防火墙测试验收方案

1、防火墙测试解决方案介绍防火墙是实现网络安全系统的重要设备。其目的是在内部和外部网络之间建立一个安全控制点。通过允许、拒绝或重定向通过防火墙的数据流，可以实现对进出网络的安全控制。审计和控制服务和访问。随着网络黑客活动的日益猖獗，越来越多的互联网公司开始关注网络安全问题。尤其是近两三年来，以防火墙为核心的安全产品需求市场快速增长，瞬间涌现出众多提供防火墙产品的厂商，光国就有几十家。有软件防火墙、硬件防火墙、软硬件一体的防火墙；有针对个人的防火墙、针对小型企业的低端防火墙和高端防火墙。有技术实现包。过滤防火墙、应用代理防火墙和状态检测防火墙。由于防火墙的实现方式灵活，种类繁多，并且经常与复杂的网络

2、环境结合使用，因此测试和评估防火墙是购买防火墙产品的重要环节。评估和测试防火墙可能是一项复杂的工作。一般来说，防火墙的安全性和性能是最重要的指标，其次是用户界面（管理和配置界面）和审计跟踪，然后是功能可扩展性。但安全性和性能似乎常常构成矛盾。在防火墙技术发展方面，业界一直致力于为用户提供高安全性和高性能的防火墙产品。沿着这个方向，防火墙产品经历了基于软件实现的代理防火墙、基于硬件实现的包过滤防火墙，兼具包过滤防火墙的高速特性和代理防火墙的高安全特性。状态检查防火墙。此外，为了让灵活而难以掌握的防火墙安全技术更有效地被广大用户使用，直观易用的界面和详细清晰的报表审核能力被越来越多的用户所采用。防

3、火墙产品。在与网络应用环境融合的过程中，新的网络功能不断被集成和增加。因此，需要对安全性、性能、可管理性和辅助功能进行综合评价，才能客观地反映防火墙产品的质量。考试背景和目的在防火墙产品市场上，产品一般分为高、中、低三个档次。考虑到高端防火墙一般是各公司最新或计划推出的产品，证券作为安全产品的大用户，主要使用中高端防火墙产品。为便于各公司产品横向比较，本次测试中端防火墙产品将统一作为评测对象。为了更全面地评估各公司的防火墙产品，防火墙产品测试分为以下几个部分：功能测试、安全防御能力测试、性能测试和设备可靠性测试。参考GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18

4、019-1999 信息技术包过滤防火墙安全技术要求FWPD：防火墙产品认证标准版本 3.0a测试项目测试项目包过滤、NAT、地址绑定、本地访问控制、组播、TRUNK、代理路由、容量过滤、告警、审计实时监控、攻击、双机热备、性能。测试环境的简要拓扑图0 10.10.1210.10.11(2).400 ( 0 )FW1 040 ( 0 ) 00 FW2 FW30 0( 52 ) 0 00 0( 51 )54 54( 53 )图1经理0 0510 01 1图 2括号中的IP地址是用于测试单个防火墙功能的IP地址。图 2 仅在测试 TRUNK、代理路由和非 IP 规则时使用。三。测

5、试前的软件环境准备子网主机有Linux、windows 2000（或98或NT）两种环境。测试环境Linux主机配置www、ftp、telnet服务，并安装nmap、_load、sendudp等测试工具； Windows主机配置ftp、telnet、iis、snmp等服务，同时安装IE、Netscape等浏览器防火墙分区主机的网关设置为指向所连接防火墙的当前连接接口，ip地址为当前网段的1地址。示例：当前主机所在的网段是，那么它的网关是，也就是防火墙的访问接口的ip地址。防火墙的默认路由都指向其路由器或通向广域网的第 3 层交换机。在广域网中使用静态路由和动态路由（rip 或 ospf）。.4

6、.功能描述和规则设计。防火墙的各项功能分别进行说明。A. 包过滤-区域间通信。1.) 单一地址2.) 多个地址规则设计： A.方向：1区2区湾。行动：允许（拒绝）C。协议：tcp、udp、icmp等协议号。d。审计：是（否）e.有效时间段B.地址绑定-ip、mac地址绑定。防止地址欺骗。单地址绑定多地址绑定。规则设计： A.方向：1区2区湾。行动：允许（或拒绝）C 本地访问控制-控制管理主机的访问1.) 单一地址2.) 多个地址规则设计： A.操作： 1、允许ping、telnet等。2.允许管理D NAT-地址、端口转换。将私有IP转换为公共IP。1.) 一对一2.) 多对一3.) 多对多规

