防火墻測(cè)試方案

文檔編號(hào)版本號(hào)/修改號(hào)密級(jí)產(chǎn)品名稱：共頁防火墻測(cè)試方案文檔作者： _日期：____/____/_項(xiàng)目經(jīng)理： _日期：____/____/_主管部長： _日期：____/____/_管理員： _日期：____/____/_廣東省電信公司科學(xué)技術(shù)研究院數(shù)據(jù)網(wǎng)絡(luò)部目錄TOC\o"1-5"\h\z\o"CurrentDocument"1 防火墻測(cè)試環(huán)境 1\o"CurrentDocument"防火墻測(cè)試網(wǎng)絡(luò)拓?fù)渑c工具 1\o"CurrentDocument"1.2 防火墻測(cè)試標(biāo)準(zhǔn) 3\o"CurrentDocument"防火墻廠家情況調(diào)查 4\o"CurrentDocument"參測(cè)的防火墻產(chǎn)品配置 5\o"CurrentDocument"防火墻產(chǎn)品功能驗(yàn)證測(cè)試 5\o"CurrentDocument"防火墻集中管理架構(gòu)的驗(yàn)證測(cè)試 6\o"CurrentDocument"防火墻多級(jí)管理員工作方式的驗(yàn)證測(cè)試 7\o"CurrentDocument"防火墻系統(tǒng)管理功能的驗(yàn)證測(cè)試 8\o"CurrentDocument"4.4 防火墻組網(wǎng)功能測(cè)試 9\o"CurrentDocument"4.5 防火墻通信協(xié)議兼容性測(cè)試 10\o"CurrentDocument"4.6 防火墻狀態(tài)檢測(cè)功能測(cè)試 12\o"CurrentDocument"4.7 防火墻用戶認(rèn)證功能測(cè)試 13\o"CurrentDocument"4.8 防火墻應(yīng)用代理功能測(cè)試 14\o"CurrentDocument"4.9 防火墻ActiveX/Java過濾功能測(cè)試 15\o"CurrentDocument"4.10 防火墻內(nèi)容/郵件過濾功能測(cè)試 16\o"CurrentDocument"4.11 防火墻日志審計(jì)功能測(cè)試 17\o"CurrentDocument"4.12 防火墻報(bào)警功能測(cè)試 19\o"CurrentDocument"4.13 防火墻雙機(jī)熱備的功能支持完整性測(cè)試 20\o"CurrentDocument"4.14 防火墻抗掉電性測(cè)試 21\o"CurrentDocument"4.15 防火墻VPN功能測(cè)試 22\o"CurrentDocument"4.16 防火墻地址翻譯功能測(cè)試 23\o"CurrentDocument"5 防火墻產(chǎn)品性能測(cè)試 24\o"CurrentDocument"5.1 防火墻吞吐量測(cè)試 25\o"CurrentDocument"5.2 防火墻背靠背緩存能力測(cè)試 26\o"CurrentDocument"防火墻最大的聯(lián)接建立速率測(cè)試 28\o"CurrentDocument"5.4 防火墻最大并發(fā)聯(lián)接數(shù)測(cè)試 29\o"CurrentDocument"5.5 防火墻有效通過率測(cè)試 30\o"CurrentDocument"5.6 混雜非法業(yè)務(wù)流條件下的防火墻聯(lián)接建立速率測(cè)試 31\o"CurrentDocument"5.7 防火墻延時(shí)參數(shù)測(cè)試 32\o"CurrentDocument"5.8 防火墻加密隧道的有效通過率測(cè)試 33\o"CurrentDocument"5.9 防火墻加密隧道延時(shí)參數(shù)測(cè)試 34\o"CurrentDocument"5.10 防火墻對(duì)DoS的防范能力測(cè)試 35\o"CurrentDocument"5.11 防火墻內(nèi)核最小化測(cè)試 36\o"CurrentDocument"5.12 防火墻雙機(jī)熱備切換時(shí)間測(cè)試 37\o"CurrentDocument"5.13 防火墻帶寬管理功能測(cè)試 38\o"CurrentDocument"5.14 防火墻集成IDS的有效通過率測(cè)試 39\o"CurrentDocument"5.15 防火墻集成防病毒功能的有效通過率測(cè)試 40防火墻測(cè)試環(huán)境防火墻測(cè)試網(wǎng)絡(luò)拓?fù)渑c工具防火墻產(chǎn)品的測(cè)試拓?fù)浞譃閱螜C(jī)測(cè)試條件下的拓?fù)洌▓D1）和雙機(jī)熱備條件下的測(cè)試拓?fù)洌▓D2）。信任區(qū)/非軍事區(qū)路由器/交換機(jī)I1EI測(cè)試主機(jī)a測(cè)試儀表信任區(qū)/非軍事區(qū)1^"防火墻aif信任區(qū)/非軍事區(qū)路由器/交換機(jī)I1EI測(cè)試主機(jī)a測(cè)試儀表信任區(qū)/非軍事區(qū)1^"防火墻aif 、\Subnet5測(cè)試主機(jī)b圖1.防火墻產(chǎn)品單機(jī)測(cè)試拓?fù)錅y(cè)試儀表j防火墻測(cè)試儀表j防火墻b|也II-圖2.雙機(jī)熱備條件下防火墻產(chǎn)品測(cè)試拓?fù)渲饕臏y(cè)試設(shè)備包括測(cè)試儀表、測(cè)試主機(jī)/服務(wù)器和路由器/交換機(jī)三大類。測(cè)試儀表包括IXIA、SmartBits和CawNetwork三種儀表。SmartBits是一款很好的網(wǎng)絡(luò)性能測(cè)試儀表，主要用于吞吐量、背對(duì)背幀緩沖能力的測(cè)試以及VPN的性能測(cè)試。IXIA主要是用于防火墻安全防范水平的測(cè)試,即利用IXIA的重放功能以及內(nèi)置的攻擊軟件包，測(cè)試防火墻抵御拒絕服務(wù)攻擊的能力。CawNetwork可以仿真批量的HTTP\HTTPs、FTP通信業(yè)務(wù),主要用于有效通過率、通信聯(lián)接建立速率和并發(fā)聯(lián)接數(shù)等性能測(cè)試。測(cè)試主機(jī)/服務(wù)器主要作為軟件測(cè)試工具的承載平臺(tái)。用到的軟件測(cè)試工具包括黑客攻擊軟件，主要是各種DoS軟件工具，用于發(fā)出實(shí)際的DoS攻擊流。