防火墙测试验收方案实用文档

防火墙测试验收方案实用文档(实用文档，可以直接使用，可编辑优秀版资料，欢迎下载）

防火墙测试验收方案实用文档(实用文档，可以直接使用，可编辑优秀版资料，欢迎下载）防火墙测试方案引言防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制.随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来，以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家.各种防火墙品种充斥市场,良莠不齐，有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙，面向小企业的低档防火墙,也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标，用户接口(管理和配置界面）和审计追踪次之，然后才是功能上的扩展性.但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面，业界一直在致力于为用户提供安全性和性能都高的防火墙产品.沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。测试的背景和目的在防火墙产品市场上，产品一般分为高、中、低三档。考虑到，高档防火墙普遍是各公司最新或计划推出的产品，证券作为大型的安全产品使用者，使用的防火墙产品以中、高档为主，为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分：功能测试、安全防范能力测试、性能测试和设备可靠性测试。参考资料GB/T18—1999信息技术应用级防火墙安全技术要求GB/T18019—1999信息技术包过滤防火墙安全技术要求FWPD：FirewallProductCertificationCriteriaVersion3。0a测试项目测试项目包过滤，NAT，地址绑定，本地访问控制，多播，TRUNK,代理路由，内容过滤,报警,审计实时监控，攻击，双机热备,性能。测试环境简略拓扑图 10。10.11。10 10。10.12.2010。10。11(2).110.10。1.240 10。10。10。.3.1 （192.168。3.30）FW1。1 10。10。3。20 10.10。2.240 （192。168。1.30)172.1。1。1 192。168。1。10 172。10。1.10 FW2 172.10。2。1192.168。2.1FW3 172.10。1。1 192.168.1。1 172.10。1.20 192。168。3.1 192.168。1.20（192.168。2。252） 192.168.3。10192.168。3。20 0172。10。3。20(192。168。2。251） 172。10。2.254192。168.2。254（192。168.2。253）图1管理器172.16。1.10192.168。1.10172.16。1。20192。168.1。20192。168.1。11192.168。1.21图2说明:在括号内的IP地址，为测试单一防火墙功能时所用的IP地址.图2仅为测试TRUNK，代理路由和非IP规则时使用。三．测试前软件环境的准备子网主机具有Linux，windows2000（or98orNT）两种环境。测试环境Linux主机配置www，ftp，telnet服务,同时安装nmap，_load，sendudp等测试工具；Windows主机配置ftp，telnet，iis,snmp等服务,同时安装IE,Netscape等浏览器防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip地址为当前网段的1地址。例：当前主机所在网段为192。168。1.0,那么它的网关为192.168.1。1，即防火墙接入接口的ip地址.防火墙的默认路由均指向其通往广域网的路由器或三层交换机.在广域网中采用静态路由和动态路由（rip或ospf）两种。。四.功能说明及规则设计.针对防火墙各项功能，分别加以说明。A.包过滤――――区间通信.1.）单一地址2。）多地址规则设计：a.方向：区1->区2b。操作：允许（拒绝）c.协议：tcp，udp，icmp和其它协议号的协议。d.审计：是(否）e。有效时间段B。地址绑定――――ip,mac地址绑定。防止地址欺骗.单一地址绑定多地址绑定.规则设计：a。方向:区1—>区2b。操作:允许（或拒绝）C本地访问控制――――对管理主机的访问进行控制1．）单一地址2。）多地址规则设计：a.操作：1。允许ping,telnet等。2.允许管理DNAT――――地址，端口的转换。私有ip转为公网ip.1．）一对一2.）多对一3。）多对多规则设计：a。方向：区1－>区2.b。操作：拒绝（或允许）c。协议：tcp，udp，icmp和其它协议号的协议.d。审计：是(否)E多播――――解决一对多的通信。 单一多播源，多接收端.多多播源，多接收端。G。TRUNK，代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由。H。报警――――利用邮件，TRAP,蜂鸣等及时向管理员报告防火墙的信息.I.