7、则设计： A.方向：1 区 - 2 区。湾。行动：拒绝（或允许）C。协议：tcp、udp、icmp等协议号。d。审计：是（否）E 组播解决一对多通信。单个组播源，多个接收者。多个组播源，多个接收者。G.TRUNK，代理路由-多路复用链路，在防火墙的单个区域中路由子网流量。H. 告警-使用、TRAP、蜂鸣器等同时向管理员上报防火墙信息。I. 审计审计对防火墙的访问、事件信息、防火墙的状态。J.实时监控实时检测防火墙的通信状态，跟踪防火墙的运行状态。K攻击-反攻击。检测通过防火墙的攻击企图，并报警阻止攻击。L.双机热备-设备冗余。同一个网络，两台防火墙，一台设置为活动状态，另一台设置为备份状态。当

8、活动防火墙关闭时，备用防火墙接管。具体操作通过测试用例进行说明。在所有的规则制定中，都要考虑到边界的临界值、中间值、时间的控制等。包过滤测试项目包过滤考试日期测试量IP过滤规则对ICMP报文的过滤效果测试环境路由模式linux、windows。规则指定0-100 - 54 允许 ICMP。 （走出去）54 - 0 ICMP 允许。 （非军事区外）-15 - 0 允许 ICMP。 （非军事区到）执行动作在 0 上 Ping 54，在 54 上 Ping 0，在 0 上 Ping 0。并在相反的方向ping。在 0 上远程登录 54，在 54 上远程登录 0，在 0 上远程登录 0。和反向ftp，

9、telnet。加载 ICMP 全通规则。重复步骤 1试验结果步预期结果测试结果1.正向 ping 成功，反向 ping 失败，被禁止。2.禁止访问，规则不允许。3可以互相ping通。评论测试项目包过滤考试日期测试量TCP数据包的IP过滤规则测试环境路由模式linux、windows。规则指定1: 0 - 54 允许远程登录。 （走出去）54 - 0 允许远程登录。 （非军事区外）0 - 0 允许远程登录。 （非军事区到）执行动作在 0 上远程登录 54，在 54 上远程登录 0，在 0 上远程登录 0，以及反向远程登录。在 0 上使用 nslookup 在 54 上执行名称解析或其他 udp

10、服务。加载 telnet 全通规则并重复步骤 1。试验结果步预期结果测试结果1.正向成功，反向禁止2.禁止访问，不允许 UDP 服务。 TCP 协议的发布不影响 UDP 协议。3.Telnet 访问成功。评论测试项目包过滤考试日期测试量TCP包IP过滤规则，注重实时效果测试环境路由模式linux、windows。规则指定0 - 54 允许远程登录。 （走出去）54 - 0 允许远程登录。 （非军事区外）0 - 0 允许远程登录。 （非军事区到）生效时间：9:00-10:00执行动作在 0 上远程登录 54，在 54 上远程登录 0，在 0 上远程登录 0，以及反向远程登录。保持上述telnet

11、建立连接，保持telnet no connection建立。在 9:59 到 10:01 之间，查看 telnet 状态的响应。试验结果步预期结果测试结果1.正向 telnet 成功，反向禁止。3已建立的 telnet 连接已断开。评论测试项目包过滤考试日期测试量在IP包过滤中，由于FTP服务的特殊性，下面主要针对FTP进行测试。本用例主要用于测试FTP连接建立后防火墙对20端口的特殊处理。测试环境路由模式linux、windows。规则指定.10 - 54 ftp 允许（外部）执行动作在 0 上远程登录 54 20。ftp 54 on 0 HYPERLINK ftp:/ftp 54 用于大文

12、件（1G）的数据传输。而 ftp, telnet 54 20 on 0。被动用于 ftp 文件传输。远程登录 54 20 在 0试验结果步预期结果测试结果1,3,5禁止访问2,4访问成功。评论测试项目包过滤考试日期测试量IP包过滤包括ICMP、UDP、TCP和非（ICMP、UDP、TCP）包过滤，UDP过滤线路测试测试环境路由模式linux、windows。规则指定规则 1：允许 0 - 54 UDP。53 - 0 允许 UDP。00 UDP 允许生效时间：9:00-10:00。 规则 2：0 - 54 UDP 拒绝。执行动作在0、53、0上启动UDP测试工具Udp_Server，在53、0、

13、0上启动Udp_Client分别连接0、192服务程序。保持联系。在 10:00 检查连接状态。保持客户端对服务器的主动权，取消不间断连接的时间限制，重新加载规则1，重新建立连接时加载规则2。试验结果步预期结果测试结果1.连接成功2.连接已断开。3.连接建立后，立即断开连接。评论目的：测试UDP过滤的基本功能，规则有效时间的实时性能，规则变化时动态连接表的实时刷新性能等。注意：对于EIP测试，通过在包过滤的IP协议设置过程中同步设置，使用发包工具进行测试，如：igmp、ospf包等。地址绑定测试项目IPMAC地址绑定考试日期测试量测试IPMAC绑定的基本功能，以匹配防火墙在MAC地址匹配和IP