網(wǎng)絡(luò)嗅探器Sniffer，用于監(jiān)測(cè)和分析網(wǎng)絡(luò)測(cè)試流。網(wǎng)絡(luò)掃描儀InternetScanner，用于評(píng)估防火墻系統(tǒng)內(nèi)核的安全水平。路由器/交換機(jī)是測(cè)試平臺(tái)的組網(wǎng)設(shè)備。1.2防火墻測(cè)試標(biāo)準(zhǔn)防火墻產(chǎn)品測(cè)評(píng)指針的制定主要參考了以下標(biāo)準(zhǔn)。1.GB/T18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求2.GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求FWPD：FirewallProductCertificationCriteriaVersion3.0aInternetDraft：BenchmarkingMethodologyforFirewallPerformance.RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.防火墻廠家情況調(diào)查防火墻廠家的情況調(diào)查主要包括：生產(chǎn)廠家及其售后服務(wù)、產(chǎn)品技術(shù)資料和產(chǎn)品的市場(chǎng)評(píng)價(jià)等內(nèi)容。防火墻廠家在測(cè)試前，應(yīng)當(dāng)如實(shí)回答以下問題：1）是否持有生產(chǎn)銷售該產(chǎn)品的合法營業(yè)執(zhí)照？2） 已通過何種質(zhì)量管理體系認(rèn)證？3）企業(yè)向市場(chǎng)提供那些安全產(chǎn)品？4） 企業(yè)生產(chǎn)經(jīng)營防火墻產(chǎn)品的時(shí)間？5）防火墻產(chǎn)品在同類產(chǎn)品中的市場(chǎng)占有率如何？（注明數(shù)據(jù)出處）6）是否提供產(chǎn)品使用的相關(guān)培訓(xùn)和技術(shù)支持？7） 產(chǎn)品售后跟蹤和維護(hù)渠道及方式如何？8）可提交那些相關(guān)的產(chǎn)品技術(shù)資料？

9）防火墻產(chǎn)品是否通過國家權(quán)威機(jī)構(gòu)的認(rèn)證？參測(cè)的防火墻產(chǎn)品配置產(chǎn)品型號(hào)操作系統(tǒng)和版本防火墻軟件版本首信防火墻CF2000CG-600linuxCF2000V2.1CPU類型與數(shù)目存儲(chǔ)類型和容量電源與環(huán)境要求施樂2.4G數(shù)目：1個(gè)內(nèi)存Kingstone內(nèi)存容量：2G硬盤:40G電源:400W以上服務(wù)器冗余電源工作溫度:0°C-40°C存儲(chǔ)溫度：-40°C-55°C工作相對(duì)濕度:30%-90%氣壓：86KPA-106KPA重量：15KG防火墻產(chǎn)品功能驗(yàn)證測(cè)試防火墻功能驗(yàn)證測(cè)試部分主要是通過實(shí)際配置防火墻系統(tǒng)，檢查配置參數(shù)，嘗試性操作以及發(fā)送驗(yàn)證業(yè)務(wù)流等手段，驗(yàn)證防火墻提供功能的合理性和完整性。防火墻集中管理架構(gòu)的驗(yàn)證測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻集中管理架構(gòu)的驗(yàn)證測(cè)試測(cè)試依據(jù)：測(cè)試目的：驗(yàn)證防火墻系統(tǒng)體系架構(gòu)層次的合理性測(cè)試步驟：搭建防火墻的集中管理平臺(tái)；針對(duì)測(cè)試表格的要求，驗(yàn)證防火墻的集中管理架構(gòu)。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注管理架構(gòu)<3層Yes()No()3層的管理體系Yes()No()帶外管理Yes()No()帶內(nèi)管理Yes()No()管理信道加密Yes()No()集中管理能力拓?fù)渖蒠es()No()全局朿略定制Yes()No()全局配置分發(fā)Yes()No()全局集中日志審計(jì)Yes()No()全局系統(tǒng)升級(jí)Yes()No()全局集中監(jiān)控Yes()No()防火墻多級(jí)管理員工作方式的驗(yàn)證測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻多級(jí)管理員工作方式的驗(yàn)證測(cè)試測(cè)試依據(jù)：測(cè)試目的：驗(yàn)證防火墻管理員權(quán)限的分割能力、管理員工作的保密性和操作界面的友好程度測(cè)試步驟：創(chuàng)建防火墻的各級(jí)管理員賬號(hào)，并進(jìn)行相關(guān)的管理操作；針對(duì)測(cè)試表格的要求，驗(yàn)證防火墻的多級(jí)管理員工作方式。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注管理員分級(jí)<3級(jí)Yes()No()大于3級(jí)的管理員體系Yes()No()自定義方式實(shí)現(xiàn)多級(jí)管理員體系Yes()No()管理員的接入安全一次性口令Yes()No()靜態(tài)口令Yes()No()口令長度大于7Yes()No()口令長度小于等于7Yes()No()有登錄嘗試次數(shù)限制Yes()No()信道加密Yes()No()密鑰長度128位以上Yes()No()密鑰長度56為以下Yes()No()管理員操作界面未優(yōu)化的命令行Yes()No()優(yōu)化的命令行Yes()No()英文窗口Yes()No()漢化窗口Yes()No()防火墻系統(tǒng)管理功能的驗(yàn)證測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻系統(tǒng)管理功能的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻提供的系統(tǒng)管理功能的完善程度測(cè)試步驟：利用防火墻網(wǎng)管系統(tǒng)遠(yuǎn)程配置防火墻；針對(duì)測(cè)試表格的要求，驗(yàn)證防火墻管理系統(tǒng)的管理功能。