审计――――审计防火墙上的访问，及事件信息，防火墙的状态.J。实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.K攻击――――防攻击。检测企图通过防火墙实施攻击的行为，并报警，阻断攻击。L．双机热备――――设备冗余.同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙down掉时，备份防火墙接管.通过测试用例来对具体的操作进行阐述。在所有的规则制定中考虑范围内取非,范围的临界值，中间值情况，时间的控制等.包过滤测试项目包过滤测试日期测试内容IP过滤规则对ICMP数据包的过滤效果测试环境路由模式Linux，windows.规则指定192。168.1。10—100－〉54ICMP允许.（内到外）54－〉192.168.3。10ICMP允许。（外到DMZ）192。168。3。1-15－〉192。168.1.10ICMP允许。（DMZ到内）执行操作在192.168。1.10上ping192。168.2.254，在192.168。2.254上ping192.168。3。10，在192.168。3。10上ping192.168.1。10。并反方向ping。在192。168。1。10上telnet192。168.2。254,在192.168。2.254上telnet192。168。3.10，在192.168.3。10上telnet192。168.1。10。并反方向ftp,telnet。加载ICMP全通规则.重复步骤1测试结果步骤预期结果实测结果1.正向ping成功,反向ping不通，被禁止。2。访问被禁止，规则不允许。3都可以相互ping通.备注测试项目包过滤测试日期测试内容IP过滤规则对TCP数据包的过滤效果测试环境路由模式Linux,windows。规则指定1：192.168.1。10－>192。168。2。254telnet允许.(内到外）192。168.2。254－>192。168.3.10telnet允许。（外到DMZ)192.168。3.10－〉192。168。1。10telnet允许。（DMZ到内）执行操作在192。168。1.10上telnet192。168。2.254，在192。168。2。254上telnet192.168.3。10,在192。168。3。10上telnet192。168.1。10，并反向telnet。在192。168。1。10用nslookup到192。168。2.254上进行名字解析或其它的udp服务。加载telnet全通规则，重复步骤1.测试结果步骤预期结果实测结果1.正向成功，反向被禁止2.访问被禁止，没有允许UDP服务.TCP协议的放开，对UDP协议不发生影响。3.telnet访问都成功。备注测试项目包过滤测试日期测试内容IP过滤规则对TCP数据包的过滤效果，侧重于实时效果测试环境路由模式Linux,windows.规则指定0－>192。168。2.254telnet允许。(内到外）192.168。2。254－>192。168。3.10telnet允许。（外到DMZ)192。168.3。10－〉192.168。1.10telnet允许。（DMZ到内）生效时间：9：00－10:00执行操作在192。168.1。10上telnet192。168.2。254,在192。168.2.254上telnet0，在192。168。3。10上telnet0，并反向telnet。保持上述telnet已建立的连接，并不断的telnet没有建立连接的.在9:59－10：01之间,查看telnet状态的反应。测试结果步骤预期结果实测结果1。正向telnet成功，反向被禁止.3已建立的telnet连接被断开。备注测试项目包过滤测试日期测试内容在IP包过滤中，由于FTP服务的特殊性，所以下面几个用例主要针对FTP进行测试。这个用例主要用来测试FTP建立连接后,防火墙对20端口的特殊处理测试环境路由模式Linux，windows.规则指定1.192.168。1.10－〉192.168.2。254ftp允许（内到外）执行操作在192。168.1.10上telnet192。168。2。25420。在192。168.1.10上ftp192。168。2.254,进行大文件（1G）的数据传输.在ftp的同时，在192。168。1。10上telnet192。168。2。25420.passive进行ftp文件的传输。在192.168。1.10上telnet192。168.2。25420测试结果步骤预期结果实测结果1，3，5访问被禁止2,4访问成功.备注测试项目包过滤测试日期测试内容IP包过滤包括ICMP、UDP、TCP和非(ICMP、UDP、TCP）包的过滤，UDP过滤行测试测试环境路由模式Linux,windows。规则指定规则1:192。168。1.10－〉192。168.2.254UDP允许.192.168。2.253－〉192.168。3.20UDP允许。192。168.3。30－>192。168。1.30UDP允许生效时间:9：00－10：00。〕规则2：192。168。1.10－>192.168。2.254UDP拒绝。执行操作在192。168.1。10，192。168.2。253，192.168。3.30上启动UDP的测试工具Udp_Server,在192。168.2。253，192。