防火墻測試驗收方案

防火墻測試驗收方案防火墻測試驗收方案防火墻測試驗收方案防火墻測試驗收方案編制僅供參考審核批準(zhǔn)生效日期地址：電話：傳真:郵編:防火墻測試方案引言防火墻是實現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備，其目的是要在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。隨著網(wǎng)上黑客活動的日益猖獗，越來越多的上網(wǎng)企業(yè)開始重視網(wǎng)絡(luò)安全問題。特別是近兩三年來，以防火墻為核心的安全產(chǎn)品需求市場迅速成長起來，瞬間出現(xiàn)了眾多提供防火墻產(chǎn)品的廠家，光國內(nèi)就有幾十家。各種防火墻品種充斥市場，良莠不齊，有軟件的防火墻，硬件的防火墻，也有軟硬一體化的防火墻；有面向個人的防火墻，面向小企業(yè)的低檔防火墻，也有中高檔的防火墻，技術(shù)實現(xiàn)上有包過濾的防火墻、應(yīng)用代理的防火墻，也有狀態(tài)檢測的防火墻。由于防火墻實現(xiàn)方式靈活，種類多，而且往往要與復(fù)雜的網(wǎng)絡(luò)環(huán)境整合在一起使用，因此，對防火墻進行測試評估是選購防火墻產(chǎn)品的一個重要環(huán)節(jié)。評估測試防火墻是一個十分復(fù)雜的工作。一般說來，防火墻的安全和性能是最重要的指標(biāo)，用戶接口（管理和配置界面）和審計追蹤次之，然后才是功能上的擴展性。但是安全和性能之間似乎常常構(gòu)成一對矛盾。在防火墻技術(shù)的發(fā)展方面，業(yè)界一直在致力于為用戶提供安全性和性能都高的防火墻產(chǎn)品。沿著這一方向，防火墻產(chǎn)品經(jīng)歷了以軟件實現(xiàn)為主的代理型防火墻，以硬件實現(xiàn)為主的包過濾防火墻，以及兼有包過濾型防火墻的高速性特點和代理性防火墻高安全性特點的狀態(tài)檢測防火墻。另外，為了使靈活多變，難以掌握的防火墻安全技術(shù)能更有效地被廣大用戶使用，直觀易用的界面和詳盡明晰的報表審計能力被越來越多的防火墻產(chǎn)品采用，同時，防火墻產(chǎn)品在與網(wǎng)絡(luò)應(yīng)用環(huán)境整合的過程中也在不斷地集成和加入新的網(wǎng)絡(luò)功能。因此，當(dāng)前必須從安全性、性能、可管理性和輔助功能等方面綜合進行評測，才能客觀反映一個防火墻產(chǎn)品的素質(zhì)。測試的背景和目的在防火墻產(chǎn)品市場上，產(chǎn)品一般分為高、中、低三檔?？紤]到，高檔防火墻普遍是各公司最新或計劃推出的產(chǎn)品，證券作為大型的安全產(chǎn)品使用者，使用的防火墻產(chǎn)品以中、高檔為主，為了便于橫向比較各公司的產(chǎn)品，在本次測試中將統(tǒng)一以中檔防火墻產(chǎn)品作為測評的對象。為了較全面地評估各公司的防火墻產(chǎn)品，本次防火墻產(chǎn)品的測試分成以下幾個部分：功能測試、安全防范能力測試、性能測試和設(shè)備可靠性測試。參考資料GB/T18020-1999信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求FWPD：FirewallProductCertificationCriteriaVersion測試項目測試項目包過濾，NAT，地址綁定，本地訪問控制，多播，TRUNK,代理路由,內(nèi)容過濾,報警,審計實時監(jiān)控,攻擊，雙機熱備,性能。測試環(huán)境簡略拓?fù)鋱D 10.10.11. 10.10.1210.10.11(2).140 0 .. （） FW1 40 （） FW2 FW3 （） （） （）圖1管理器 圖2說明：在括號內(nèi)的IP地址，為測試單一防火墻功能時所用的IP地址。圖2僅為測試TRUNK,代理路由和非IP規(guī)則時使用. 三．測試前軟件環(huán)境的準(zhǔn)備子網(wǎng)主機具有Linux，windows2000（or98orNT）兩種環(huán)境。測試環(huán)境Linux主機配置www，ftp，telnet服務(wù)，同時安裝nmap，http_load，sendudp等測試工具；Windows主機配置ftp，telnet，iis，snmp等服務(wù)，同時安裝IE，Netscape等瀏覽器防火墻分區(qū)內(nèi)主機的網(wǎng)關(guān)都設(shè)為指向所連防火墻當(dāng)前連接接口，ip地址為當(dāng)前網(wǎng)段的1地址。