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注網(wǎng)絡(luò)接口與系統(tǒng)功能配置網(wǎng)絡(luò)拓?fù)滹@示Yes()No()（子）接口IP/MAC地址配置Yes()No()路由配置Yes()No()VPN功能配置Yes()No()NAT功能配置Yes()No()添加/清除虛擬防火墻Yes()No()故障監(jiān)測(cè)實(shí)時(shí)監(jiān)控Yes()No()告警指示Yes()No()系統(tǒng)升級(jí)全局分發(fā)Yes()No()在線升級(jí)Yes()No()管理員賬號(hào)的創(chuàng)建賬號(hào)增、刪、改Yes()No()賬號(hào)的分發(fā)Yes()No()安全策略配置支持基于端口、IP、對(duì)象、組的策略配置Yes()No()策略增、刪、改Yes()No()策略全局分發(fā)Yes()No()日志審計(jì)日志查閱、刪除Yes()No()不同管理系統(tǒng)日志審計(jì)的隔離Yes()No()防火墻組網(wǎng)功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻組網(wǎng)功能的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻參與網(wǎng)絡(luò)組織的能力測(cè)試步驟：配置防火墻；針對(duì)測(cè)試表格的要求，驗(yàn)證防火墻系統(tǒng)配置。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注接口W4個(gè)接口Yes()No(V)>4個(gè)接口Yes(V)No()支持子接口而且安全分區(qū)與接口無關(guān)Yes()No()組網(wǎng)協(xié)議靜態(tài)路由Yes(V)No()動(dòng)態(tài)路由Yes()No(V)物理結(jié)構(gòu)符合標(biāo)準(zhǔn)機(jī)架要求Yes(V)No()虛擬防火墻Yes()No(V)測(cè)試人員廠商代表防火墻通信協(xié)議兼容性測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻通信協(xié)議兼容性測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻支持的通信服務(wù)協(xié)議類型測(cè)試步驟：從防火墻的內(nèi)區(qū)到外區(qū)方向，建立相關(guān)協(xié)議的允許規(guī)則；從內(nèi)區(qū)的測(cè)試主機(jī)向外區(qū)主機(jī)，進(jìn)行規(guī)定協(xié)議的通信，同時(shí)，內(nèi)區(qū)的測(cè)試主機(jī)根據(jù)允許規(guī)則向所設(shè)定的目的地址主機(jī)發(fā)送規(guī)定協(xié)議以外的數(shù)據(jù)包；在通信過程中以及通信結(jié)束后，檢查防火墻的日志，同時(shí)，利用Sniffer在外區(qū)監(jiān)控業(yè)務(wù)數(shù)據(jù)流；根據(jù)測(cè)試表格的要求抽樣檢查常規(guī)的通信協(xié)議。預(yù)期測(cè)試結(jié)果：可以成功地進(jìn)行規(guī)定協(xié)議的通信，但是，規(guī)定以外的其他協(xié)議數(shù)據(jù)包應(yīng)當(dāng)被阻斷。測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和服務(wù)器。測(cè)試說明：

測(cè)試結(jié)果:測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注DNS代理Yes()No(V)支持指定端口或指定端口范圍的TCP或UDP狀態(tài)檢測(cè)。狀態(tài)檢測(cè)Yes(V)No()FTP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()HTTP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()HTTPs代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()RTTP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()IGMP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()NTP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()SNMP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()SIP代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()H.323代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()TCP任意代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()UDP任意代理Yes()No(V)狀態(tài)檢測(cè)Yes(V)No()其它任意代理Yes()No(V)支持ICMP過濾、IP包過濾。狀態(tài)檢測(cè)Yes(V)No()測(cè)試人員廠商代表防火墻狀態(tài)檢測(cè)功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻狀態(tài)檢測(cè)功能的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻狀態(tài)檢測(cè)功能的完備性測(cè)試步驟：從防火墻的內(nèi)區(qū)到外區(qū)方向，建立HTTP和TFTP的允許規(guī)則；從內(nèi)區(qū)的測(cè)試主機(jī)訪問外區(qū)的測(cè)試服務(wù)器，進(jìn)行網(wǎng)頁瀏覽和TFTP文件下載操作，同時(shí)，內(nèi)區(qū)的測(cè)試主機(jī)根據(jù)允許規(guī)則向所設(shè)定的目的地址主機(jī)發(fā)送規(guī)定協(xié)議以外的數(shù)據(jù)包；在通信過程中以及通信結(jié)束后，檢查防火墻的日志以及狀態(tài)聯(lián)接表，同時(shí)，利用Sniffer在外區(qū)監(jiān)控業(yè)務(wù)數(shù)據(jù)流；在上述操作過程中，根據(jù)測(cè)試表格的要求檢查系統(tǒng)的配置功能。