天清漢馬USG防火墻(P系列)測(cè)試方案

1、天清漢馬天清漢馬 USGUSG 防火墻（防火墻（P P 系列）系列）選型測(cè)試方案選型測(cè)試方案2013 年年 11 月月 防火墻產(chǎn)品選型測(cè)試方案 2目目 錄錄一、前言一、前言.6二、選型原則二、選型原則.62.1 管理維護(hù)功能簡單易用.62.2 入侵防護(hù)功能精準(zhǔn)全面.62.3 病毒防護(hù)功能安全性高.62.4 上網(wǎng)行為管理可用實(shí)用.62.5 反垃圾郵件功能準(zhǔn)確有效.62.6 主動(dòng)防御安全防掛馬.72.7 漏洞掃描監(jiān)控主機(jī)安全.72.8 虛擬防火墻節(jié)省開銷方便布局.72.9 日志呈現(xiàn)方式簡潔易懂.72.10 性能滿足發(fā)展要求.72.11 數(shù)據(jù)連續(xù)性保障方式多.7三、評(píng)測(cè)依據(jù)三、評(píng)測(cè)依據(jù).7四、評(píng)測(cè)內(nèi)

2、容四、評(píng)測(cè)內(nèi)容.8五、評(píng)測(cè)方法分類五、評(píng)測(cè)方法分類.87.1 第一類：一般項(xiàng)目.87.2 第二類：重要項(xiàng)目.87.3 第三類：關(guān)鍵項(xiàng)目.9六、測(cè)試環(huán)境及工具六、測(cè)試環(huán)境及工具.10七、測(cè)試方案七、測(cè)試方案.111. 管理維護(hù)功能.112. 反垃圾郵件.243. 主動(dòng)防御.254. 漏洞掃描功能.265. 虛擬防火墻.266. 日志與報(bào)表.297. 性能測(cè)試.318. 可靠性.33 防火墻產(chǎn)品選型測(cè)試方案 3附件一：防火墻評(píng)測(cè)結(jié)果匯總表附件一：防火墻評(píng)測(cè)結(jié)果匯總表.36附件二：測(cè)試結(jié)論附件二：測(cè)試結(jié)論.1Comment 微微微微1: 需要新版安管Comment 微微微微2: 需要新版安管Comm

3、ent 微微微微3: 需要新版安管 防火墻產(chǎn)品選型測(cè)試方案 4測(cè)試大綱測(cè)試大綱測(cè)試項(xiàng)目測(cè)試項(xiàng)目測(cè)試分項(xiàng)目測(cè)試分項(xiàng)目測(cè)試編號(hào)測(cè)試編號(hào)測(cè)試子項(xiàng)目測(cè)試子項(xiàng)目1.1.1系統(tǒng)管理1.1.2WEB 界面 CLI 控制臺(tái)系統(tǒng)管理1.1.3管理員賬號(hào)劃分權(quán)限配置文件管理1.2.1配置文件的備份和恢復(fù)1.3.1路由接口1.3.2橋接口1.3.3Trunk 接口1.3.4單臂路由接口1.3.53G 設(shè)備1.3.6WIFI 設(shè)備接口管理1.3.7網(wǎng)口鏡像1.4.1靜態(tài)路由1.4.2默認(rèn)路由（負(fù)載均衡）1.4.3ISP 路由1.4.4OSPF 動(dòng)態(tài)路由1.4.5RIP 動(dòng)態(tài)路由1.4.6OSPFV3 動(dòng)態(tài)路由路由功能

4、1.4.7RIPNG 動(dòng)態(tài)路由1.5.1.透明模式1.5.2.路由模式1.5.3.混合模式工作模式1.5.4.旁路模式1.6.1.排錯(cuò)管理維護(hù)功能管理維護(hù)功能監(jiān)控與排錯(cuò)1.6.2.設(shè)備監(jiān)控2.1.1.郵件地址黑名單過濾反垃圾郵件功能反垃圾郵件功能垃圾郵件過濾2.1.2.主題關(guān)鍵字過濾主動(dòng)防御主動(dòng)防御主動(dòng)防御掛馬網(wǎng)站3.1.1.掛馬網(wǎng)站攔截漏洞掃描功能漏洞掃描功能服務(wù)探測(cè)4.1.1.常見端口掃描5.1.1.虛擬墻的獨(dú)立規(guī)則虛擬墻的規(guī)則使用5.1.2.虛擬墻的共享規(guī)則5.2.1.虛擬墻獨(dú)立用戶管理虛擬防火墻虛擬防火墻虛擬墻的管理權(quán)限5.2.2.系統(tǒng)管理員用戶管理6.1.1.內(nèi)存日志6.1.2.Sy

5、slog 日志日志功能6.1.3.日志查詢?nèi)罩九c報(bào)表日志與報(bào)表報(bào)表6.2.1.報(bào)表分析性能測(cè)試性能測(cè)試轉(zhuǎn)發(fā)性能測(cè)試7.1.1.應(yīng)用層吞吐量 防火墻產(chǎn)品選型測(cè)試方案 57.2.1.并發(fā)連接數(shù)連接性能測(cè)試7.2.2.新建連接速率Bypass8.1.1.硬件 BypassHA 功能8.2.1.負(fù)載均衡可靠性可靠性雙系統(tǒng)管理8.3.1雙系統(tǒng)備份恢復(fù) 防火墻產(chǎn)品選型測(cè)試方案 6一、前言一、前言 本方案以業(yè)界防火墻產(chǎn)品的通用功能作為參考，提供公正、專業(yè)的測(cè)試方案，為企業(yè)選購防火墻提供參考。二、選型原則二、選型原則根據(jù)我們的調(diào)研，防火墻產(chǎn)品的核心功能主要集中在防火墻的管理維護(hù)功能、入侵防護(hù)功能、病毒防護(hù)功能

6、、上網(wǎng)行為管理、反垃圾郵件、主動(dòng)防御、漏洞掃描、虛擬防火墻、日志和報(bào)表、性能、可靠性這十一個(gè)方面，因此這十一個(gè)方面也成為考察防火墻和選型評(píng)測(cè)的主要指標(biāo)。據(jù)此，我們確定防火墻的選型原則如下：2.1 管理維護(hù)功能簡單易用管理維護(hù)功能簡單易用配備一套防火墻系統(tǒng)，需要建立相應(yīng)的防火墻應(yīng)用防護(hù)規(guī)則和安全規(guī)則體系。由于不同防火墻設(shè)備在管理維護(hù)上存在差異，而我們不能要求每個(gè)網(wǎng)絡(luò)管理員都是網(wǎng)絡(luò)安全專家，所以可能出現(xiàn)因防火墻管理維護(hù)不方便，導(dǎo)致對(duì)防火墻的錯(cuò)誤配置和發(fā)生安全事故的悲劇。因此我們需要關(guān)注防火墻是否具備完善的管理方式、齊備的維護(hù)方式和靈活的接入方式等管理維護(hù)功能。2.2 入侵防護(hù)功能精準(zhǔn)全面入侵防護(hù)功

7、能精準(zhǔn)全面 入侵防護(hù)功能是防火墻設(shè)備的重要功能之一。由于用戶環(huán)境以及入侵防護(hù)技術(shù)的復(fù)雜性，根據(jù)防火墻的發(fā)展?fàn)顩r和我公司信息系統(tǒng)的應(yīng)用需求，我們將重點(diǎn)關(guān)注對(duì)常見攻擊的攔截能力、攻擊特征的更新、誤報(bào)率以及自定義攻擊特征。2.3 病毒防護(hù)功能安全性高病毒防護(hù)功能安全性高病毒防護(hù)功能是防火墻設(shè)備的重要功能之一。由于對(duì)多協(xié)議攔截的需求以及網(wǎng)絡(luò)流行病毒的復(fù)雜性。我們將重點(diǎn)關(guān)注常見協(xié)議的病毒攔截能力、流行病毒檢測(cè)率、病毒特征的更新等。2.4 上網(wǎng)行為管理可用實(shí)用上網(wǎng)行為管理可用實(shí)用網(wǎng)絡(luò)內(nèi)部的的 P2P 下載、流媒體、IM 即時(shí)消息、網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)應(yīng)用不僅嚴(yán)重占用網(wǎng)絡(luò)資源、降低企業(yè)工作效率，同時(shí)也成為蠕蟲病