例：當(dāng)前主機所在網(wǎng)段為，那么它的網(wǎng)關(guān)為，即防火墻接入接口的ip地址。防火墻的默認(rèn)路由均指向其通往廣域網(wǎng)的路由器或三層交換機。在廣域網(wǎng)中采用靜態(tài)路由和動態(tài)路由（rip或ospf）兩種。。四.功能說明及規(guī)則設(shè)計。針對防火墻各項功能，分別加以說明。A.包過濾――――區(qū)間通信。1.）單一地址2.）多地址規(guī)則設(shè)計：a.方向：區(qū)1—>區(qū)2b.操作：允許（拒絕）c.協(xié)議：tcp，udp，icmp和其它協(xié)議號的協(xié)議。d.審計：是（否）e.有效時間段B.地址綁定――――ip，mac地址綁定。防止地址欺騙。單一地址綁定多地址綁定。規(guī)則設(shè)計：a.方向：區(qū)1—>區(qū)2b.操作：允許（或拒絕）C本地訪問控制――――對管理主機的訪問進行控制1．）單一地址2.）多地址規(guī)則設(shè)計：a.操作：1.允許ping，telnet等。2.允許管理DNAT――――地址，端口的轉(zhuǎn)換。私有ip轉(zhuǎn)為公網(wǎng)ip。1．）一對一2.）多對一3.）多對多規(guī)則設(shè)計：a.方向：區(qū)1－>區(qū)2.b.操作：拒絕（或允許）c.協(xié)議：tcp，udp，icmp和其它協(xié)議號的協(xié)議。d.審計：是（否）E多播――――解決一對多的通信。 單一多播源，多接收端。多多播源，多接收端。,代理路由――――復(fù)用鏈路,為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進行路由.H.報警――――利用郵件,TRAP,蜂鳴等及時向管理員報告防火墻的信息.I.審計――――審計防火墻上的訪問,及事件信息,防火墻的狀態(tài).J.實時監(jiān)控――――實時檢測防火墻的通訊情況,跟蹤防火墻的運行狀況.K攻擊――――防攻擊。檢測企圖通過防火墻實施攻擊的行為,并報警,阻斷攻擊。L．雙機熱備――――設(shè)備冗余。同一網(wǎng)絡(luò)，兩臺防火墻，一臺設(shè)為激活狀態(tài)，另一臺設(shè)為備份狀態(tài)。當(dāng)激活狀態(tài)的防火墻down掉時，備份防火墻接管。通過測試用例來對具體的操作進行闡述。在所有的規(guī)則制定中考慮范圍內(nèi)取非，范圍的臨界值，中間值情況,時間的控制等。包過濾測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對ICMP數(shù)據(jù)包的過濾效果測試環(huán)境路由模式Linux，windows。規(guī)則指定-100－>ICMP允許。（內(nèi)到外）－>ICMP允許。（外到DMZ）-15－>ICMP允許。（DMZ到內(nèi)）執(zhí)行操作在上ping，在上ping，在上ping。并反方向ping。在上telnet，在上telnet，在上telnet。并反方向ftp，telnet。加載ICMP全通規(guī)則。重復(fù)步驟1測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1.正向ping成功，反向ping不通，被禁止。2.訪問被禁止，規(guī)則不允許。3都可以相互ping通。備注測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果測試環(huán)境路由模式Linux，windows。規(guī)則指定1：－>telnet允許。（內(nèi)到外）－>telnet允許。（外到DMZ）－>telnet允許。（DMZ到內(nèi)）執(zhí)行操作在。上telnet，在上telnet，在上telnet，并反向telnet。在用nslookup到上進行名字解析或其它的udp服務(wù)。加載telnet全通規(guī)則，重復(fù)步驟1.測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1.正向成功，反向被禁止2.訪問被禁止，沒有允許UDP服務(wù)。TCP協(xié)議的放開，對UDP協(xié)議不發(fā)生影響。3.telnet訪問都成功。備注測試項目包過濾測試日期測試內(nèi)容IP過濾規(guī)則對TCP數(shù)據(jù)包的過濾效果，側(cè)重于實時效果測試環(huán)境路由模式Linux，windows。