預(yù)期測(cè)試結(jié)果：在網(wǎng)頁瀏覽和TFTP文件下載操作過程中，應(yīng)生成相應(yīng)的狀態(tài)聯(lián)接表項(xiàng)，但是，內(nèi)區(qū)向外區(qū)發(fā)送的規(guī)定以外的其他協(xié)議數(shù)據(jù)包應(yīng)當(dāng)被阻斷；在通信結(jié)束后，相應(yīng)的狀態(tài)聯(lián)接表項(xiàng)隨后也被清除。測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器。測(cè)試說明：測(cè)試結(jié)果:測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注條件域源地址/端口Yes(V)No()目的地址/端口Yes(V)No()協(xié)議Yes(V)No()選項(xiàng)域日志Yes(V)No()時(shí)間Yes(V)No()告警Yes()No(V)動(dòng)作域允許Yes(V)No()禁止Yes(V)No()狀態(tài)檢測(cè)TCPYes(V)No()UDPYes(V)No()ICMP協(xié)議過濾Yes(V)No()測(cè)試人員防火墻用戶認(rèn)證功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻用戶認(rèn)證的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻用戶認(rèn)證功能實(shí)現(xiàn)方式的完整性測(cè)試步驟：配置認(rèn)證服務(wù)器，建立認(rèn)證用戶賬號(hào)；利用測(cè)試主機(jī)和測(cè)試服務(wù)器，仿真用戶在認(rèn)證后通過防火墻訪問服務(wù)器的通信過程，查看防火墻日志記錄，確認(rèn)用戶成功認(rèn)證；針對(duì)測(cè)試表格的要求，完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器。測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注Radius認(rèn)證會(huì)話認(rèn)證Yes()No(V)采用自主開發(fā)的一次性口令認(rèn)證技術(shù)，支持事前認(rèn)證。事前認(rèn)證Yes()No(V)WindowsNT域用戶認(rèn)證會(huì)話認(rèn)證Yes()No(V)事前認(rèn)證Yes()No(V)測(cè)試人員廠商代表防火墻應(yīng)用代理功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻應(yīng)用代理功能測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻的應(yīng)用代理功能的覆蓋范圍和工作方式測(cè)試步驟：配置防火墻的應(yīng)用代理功能；利用測(cè)試主機(jī)與測(cè)試服務(wù)器建立通信過程；檢查代理狀態(tài)，確認(rèn)代理按配置要求正常工作；根據(jù)測(cè)試表格的要求，完成各項(xiàng)代理功能的測(cè)試。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器，用于生成驗(yàn)證業(yè)務(wù)流。測(cè)試說明：測(cè)試結(jié)果：不支持。測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注HTTP透明代理Yes()No()可以切換到狀態(tài)檢測(cè)模式Y(jié)es()No()FTP透明代理Yes()No()可以切換到狀態(tài)檢測(cè)模式Y(jié)es()No()TELNET透明代理Yes()No()可以切換到狀態(tài)檢測(cè)模式Y(jié)es()No()SMTP透明代理Yes()No()可以切換到狀態(tài)檢測(cè)模式Y(jié)es()No()POP3透明代理Yes()No()可以切換到狀態(tài)檢測(cè)模式Y(jié)es()No()4.9防火墻ActiveX/Java過濾功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻ActiveX/Java過濾功能的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試ActiveX/Java過濾功能與防火墻功能的集成度以及功能的有效性。測(cè)試步驟：配置防火墻功能和ActiveX/Java過濾功能，使之正常工作；傳送非法URL或含有非法ActiveX/Java代碼的網(wǎng)頁，檢查ActiveX/Java過濾的有效性。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器，用于生成驗(yàn)證的業(yè)務(wù)流。測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注集成方式防火墻事后阻斷YesONo(V)防火墻事前阻斷Yes(V)No()ActiveX/Java過濾模塊以第二方廠豕產(chǎn)品方式存在YesONo(V)支持標(biāo)準(zhǔn)接口的ActiveX/Java過濾產(chǎn)品YesONo(V)兩種功能模塊集成在一個(gè)機(jī)箱內(nèi)Yes(V)No()功能效果非法ActiveX編碼過濾YesONo(V)非法Java編碼過濾YesONo(V)非法URL過濾Yes(V)No()非法腳本過濾YesONo(V)基于源地址實(shí)現(xiàn)封堵Yes(V)No()基于源端口實(shí)現(xiàn)封堵Yes(V)No()基于目的地址實(shí)現(xiàn)封堵Yes(V)No()基于目的端口實(shí)現(xiàn)封堵Yes(V)No()基于時(shí)間實(shí)現(xiàn)封堵Yes(V)No()防火墻內(nèi)容/郵件過濾功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻內(nèi)容/郵件過濾的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試內(nèi)容/郵件過濾功能與防火墻功能的集成度以及功能的有效性測(cè)試步驟：配置防火墻功能和內(nèi)容/郵件過濾功能，使之正常工作；傳送非法郵件或內(nèi)容信息，檢查內(nèi)容/郵件過濾的有效性。