0测试服务器三台测

3、试终端两台AFM IP 地址分配服务器 IP 地址分配：测试终端 IP 地址分配：控制二、F5 AFM 具备网络的各项功能，本节重点测试其控制功能。1 .基于IP地址的控制功能项目：控制功能分项目：基于IP地址的控制功能测试目的：验证AFM的控制功能，是否能有效地完成基于源IP的控制功能。预置条件：IP AddressGatewayPC-1192.168.1.220192.168.1.1PC-220.0.0.22020.0.0.135IP AddressGatewayS1172.16.0.110172.16.0.135S2172.16.0.160172.16.0.135S310.0.0.108

4、10.0.0.135AD&syslog172.16.0.139172.16.0.135VlanPort AssignmentSelf IP AddressVSIPGatewayernal1.4172.16.0.135External1.310.0.0.135DMZ1.220.0.0.135按测试结构连接好网络及各个相关设备，并配置好相应的配置。AFM配置相应的策略相应的数据包。测试过程：1.创建VS IP 172.16.0.152；172.16.0.1532.测试终端源IP为192.168.1.2203.配置rule源IP为192.168.1.220配置vs_test_3使用上述rule测试客

5、户端对vs_test_3的预期结果：AFM的控制功能能有效地完成基于源IP的控制功能；（结果截图见“备注”部分）实际结果：符合预期结果，可以阻挡源IP192.168.0.220的备注:配置VS（对外提供服务的IP）查看终端能否vip，验证通过3.配置rule源IP 192.168.1.220配置rule list在rule_list中创建rule在Virtual Servers选择vs_test_3,在此vs中选择SecurityPolicies中选择add将rule list配置到vs_test_3上在SecurityNetwork FirewallActive Rules中可以看到如下内容

6、测试终端无法常查看log2 .基于协议的地址控制功能项目：控制功能分项目：基于协议的控制功能测试目的：验证AFM的控制功能，是否能有效地完成基于协议的预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置。AFM配置响应策略相应的数据包。测试过程：1.创建VS vs_test_1172.16.0.151端口 80 ；vs_test_1_22172.16.0.152 端口22测试终端VS配置策略rule22端口的通过测试终端去2个VS看AFM是否会阻挡该，并显示帮助信息。预期结果：AFM的控制功能能有效地完成基于协议的控制功能；（结果截图见“备注”部分）实际结果：符合预期结果，可以阻挡

7、172.16.0.11的备注:配置二个VS（对外提供服务的IP）客户端测试可以看到这2个VS都可以正常配置rule，对所有22端口的创建rule list，创建rule。配置 active rule，配置到vs_test_1_22上5.172.16.0.151 22端口无法常6.查看log在vs_test1_22中配置log profile3 .基于时间的控制功能项目：控制功能分项目：基于时间的控制功能测试目的：验证AFM的控制功能，是否能有效地完成基于时间的预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置。AFM配置响应策略相应的数据包。测试过程：1.创建VS vs_test

8、_1172.16.0.151端口 80 ；vs_test_1_22172.16.0.152 端口22测试终端VS配置策略rule所有对22端口的通过测试终端去2个VS配置schedules配置rule_deny_port_22 调用 schedule_1看AFM是否会阻挡该，并显示帮助信息。预期结果：AFM的控制功能能有效地完成基于时间的控制功能；（结果截图见“备注”部分）实际结果：符合预期结果。备注:配置保持和基于协议的一致。配置schedulesschedules_1配置rulerule_deny_port_22 调用 schedule_1客户端测试验证是否能vs_test_1_22的22

9、端口到了16点56分，再次，可以成功。5.查看log应用模式三、1 .路由模式2 .透明模式项目：应用模式分项目：透明模式测试目的：验证 AFM 的透明模式部署。预置条件：重新设置拓扑，将配置为透明模式，Cnt和Server处于同一地址段，如下图所示：测试过程：1、 配置VLAN Group，将内外Vlan加入其中，并设置MODE为Transparent；项目：应用模式分项目：路由模式测试目的：验证 AFM 的路由模式部署。预期结果：F5 AFM能够实现路由模式部署实际结果：第二部分控制测试均在路由模式下完成，AFM可支持路由模式部署。如需参与至动态路由中，还需配置路由模块。2、 10.10.