168.3。20，192。168.1.30上启动Udp_Client来分别连192.168。1.10，53,192。168。3。30上的服务程序。保持连接。查看在10:00时连接的状态.保持Client对Server的主动，不间断的连接去掉时间限制，重新加载规则1,在连接重新建立的同时，加载规则2。测试结果步骤预期结果实测结果1。连接成功2。连接被断开。3。连接建立后，马上又被断开。备注目的：测试UDP过滤的基本功能、在规则有效时间上的实时性、规则变化时对动态连接表的实时刷新性能等说明：对于EIP的测试，通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试，例如：igmp，ospf包等。地址绑定测试项目IPMAC地址绑定测试日期测试内容测试IPMAC绑定的基本功能，以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得两种IP欺骗的情况下防火墙的处理能力测试环境路由模式Linux，windows。规则指定192.168。1.10---—100＝>MAC00.12。30。34.89.29进行绑定执行操作192。168.1。10上telnet192。168。2.254.修改192.168。1.10的IP地址为192。168.1。11，telnet192。168。2。254。在此基础上将192。168.1。20的地址改为192.168.1。10.然后,telnet192。168。2.254。测试结果步骤预期结果实测结果1访问成功2,3访问被禁止,IP或MAC不匹配。备注首先，加载IP全通过滤规则测试项目IPMAC地址绑定测试日期测试内容在制定IPMAC绑定规则时，可以只绑定一个区域当中的某几个主机的地址，绝大多数主机可能不需要绑定,此时，我们还可以指定防火墙对那些没指定的主机的绑定过滤规则.这个用例主要用来测试防火墙对绑定规则之外的主机的访问的处理能力。测试环境路由模式Linux，windows。规则指定192.168。1.10＝>MAC00.12。30.34.89。29进行绑定,绑定规则之外的主机不允许通过执行操作在192.168。1.10上telnet192.168.2。254。在192。168.1。20上telnet192。168.2。254修改规则，绑定之外的主机允许通过。在192。168.1。20上telnet192。168。2。254测试结果步骤预期结果实测结果1.访问成功2访问禁止4。访问成功备注首先，加载IP全通过滤规则D。NAT测试项目NAT转换测试日期测试内容这个用例主要用来测试一对一的同时对多个方向上的转换功能测试环境路由模式。Linux,Windows规则指定192.168。1。10－>192.168.2。100（inNATout）192。168.1.10－〉192.168.3。100（inNATdmz)执行操作在192.168。1.10上telnet192.168.2。254在192.168。2.254上telnet192。168。1。10在0上telnet192。168.3。10测试结果步骤预期结果实测结果1访问成功2访问成功3访问失败4访问成功5访问成功备注在访问成功的同时在对端机器上用netstat命令看是真实IP还是转换后的IP地址。测试项目NAT转换测试日期测试内容这个用例主要在于测试同时双向的NAT转换功能测试环境路由模式Linx，windows规则指定1.192。168.1。10－〉192。168。2.100（inNATout)2。192。168.1。10－>192。168。3。100(inNATdmz)3.192。168。3.10－〉192。168.1。100(dmzNATin)4。192。168。3.10－>192。168.1。200（dmzNATout)5.192。168.2。254－>192。168.1.200(outNATin）6。192。168.2。254－>192。168。3。200（outNATdmz）执行操作在192.168。1。10上telnet192。168.1.100,192。168.1.200，192.168。2。254,192。168.3.10。在192.168。2。254上telnet192.168.2。100,192.168.2。200，192。168。3。10,192。168.1.10。在192.168。3.10上telnet192。168.3。100，192.168。3。200,192。168。2.254,192。168。1.10。测试结果步骤预期结果实测结果1访问成功2访问成功3访问成功4访问成功备注服务都开放,同时用netstat进行查看连接的IP地址。测试项目NAT转换测试日期测试内容测试多对一转换时的基本功能测试环境路由模式Linux，windows。规则指定54－〉192.168。1.100以上不提供服务转换。执行操作在192.168.2。253，192.168.2。253上telnet192。168.1。10测试结果步骤预期结果实测结果1访问成功2访问成功备注首先，加载IP全通过滤规则。测试项目NAT转换测试日期测试内容测试多对一转换时的服务转换功能测试环境路由模式Linux，windows。规则指定192.168。2。254－>192。168。1。100提供telnet服务。—-—254－>192。168。1。