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器，用于生成驗(yàn)證的業(yè)務(wù)流。測(cè)試說明：測(cè)試結(jié)果：不支持。測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注集成方式防火墻事后阻斷Yes()No()防火墻事前阻斷Yes()No()內(nèi)容/郵件過濾模塊以第二方廠家產(chǎn)品方式存在Yes()No()支持標(biāo)準(zhǔn)接口的內(nèi)容/郵件過濾產(chǎn)品Yes()No()兩種功能模塊集成在一個(gè)機(jī)箱內(nèi)Yes()No()功能效果非法關(guān)鍵字內(nèi)容過濾Yes()No()含病毒郵件附件過濾Yes()No()非法郵件地址過濾Yes()No()基于源地址實(shí)現(xiàn)封堵Yes()No()基于源端口實(shí)現(xiàn)封堵Yes()No()基于目的地址實(shí)現(xiàn)封堵Yes()No()基于目的端口實(shí)現(xiàn)封堵Yes()No()基于時(shí)間實(shí)現(xiàn)封堵Yes()No()防火墻日志審計(jì)功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻日志審計(jì)的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻日志審計(jì)功能的完善程度。測(cè)試步驟：查閱日志信息，檢查日志審計(jì)工具；根據(jù)測(cè)試表格要求，分別進(jìn)行登錄/退出防火墻、啟動(dòng)/停止系統(tǒng)功能、配置安全規(guī)則、配置審計(jì)功能等操作，檢查日志信息；生成惡意事件，發(fā)送驗(yàn)證業(yè)務(wù)流，檢查受監(jiān)控通信過程的日志記錄信息。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器，用于生成驗(yàn)證業(yè)務(wù)流。測(cè)試說明：

測(cè)試結(jié)果:測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注審計(jì)界面漢化界面Yes(V)No()英文界面YesONo(V)查閱方式分類查閱Yes(V)No()僅基于給定的關(guān)鍵詞作檢索。關(guān)鍵字檢索Yes(V)No()日志分析工具的支持自帶分析工具Yes(V)No()提供第三方工具接口YesONo(V)日志存儲(chǔ)方式本機(jī)存儲(chǔ)YesONo(V)存儲(chǔ)采用Linux的MySQL數(shù)據(jù)庫。輸出文本存儲(chǔ)YesONo(V)輸出數(shù)據(jù)庫存儲(chǔ)Yes(V)No()登錄防火墻的日志登錄時(shí)間Yes(V)No()登錄賬號(hào)Yes(V)No()登錄成功/失敗信息Yes(V)No()退出防火墻的日志退出時(shí)間Yes(V)No()退出賬號(hào)Yes(V)No()功能啟動(dòng)的日志啟動(dòng)時(shí)間Yes(V)No()操作員標(biāo)識(shí)Yes(V)No()功能停止的日志停止時(shí)間Yes(V)No()操作員標(biāo)識(shí)Yes(V)No()安全規(guī)則配置的記錄配置時(shí)間Yes(V)No()操作員標(biāo)識(shí)Yes(V)No()增、刪、改Yes(V)No()初始化配置的記錄配置時(shí)間Yes(V)No()操作員標(biāo)識(shí)Yes(V)No()增、刪、改Yes(V)No()審計(jì)功能配置的記錄配置時(shí)間Yes(V)No()操作員標(biāo)識(shí)Yes(V)No()增、刪、改Yes(V)No()被監(jiān)控聯(lián)接的日志起/止時(shí)間Yes(V)No()源/目的IP地址Yes(V)No()源/目的端口Yes(V)No()攻擊事件的日志事件發(fā)生時(shí)間Yes(V)No()所有攻擊事件僅限于打開入侵檢測(cè)模塊所能監(jiān)測(cè)到的違規(guī)行為。事件類型Yes(V)No()防火墻報(bào)警功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻報(bào)警功能測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻報(bào)警功能的報(bào)警觸發(fā)條件和報(bào)警方式。測(cè)試步驟：設(shè)置防火墻的報(bào)警觸發(fā)條件；生成報(bào)警事件，檢查報(bào)警效果；根據(jù)測(cè)試表格要求，完成上述測(cè)試。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：不支持。測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注觸發(fā)條件設(shè)定的被監(jiān)控的安全事件Yes()No()設(shè)備功能模塊故障Yes()No()線路故障Yes()No()報(bào)警方式手機(jī)Yes()No()郵件Yes()No()界面顯示Yes()No()可擴(kuò)展報(bào)警方式Y(jié)es()No()防火墻雙機(jī)熱備的功能支持完整性測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻雙機(jī)備份的測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試雙機(jī)熱備對(duì)防火墻其他功能模塊支持的完整性測(cè)試步驟：把兩臺(tái)防火墻配置在雙機(jī)熱備狀態(tài)；根據(jù)測(cè)試表格要求，在主工作狀態(tài)的防火墻上，分別配置各種功能模塊，校驗(yàn)主備防火墻之間工作狀態(tài)一致性的維持情況。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：不支持。