規(guī)則指定－>telnet允許。（內(nèi)到外）－>telnet允許。（外到DMZ）－>telnet允許。（DMZ到內(nèi)）生效時間：9:00－10:00執(zhí)行操作在。上telnet，在上telnet，在上telnet，并反向telnet。保持上述telnet已建立的連接，并不斷的telnet沒有建立連接的。在9:59－10:01之間，查看telnet狀態(tài)的反應(yīng)。測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1.正向telnet成功，反向被禁止。3已建立的telnet連接被斷開。備注測試項目包過濾測試日期測試內(nèi)容在IP包過濾中，由于FTP服務(wù)的特殊性，所以下面幾個用例主要針對FTP進行測試。這個用例主要用來測試FTP建立連接后，防火墻對20端口的特殊處理測試環(huán)境路由模式Linux，windows。規(guī)則指定.10－>ftp允許（內(nèi)到外）執(zhí)行操作在上telnet20。在上ftp，進行大文件（1G）的數(shù)據(jù)傳輸。在ftp的同時，在上telnet20。passive進行ftp文件的傳輸。在上telnet20測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1,3,5訪問被禁止2,4訪問成功。備注測試項目包過濾測試日期測試內(nèi)容IP包過濾包括ICMP、UDP、TCP和非（ICMP、UDP、TCP）包的過濾，UDP過濾行測試測試環(huán)境路由模式Linux，windows。規(guī)則指定規(guī)則1：－>UDP允許。－>UDP允許。－>30UDP允許生效時間：9:00－10:00。〕規(guī)則2：－>UDP拒絕。執(zhí)行操作在，，上啟動UDP的測試工具Udp_Server，在，，上啟動Udp_Client來分別連,,上的服務(wù)程序。保持連接。查看在10:00時連接的狀態(tài)。保持Client對Server的主動，不間斷的連接去掉時間限制，重新加載規(guī)則1，在連接重新建立的同時，加載規(guī)則2。測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1.連接成功2.連接被斷開。3.連接建立后，馬上又被斷開。備注目的：測試UDP過濾的基本功能、在規(guī)則有效時間上的實時性、規(guī)則變化時對動態(tài)連接表的實時刷新性能等說明：對于EIP的測試，通過在包過濾中IP協(xié)議的設(shè)置過程中同步設(shè)置，用發(fā)包工具對其進行測試，例如：igmp，ospf包等。地址綁定測試項目IPMAC地址綁定測試日期測試內(nèi)容測試IPMAC綁定的基本功能，以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得兩種IP欺騙的情況下防火墻的處理能力測試環(huán)境路由模式Linux，windows。規(guī)則指定----100＝>MAC00.12.30.進行綁定執(zhí)行操作上telnet。修改的IP地址為，telnet。在此基礎(chǔ)上將的地址改為。然后，telnet。測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問成功2,3訪問被禁止，IP或MAC不匹配。備注首先，加載IP全通過濾規(guī)則測試項目IPMAC地址綁定測試日期測試內(nèi)容在制定IPMAC綁定規(guī)則時，可以只綁定一個區(qū)域當(dāng)中的某幾個主機的地址，絕大多數(shù)主機可能不需要綁定，此時，我們還可以指定防火墻對那些沒指定的主機的綁定過濾規(guī)則。這個用例主要用來測試防火墻對綁定規(guī)則之外的主機的訪問的處理能力。測試環(huán)境路由模式Linux，windows。規(guī)則指定＝>MAC00.12.30.進行綁定,綁定規(guī)則之外的主機不允許通過執(zhí)行操作在上telnet。在上telnet修改規(guī)則，綁定之外的主機允許通過。在上telnet測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1.訪問成功2訪問禁止4.訪問成功備注首先，加載IP全通過濾規(guī)則測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容這個用例主要用來測試一對一的同時對多個方向上的轉(zhuǎn)換功能測試環(huán)境路由模式。