100提供www服务。（去除254地址.）执行操作在192.168。9.254，53上telnet192。168.1。10。在192.168。2.254上telnet192。168。1.100：80。测试结果步骤预期结果实测结果1.访问成功2。访问成功。3.访问失败.备注首先,加载IP全通过滤规则。测试项目NAT转换测试日期测试内容测试多对多转换时的服务转换功能测试环境路由模式Linux,windows.规则指定规则1：192。168。2。254，192.168.2。253，192。168。2.252－〉192。168。1.100，192.168。1.200规则2：192.168.2。25423－〉192.168。1.100235423－〉192.168。1.2002323执行操作加载规则1。在192。168。2.254，192。168。2.253，53上telnet192。168.1。10.在规则1的基础上，加载规则2。在192.168。1.10，0上telnet0023；telnet192.168.1。2002323测试结果步骤预期结果实测结果2，4访问成功备注首先,加载IP全通过滤规则测试项目NAT转换测试日期测试内容测试多对多转换时的FTP服务转换功能测试环境路由模式Linux，windows。规则指定规则2:192.168。2。254－>192.168。1.10021号端口提供ftp服务.192。168。2.252－>192。168。1。2002121号端口提供ftp服务。执行操作加载规则1。在192.168。2。254，192.168。2.253，192.168。2.253上telnet192.168.1。10。在规则1的基础上加载规则2在192.168。1.10,192.168.1。20上ftp192。168。1。100，2121。测试结果步骤预期结果实测结果2,4访问应该能够成功备注首先，加载IP全通过滤规则E．多播。测试项目多播测试日期测试内容数据的转发(分区方向的控制），组的加入。测试环境路由模式Linux,windows。规则指定1.OUT－>224。1。1。1－239.255.255。255(0＝〉GDA）执行操作在192.168。2。254上，用mediaplayer建立一个多播站。播放test.nsc影音文件。在192。168。1。10上运行mplayer2//192.168.1。254/test。nsc.测试结果步骤预期结果实测结果2。正常播放。备注测试项目多播测试日期测试内容分区方向的控制测试环境路由模式Linux，windows。规则指定1。IN－>224.1.1。1－239.255。255。255（内网区域内）执行操作在10。10。3。10上用mediaplayer建立多播站，播放影音文件test.nsc。在10。10.3.20上运行mplay2//10。10.3.10/test。nsc.观看影音文件test。nsc。测试结果步骤预期结果实测结果2.访问成功，可以正常观看。备注测试项目多播测试日期测试内容与下行流多播路由器的数据交换测试环境1.路由模式2。Linux，windows.规则指定1.DMZ－>－239。255.255。255（IN=〉GDA）执行操作在10。10。3.10上用mediaplayer建立多播站，播放影音文件test。nsc.在10。10.11。10上运行mplayer2//10.10.3。10/test.nsc，接收影音文件.在192。168。2。254上运行mplayer2//。10/test。nsc,影音文件。测试结果步骤预期结果实测结果2.访问成功，接收正常。3.不能成功。备注测试项目多播测试日期测试内容多播树的嫁接（多多播源，多接收端）测试环境路由模式Linux，windows。规则指定OUT－〉224。1。1。1－239.255。255.255(IN=〉GDA）IN－〉224.1。1.1－239。255。255。255（OUT=〉GDA)执行操作在192。168。2。254，0上建立多播站。运行影音文件test。nsc.在192.168.1。20,先后运行mplayer：2//1921。168。1。10/test.nsc,mplayer：//192。168.2.254/test.nsc。在192。168。3.10上运行mplayer：//192。168.1。10/test。nsc，mplayer：//192。168.2。254/test.nsc影音文件。在53上运行mplayer：//192.168.1。10/test.nsc影音文件。测试结果步骤预期结果实测结果2,3,4访问成功,正常播放.备注注：桥模式下，多播与之类似，防火墙透明，与路由情况配置一样，指定区域即可。不再赘述.F．VPNG。TRUNK测试项目TRUNK测试日期测试内容跨越防火墙，完成同一VLAN内的通信.测试环境桥模式Linux，windows.在两交换机上将192.168。1.10,192。168.1.11设为同一VLAN100.将192。168.1.20,192.168.1。21设为同一VLAN200.与防火墙trunk连接.类型802.1q。规则指定1。192。168。1.10192。168.1.11允许。协议：tcp，icmp.2。。0192。168。1.21拒绝协议。tcp允许,icmp拒绝.执行操作在192.168。1。10上ping192。168.1。