10、20.111为Web服务器3、 配置安全策略，cnt端server。预期结果：安全策略实施前，cnt既能server，也可server 80端口。安全策略实施后，cnt不能server，只能server 80端口实际结果：符合预期结果。备注:配置VLAN Group配置Global Rules配置完成后，cnt不能server，但可server web 服务。用户认证四、1 .基于AD认证的用户认证项目：认证功能分项目：AD认证测试目的：在Server上抓包发现，BIGIP透传了cnt MAC地址到达server端AFM上安全日志如下所示：验证 F5 AFM 的基于认证的网络控制能力。F5 A

11、FM 是否能与 AD 集成,是否可AD 目录树,针对用户,组设置策略预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置测试过程：1、 配置VS，pool等相关信息2、 配置F5 AFM关于LDAP认证的profile3、 测试客户端指定的WEB页面是否经过认证预期结果：1、 F5能够和AD集成，通过其用户数据库实现用户认证实际结果：符合预期结果。备注:1.在 Authentication 中创建LDAP 的 ConfigurationRemoDAP Tree：DC=lab,。指定 LDAP 上登录的账号在哪个目录树下， 例如如果用户都在 CN=group1,DC=lab,下， 则

12、这里可以填写CN=gr。F5 在 BIND request 并查到用户后，将会在这个目录下去 查找登录的账号，LDAP 服务器将会返回相关的属性。上图示例中，登录的用户会在 DC=lab,可。下的多个OU 或 Group 里，所以只用填写DC=lab,即Hosts：172.16.0.139，AD 的 IP 地址Service Port：389 默认值LDAP Ver：3 默认值Bind DN：CN=Administrator, CN=Users, DC=lab,，F5 利用这里配置的Bind DN 与 LDAP 建立联系， 联系成功后 F5 在 LDAP 上查询登录的用户，如果查到LDAP 会

13、返回对应的属性，接着 F5 再次发起一个 bind request 以验证所提交的（默认明文传输） 。一般这里配置一个 LDAP 存在的用户即可，建议配置 LDAP 的管理员账号。Bind Password：AD 的管理Confirm Bind Password：确认Login Attribute：sAMAccountName，如 LDAP 为微软AD 此处必须填写2.创建新的Authentication Profile，关联第一步创建的 LDAP 的 Configuration。在 VS 中关联第二部创建的 LDAP_profile测试VS，在登陆框中输入用户名、认证通过后看到页面2 .基于

14、Radius认证项目：认证功能分项目：基于radius认证测试目的：验证 F5 AFM 是否能与 radius 集成,设置策略预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置测试过程：1、 配置VS，pool等相关信息2、 配置F5 AFM关于radius认证的profile3、WEB页面是否经过认证预期结果：1、 F5能够和radius集成，实现用户认证实际结果：符合预期结果。6.日志需要 irules 编写输出。备注:在 Authentication 下创建 Radius ServerHost：Radius Server 的 IP 地址 Service Port：固定端口

15、1812 Secret：Radius Server 认证 Confirm Secret：Radius Server 认证在 Authentication Profile 中创建 radius configuration在 Authentication Profile 中创建 Radius Authentication Profile在 VS 中关联第二步建立的 profile测试VS，在登陆框中输入用户名、输入用户名、验证通过后看到 web 页面日志及管理报表五、本项测试可以结合面的各个测试案例中进试。在检查日志的正确性的同时，重点观察日志性能、日志的准确率、日志整合报送情况等。1 .日志发送

16、至外部服务器项目：日志及报表功能测试分项目：支持日志发送到日志服务器测试目的：日志是否能按照定义发送到相应的日志服务器。对于设备事件和事件，要能加以区分发给不同的对应日志服务器。预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置测试过程：配置AFM生成的日志发送日志服务器，对于不同的设备事件和事件发送到不同的服务器.查看日志服务器是否收到AFM日志预期结果：AFM可以对不同的设备事件和事件发送到不同的服务器实际结果： 符合预期结果备注:配置包含外部日志服务器的LTM POOL。（pool member是syslog-ng服务器）配置log Destination需要配置2个log