Linux,Windows規(guī)則指定－>(inNATout)－>(inNATdmz)執(zhí)行操作在上telnet在上telnet在上telnet在上telnet在上telnet測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問成功2訪問成功3訪問失敗4訪問成功5訪問成功備注在訪問成功的同時在對端機器上用netstat命令看是真實IP還是轉(zhuǎn)換后的IP地址。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容這個用例主要在于測試同時雙向的NAT轉(zhuǎn)換功能測試環(huán)境路由模式Linx,windows規(guī)則指定1.－>(inNATout)2.－>(inNATdmz)3.－>（dmzNATin）4.－>（dmzNATout）5.－>（outNATin）6.－>（outNATdmz）執(zhí)行操作在上telnet，，,。在上telnet,,,。在上telnet,,,。測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問成功2訪問成功3訪問成功4訪問成功備注服務(wù)都開放，同時用netstat進行查看連接的IP地址。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對一轉(zhuǎn)換時的基本功能測試環(huán)境路由模式Linux，windows。規(guī)則指定－>－>以上不提供服務(wù)轉(zhuǎn)換。執(zhí)行操作在，上ping在，上telnet測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問成功2訪問成功備注首先，加載IP全通過濾規(guī)則。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對一轉(zhuǎn)換時的服務(wù)轉(zhuǎn)換功能測試環(huán)境路由模式Linux，windows。規(guī)則指定－>提供telnet服務(wù)。---254－>提供www服務(wù)。（去除254地址。）執(zhí)行操作在，上telnet。在上telnet，在上http：訪問成功2.訪問成功。3.訪問失敗。備注首先，加載IP全通過濾規(guī)則。測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對多轉(zhuǎn)換時的服務(wù)轉(zhuǎn)換功能測試環(huán)境路由模式Linux，windows。規(guī)則指定規(guī)則1:，，－>，規(guī)則2：23－>2323－>2323執(zhí)行操作加載規(guī)則1。在，，上telnet。在規(guī)則1的基礎(chǔ)上，加載規(guī)則2。在，上telnet23；telnet2323測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果2，4訪問成功備注首先，加載IP全通過濾規(guī)則測試項目NAT轉(zhuǎn)換測試日期測試內(nèi)容測試多對多轉(zhuǎn)換時的FTP服務(wù)轉(zhuǎn)換功能測試環(huán)境路由模式Linux，windows。規(guī)則指定規(guī)則1:，，－>，規(guī)則2：－>21號端口提供ftp服務(wù)。－>2121號端口提供ftp服務(wù)。執(zhí)行操作加載規(guī)則1。在，，上telnet。在規(guī)則1的基礎(chǔ)上加載規(guī)則2在，上ftp，ftp2121。測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果2,4訪問應(yīng)該能夠成功備注首先，加載IP全通過濾規(guī)則E．多播。測試項目多播測試日期測試內(nèi)容數(shù)據(jù)的轉(zhuǎn)發(fā)（分區(qū)方向的控制），組的加入。測試環(huán)境路由模式Linux，windows。規(guī)則指定－>－（＝>GDA）執(zhí)行操作在上，用mediaplayer建立一個多播站。播放影音文件。在上運行mplayer2正常播放。備注測試項目多播測試日期測試內(nèi)容分區(qū)方向的控制測試環(huán)境路由模式Linux，windows。