14、地址不匹配以及IP地址匹配和MAC地址不匹配两种IP欺骗情况下的处理能力。测试环境路由模式linux、windows。规则指定0-100=MAC 04.89.29 用于绑定执行动作远程登录 54 上的 0。修改IP地址0为1，telnet为54。在此基础上，将0的地址改为0。然后，远程登录 54。试验结果步预期结果测试结果1访问成功2,3 _访问被禁止，IP 或 MAC 不匹配。评论一、加载IP透传过滤规则测试项目IPMAC地址绑定考试日期测试量在制定IPMAC绑定规则时，只能绑定一个区域内某些主机的地址。大多数主机可能不需要绑定。这时候我们也可以指定防火墙绑定到那些没有指定的主机上。过滤规则

15、。此用例主要用于测试防火墙处理对绑定规则之外的主机的访问的能力。测试环境路由模式linux、windows。规则指定0=MAC 04.89.29 用于绑定，绑定规则外的主机不允许通过执行动作在 0 上远程登录 54。在 0 上远程登录 54修改规则以允许绑定之外的主机通过。在 0 上远程登录 54试验结果步预期结果测试结果1.访问成功2禁止访问4.访问成功评论一、加载IP透传过滤规则NAT测试项目NAT翻译考试日期测试量本用例主要用于同时测试多个方向的一对一转换功能测试环境路由模式。Linux , 视窗规则指定0 - 00（在 NAT 输出中）0 - 00（在 NAT dmz 中）执行动作在

16、0 上远程登录 54在 54 上远程登录 00在 54 上远程登录 0在 0 上远程登录 0在 0 上远程登录 00试验结果步预期结果测试结果1访问成功2访问成功3访问失败4访问成功5访问成功评论访问成功后，在对端机器上使用netstat命令查看是真实IP还是转换后的IP地址。测试项目NAT翻译考试日期测试量这个用例主要是测试同时双向NAT转换功能测试环境路由模式林克斯，窗户规则指定1. 000（入NAT出）2. 000（在NAT dmz中）3. 0 - 00 (dmz NAT in)4. 0 - 00（dmz NAT 输出）5. 5400 (out NAT in)6. 54 - 00（出 N

17、AT dmz）执行动作在 0 上远程登录 00、00、54、0。在 54 上远程登录 00、00、0、0。在 0 上远程登录 00、00、54、0。试验结果步预期结果测试结果1访问成功2访问成功3访问成功4访问成功评论服务是打开的，使用netstat查看连接的IP地址。测试项目NAT翻译考试日期测试量测试多对一转换时的基本功能测试环境路由模式linux、windows。规则指定54 - 005300以上不提供服务转换。执行动作在 54、53 上 ping 0在 53、53 上远程登录 0试验结果步预期结果测试结果1访问成功2访问成功评论首先，加载IP直通过滤规则。测试项目NAT翻译考试日期测试

18、量测试多对一转换时的服务转换功能测试环境路由模式linux、windows。规则指定5400提供telnet服务。53-25400 提供www服务。 （删除 254 地址。）执行动作在 54、53 上远程登录 0。在 0 上远程登录 00，在 0:/00 上在 54 上远程登录 00:80。试验结果步预期结果测试结果1.访问成功2.访问成功。3.访问失败。评论首先，加载IP直通过滤规则。测试项目NAT翻译考试日期测试量测试多对多转换时的服务转换功能测试环境路由模式linux、windows。规则指定规则 1：54、53、52 - 00、00规则 2：54 23 - 00 23 54 23 -

19、00 2323执行动作加载规则 1。在 54、53、53 上远程登录 0。在规则 1 的基础上，加载规则 2。在 0、0 上远程登录 00 23；远程登录 00 2323试验结果步预期结果测试结果2、4访问成功评论一、加载IP透传过滤规则测试项目NAT翻译考试日期测试量测试多对多转换时的FTP服务转换功能测试环境路由模式linux、windows。规则指定规则 1：54、53、52 - 00、00规则二：5400 21端口提供ftp服务。 52 - 00 2121端口提供ftp服务。执行动作加载规则 1。在 54、53、53 上远程登录 0。根据规则 1 加载规则 2在 0、0 HYPERLI

20、NK ftp 00 、 HYPERLINK ftp 00 2121。试验结果步预期结果测试结果2,4访问应该成功评论一、加载IP透传过滤规则E. 多播。测试项目多播考试日期测试量数据转发（控制分区方向），加入组。测试环境路由模式linux、windows。规则指定1.OUT55（0GDA）执行动作在 54 上，使用媒体播放器设置多播站。播放 test.nsc 视频文件。在 0 上运行 mplayer 2 /54/test.nsc。试验结果步预期结果测试结果2.正常播放。评论测试项目多播考试日期测试量分区方向控制测试环境路由模式linux、windows。规则指定1.IN55（网络区域）执行动作