17、 Destination。第一个为High Speed Logging 的Destination，第二个是为了日志格式化建立的Destination，它会发送格式化的日志到建立的第一个的HSL的 Destination。（第一个告诉bigip发送日志到哪里，第二个告诉bigip以哪种格式发送日志消息）建立第一个HSL的Destination建立规范日志格式的Destination建立Log Publishlog publisher是为了关联1个或多个日志destination到一个log profile。在System Logs Configurations Log Publishers下创建

18、，这个log publish将会发送syslog格式的事件到服务器，本地的database以及本地syslog。创建log profile。 Log profile可以将产生日志的模块和log destination关联起来，并且能够设置什么事件需要产生日志。在Security Event Logs Logging Profiles 中创建profile。5.在virtual server-security中关联这个profile6.这样在日志服务器上可以看到相应的日志输出。2 .日志项目：日志及报表功能测试分项目：命中策略的日志测试目的：查看AFM日志的能力预置条件：按测试结构连接好网络及各

19、个相关设备，并配置好相应的配置测试过程：通过上面做过的测试，发起了一些，查看命中策略的日志查看是否AFM会命中策略的日志预期结果：AFM可以完整的命中策略的日志实际结果： 符合预期结果3 .ACL详细报表项目：日志及报表功能测试分项目：生成acl详细报表测试目的：AFM基于acl的统计能力，是否能生成详细的报表。预置条件：按测试结构连接好网络及各个相关设备，并配置好相应的配置测试过程：通过上面做过的测试，发起了很多，使有上面的数据生成报表备注:查看日志自定义搜索日志，搜索所有对vs_test_3的相关策略查看是否AFM是否可以生成报表预期结果：可以生成基于acl不同参数的多种报表，能包括：Ru

20、le contextRule actionvlanapplicationSource IP AddressesDestination IP AddressSource portDestination port实际结果： 符合预期结果备注:AFM具有丰富的报表功能，列出集中报表如下： action的报表六、 测试总结针对以上 AFM 模块测试内容，对比 Juniper 和 CheckPo功能，总结如下：1、 安全规则AFM 可以完成基本的基于 IP、协议端口和时间的过滤条件的设定，但不能实现基于应用级别的安全策略过滤，如不允许某些用户使用迅雷。AFM 在安全策略数上最多只支持 20000 条，而

21、 Juniper SRX5800 支持的安全策略数是 80000 条。AFM 利用不同的 VLAN 达到区分安全域的目的，可根据用户环境灵活部署。2、 基于策略的状态检测AFM 支持状态检测，即 ses的第一个数据包通过安全策略后，会将其记入 FlowTable，后续数据包再来时先检查 Flow table，一旦匹配则直接通过。且 AFM 默认按照 Global Rules - RouteRules VS Rules 的顺序进行安全策略匹配。但可在配置 Global Rules/ RouteRules 时，通过将 Action设置为“Accept Decisively”，使其跳过后续 Rule

22、s 的检测，增加了设备安全策略的灵活性。3、 NAT 功能Rule context （acl）AFM 的 NAT 功能由 LTM 实现，且 NAT 处理性能高于同类，由于 LTM NAT 功能此前已有测试，因此未列在此次测试中。4、 ALG 应用层网关ALG 用于应用协议需要创建动态连接，而创建动态连接所需的 IP 地址和端口是在协议内容中描述的场景。AFM 的 Profile 中众多的 service 选项，使其 ALG 的实现强于同类。5、 用户认证基于 AD 和 Radius 的认证功能，在 ACA 模块支持下都能顺利完成。基于 AD 用户组的安全策略设置（即根据AD 中用户组的设置，允许用户组一80 端口，用户组二可所有端口，根据不同的用户组赋予不同的安全权限），在实现时较，需使用复杂的 iRules 配合ACA 模块实现。此部分已经 iRules 实验通过，但由于实现过程复杂，未在此次中。近期 F5 会终止 ACA 模块的销售，全部功能转到 APM。但 APM 在实现用户认证功能时，会受到免费并发用户只有 10 个的影响，需要通过