規(guī)則指定－>－（內(nèi)網(wǎng)區(qū)域內(nèi)）執(zhí)行操作在0上用mediaplayer建立多播站，播放影音文件。在10.10.3訪問成功，可以正常觀看。備注測試項目多播測試日期測試內(nèi)容與下行流多播路由器的數(shù)據(jù)交換測試環(huán)境1.路由模式，windows。規(guī)則指定1.DMZ－>－（IN=>GDA）執(zhí)行操作在0上用mediaplayer建立多播站，播放影音文件。在0上運行mplayer210.10.30/,影音文件.測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果2.訪問成功，接收正常。3.不能成功.備注測試項目多播測試日期測試內(nèi)容多播樹的嫁接（多多播源，多接收端）測試環(huán)境路由模式Linux，windows。規(guī)則指定OUT－>－（IN=>GDA）IN－>－（OUT=>GDA）執(zhí)行操作在，上建立多播站。運行影音文件。在，先后運行mplayer:2再贅述.F．VPN測試項目TRUNK測試日期測試內(nèi)容跨越防火墻,完成同一VLAN內(nèi)的通信.測試環(huán)境橋模式Linux，windows。在兩交換機上將,設(shè)為同一VLAN100.將,設(shè)為同一VLAN200.與防火墻trunk連接.類型.規(guī)則指定1.允許.協(xié)議:tcp,icmp.2.。拒絕協(xié)議.tcp允許,icmp拒絕.執(zhí)行操作在上ping,telnet在上telnet,ping測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問全部成功。2Telnet成功.ping不成功.備注測試項目TRUNK,代理路由測試日期測試內(nèi)容跨越防火墻,完成同一VLAN內(nèi)的通信.測試環(huán)境橋模式Linux，windows。將與改IP為,.在兩交換機上將,設(shè)為同一VLAN100.將,設(shè)為同一VLAN200.規(guī)則指定.11-,協(xié)議:所有協(xié)議.2.允許.協(xié)議:tcp,icmp.3.拒絕執(zhí)行操作將防火墻內(nèi)外網(wǎng)卡分別綁定兩個IP地址和在上ping,telnet,ftp,和.在上pingtelnet在上pingtelnetftp.測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1訪問全部成功。2訪問成功.3所有操作都拒絕.備注G.內(nèi)容過濾測試項目內(nèi)容過濾測試日期測試內(nèi)容對SMTP,HTTP,FTP等應(yīng)用層進行過濾.測試環(huán)境路由,橋.Linux,Windows.規(guī)則指定在包過濾中添加相應(yīng)的過濾規(guī)則,其中對內(nèi)容,主題,附件,命令,都進行過濾.在此僅舉一例.其他不再贅述.-,HTTP:GET命令禁止.SMTP:主題病毒禁止.FTP:USER禁止.執(zhí)行操作在上.GET頁面禁止.在發(fā)mail到郵件服務(wù)器的主題為病毒的郵件.在..120上ftp.usertest測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1,2,3訪問都不成功。備注H.報警測試項目報警.測試日期測試內(nèi)容郵件,trap,蜂鳴等.。測試環(huán)境路由模式,橋模式.Linux，windows。規(guī)則指定設(shè)定相應(yīng)的報警mail.,trap接收地址.執(zhí)行操作在裝有OpenView等可以接收trap信息的主機上結(jié)束trap.在任意一臺主機上設(shè)置mail帳號為報警mail帳號,接收報警mail.當(dāng)進行相應(yīng)的報警操作,防火墻開始蜂鳴.測試結(jié)果步驟預(yù)期結(jié)果實測結(jié)果1,2,3可以完成.備注I審計測試項目審計.測試日期測試內(nèi)容對防火墻進行事件及訪問日志的審計.。測試環(huán)境路由模式,橋模式.Linux，windows。規(guī)則指定1查看全部時間日志,事件類型,事件來源全部..2.設(shè)置訪問日志,方向,原因,源IP地址不作為審計條件.目標(biāo)IP地址:協(xié)議全部.執(zhí)行操作查看.事件日志.在上進行ping,telnet,掃描等操作.測試