21、在 .10 上使用媒体播放器构建多播站并播放视频文件 test.nsc。10.10.3在 0.20 上运行 mplay2 /0/test.nsc。10.10.3观看视频文件 test.nsc。试验结果步预期结果测试结果2.访问成功，可以正常观看。评论测试项目多播考试日期测试量与下游组播路由器的数据交换测试环境1.路由方式2.Linux、windows。规则指定1. DMZ55 (IN=GDA)执行动作在 .10 上使用媒体播放器构建多播站并播放视频文件 test.nsc。10.10.3在 .10 上运行 mplayer2 /0/test.nsc 以接收视频文件。0/test.nsc，视频文件上

22、运行 mplayer2 。10.10.3试验结果步预期结果测试结果2.接入成功，接收正常。3.无法成功。评论测试项目多播考试日期测试量组播树嫁接（组播源，多个接收器）测试环境路由模式linux、windows。规则指定OUT55 (IN=GDA)IN55 (OUT=GDA)执行动作在 54、0 上建立组播站。运行视频文件 test.nsc。在 0 上，运行 mplayer:2 /190/test.nsc 然后 mplayer:/54/test.nsc。在 0、mplayer:/54/test.nsc AV 文件上运行 mplayer:/0/test.nsc。在 53 上运行 mplayer:/

23、0/test.nsc 视频文件。试验结果步预期结果测试结果2,3,4访问成功，播放正常。评论注意：在桥接模式下，组播类似，防火墙是透明的，和路由配置一样，可以指定区域。我不会详述。F. VPNG.TRUNK测试项目树干考试日期测试量穿越防火墙完成同一个VLAN的通信。测试环境桥接模式linux、windows。在两台交换机上，将 0、1 设置为同一个 VLAN100。将0、1设置为同一个VLAN200。连接到防火墙中继。键入 802.1q。规则指定1. 0 1 允许。协议：tcp、icmp。2. 0 1 拒绝协议。 tcp 允许，icmp 拒绝。执行动作ping 1，在 0 上 telnet

24、1在 0 上 Telnet 1，ping 1试验结果步预期结果测试结果1所有访问都成功了。2Telnet 成功。ping 不成功。评论测试项目TRUNK，代理路由考试日期测试量穿越防火墙完成同一个VLAN的通信。测试环境桥接模式linux、windows。将0和1改为IP为0、1。在两台交换机上，将 0 和 1 设置为同一个 VLAN100。将 0 和 1 设置为同一个 VLAN200。规则指定.11- 0、1 协议：所有协议。2. 0 1 允许。协议：tcp、icmp。3. 0 1 拒绝执行动作将防火墙外的网卡分别绑定两个IP地址和192.168.2。Ping 1、telnet、ftp、0

25、和 1。在 0 上 ping 远程登录 1在 0 上 Ping telnet ftp 1。试验结果步预期结果测试结果1所有访问都成功了。2访问成功。3所有操作都被拒绝。评论G. 内容过滤测试项目内容过滤考试日期测试量过滤应用层，例如 SMTP、FTP 等。测试环境路线，桥梁。Linux、Windows。规则指定在包过滤中添加相应的过滤规则，内容、主题、附件、命令都被过滤。这里只是一个例子。其他不再赘述。0- 54, : GET 命令已禁用。SMTP：主题病毒被禁止。FTP：用户被禁止。执行动作54 上 HYPERLINK %20%20%20%20:/54 0 。 GET 页面被禁止。致邮件到服

26、务器 54，地址为 0，主题为病毒。ftp 54 on 172.10.120 .user HYPERLINK 测试试验结果步预期结果测试结果1,2,3访问失败。评论H. 警报测试项目报警。考试日期测试量、陷阱、哔哔声等.测试环境路由模式，桥接模式。linux、windows。规则指定设置相应的告警邮件，trap接收地址。执行动作在可以接收陷阱信息的主机上结束陷阱，例如 OpenView。在任意主机上设置邮件为报警邮件，即可接收报警邮件。当进行相应的报警操作时，防火墙开始发出蜂鸣声。试验结果步预期结果测试结果1,2,3可以完成。评论审计测试项目审计。考试日期测试量审核防火墙事件和访问日志。测试环境路由模式，桥接模式。linux、windows。规则指定1 查看所有时间日志、事件类型、事件源所有.2. 设置访问日志、访问方向、原因、源IP地址为审计条件。目的IP地址：54所有协议。执行动作查看 .Event 日志。在 0 上执行 ping、telnet、扫描 54 等。试验结果步预期结果测试结果1查看事件日志。2查看对应的访问日志。评论在测试的过程中，在包过滤器中选择它