8、毒、木馬、后門傳播的主要途徑。上網(wǎng)行為管理功能可降低內(nèi)部機(jī)密信息泄露及病毒傳播的機(jī)率。2.5 反垃圾郵件功能準(zhǔn)確有效反垃圾郵件功能準(zhǔn)確有效來自外部網(wǎng)絡(luò)的大量垃圾郵件攻擊占用大量的網(wǎng)絡(luò)資源、給網(wǎng)絡(luò)帶來極大壓力，而且包含的不良消息也會(huì)影響到郵件系統(tǒng)使用者的日常生活、工作及學(xué)習(xí)。我們將重點(diǎn)關(guān)注反垃圾郵件的功能及準(zhǔn)確性。 防火墻產(chǎn)品選型測(cè)試方案 72.6 主動(dòng)防御安全防掛馬主動(dòng)防御安全防掛馬目前掛馬網(wǎng)站的日益增多，強(qiáng)大的木馬將嚴(yán)重威脅用戶的賬號(hào)安全及系統(tǒng)安全。主動(dòng)防御功能也成為了防火墻等安全產(chǎn)品的一個(gè)重要考察指標(biāo)。我們將重點(diǎn)關(guān)注其是否可檢測(cè)掛馬網(wǎng)站并安全的處理掛馬訪問過程。2.7 漏洞掃描監(jiān)控主機(jī)安全

9、漏洞掃描監(jiān)控主機(jī)安全集成了漏洞掃描功能的防火墻設(shè)備可以很好的監(jiān)管內(nèi)網(wǎng)主機(jī)、服務(wù)器的安全狀況，生成報(bào)告提示內(nèi)網(wǎng)主機(jī)關(guān)閉不必要的端口，升級(jí)最新的系統(tǒng)補(bǔ)丁，提高安全性減少入侵威脅。我們將重點(diǎn)關(guān)注其掃描范圍及報(bào)告功能。2.8 虛擬防火墻節(jié)省開銷方便布局虛擬防火墻節(jié)省開銷方便布局隨著網(wǎng)絡(luò)的復(fù)雜化，購置多臺(tái)安全設(shè)備實(shí)現(xiàn)意味著更多的設(shè)備購置資金投入及后期的設(shè)備維護(hù)。虛擬防火墻技術(shù)可以將一臺(tái)設(shè)備虛擬成多臺(tái)資源、規(guī)則獨(dú)立的安全設(shè)備有效的利用設(shè)備的閑置網(wǎng)口，減少資金投入，同時(shí)也便于后期維護(hù)。我們將重點(diǎn)關(guān)注虛擬墻的規(guī)則及管理的獨(dú)立性。2.9 日志呈現(xiàn)方式簡潔易懂日志呈現(xiàn)方式簡潔易懂網(wǎng)絡(luò)管理員需要對(duì)網(wǎng)絡(luò)中存在的攻擊有

10、個(gè)詳細(xì)的了解，這就需要有豐富的告警方式以及日志呈現(xiàn)方式，管理員能及時(shí)了解網(wǎng)絡(luò)中正在發(fā)生的攻擊，能方便地查詢攻擊的來源、發(fā)生時(shí)間，甚至可以對(duì)過去一段時(shí)間的攻擊進(jìn)行詳細(xì)統(tǒng)計(jì)分析。2.10 性能滿足發(fā)展要求性能滿足發(fā)展要求網(wǎng)絡(luò)中接入防火墻后，性能是否降低以及降低程度，關(guān)系到網(wǎng)絡(luò)通信是否順暢，關(guān)系到信息系統(tǒng)是否能夠?qū)崟r(shí)地保障生產(chǎn)，因此我們要求防火墻具有較高的工作效率，包括數(shù)據(jù)吞吐率、并發(fā)連接數(shù)等關(guān)鍵指標(biāo)。2.11 數(shù)據(jù)連續(xù)性保障方式多數(shù)據(jù)連續(xù)性保障方式多由于防火墻是串接到網(wǎng)絡(luò)中，如果防火墻設(shè)備本身發(fā)生故障，網(wǎng)絡(luò)也將中斷，防火墻設(shè)備反而成為整個(gè)網(wǎng)絡(luò)可靠性的瓶頸，也就失去了防火墻的價(jià)值，因此設(shè)備的可靠性顯

11、得尤為重要，主要體現(xiàn)在設(shè)備出現(xiàn)軟件或硬件故障時(shí)能至少保證網(wǎng)絡(luò)的暢通。三、三、評(píng)測(cè)依據(jù)評(píng)測(cè)依據(jù) 我們將根據(jù)防火墻技術(shù)的最新發(fā)展?fàn)顟B(tài)，參照公安部信息安全產(chǎn)品檢測(cè)中心針對(duì)防火墻類產(chǎn)品的標(biāo)準(zhǔn)GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法，本著客觀、公正的原則，確定防火墻選型評(píng)測(cè)的測(cè)試環(huán)境和測(cè)試工具及測(cè)試方案。 防火墻產(chǎn)品選型測(cè)試方案 8四、評(píng)測(cè)內(nèi)容四、評(píng)測(cè)內(nèi)容 根據(jù)選型原則和評(píng)測(cè)依據(jù)，我們確定的評(píng)測(cè)內(nèi)容如附件一中的表格所示。五、評(píng)測(cè)方法分類五、評(píng)測(cè)方法分類為了突出測(cè)試重點(diǎn)，將所有評(píng)測(cè)內(nèi)容劃分為三類，每類分別采取不同的評(píng)分標(biāo)準(zhǔn)，具體分類原則及其相應(yīng)的評(píng)測(cè)方法如下：7.1 第一

12、類：一般項(xiàng)目第一類：一般項(xiàng)目1. 分類原則分類原則同時(shí)滿足以下第 1-2 款條件的內(nèi)容定義為一般項(xiàng)目。1）沒有顯著的程度差異或程度差異對(duì)使用影響小；2）企業(yè)可能使用該項(xiàng)功能。2評(píng)測(cè)方法評(píng)測(cè)方法在專用測(cè)試環(huán)境中實(shí)際測(cè)試，并直接將“支持”或“不支持”記入附件一中的“防火墻評(píng)測(cè)結(jié)果匯總表”。3標(biāo)識(shí)形式標(biāo)識(shí)形式在后續(xù)章節(jié)中，將以“C”為標(biāo)識(shí)符號(hào)，代表一般項(xiàng)目。7.2 第二類：重要項(xiàng)目第二類：重要項(xiàng)目1.分類原則分類原則同時(shí)滿足以下第 1-2 款條件的所有評(píng)測(cè)內(nèi)容定義為重點(diǎn)項(xiàng)目。1）有程度差異且程度差異對(duì)使用功能有影響；2）企業(yè)應(yīng)用中通常使用該項(xiàng)功能。2評(píng)測(cè)方法評(píng)測(cè)方法在專用測(cè)試環(huán)境中實(shí)際測(cè)試，測(cè)試結(jié)果