11，telnet192。168。1.11在0上telnet1,ping192.168。1。21测试结果步骤预期结果实测结果1访问全部成功。2Telnet成功.ping不成功.备注测试项目TRUNK，代理路由测试日期测试内容跨越防火墙,完成同一VLAN内的通信.测试环境桥模式Linux,windows。将192。168。1.20与192。168。1。21改IP为192。168.2。20，192.168。2。21.在两交换机上将192.168。1.10，192。168.1.11设为同一VLAN100.将192.168。2.20，192.168.2。21设为同一VLAN200.规则指定1。192。168.1。11-192。168。2。10,192。168.2.11协议：所有协议.2.0192。168.1。11允许。协议：tcp,icmp。3.192.168。1.10192。168。2。21拒绝执行操作将防火墙内外网卡分别绑定两个IP地址192。168.1.1和192。168。2.在192。168。1.11上ping,telnet，ftp,192.168。2。10和192。168.2。11。在192。168.1。10上pingtelnet192。168。1.11在192.168。1.10上pingtelnetftp192.168。2。21.测试结果步骤预期结果实测结果1访问全部成功。2访问成功.3所有操作都拒绝。备注G。内容过滤测试项目内容过滤测试日期测试内容对SMTP，,FTP等应用层进行过滤。测试环境路由，桥.Linux，Windows.规则指定在包过滤中添加相应的过滤规则,其中对内容，主题,附件，命令,都进行过滤。在此仅举一例。其他不再赘述。172.10。1.20—172。10.2。254,：GET命令禁止.SMTP:主题病毒禁止。FTP:USER禁止.执行操作在172.10.1。20上.GET页面禁止.在172。10.1。20发mail到邮件服务器172。10。2。254的主题为病毒的邮件。在172.10。.120上ftp172.10.2。254。usertest测试结果步骤预期结果实测结果1,2，3访问都不成功。备注H。报警测试项目报警。测试日期测试内容邮件，trap，蜂鸣等..测试环境路由模式，桥模式.Linux，windows。规则指定设定相应的报警mail.,trap接收地址.执行操作在装有OpenView等可以接收trap信息的主机上结束trap。在任意一台主机上设置mail帐号为报警mail帐号，接收报警mail.当进行相应的报警操作，防火墙开始蜂鸣.测试结果步骤预期结果实测结果1，2，3可以完成。备注I审计测试项目审计.测试日期测试内容对防火墙进行事件及访问日志的审计。。测试环境路由模式，桥模式。Linux，windows.规则指定1查看全部时间日志，事件类型,事件来源全部..2。设置访问日志，方向,原因,源IP地址不作为审计条件。目标IP地址：172.10.2。254协议全部.执行操作查看.事件日志。在172。10.1。10上进行ping,telnet,扫描172。10.2。254等操作.测试结果步骤预期结果实测结果1查看到事件日志。2查看到相应的访问日志.备注在测试的过程中,在包过滤中选中,进行审计。就可以直接查看以前进行的操作信息.J.实时监控.。测试项目实施监控测试日期测试内容进行相应的流量，连接等信息查看.测试环境路由模式,桥模式.Linux，windows。规则指定数据包捕捉。—54，协议：tcp，icmp,udp。执行操作直接在工具栏中查看相应的流量,连接等信息.在0上ping,telnet，sendudp。到172.10.2。254测试结果步骤预期结果实测结果1查看信息，准确.2.捕捉到数据包.正确分析。K．攻击测试项目攻击测试日期测试内容防攻击测试。测试环境路由模式Linux，windows。规则指定执行操作flooding攻击（synflooding，udpflooding，pingflooding，pingofdeath等）.

nmap扫描，是否误报（非正常状态）。

Land攻击。KillWin攻击。测试结果步骤预期结果实测结果1。FW正常工作，攻击包被丢弃。2。FW正常工作，扫描包被丢弃.3FW正常工作,攻击包被丢弃4.FW工作正常，攻击包被丢弃。备注被攻击区域不受任何影响。K.双机热备。测试项目双机热备测试日期测试内容激活状态的防火墙正常关机或异常掉电,看备份防火墙能否正常启用测试环境1.路由模式2.Linux，windows。规则指定1。设置FW2，FW3状态，GroupID:standby，FW2ID：1，FW3ID:2执行操作在FW2上加载一些实际的访问控制规则、NAT规则、IPMAC绑定规则、认证设置（可以沿用在前述用例设定的规则）在192.1168。1.10上ping172.10。3。254限制规则:包过滤，NAT，IPMAC绑定。在FW上截包判断生效的FW.让ping一直处于建立状态使当前的FW2,正常关闭或异常掉电监视ping，看在整个过程中，备份防火墙是否能正常启用，上述实时链接的反应。测试结果步骤预期结果实测结果5。已建立的连接断掉，约3秒钟后，备份防火墙启动，连接重新建立.备注FW2,FW3的相同分区的接口设在同一个网段中。也可以用脚本写一个不间断的telnet连接来测试或其它协议.主要考虑ping不间断,效果一致,故用之.