測(cè)試項(xiàng)測(cè)試結(jié)果測(cè)試項(xiàng)測(cè)試結(jié)果邏輯子接口人工同步Y(jié)es()No()認(rèn)證人工同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()路由人工同步Y(jié)es()No()安全策略表人工同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()虛擬防火墻子系統(tǒng)人工同步Y(jié)es()No()聯(lián)接狀態(tài)表人工同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()NAT人工同步Y(jié)es()No()日志人工同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()VPN人工同步Y(jié)es()No()管理員賬號(hào)人工同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()自動(dòng)同步Y(jié)es()No()代理人工同步Y(jié)es()No()備注自動(dòng)同步Y(jié)es()No()不支持。防火墻抗掉電性測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻抗掉電測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試掉電這一異常事故對(duì)防火墻的影響。測(cè)試步驟：對(duì)工作中的防火墻實(shí)施掉電操作；對(duì)掉電的防火墻恢復(fù)供電，根據(jù)測(cè)試表格要求檢查系統(tǒng)的狀態(tài)和配置信息。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)測(cè)試用例測(cè)試結(jié)果備注對(duì)系統(tǒng)的影響日志丟失Yes()No(V)本機(jī)不存儲(chǔ)日志，放在外接日志服務(wù)器中。接口配置信息丟失Yes()No(V)網(wǎng)絡(luò)功能模塊配置信息丟失Yes()No(V)安全策略模塊配置信息丟失Yes()No(V)審計(jì)模塊配置信息丟失Yes()No(V)系統(tǒng)用戶配置信息丟失Yes()No(V)系統(tǒng)恢復(fù)能力報(bào)警Yes()No(V)需要重新調(diào)整配置Yes()No(V)4?15防火墻VPN功能測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻VPN功能測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻與VPN網(wǎng)關(guān)的集成方式以及VPN功能實(shí)現(xiàn)的完整性。測(cè)試步驟：在防火墻上配置Site-to-Site的VPN隧道，對(duì)VPN隧道接口施加安全策略；針對(duì)測(cè)試表格檢查VPN的配置；利用測(cè)試主機(jī)穿過VPN隧道進(jìn)行正常的網(wǎng)頁訪問，確認(rèn)VPN隧道工作正常，同時(shí)，利用Sniffer確認(rèn)傳送資料被正確加密。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備測(cè)試主機(jī)和測(cè)試服務(wù)器測(cè)試說明：測(cè)試結(jié)果：不支持。測(cè)試項(xiàng)功能類型測(cè)試結(jié)果備注VPN工作方式支持隧道VPNYes()No()支持傳輸VPNYes()No()VPN交換Yes()No()加密算法DES/3DESYes()No()AESYes()No()國內(nèi)加密算法Yes()No()密鑰管理PKIYes()No()4.16防火墻地址翻譯功能測(cè)試測(cè)試編號(hào)：測(cè)試組：測(cè)試防火墻的地址翻譯功能測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻是否具備完整的地址翻譯功能以及NAT配置的靈活性。測(cè)試步驟：在防火墻的內(nèi)區(qū)與外區(qū)之間的通信接口上配置地址翻譯功能；發(fā)送業(yè)務(wù)流，用Sniffer確認(rèn)地址翻譯成功；按測(cè)試表格內(nèi)容驗(yàn)證地址翻譯功能。預(yù)期測(cè)試結(jié)果：防火墻應(yīng)當(dāng)能全面支持測(cè)試表格所列的地址翻譯功能。測(cè)試準(zhǔn)備：需要Sniffer嗅探器以及用來生成業(yè)務(wù)流的測(cè)試主機(jī)和服務(wù)器。測(cè)試說明：測(cè)試結(jié)果：測(cè)試項(xiàng)目驗(yàn)證結(jié)果雙向與接口無關(guān)靜態(tài)1對(duì)1NATYes(V)No()Yes(V)No()Yes()No(v)動(dòng)態(tài)1對(duì)多NATYes(V)No()Yes()No(V)Yes()No(v)動(dòng)態(tài)多對(duì)多NATYes(V)No()Yes()No(v)Yes()No(v)PATYes(V)No()Yes(v)No()Yes()No(v)防火墻產(chǎn)品性能測(cè)試防火墻產(chǎn)品的性能測(cè)試是在功能測(cè)試完成的基礎(chǔ)上，考察防火墻產(chǎn)品部署后對(duì)正常網(wǎng)絡(luò)通信在性能方面的影響程度，同時(shí)防火墻本身的安全性和可靠性也是性能測(cè)試的一項(xiàng)重要內(nèi)容。防火墻吞吐量測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.測(cè)試目的：測(cè)試防火墻在不丟包條件下能達(dá)到的最大的資料包轉(zhuǎn)發(fā)速率。測(cè)試步驟：在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置一條雙向的全允許規(guī)則；采用測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；利用儀表，發(fā)送雙向的UDP測(cè)試數(shù)據(jù)流，搜索接口的吞吐量，采樣時(shí)長設(shè)置為30秒；分別對(duì)64、128、256、512、1024、1280、1518字節(jié)的測(cè)試幀，重復(fù)上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試包應(yīng)當(dāng)能夠通過防火墻。