13、包括“優(yōu)良”、“一般”、“不支持”三檔，由評(píng)測(cè)執(zhí)行小組根據(jù)實(shí)際測(cè)試效果按相同的尺度確定。 防火墻產(chǎn)品選型測(cè)試方案 93標(biāo)識(shí)形式標(biāo)識(shí)形式在后續(xù)章節(jié)中，將以“B”為標(biāo)識(shí)符號(hào)，代表重要項(xiàng)目。7.3 第三類：關(guān)鍵項(xiàng)目第三類：關(guān)鍵項(xiàng)目1.分類原則分類原則同時(shí)滿足以下第 1-3 款條件的所有評(píng)測(cè)內(nèi)容定義為關(guān)鍵項(xiàng)目。1）一定會(huì)使用的關(guān)鍵功能；2）性能高低對(duì)系統(tǒng)工作效率影響很大；3）對(duì)網(wǎng)絡(luò)業(yè)務(wù)影響很大。2評(píng)測(cè)方法評(píng)測(cè)方法在專門搭建的測(cè)試環(huán)境中實(shí)際測(cè)試，測(cè)試結(jié)果為在測(cè)試過程中通過專用設(shè)備測(cè)出的實(shí)際指標(biāo)由評(píng)測(cè)執(zhí)行小組根據(jù)實(shí)際測(cè)試效果按相同的尺度確定。3標(biāo)識(shí)形式標(biāo)識(shí)形式在后續(xù)章節(jié)中，將以“A”為標(biāo)識(shí)符號(hào)，代表關(guān)鍵項(xiàng)

14、目。 防火墻產(chǎn)品選型測(cè)試方案 10六、測(cè)試環(huán)境及工具六、測(cè)試環(huán)境及工具 測(cè)試環(huán)境搭建是否合理，測(cè)試工具選擇是否有效，直接關(guān)系到測(cè)試結(jié)果是否準(zhǔn)確可信。為了保證評(píng)測(cè)質(zhì)量，我們根據(jù)有關(guān)專家建議，在完備性和可行性之間確立最恰當(dāng)?shù)臏y(cè)試環(huán)境及測(cè)試工具。測(cè)試環(huán)境中需要以下工具：1、硬件工具、硬件工具 被測(cè)防火墻 兩臺(tái) 普通 PC 四臺(tái) 普通網(wǎng)線 20 根 千兆交換機(jī) 2 臺(tái) Avlanche 2900 性能分析儀一臺(tái) BreakingPoint Elite 性能分析儀一臺(tái)2、軟件工具、軟件工具 Microsoft windows XP,安裝常用網(wǎng)管和測(cè)試軟件（如 SecureCRT,ServU等） 被測(cè)防火

15、墻隨機(jī)工具(如隨機(jī)帶的光盤及手冊(cè)等) 攻擊模擬回放用的各類數(shù)據(jù)包 病毒檢測(cè)使用的基本病毒樣本庫 IRIS 回放包軟件3、網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)環(huán)境 至少保證一種方式訪問 Internet（代理上網(wǎng)方式除外）. 防火墻產(chǎn)品選型測(cè)試方案 11七、測(cè)試方案七、測(cè)試方案 本次評(píng)測(cè)將從管理維護(hù)功能、入侵防護(hù)功能、病毒防護(hù)功能、上網(wǎng)行為管理、反垃圾郵件、主動(dòng)防御、漏洞掃描、虛擬防火墻、日志和報(bào)表、性能、可靠性這十一個(gè)方面進(jìn)行。具體方案如下： 1. 管理維護(hù)功能管理維護(hù)功能.系統(tǒng)管理系統(tǒng)管理.1.1. 系統(tǒng)管理系統(tǒng)管理測(cè)試子項(xiàng)目系統(tǒng)管理測(cè)試原理考察防火墻是否具備靈活的配置管理功能，是否支

16、持通過加密方式(SSH 或 HTTPS)進(jìn)行管理，是否可以通過集中監(jiān)控來管理多臺(tái)設(shè)備。測(cè)試拓?fù)錅y(cè)試步驟1 支持通過 Console 口登錄設(shè)備并進(jìn)行配置管理2 支持通過 SSH 進(jìn)行配置管理3 支持通過加密的 HTTPS 方式進(jìn)行配置管理預(yù)期結(jié)果支持上述各種管理方式Console支持 不支持 SSH支持 不支持 測(cè)試結(jié)果HTTPS支持 不支持 .1.2. WEB 界面界面 CLI 控制臺(tái)控制臺(tái)測(cè)試子項(xiàng)目WEB 界面 CLI 控制臺(tái)測(cè)試原理通過防火墻的界面 CLI 控制臺(tái)功能，管理員可以在 web 界面上通過CLI 控制臺(tái)的命令行功能進(jìn)行查看、配置防火墻相應(yīng)功能模塊。測(cè)試拓?fù)?防火

17、墻產(chǎn)品選型測(cè)試方案 12測(cè)試步驟1通過 web 界面管理方式登錄防火墻；2在系統(tǒng)管理狀態(tài)CLI 控制臺(tái)；3在 CLI 控制臺(tái)中查看防火墻當(dāng)前配置，配置防火墻相關(guān)功能模塊。預(yù)期結(jié)果在 CLI 控制臺(tái)通過命令行查看防火墻當(dāng)前配置狀態(tài)正確；通過 CLI 控制臺(tái)進(jìn)行防火墻配置，配置正確生效。測(cè)試結(jié)果WEB 界面 CLI 支持 不支持 .1.3. 管理員賬號(hào)劃分權(quán)限管理員賬號(hào)劃分權(quán)限測(cè)試子項(xiàng)目設(shè)置不同權(quán)限管理員賬號(hào)測(cè)試原理新建防火墻管理員，能夠?yàn)樾陆ǖ墓芾韱T分配不同的訪問控制權(quán)限。測(cè)試拓?fù)?測(cè)試步驟1通過 web 界面管理方式登錄防火墻；2在系統(tǒng)管理管理員設(shè)置，新建管理員賬號(hào)；3為新建的管

18、理員分配不同的管理員權(quán)限；4使用新建的管理員賬號(hào)登錄防火墻，能否登錄成功且管理員權(quán)限正確。預(yù)期結(jié)果可以使用新建的管理員賬號(hào)登錄防火墻，且新建管理員賬號(hào)分配的權(quán)限正確。測(cè)試結(jié)果管理員賬號(hào)權(quán)限劃分 支持 不支持 .配置文件管理配置文件管理.2.1. 配置文件的備份和恢復(fù)配置文件的備份和恢復(fù)測(cè)試子項(xiàng)目配置文件的備份和恢復(fù)測(cè)試原理考察防火墻產(chǎn)品是否支持配置文件備份和恢復(fù)功能測(cè)試拓?fù)錅y(cè)試步驟1將當(dāng)前配置文件保存到 PC；2修改當(dāng)前配置文件并保存；3通過將 PC 上保存的文件拷貝到主配置文件并重啟設(shè)備可以恢復(fù)原先的配置。預(yù)期結(jié)果支持配置文件備份和恢復(fù)功能，可以恢復(fù)原先保存的配置

19、 防火墻產(chǎn)品選型測(cè)試方案 13測(cè)試結(jié)果支持 不支持 .接口管理接口管理.3.1. 路由接口路由接口測(cè)試子項(xiàng)目靜態(tài)配置 IP 地址、DHCP 自動(dòng)獲得 IP 地址測(cè)試原理考察防火墻產(chǎn)品接口是否支持靜態(tài)及動(dòng)態(tài)配置 IP 地址測(cè)試拓?fù)錅y(cè)試步驟1按圖搭建測(cè)試環(huán)境，配置 DHCP 地址池為 0- 0 。2靜態(tài) IP 地址配置測(cè)試：在接口 Ge0 配置 IP 地址為0/24，測(cè)試從防火墻是否可以從防火墻接口 Ge0 Ping通地址 ，是否可以用 show 命令看到所配置生效的 IP地址。3動(dòng)