防火墙方案区域逻辑隔离建设(防火墙）国家等级保护政策要求不同安全级别的系统要进行逻辑隔离，各区域之间能够按照用户和系统之间的允许访问规则控制单个用户，决定允许或者禁止用户对受控系统的资源访问。国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离，各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户，决定允许或者拒绝用户对受控系统的资源访问。在网络边界部署防火墙系统，并与原有防火墙形成双机热备，部署防火墙可以实现：网络安全的基础屏障:防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的.首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响.再者，隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。精确流量管理通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。防止病毒木马攻击通过防火墙设备带的防病毒模块,可以在网络边界处对恶意代码、蠕虫、木马等病毒检查和清除,防止全网遭受病毒感染的。通过防火墙的部署，实现网络边界的访问控制和恶意代码检测清除，保障系统的安全。防火墙优势基于用户防护传统防火墙中，策略都是依赖IP或MAC地址来区分数据流，这种描述方式非常不利于管理，很多场景也很难完成对网络状况的清晰掌握和精确控制.因此，实现基于用户的防护是下一代防火墙的重要特征。NGFW®下一代防火墙融入天融信多年以来的安全产品研发经验,总结并实现了一套灵活且强大的用户身份管理系统，支持RADIUS、TACACS、LDAP、AD、邮件、证书、Ukey、短信等多种认证协议和认证方式.在用户管理方面，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。基于上述特性,网络终端在访问网络前,被强制要求到NGFW®下一代防火墙进行身份认证来完成对其的“合法性”检查。除此之外，NGFW®下一代防火墙还集成了强大的安全准入控制功能,针对身份认证通过后的网络终端操作系统环境进行系统服务、软件、文件、进程、注册表等细粒度的检测与控制来实现对其的“合规性”检查。通过对网络终端“合法性”与“合规性”的双重审核后，NGFW®下一代防火墙将根据其身份认证信息（用户ID）通过智能过滤引擎实现基于用户身份的安全防护策略部署与可视化监控。面向应用与内容安全精细的应用识别与控制天融信NGFW®下一代防火墙能够实现对即时通讯、P2P下载、游戏、股票、视频等多种应用类型进行深层次识别与细粒度控制。例如，可以在识别出用户使用的即时通讯软件是MSN、QQ、Yahoo！Messenger还是网易泡泡等客户端的基础上，准确捕捉到用户正在进行的是文字通讯、语音视频、文件传输还是音乐播放等行为，从而有目的、有针对性地加以拦截和限制。而对于占用大量网络带宽资源的P2P下载类应用程序，在能够进行准确识别与封堵的基础上，还可以通过QoS管理框架对其使用带宽实现精确控制,从而确保正常业务的通讯质量.全面保障WEB应用安全随着微博、网络社区、视频分享等等这些WEB2。0时代下典型应用技术的广泛使用，对于WEB应用进行深入检测与细粒度控制，也是天融信NGFW®下一代防火墙关注的重点.例如，可以对微博应用的登录、发布、转发、评论、私信等行为进行精细的识别与控制.同时，NGFW®下一代防火墙内置庞大的URL分类库，包括恶意网站,违反国家法规与政策，潜在不安全网站，浪费带宽,大众兴趣，文化、时评、聊天与论坛，行业分类，计算机技术相关等8个大类，下含80多个子类，超过600万个URL地址分类库。用户可根据上述网站类别，对自身网络的WEB应用实施全面化管控,杜绝非法、违规网站的访问行为，从而净化网络应用环境。强大的攻击检测能力天融信NGFW®下一代防火墙攻击检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击，包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3800种网络攻击行为.专业的攻击规则库建立在天融信公司TopLAB攻防实验室与厂商、国家权威机构长期合作的基础上，通过不断跟踪、挖掘和分析各种新的威胁信息而积累形成，并且将其直接应用于产品,保障了天融信NGFW®下一代防火墙对各种攻击行为检测的全面、准确和及时有效。除此之外，NGFW®下一代防火墙采用独创的SecDFA规则匹配算法，确保其在高吞吐的网络应用环境中展现出强大的应用层攻击检测性能。一体化智能过滤引擎天融信NGFW®下一代防火墙系列产品，采用高度集成的一体化智能过滤引擎技术。其能够在一次数据拆包过程中，对数据进行并行深度检测，从而保证了协议深度识别的高效性.另外，天融信NGFW®下一代防火墙产品基于八元组高级访问控制设计，除传统的五元组控制以外，实现了用户身份信息、应用程序指纹及内容特征的识别与控制，充分体现了下一代防火墙关注“用户”与“应用”的设计理念。高效转发平台TOS安全系统平台天融信NGFW®系列产品基于天融信公司十余年高品质安全产品开发经验结晶的TOS（TopsecOperatingSystem）安全系统平台.