但是，在短幀和1518字節(jié)幀長條件下，測(cè)試結(jié)果可能達(dá)不到接口線速。測(cè)試準(zhǔn)備：需要準(zhǔn)備一臺(tái)SmartBits測(cè)試儀。測(cè)試說明：測(cè)試結(jié)果：幀長（字節(jié)）64128256512102412801518一對(duì)光纖接口的平均吞吐量（％）100100100100100100100整機(jī)的平均吞吐量（％）100100100100100100100整機(jī)支持2對(duì)光纖接口。測(cè)試人員廠商代表防火墻背靠背緩存能力測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.測(cè)試目的：測(cè)試防火墻按最小幀間隔轉(zhuǎn)發(fā)突發(fā)資料而不引起丟包的最大突發(fā)資料長度。測(cè)試步驟：在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置一條雙向的全允許規(guī)則；采用測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；利用儀表，發(fā)送雙向的UDP測(cè)試數(shù)據(jù)流，搜索接口的背靠背緩沖值，采樣時(shí)長設(shè)置為2秒；分別對(duì)64、128、256、512、1024、1280、1518字節(jié)的測(cè)試幀，重復(fù)上述測(cè)試過程各5次。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備一臺(tái)SmartBits測(cè)試儀。測(cè)試說明：測(cè)試結(jié)果:幀長（字節(jié)）64128256512102412801518背靠背緩沖幀29761901689190905798469924239464192308162548數(shù)目（Frames）/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/16254829761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/162548平均值29761901689190905798469924239464192308162548/2976190/1689190/905798/469924/239464/192308/162548整機(jī)測(cè)試值與上述一樣。測(cè)試人員：廠商代表：防火墻最大的聯(lián)接建立速率測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.測(cè)試目的：測(cè)試防火墻能達(dá)到的最大的TCP聯(lián)接建立速率。測(cè)試步驟：在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置雙向的安全規(guī)則，測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；采用測(cè)試儀表仿真客戶端與服務(wù)器之間的TCP通信過程。通過調(diào)節(jié)通信聯(lián)接的建立速率，搜索防火墻能支持的最大的聯(lián)接建立速率。分別在設(shè)置一條全允許規(guī)則和設(shè)置80條安全控制規(guī)則的條件下，完成上述測(cè)試過程，其中，80條安全規(guī)則內(nèi)含40條允許規(guī)則和40條禁止規(guī)則，允許規(guī)則和禁止規(guī)則需交替配置。預(yù)期測(cè)試結(jié)果：硬件防火墻應(yīng)當(dāng)能支持至少每秒上千個(gè)TCP聯(lián)接的建立。如果達(dá)到防火墻支持的TCP聯(lián)接建立速率的峰值，防火墻應(yīng)當(dāng)能繼續(xù)保持在正常的工作狀態(tài)。測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)仿真客戶端，一臺(tái)仿真服務(wù)器端測(cè)試說明：測(cè)試結(jié)果：一條全允許規(guī)則條件下，最大的通信聯(lián)接建立速率 6667 Connections/Sec250條允許規(guī)則條件下，最大的通信聯(lián)接建立速率 Connections/Sec測(cè)試人員廠商代表防火墻最大并發(fā)聯(lián)接數(shù)測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.測(cè)試目的：測(cè)試防火墻能支持的最大的并發(fā)TCP聯(lián)接數(shù)目。測(cè)試步驟：在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置一條雙向的全允許規(guī)則，測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；采用測(cè)試儀表仿真客戶端與服務(wù)器之間的TCP通信過程。在保持舊的通信會(huì)話聯(lián)接仍有效的基礎(chǔ)上，儀表以批量方式增加新的通信會(huì)話過程，通過調(diào)整批量的大小，搜索防火墻能支持的最大的有效TCP并發(fā)聯(lián)接數(shù)目。預(yù)期測(cè)試結(jié)果：硬件防火墻應(yīng)支持最少十萬條有效的并發(fā)TCP聯(lián)接數(shù)目。在達(dá)到最大的TCP并發(fā)聯(lián)接數(shù)目時(shí)，防火墻應(yīng)當(dāng)能繼續(xù)保持在正常的工作狀態(tài)。測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)仿真客戶端，一臺(tái)仿真服務(wù)器端測(cè)試說明：測(cè)試結(jié)果：最大的有效TCP并發(fā)聯(lián)接數(shù)目 〉50萬 Connections測(cè)試人員廠商代表防火墻有效通過率測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.測(cè)試目的：測(cè)試防火墻一次性成功轉(zhuǎn)發(fā)HTTP通信會(huì)話資料的最大速率。