20、態(tài) IP 地址配置測(cè)試：將接口 Ge0 的配置為動(dòng)態(tài)獲得 IP 地址，觀察是否可以通過命令行查看獲得的 IP 地址，測(cè)試是否能通過Ge0 Ping 通 。預(yù)期結(jié)果靜態(tài)配置 IP 時(shí)能通過命令行看到配置的 IP 且能 Ping 通。動(dòng)態(tài)獲得 IP 時(shí)能通過命令行看到獲得的 IP 且能 Ping 通 。測(cè)試結(jié)果靜態(tài)配置 IP 地址： 支持 不支持 動(dòng)態(tài)獲得 IP 地址： 支持 不支持 .3.2. 橋接口橋接口略。測(cè)試方法同 1.7.1 節(jié)。.3.3. Trunk 接口接口測(cè)試子項(xiàng)目Trunk 接口測(cè)試原理

21、考察防火墻是否支持處理打 802.1Q 標(biāo)的數(shù)據(jù)包測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 14測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，配置交換機(jī)與防火墻相接的接口為 trunk；2在防火墻上配置應(yīng)用防護(hù)規(guī)則，允許 PC1 與 PC2 的通信；3從 PC1 Ping PC2，可以 Ping 通。預(yù)期結(jié)果防火墻支持 Trunk 接口，PC1 可以 Ping 通 PC2測(cè)試結(jié)果支持 不支持 .3.4. 單臂路由接口單臂路由接口測(cè)試子項(xiàng)目單臂路由接口測(cè)試原理考察防火墻是否支持單臂路由接口（無此需求的用戶可忽略，防火墻一般不采用此種接入）測(cè)試拓?fù)錅y(cè)試步驟1如圖搭建好測(cè)試環(huán)境，配置交換機(jī)與防火墻相接的接口為

22、 trunk，與 PC 連接的接口為 Access。2在防火墻上配置 vlan 接口如拓?fù)渌?，并啟用?yīng)用防護(hù)規(guī)則，允許 PC1 與 PC2 的通信；3從 PC1 Ping PC2，可以 Ping 通。預(yù)期結(jié)果PC1 可以 Ping 通 PC2，防火墻支持單臂路由接口。測(cè)試結(jié)果支持 不支持 .3.5. 3G 設(shè)備設(shè)備測(cè)試子項(xiàng)目3G 互聯(lián)功能測(cè)試原理通過防火墻上 3G 互聯(lián)，保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全的同時(shí)保證內(nèi)網(wǎng)用戶通過3G 連接訪問互聯(lián)網(wǎng) 防火墻產(chǎn)品選型測(cè)試方案 15測(cè)試拓?fù)潆娦?GWCDMA測(cè)試步驟1按圖示搭建拓?fù)洌阑饓ψ鳛榫W(wǎng)關(guān)，內(nèi)網(wǎng) PC 直連防火墻；2防火墻兩個(gè)出接口，分別通過電

23、信運(yùn)營商和 3G（WCDMA）連接；3防火墻的 3G 接口配置 3G 撥號(hào)，自動(dòng)獲取到 3G 撥號(hào)地址；4在電信鏈路故障的情況下，內(nèi)網(wǎng) PC 能正常訪問互聯(lián)網(wǎng)。預(yù)期結(jié)果內(nèi)網(wǎng) PC 通過 3G 連接訪問互聯(lián)網(wǎng)正常測(cè)試結(jié)果3G 互聯(lián) 支持 不支持 .3.6. WIFI 設(shè)備設(shè)備測(cè)試子項(xiàng)目WIFI 功能測(cè)試原理通過防火墻上的 WIFI 功能，保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全的同時(shí)保證內(nèi)網(wǎng)移動(dòng)終端通過 WIFI 連接到防火墻訪問互聯(lián)網(wǎng) 防火墻產(chǎn)品選型測(cè)試方案 16測(cè)試拓?fù)潆娦?GWCDMA測(cè)試步驟1按圖示搭建拓?fù)?，防火墻作為連接外網(wǎng)的網(wǎng)關(guān)；2防火墻上開啟 WIFI 功能，內(nèi)網(wǎng)移動(dòng)終端設(shè)備通過 WIFI

24、連接至防火墻3內(nèi)網(wǎng)移動(dòng)終端能通過防火墻正常訪問互聯(lián)網(wǎng)預(yù)期結(jié)果內(nèi)網(wǎng) PC 通過 WIFI 連接防火墻訪問互聯(lián)網(wǎng)正常測(cè)試結(jié)果WIFI 支持 不支持 .3.7. 網(wǎng)口鏡像網(wǎng)口鏡像測(cè)試子項(xiàng)目網(wǎng)口鏡像測(cè)試原理通過防火墻的網(wǎng)口鏡像功能，能夠?qū)崟r(shí)將通訊的業(yè)務(wù)網(wǎng)口數(shù)據(jù)鏡像到管理員連接的監(jiān)控網(wǎng)口上，便于管理員對(duì)實(shí)時(shí)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控分析。 防火墻產(chǎn)品選型測(cè)試方案 17測(cè)試拓?fù)潆娦?GWCDMAPC1PC2測(cè)試步驟1防火墻配置內(nèi)外網(wǎng)接口，保證內(nèi)網(wǎng)用戶可以通過防火墻訪問互聯(lián)網(wǎng)；2防火墻上啟用網(wǎng)口鏡像功能，將連接內(nèi)網(wǎng)用戶的內(nèi)網(wǎng)口數(shù)據(jù)，鏡像到管理員 PC2 所連接的接口；3內(nèi)網(wǎng)用戶 PC1 正常訪問互聯(lián)網(wǎng)

25、。在防火墻上連接管理員的接口以及管理員 PC2 上抓包查看，是否有內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)鏡像。預(yù)期結(jié)果在防火墻連接管理員的接口以及管理員 PC2 上抓包查看，均有內(nèi)網(wǎng)用戶產(chǎn)生的數(shù)據(jù)報(bào)文。測(cè)試結(jié)果網(wǎng)口鏡像 支持 不支持 .路由路由功能功能.4.1. 靜態(tài)路由靜態(tài)路由測(cè)試子項(xiàng)目靜態(tài)路由功能測(cè)試原理考察防火墻產(chǎn)品是否支持靜態(tài)路由功能測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 18測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，配置 PC1 的網(wǎng)關(guān)地址為防火墻的 G0 接口地址；配置 PC2 的網(wǎng)關(guān)地址為與其直接的路由器接口地址；在路由器上配置路由；2在防火墻上配置應(yīng)用防護(hù)規(guī)則，允許接口之間的通信；

26、3在防火墻上配置靜態(tài)路由，設(shè)置靜態(tài)路由下一跳為圖中的；4從 PC1 Ping PC2，應(yīng)該可以 Ping 通。預(yù)期結(jié)果防火墻支持靜態(tài)路由，PC1 可以 Ping 通 PC2 測(cè)試結(jié)果 支持 不支持 .4.2. 默認(rèn)路由（負(fù)載均衡）默認(rèn)路由（負(fù)載均衡）測(cè)試子項(xiàng)目負(fù)載均衡的默認(rèn)路由測(cè)試原理考察防火墻是否支持默認(rèn)路由負(fù)載均衡。測(cè)試拓?fù)銼 SW WP PC C1 1U UT TM MI In nt te er rn ne et tP PC C2 2P PC C3 3E Et th h1 1E Et th h2 2E Et th h3 3測(cè)試步驟1防火墻設(shè)備上面配置接口 I