随着多核技术的广泛应用,TOS以多核硬件架构为基础，分为系统内核层、硬件抽象层及安全引擎层。在安全引擎层内，根据安全功能模块协议特性的不同，分为网络引擎组（NETWORKEngines)与应用引擎组(APPEngines）.通过将引擎组与多核硬件架构的完美整合，使TOS在系统层面实现了全功能多核并行流处理。而在硬件抽象层则采用多种加速技术，根据各个核心的实时负载情况，将流量按会话的方式动态均衡到CPU的各个核心，从而确保整个CPU效率执行的最大化。TopTURBO数据层高速处理TopTURBO是天融信自主原创实现数据层多核快速转发的高性能业务处理技术。通过天融信NGFW®产品研发团队在TOS系统平台上所进行的大量性能优化工作，利用TopTURBO技术将数据层高速处理解决方案平滑迁移到多核硬件平台上，与当今最先进的高性能多核架构合而为一，从而获得更高的网络处理性能。在目前主流的基于多核架构的安全设备中，大多采用“中断+轮询”的数据包处理方式.此种处理方式存在系统资源消耗大、极易引起资源竞争、系统响应慢等缺点。具体表现在设备的网络吞吐和新建连接达到瓶颈后，即使再增加CPU核数，性能也很难继续提升。针对上述问题，天融信NGFW®产品研发团队在TOS基础上开发出TopTURBO多核数据层高速处理技术。该技术特点在于：不再采用传统的SMP多核系统架构，通过对CPU资源合理优化配置，使每个CPU核心独立完成相关工作，减少核心分配的资源竞争。不再采用传统的内存及消息管理模式，采用预分配内存及天融信独创的无锁消息管理方式，消除消息分配的资源竞争。不再采用传统的中断方式网卡收发包机制，采用CPU独立收包方式，减小系统消耗。优化TOS系统处理流程实现高速建立新连接，提高了新建连接效率,从而使设备具有较高的新建连接性能。天融信TOS安全系统平台通过在硬件抽象层引入TopTURBO数据层高速处理技术,使NGFW®下一代防火墙系列产品拥有高达24Gbps的网络吞吐能力.多层级冗余化作为下一代防火墙技术，一个十分重要的特性是设备自身要具有灵活、丰富的高可用机制去适应整网业务连续性保障方案.天融信公司拥有广泛的用户群体，对各类用户的网络架构有着深刻的理解并在各种复杂网络环境中有着丰富的产品部署经验.利用这一无与伦比的优势，将NGFW®下一代防火墙高可用特性设计为以物理级冗余、系统级冗余及方案级冗余的多层级冗余化架构体系，使其能够平滑、完整的与整网业务连续性保障方案实现融合。物理级冗余天融信公司拥有强大的硬件研发团队及设施完善的硬件实验室，凭借一直以来自主设计与研发硬件平台积累的丰富经验，使NGFW®下一代防火墙具有板卡冗余、模块冗余及链路冗余多种物理层面的可靠性保障机制.系统级冗余天融信NGFW®下一代防火墙采用双操作系统设计来应对因升级失败、文件系统错误等系统故障而导致的设备工作异常。主用与备用系统之间采用分布式设计,设备在正常状态下产生的任何系统读写、维护等操作均在主用系统上完成，而备用系统为确保自身完整性则始终处于写保护状态.一旦主用系统发生故障，备用系统将快速、全面的接管设备工作并可实现对主用系统的系统还原。方案级冗余天融信NGFW®下一代防火墙针对不同的网络环境能够提供多种双机（或多机）部署解决方案,包括热备、负载均衡及连接保护模式。多样化的双机（或多机）部署模式以及良好的网络兼容性使NGFW®下一代防火墙能够快速、平滑的接入到VRRP、HSRP、RIP、OSPF及BGP等多种路由协议应用场景,在保障用户业务连续性的基础上进而满足各种安全防护需求.除此之外，NGFW®下一代防火墙双机（或多机）使用自主专利技术的智能状态传送协议（ISTP)，ISTP能够高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。借助ISTP，使NGFW®下一代防火墙自身实现“毫秒级”的设备切换,从而最大程度上确保用户的业务连续性。项目实施文档实施内容和进度安排(用甘特图表示)实施的条件和措施(人员、前期准备工作）前期节点技术人员与厂商技术人员应加强技术沟通。当地技术人员对原有安全设备的配置进行逐条描述和确认，以保证当地技术人员和厂商技术人员沟通的一致性.前期进行规则分析时，一定要认真填表。在节点技术人员与厂商技术人员确认达成一致后，才可进行安全设备设备的配置工作。安全设备在上线前必须按照《测试方案》经过模拟环境测试,才允许在生产环境中进行切换.由于此次安全设备上线是在生产环境中进行的切换,技术风险很高，各节点科技部门负责协调保证原安全设备厂商现场进行技术支持，在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时，原有安全设备（含主、备机）不能关机。待业务系统正常运行一周后才能撤下原安全设备设备。本项目安排合适的的安全设备切换时间,如两次切换均未成功,应及时向工程实施组报告。作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详细准备工作，为设备实施前作好详细的准备工作。实施前需确认的相关信息业务系统情况调查防火墙方案确定给出参照的标准和规范，给出防火墙网络拓扑图。分析一些通用已经执行的方案，进行对比，确定选用的方案.要求给出边界防火墙、内部防火墙、数据服务器防火墙三种目标分别具体实现其一，给出产品选择、部署方针、测试方案。