27、P，ETH1 口為私網(wǎng) IP，ETH2 和 ETH3口分別為不同的公網(wǎng) IP、配置兩條默認(rèn)路由分別關(guān)聯(lián) ETH2 和ETH3 接口、配置域名服務(wù)器；2在設(shè)備上面配置兩條 NAT 規(guī)則（源地址轉(zhuǎn)換）同時(shí)指定流出網(wǎng)口為 ETH2 和 ETH3 口；或者或者配置一條 NAT 規(guī)則（偽裝）添加源地址為內(nèi)網(wǎng)主機(jī) IP 或者該網(wǎng)段地址；3PC 訪問 Internet 的數(shù)據(jù)既可以走 EHT2 口也可以走 ETH3 口；4斷掉 ETH2 或者 ETH3 線路設(shè)備可以正常通信。預(yù)期結(jié)果無論斷開 ETH2、ETH3 口，內(nèi)網(wǎng)用戶上網(wǎng)不會(huì)中斷。測(cè)試結(jié)果支持 不支持 .4.3. ISP 路由路由測(cè)試子

28、項(xiàng)目ISP 路由測(cè)試測(cè)試原理考察防火墻是否支持 ISP 路由 防火墻產(chǎn)品選型測(cè)試方案 19測(cè)試拓?fù)錅y(cè)試步驟1.搭建好如上拓?fù)?.在防火墻上導(dǎo)入電信、聯(lián)通的 ISP 路由3.通過 PC 客戶端去訪問 Internet預(yù)期結(jié)果能夠上網(wǎng)，并且通過識(shí)別電信，聯(lián)通的 IP 進(jìn)行下一跳選擇測(cè)試結(jié)果支持 不支持 .4.4. OSPF 動(dòng)態(tài)路由動(dòng)態(tài)路由測(cè)試子項(xiàng)目OSPF 動(dòng)態(tài)路由測(cè)試原理測(cè)試動(dòng)態(tài)路由 OSPF 功能特性測(cè)試拓?fù)錅y(cè)試步驟1.FW1 分別和 FW2、CISCO、huawei 路由器通過 MD5 認(rèn)證建立OSPF 鄰居2.FW1 和 FW2 之間為區(qū)域 0，F(xiàn)W1 和 CISCO、hu

29、awei 為區(qū)域 13.CISCO 宣告 /24,huawei 路由器宣告 /244.FW1 重發(fā)布直連路由 /24FW2 發(fā)布缺省路由預(yù)期結(jié)果1.FW1、FW2、CISCO、huawei 能夠通過 OSPF 認(rèn)證學(xué)到全網(wǎng)的路由 防火墻產(chǎn)品選型測(cè)試方案 202.FW1、CISCO、huawei 能夠?qū)W到下放的缺省路由3FW2、CISCO、huawei 能夠?qū)W到 FW1 重發(fā)布的直連路由測(cè)試結(jié)果支持 不支持 .4.5. RIP 動(dòng)態(tài)路由動(dòng)態(tài)路由測(cè)試子項(xiàng)目RIP 動(dòng)態(tài)路由測(cè)試原理測(cè)試動(dòng)態(tài)路由 OSPF 功能特性測(cè)試拓?fù)錅y(cè)試步

30、驟1.FW1 和和 cisco 運(yùn)行 OSPF 動(dòng)態(tài)路由，F(xiàn)W 和 huawei 路由器使用MD5 認(rèn)證運(yùn)行 RIP 動(dòng)態(tài)路由2.FW1 和 FW2 運(yùn)行 RIP 動(dòng)態(tài)路由3.FW1 將 OSPF 學(xué)到的路由重發(fā)布到 RIPFW1 將 RIP 學(xué)到的路由重發(fā)布到 OSPF預(yù)期結(jié)果1.FW2 能夠通過 RIP 學(xué)到 huawei 路由器的路由條目2.CISCO 能夠通過 OSPF 學(xué)到重發(fā)布過來的 RIP 路由3Huawei 能夠通過 RIP 學(xué)到重發(fā)布過來的 OSPF 路由測(cè)試結(jié)果支持 不支持 .4.6. OSPFV3 動(dòng)態(tài)路由動(dòng)態(tài)路由測(cè)試項(xiàng)目IPV6 OSPFV3測(cè)試目的檢查防

31、火墻 IPV6 OSPFV3 單區(qū)域功能是否正常 防火墻產(chǎn)品選型測(cè)試方案 21測(cè)試拓?fù)銯W1FW2R1思思科科R2華華為為FE2F0/0F0/1FE3FE2F0/0F0/1FE32001:410:1:1:/642001:410:1:2:/642001:410:1:4:/642001:410:1:3:/64OSPFV3Area 0測(cè)試步驟1、 防火墻一啟用 IPV6，F(xiàn)E2、FE3 口均啟用 IPV6，分別配置 IPV6 地址2001:410:1:1:/64、2001:410:1:2:/64（地址后 64 位以接口 ID 自動(dòng)生成方式產(chǎn)生）2、 思科路由器 R1 啟用 IPV6，F(xiàn)0/0、F0/

32、1 口均啟用 IPV6，分別配置 IPV6 地址2001:410:1:1:/64、2001:410:1:4:/64（地址后 64 位以接口 ID 自動(dòng)生成方式產(chǎn)生）3、 防火墻二啟用 IPV6，F(xiàn)E2、FE3 口均啟用 IPV6，分別配置 IPV6 地址2001:410:1:3:/64、2001:410:1:4:/64(地址后 64 位以接口 ID 自動(dòng)生成方式產(chǎn)生)4、 華為路由器 R2 啟用 IPV6，F(xiàn)0/0、F0/1 口均啟用 IPV6，分別配置 IPV6 地址2001:410:1:3:/64、2001:410:1:2:/64（地址后 64 位以接口 ID 自動(dòng)生成方式產(chǎn)生）5、 防火

33、墻一啟用 OSPFV3，進(jìn)程號(hào)為 100，router-id 為 ，F(xiàn)E2、FE3 口均參與運(yùn)行 OSPFV3；思科路由器配置同防火墻，router-id 為 ；華為路由器 OSPFV3 配置同上，router-id 為 ；防火墻二 OSPFV3 配置同上，router-id 為 6、 防火墻上 IPV6 包過濾規(guī)則默認(rèn)全通，開啟記錄日志選項(xiàng)；7、 在防火墻一上進(jìn)行 Ping 測(cè)試，ping 防火墻二的 FE3 口全局單播地址，ping防火墻二的 FE2 口全局單播地址8、 在防火墻一命令行下查看 IPV6 路由，OSPFV3 路由以及下

34、一跳地址、出接口等信息9、 分別在思科路由器、華為路由器上查看 IPV6 路由，根據(jù)路由信息進(jìn)行 Ping測(cè)試10、查看防火墻路由監(jiān)控界面路由信息，以及防火墻記錄的日志信息預(yù)期結(jié)果1、 步驟 7，從防火墻一上發(fā)起的 Ping 測(cè)試通過2、 步驟 9，思科、華為路由器上路由學(xué)習(xí)均正確，Ping 測(cè)試通過3、 防火墻一和二上命令行方式以及界面路由監(jiān)控方式查看 IPV6 路由均正確，且日志信息記錄準(zhǔn)確測(cè)試結(jié)果支持 不支持 防火墻產(chǎn)品選型測(cè)試方案 .4.7. RIPNG 動(dòng)態(tài)路由動(dòng)態(tài)路由測(cè)試項(xiàng)目IPV6 RIPNG測(cè)試原理檢查防火墻 IPV6 RIPNG 基本功能是否可用測(cè)試拓?fù)銻1

35、FW1R2FW2RIPNG測(cè)試步驟1、 防火墻一啟用 IPV6，啟用 RIPNG，在相應(yīng)需要運(yùn)行 RIPNG 的接口下運(yùn)行RIPNG2、 防火墻二啟用 IPV6，啟用 RIPNG，在相應(yīng)需要運(yùn)行 RIPNG 的接口下運(yùn)行RIPNG3、 路由器 R1、R2 同防火墻配置，啟用 IPV6，啟用 RIPNG4、 查看防火墻二上 RIPNG 鄰居狀態(tài)以及 IPV6 路由信息（界面以及命令行模式）5、 從防火墻二上訪問路由器 R1 以及 R2，ping 測(cè)試6、 查看防火墻日志相關(guān)信息預(yù)期結(jié)果1、 防火墻上查看 RIPNG 鄰居關(guān)系正常，IPV6 路由信息正確2、 從防火墻上發(fā)起對(duì) R1、R2 的訪問測(cè)

36、試通過3、 防火墻上日志信息記錄正確測(cè)試結(jié)果支持 不支持 .工作模式工作模式.5.1. 透明模式透明模式測(cè)試子項(xiàng)目透明模式測(cè)試原理考察防火墻產(chǎn)品是否支持透明接入模式測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 23測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，配置 PC1 和 PC2 位于同一網(wǎng)段；2配置防火墻產(chǎn)品于透明接入模式，配置應(yīng)用防護(hù)規(guī)則允許 PC1 到PC2 之間的通信；3從 PC1 Ping PC2，應(yīng)該可以 Ping 通；4在防火墻上配置應(yīng)用防護(hù)規(guī)則，禁止 PC1 到 PC2 之間的通信；5從 PC1 Ping PC2，不能夠 Ping 通。預(yù)期結(jié)果防火墻支持透明接入模式，在該模

37、式下可以控制數(shù)據(jù)流通過或不通過測(cè)試結(jié)果支持 不支持 .5.2. 路由模式路由模式測(cè)試子項(xiàng)目路由模式測(cè)試原理考察防火墻產(chǎn)品是否支持路由接入模式測(cè)試拓?fù)錅y(cè)試步驟1配置防火墻采用路由模式，PC1 和 PC2 位于不同網(wǎng)段，配置相應(yīng)的應(yīng)用防護(hù)規(guī)則允許 PC 間的通訊；2從 PC 1 Ping PC 2，可以 Ping；3配置策略禁止 PC 1 和 PC 2 之間的通訊；4從 PC 1 Ping PC 2，不能 Ping 通。預(yù)期結(jié)果防火墻產(chǎn)品支持路由接入模式測(cè)試結(jié)果支持 不支持 .5.3. 混合模式混合模式測(cè)試子項(xiàng)目混合模式測(cè)試原理考察防火墻產(chǎn)品是否支持混合接入模式測(cè)試拓?fù)?/p>

38、測(cè)試步驟1配置防火墻采用混合模式，將 Ge0 與 Ge1 配置為橋模式，并在橋上配 IP 地址；將 Ge2 配置成路由模式，并在接口上配置一個(gè) IP 地址；2配置相應(yīng)的應(yīng)用防護(hù)規(guī)則允許 PC1 到 PC3 的通訊； 防火墻產(chǎn)品選型測(cè)試方案 243在 PC 上配置網(wǎng)關(guān)，從 PC 1 Ping PC 2 和 PC3，可以 Ping 通；4配置策略禁止 PC 1 和 PC 3 之間的通訊；5從 PC 1 Ping PC 3，不能 Ping 通。預(yù)期結(jié)果防火墻產(chǎn)品支持混合接入模式測(cè)試結(jié)果支持 不支持 .5.4. 旁路模式旁路模式測(cè)試子項(xiàng)目旁路模式測(cè)試原理考察防火墻產(chǎn)品是否支持旁路接入模式

39、測(cè)試拓?fù)渥ⅲ捍颂幨褂霉舭胤殴ぞ呤沽髁拷?jīng)過交換機(jī)，從而鏡像到防火墻，PC1 與 PC2 可使用雙網(wǎng)卡機(jī)器以方便使用軟件模擬攻擊交互。測(cè)試步驟1按圖搭建好拓?fù)洌琍C1 與 PC2 在同一網(wǎng)段，交換機(jī)上與 PC1 連接的接口鏡像到防火墻上；2使用包回放工具使用攻擊流量通過鏡像到達(dá)防火墻；3查看防火墻上是否有相關(guān)攻擊日志。預(yù)期結(jié)果防火墻產(chǎn)品支持旁路接入模式測(cè)試結(jié)果支持 不支持 .排錯(cuò)與排錯(cuò)與監(jiān)控監(jiān)控.6.1. 排錯(cuò)測(cè)試子項(xiàng)目測(cè)試基本排錯(cuò)工具 Ping、Traceroute測(cè)試原理Ping 和 Traceroute 是最基本的網(wǎng)絡(luò)診斷功能；測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案

40、 25測(cè)試步驟1可以通過防火墻 Ping 其它網(wǎng)絡(luò)主機(jī)以判斷是否有正確的 IP 層連接；2可以通過防火墻 Traceroute 其它網(wǎng)絡(luò)主機(jī)以判斷故障點(diǎn)的位置；預(yù)期結(jié)果防火墻 支持基本網(wǎng)絡(luò)診斷功能Ping支持 不支持 測(cè)試結(jié)果Traceroute支持 不支持 .6.2. 設(shè)備監(jiān)控設(shè)備監(jiān)控測(cè)試子項(xiàng)目設(shè)備監(jiān)控測(cè)試原理通過 WEB 界面或相關(guān)軟件實(shí)時(shí)監(jiān)控設(shè)備的運(yùn)行情況，包括 CPU 利用率，內(nèi)存利用率，接口實(shí)時(shí)流量，攻擊事件曲線圖，會(huì)話數(shù)量。測(cè)試拓?fù)錅y(cè)試步驟5按圖示搭建拓?fù)?，防火墻透明接入，PC1 與 PC2 在同一網(wǎng)段；6使用 PC2 作為 FTP 服務(wù)器，PC1 從 PC2 下載文

41、件，使流量通過防火墻；7通過 PC1 監(jiān)控防火墻的資源利用率。預(yù)期結(jié)果從 PC1 可以監(jiān)控到防火墻的 CPU 利用率，內(nèi)存利用率，接口實(shí)時(shí)流量，攻擊事件曲線圖，會(huì)話數(shù)量。CPU 利用率支持 不支持 內(nèi)存利用率支持 不支持 接口實(shí)時(shí)流量支持 不支持 攻擊事件曲線圖支持 不支持 測(cè)試結(jié)果會(huì)話數(shù)量支持 不支持 2. 反垃圾郵件反垃圾郵件.垃圾郵件過濾垃圾郵件過濾.1.1. 郵件地址黑名單過濾郵件地址黑名單過濾測(cè)試子項(xiàng)目郵件地址黑名單過濾測(cè)試原理考察防火墻是否支持郵件地址黑名單過濾。測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 26測(cè)試步驟1按上圖搭建測(cè)試環(huán)境，確保 PC1 可以接入

42、Internet；2在防火墻上配置不允許使用的郵件地址黑名單，配置記錄日志；3使用 Outlook 軟件以郵件地址黑名單中的郵件地址發(fā)送郵件，觀察郵件是否可以發(fā)送；4查看防火墻上的日志信息。預(yù)期結(jié)果可以攔截郵件發(fā)送，有日志記錄。測(cè)試結(jié)果支持 不支持 .1.2. 主題關(guān)鍵字過濾主題關(guān)鍵字過濾測(cè)試子項(xiàng)目主題關(guān)鍵字過濾測(cè)試原理考察防火墻設(shè)備是否能夠阻止主題內(nèi)的垃圾郵件地址，并攔截含主題關(guān)鍵字的郵件測(cè)試拓?fù)錅y(cè)試步驟1按上圖搭建測(cè)試環(huán)境，確保 PC1 可以接入 Internet；2在防火墻上配置不允許使用的主題關(guān)鍵字，配置記錄日志；3使用 Outlook 軟件以主題關(guān)鍵字列表中的關(guān)鍵字作主