具体实现边界防火墙;选择的防火墙如下,主要看中该防火墙强大的吞吐量适合于大学校园的需求；产品名称:CheckPointPower—19075产品价格:787500防火墙类型：Power防火墙网络吞吐量：16Gbps并发连接数：1200000主要功能：通过提供高达25Gbps防火墙吞吐率和15Gbps的入侵防护吞吐率，能够确保业务关键性应用的可用性.为大型办公室和数据中心提供增强的企业安全部署。提供全面的网络安全功能，包括防火墙、IPS、IPsecVPN、高级网络、加速和集群软件刀片。通过可选的软件刀片为不断涌现的威胁提供安全防护,李荣VoIP、Web安全、防病毒等。通过为所有站点提供的单一管理控制台实现简单的管理部署方针：对收到的数据包进行分析后,将合法的请求通过内部网卡传送给相应的服务主机，对于非法访问加以拒绝。在局域网的入口架设行兆防火墙，并实现VNP的功能，在校园网络入口建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。内部接口与dmz接口、外部接口通信测试步骤：（如策略配置禁止ping，请临时打开)1）、从内部网1台工作站执行命令ping防火墙DMZ接口IP地址；2）、从内部网1台工作站执行命令ping防火墙外部接口IP地址；预期结果：ping的成功率为100%外部接口与外部网通信测试步骤:1)、设定1台工作站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙外部接口IP地址。预期结果：ping的成功率为100%外部接口与dmz接口、内部接口通信测试步骤:1)、设定1台工作站IP地址与防火墙外部接口IP地址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙dmz接口IP地址。3）、从工作站执行命令ping防火墙内部接口IP地址。预期结果:ping的成功率为0%Dmz接口与内部接口通信测试步骤：1）、设定1台工作站IP地址与防火墙dmz接口IP地址在同一网段，并通过交换机互连（在同一VLAN）；2）、从工作站执行命令ping防火墙内部接口IP地址。预期结果：ping的成功率为0%防火墙的部署、配置与管理结合网络拓扑结构和具体的建筑物关系，给出工程施工，用工计划、用工协议、工程施工进度表，供货时间表、会议纪要、工程预算表、工程施工预算表、设备材料进货检验单、工程开工报告、设计变更单、施工日志、质量工程检查记录、系统调试合格证书、竣工报告单、验收申请单.物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间,两台安全设备共计需要4U空间4U可用交叉线用于安全设备与上联设备和下联设备进行网络连接8条可用直通线用于安全设备与上联设备和下联设备进行网络连接8条电源每个千兆安全设备均采用双链路供电方式，两台安全设备共需要4个电源接口4个设备接口原安全设备上联和下联设备接口数(实施中为双机热备,各需要两个接口)2个项目设备到货确认单北京师范大学珠海分校,已于年月日从_________________向贵单位发送“XXX"项目所使用的台安全设备,共计箱。请贵单位依据实际到货情况填写下表，并通过回传至__________________________。.货物名称发货数量设备到货日期数量是否齐全外包装是否完整XXX台年月日□是□否□是□否本签收单一式四份最终用户单位：最终用户代表签字/盖章: ：____________________ 日期：________________ 安全设备加电测试表请根据实际情况进行填写用户单位设备产品序列号名称及版本号规格型号加电测试序号检查项目现象描述1加电能否正常启动是否简要描述不能启动的现象：2管理器联接是否正常是否简要描述不能正常连接的现象：3检查license请求文件是否上载成功是否“系统配置”菜单的“升级许可”选项中的LICENSE加载不成功的现象：4检查版本号是否与产品清单一致是否如果不一致，登录看到的版本号：5检查端口数量是否与产品清单的规格型号一致是否如果不一致，登录看到的端口数量:其他：用户代表签字/日期厂商代表签字/日期安全设备安装实施报告设备安装实施报告客户名称项目名称客户负责人客户联系安装工程师服务联系到达时间离开时间主要设备信息序号设备型号设备编号或描述数量12345安装过程内容备注用户代表签字安装工程师签字日期日期安全设备初验报告单验收单位名称项目名称验收行负责人验收单位联系供货方验收工程师供货方验收工程师联系序号产品序列号12序号验收项目说明结论1网神安全设备到货验收是否2网神安全设备模拟测试结果验收是否3网神安全设备上线测试结果验收是否设备整体验收结论正常现象描述:不正常现象描述:验收单位负责人签字供货方验收工程师签字日期日期安全设备设备运行报告单验收单位名称项目名称验收单位负责人验收单位联系供货方验收工程师供货方验收工程师联系序号产品序列号123序号验收项目说明结论1是否2是否3是否4是否5是否设备整体验收结论正常现象描述：不正常现象描述：验收行负责人签字供货方验收工程师签字日期日期安全设备故障处理报告单编号:基本信息厂商负责人：节点名称：联系：Email地址：产品名称:版本号:产品型号：问题描述问题描述（包括问题现象、拓朴结构、应用软件等）：问题处理问题产生原因及解决方法描述：实际处理时间：从年月日至年月日用户代表签字厂商代表签字日期日期安全项目计划变更单项目名称待变更项目计划名称/版本客户单位名称负