43、題，觀察郵件是否可以發(fā)送；4查看防火墻上的日志信息。預(yù)期結(jié)果可以攔截垃圾郵件發(fā)送，有日志記錄。測(cè)試結(jié)果支持 不支持 3. 主動(dòng)防御主動(dòng)防御.主動(dòng)防御掛馬網(wǎng)站主動(dòng)防御掛馬網(wǎng)站.1.1. 掛馬網(wǎng)站攔截掛馬網(wǎng)站攔截測(cè)試子項(xiàng)目掛馬網(wǎng)站攔截測(cè)試原理考察防火墻防御掛馬網(wǎng)站的能力測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 27測(cè)試步驟1按上圖搭建測(cè)試環(huán)境，確保 PC1 可以接入 Internet；2在防火墻上配置啟動(dòng)主動(dòng)防御功能，配置日志記錄；3使用 IE 登錄常見掛馬網(wǎng)站 http:/ 不支持 4. 漏洞掃描功能漏洞掃描功能.服務(wù)探測(cè)服務(wù)探測(cè).1.1. 常見端

44、口掃描常見端口掃描測(cè)試子項(xiàng)目常見端口掃描測(cè)試原理考察防火墻常見端口掃描能力測(cè)試拓?fù)錅y(cè)試步驟1按上圖搭建測(cè)試環(huán)境，PC 開啟常見服務(wù)，如 ftp，http，郵件服務(wù)等；2在防火墻上配置啟動(dòng)漏洞掃描目標(biāo)地址，配置服務(wù)探測(cè)功能，啟動(dòng)掃描功能。3觀察防火墻給出的掃描結(jié)果。預(yù)期結(jié)果防火墻可以檢測(cè) PC 上開啟的常見端口，并給出漏洞掃描報(bào)告。測(cè)試結(jié)果支持 不支持 5. 虛擬防火墻虛擬防火墻.虛擬墻的規(guī)則使用虛擬墻的規(guī)則使用.1.1. 虛擬墻的獨(dú)立規(guī)則虛擬墻的獨(dú)立規(guī)則測(cè)試子項(xiàng)目虛擬墻的獨(dú)立規(guī)則測(cè)試原理防火墻的虛擬防火墻技術(shù)是指將一臺(tái)設(shè)備虛擬為多臺(tái)設(shè)備;每臺(tái)虛擬設(shè)備具有自己獨(dú)立的規(guī)

45、則,并且無法使用其余虛擬墻的規(guī)則. 防火墻產(chǎn)品選型測(cè)試方案 28測(cè)試拓?fù)銹C1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，四臺(tái) PC 可以相互訪問；2在防火墻上配置啟用虛擬防火墻 vm1 和 vm2，其中 fe1、fe2 劃入vm1 的獨(dú)立網(wǎng)口，fe3、fe4 劃入 vm2 的獨(dú)立網(wǎng)口；3使用系統(tǒng)管理員關(guān)閉所有應(yīng)用防護(hù)規(guī)則；4在 vm1 虛擬域中配置全通的應(yīng)用防護(hù)規(guī)則，在 vm2 中不配置任何規(guī)則，使用 PC1 ping PC3，使用 PC2 ping PC4；預(yù)期結(jié)果虛擬域 v

46、m1 中 PC1 可以與 PC3 互相訪問；虛擬域 vm2 中 PC2 與 PC4 無法互相訪問。測(cè)試結(jié)果支持 不支持 .1.2. 虛擬墻的共享規(guī)則虛擬墻的共享規(guī)則測(cè)試子項(xiàng)目虛擬墻的共享規(guī)則測(cè)試原理防火墻的虛擬防火墻使用共享規(guī)則可以實(shí)現(xiàn)虛擬防火墻內(nèi)無規(guī)則下的互相訪問，方便虛擬墻用戶的規(guī)則配置。測(cè)試拓?fù)銹C1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，四臺(tái) PC 可以相互訪問；2在防火墻上配置啟用虛擬防火墻 vm1 和 vm2，其中 fe1、fe2 劃入vm1 的獨(dú)立

47、網(wǎng)口，fe3、fe4 劃入 vm2 的獨(dú)立網(wǎng)口；3使用系統(tǒng)管理員配置共享的應(yīng)用防護(hù)規(guī)則；在 vm1 虛擬域及 vm2中不配置任何規(guī)則；4使用 PC1 ping PC3，使用 PC2 ping PC4；預(yù)期結(jié)果虛擬域 vm1 中 PC1 可以與 PC3 互相訪問；虛擬域 vm2 中 PC2 可以與 PC4 互相訪問。測(cè)試結(jié)果支持 不支持 防火墻產(chǎn)品選型測(cè)試方案 2.虛擬墻的管理權(quán)限虛擬墻的管理權(quán)限.2.1. 虛擬墻獨(dú)立用戶管理虛擬墻獨(dú)立用戶管理測(cè)試子項(xiàng)目虛擬墻獨(dú)立用戶管理測(cè)試原理防火墻的虛擬防火墻可以使用虛擬墻的獨(dú)立用戶實(shí)現(xiàn)該虛擬墻內(nèi)的規(guī)則及資源配置。測(cè)試拓?fù)銹C1

48、 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，四臺(tái) PC 可以相互訪問；2在防火墻上配置啟用虛擬防火墻 vm1 和 vm2，其中 fe1、fe2 劃入vm1 的獨(dú)立網(wǎng)口，fe3、fe4 劃入 vm2 的獨(dú)立網(wǎng)口；3使用系統(tǒng)管理員配置虛擬域 vm1 的用戶 a；4使用 a 用戶登錄系統(tǒng)是否只可以管理虛擬墻 vm1 的規(guī)則、資源。預(yù)期結(jié)果使用 a 用戶登錄系統(tǒng)，只可以配置 vm1 的規(guī)則、資源，無法查看、配置 vm2 的規(guī)則及資源。測(cè)試結(jié)果支持 不支持 .2.2. 系統(tǒng)管

49、理員用戶管理系統(tǒng)管理員用戶管理測(cè)試子項(xiàng)目虛擬墻獨(dú)立用戶管理測(cè)試原理防火墻的虛擬防火墻可以使用虛擬墻的獨(dú)立用戶實(shí)現(xiàn)該虛擬墻內(nèi)的規(guī)則及資源配置。測(cè)試拓?fù)銹C1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4測(cè)試步驟1如圖搭建好測(cè)試環(huán)境，四臺(tái) PC 可以相互訪問；2在防火墻上配置啟用虛擬防火墻 vm1 和 vm2，其中 fe1、fe2 劃入vm1 的獨(dú)立網(wǎng)口，fe3、fe4 劃入 vm2 的獨(dú)立網(wǎng)口；3使用系統(tǒng)管理員配置虛擬域 vm1 的用戶 a，配置 vm2 的用戶 b；預(yù)期結(jié)果使用系統(tǒng)管理員 administrat

50、or 可以添加、刪除、修改 vm1 及 vm2 的獨(dú)立用戶； 防火墻產(chǎn)品選型測(cè)試方案 30測(cè)試結(jié)果支持 不支持 6. 日志與報(bào)表日志與報(bào)表.日志功能日志功能.1.1. 內(nèi)存日志內(nèi)存日志測(cè)試子項(xiàng)目內(nèi)存日志測(cè)試原理在沒有日志服務(wù)器的情況下，應(yīng)該可以將設(shè)備的重要日志信息記錄到內(nèi)存測(cè)試拓?fù)錅y(cè)試步驟4如圖搭建好測(cè)試環(huán)境；5在防火墻上配置將某些日志信息記錄到內(nèi)存，譬如應(yīng)用識(shí)別事件、接口 UP 等；6制造相應(yīng)的事件，譬如從 PC 訪問 internet 并產(chǎn)生應(yīng)用識(shí)別事件或者使接口 up/down；7在防火墻上察看內(nèi)存日志信息。預(yù)期結(jié)果防火墻可以將日志信息記錄到內(nèi)存測(cè)試結(jié)果支持

51、不支持 .1.2. Syslog 日志日志測(cè)試子項(xiàng)目Syslog 日志測(cè)試原理考察防火墻產(chǎn)品各功能模塊是否能夠發(fā)送日志到標(biāo)準(zhǔn) Syslog 服務(wù)器，廠商是否有專門的 Syslog 處理軟件測(cè)試拓?fù)錅y(cè)試步驟1如圖搭建好測(cè)試環(huán)境；2在防火墻產(chǎn)品上配置 Syslog 服務(wù)器端口和地址，并啟用日志服務(wù)器；3允許防火墻產(chǎn)品的相關(guān)模塊向服務(wù)器發(fā)送信息級(jí)別日志；4在防火墻上對(duì)已允許發(fā)送信息級(jí)別日志的功能模塊進(jìn)行操作，在 防火墻產(chǎn)品選型測(cè)試方案 31Syslog 服務(wù)器上觀察日志信息。預(yù)期結(jié)果防火墻產(chǎn)品各功能模塊能夠發(fā)送正確的日志信息到 Syslog 服務(wù)器。測(cè)試結(jié)果支持 不支持

52、.1.3. 日志查詢?nèi)罩静樵儨y(cè)試子項(xiàng)目日志查詢測(cè)試原理應(yīng)該提供專門的數(shù)據(jù)處理軟件，實(shí)現(xiàn)對(duì) Syslog 信息的保存和分類查詢。測(cè)試拓?fù)錅y(cè)試步驟1如圖搭建好測(cè)試環(huán)境；2在日志服務(wù)器上安裝日志處理軟件；3在防火墻產(chǎn)品上配置日志服務(wù)器；4在防火墻上配置日志功能模塊，并產(chǎn)生日志；5在日志服務(wù)器上添加防火墻的 IP 地址；6在日志服務(wù)器上查看日志。預(yù)期結(jié)果日志服務(wù)器上能夠查詢到正確的日志信息測(cè)試結(jié)果支持 不支持 .防火墻報(bào)表防火墻報(bào)表.2.1. 報(bào)表分析報(bào)表分析測(cè)試子項(xiàng)目報(bào)表分析測(cè)試原理測(cè)試防火墻的報(bào)表分析功能測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 32測(cè)試步驟1如圖搭建好測(cè)試環(huán)境

53、；2在 PC 上安裝相關(guān)軟件或打開報(bào)表管理界面；3確定需要驗(yàn)證的某一功能模塊日志，用相關(guān)方法觸發(fā)特征產(chǎn)生大量日志；4查看報(bào)表信息。預(yù)期結(jié)果1可以按照攻擊類型進(jìn)行統(tǒng)計(jì)，有良好的圖形統(tǒng)計(jì)和文字信息統(tǒng)計(jì)；2可以按照攻擊來源和攻擊目的進(jìn)行統(tǒng)計(jì)，有良好的圖形統(tǒng)計(jì)和文字信息統(tǒng)計(jì)；3可以按攻擊處理類型、協(xié)議類型及特征組進(jìn)行統(tǒng)計(jì)，有良好的圖形統(tǒng)計(jì)和文字信息統(tǒng)計(jì)；測(cè)試結(jié)果優(yōu)良 一般 不支持 結(jié)果判定參考不支持：不支持報(bào)表功能一般：有報(bào)表功能，并可進(jìn)行一定的條件查詢，但不夠豐富，不能完全滿足用戶需求優(yōu)良：有報(bào)表功能，并且報(bào)表分析功能強(qiáng)大，能較好或完全滿足用戶需求7. 性能測(cè)試性能測(cè)試.防火墻轉(zhuǎn)發(fā)性能

54、防火墻轉(zhuǎn)發(fā)性能.1.1. 應(yīng)用層吞吐量應(yīng)用層吞吐量測(cè)試子項(xiàng)目應(yīng)用層吞吐量測(cè)試原理考察防火墻設(shè)備在模擬用戶真實(shí)環(huán)境下的最大吞吐量，可以在透明接入或路由模式下執(zhí)行測(cè)試拓?fù)?防火墻產(chǎn)品選型測(cè)試方案 33測(cè)試步驟1在不開啟入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；2使用 Avlanche 測(cè)試儀，測(cè)試 HTTP 協(xié)議取 32K 的 html 文件時(shí)防火墻支持的應(yīng)用層流量；3在開啟入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；4再次使用 Avlanche 測(cè)試儀，測(cè)試

55、 HTTP 協(xié)議取 32K 的 html 文件時(shí)的應(yīng)用層流量。測(cè)試結(jié)果(不開啟 IPS+AV)測(cè)試結(jié)果(開啟 IPS+AV)測(cè)試結(jié)果吞吐量.防火墻連接性能防火墻連接性能.2.1. 并發(fā)連接數(shù)并發(fā)連接數(shù)測(cè)試子項(xiàng)目并發(fā)連接數(shù)測(cè)試測(cè)試原理并發(fā)連接數(shù)是指防火墻對(duì)其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目，它反映出防火墻設(shè)備對(duì)多個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個(gè)參數(shù)的大小直接影響到防火墻所能支持的最大信息點(diǎn)數(shù)。 測(cè)試拓?fù)錅y(cè)試步驟1在不開啟入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；

56、2使用 Avlanche 的 layer 4-7Application 軟件，測(cè)試防火墻支持的 http最大連接數(shù)；3在開啟入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；4使用 Avlanche 的 layer 4-7Application 軟件，測(cè)試防火墻支持的 http最大連接數(shù)。測(cè)試結(jié)果(不開啟 IPS+AV)測(cè)試結(jié)果(開啟 IPS+AV)測(cè)試結(jié)果HTTP 并發(fā)連接 防火墻產(chǎn)品選型測(cè)試方案 34數(shù).2.2. 新建連接速率新建連接速率測(cè)試子項(xiàng)目新建連接速率測(cè)試測(cè)試原理新建連接速率是指防火墻每秒能夠建立起的連接的數(shù)量。

57、測(cè)試拓?fù)錅y(cè)試步驟1在入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；2使用 Avlanche 的 layer 4-7Application 軟件，測(cè)試防火墻每秒鐘能建立的 http 連接數(shù)；3在開啟入侵防護(hù)+防病毒(IPS+AV)功能的情況下，配置應(yīng)用防護(hù)規(guī)則允許防火墻（Permit）兩接口之間的通信；4使用 Avlanche 的 layer 4-7Application 軟件軟件，測(cè)試防火墻每秒鐘能建立的 http 連接數(shù)。測(cè)試結(jié)果(不開啟 IPS+AV)測(cè)試結(jié)果(不開啟 IPS+AV) 測(cè)試結(jié)果HTTP 每秒新建連接數(shù)8. 可靠性可靠性. bypass 功能功能.1.1. 硬件硬件 bypass測(cè)試子項(xiàng)目硬件 bypass測(cè)試原理考察防火墻在異常掉電后是否影響網(wǎng)絡(luò)正常暢通 防火墻產(chǎn)品選型測(cè)試方案 35測(cè)試拓?fù)錅y(cè)試步驟1按圖搭建好拓?fù)?，防火墻透明接入，在防火墻配置策略?PC 可正常訪問 Internet；2使用 PC 不停 Ping ；3關(guān)閉設(shè)備電源，查看 PC 是否還能 ping 通新浪。預(yù)期結(jié)果設(shè)備在斷電時(shí)不會(huì)中斷網(wǎng)