測(cè)試步驟：在防火墻的內(nèi)區(qū)到外區(qū)方向設(shè)置一條HTTP允許規(guī)則，測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；通過調(diào)整通信量，搜索峰值的有效通過率；調(diào)整TCP最大傳輸數(shù)據(jù)塊大小，分別在198、454、966、1222、1460條件下，完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)仿真客戶端，一臺(tái)仿真服務(wù)器端測(cè)試說明：測(cè)試結(jié)果：MSS(Byte)19845496612221460HTTP有效通過率(Mbps)260.5638956.9960.6964.8混雜非法業(yè)務(wù)流條件下的防火墻聯(lián)接建立速率測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.測(cè)試目的：測(cè)試混雜了等量的非法通信的條件下，防火墻能達(dá)到的最大的TCP聯(lián)接建立速率。測(cè)試步驟：在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置40條允許規(guī)則和40條禁止規(guī)則，其中，40條允許規(guī)則和40條禁止規(guī)則交替配置，測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；采用測(cè)試儀表按一定速率仿真客戶端與服務(wù)器之間的TCP通信過程。所有的通信由等量的合法通信過程和非法通信過程混雜而成。通過變更通信聯(lián)接的建立速率，搜索防火墻可支持的最大TCP聯(lián)接建立速率。要求所有合法通信過程均可一次性成功完成，同時(shí)，所有非法通信過程被成功阻斷。預(yù)期測(cè)試結(jié)果：本項(xiàng)測(cè)試的結(jié)果可能會(huì)小于無非法通信聯(lián)接條件下測(cè)得的結(jié)果。如果達(dá)到防火墻支持的TCP聯(lián)接建立速率的峰值，防火墻應(yīng)當(dāng)能繼續(xù)保持在正常的工作狀態(tài)。測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)仿真客戶端，一臺(tái)仿真服務(wù)器端測(cè)試說明：測(cè)試結(jié)果：混雜非法聯(lián)接條件下，最大的通信聯(lián)接建立速率 6278 Connections/Sec防火墻延時(shí)參數(shù)測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻基本通信性能測(cè)試測(cè)試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices測(cè)試目的：測(cè)試防火墻的通信包轉(zhuǎn)發(fā)延時(shí)。測(cè)試步驟：采用與吞吐量測(cè)試相同的配置，穩(wěn)定在吞吐量的峰值，無丟包條件下持續(xù)測(cè)試10秒，統(tǒng)計(jì)包轉(zhuǎn)發(fā)延時(shí)；調(diào)整通信幀長，分別在64、128、256、512、1024、1280、1518條件下，完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備一臺(tái)SmartBits測(cè)試儀測(cè)試說明：測(cè)試結(jié)果：幀長(Byte)64128256512102412801518一對(duì)光口包轉(zhuǎn)發(fā)延時(shí)CT(us)4.56.09.015.326.030.033.9一對(duì)光口包轉(zhuǎn)發(fā)延時(shí)S&F(us)4.05.07.011.317.919.821.8整機(jī)包轉(zhuǎn)發(fā)延時(shí)CT(us)15.425.930.033.8整機(jī)包轉(zhuǎn)發(fā)延時(shí)S&F(us)11.417.819.821.7測(cè)試人員廠商代表防火墻加密隧道的有效通過率測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻加密隧道通信性能測(cè)試測(cè)試依據(jù)：InternetDraft：BenchmarkingMethodologyforFirewallPerformance.測(cè)試目的：測(cè)試通過防火墻加密隧道的HTTP數(shù)據(jù)傳輸?shù)淖畲笥行俾?。測(cè)試步驟：在兩臺(tái)防火墻的外區(qū)接口之間建立一定數(shù)目的VPN加密隧道，把儀表分別與兩臺(tái)防火墻的內(nèi)區(qū)接口相連；采用測(cè)試儀表仿真客戶端與服務(wù)器之間的HTTP通信過程，保持HTTP會(huì)話均勻分布在每個(gè)VPN隧道上；通過調(diào)整通信量,，搜索峰值的有效通過率；調(diào)整TCP最大傳輸數(shù)據(jù)塊大小，分別在198、454、966、1222、1460條件下，完成上述測(cè)試過程。分別配置一條和10條VPN加密隧道，進(jìn)行上述測(cè)試。預(yù)期測(cè)試結(jié)果：在VPN加密隧道的條件下，測(cè)得的有效通過率可能有大幅度的下降。測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)仿真客戶端，一臺(tái)仿真服務(wù)器端測(cè)試說明：在10條VPN加密隧道條件下測(cè)得的有效通過率，需要折算為每條VPN隧道的有效通過率。測(cè)試結(jié)果：MSS(Byte)19845496612221460一條VPN加密隧道下，HTTP有效通過率（bps）不支持VPN。防火墻加密隧道延時(shí)參數(shù)測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻加密隧道通信性能測(cè)試測(cè)試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices測(cè)試目的：測(cè)試通過防火墻加密隧道的數(shù)據(jù)包轉(zhuǎn)發(fā)延時(shí)。測(cè)試步驟：在兩臺(tái)防火墻的外區(qū)接口之間建立一條VPN加密隧道，把儀表分別與兩臺(tái)防火墻的內(nèi)區(qū)接口相連；采用與吞吐量測(cè)試相同的配置，穩(wěn)定在吞吐量的峰值，無丟包條件下持續(xù)測(cè)試10秒，統(tǒng)計(jì)包轉(zhuǎn)發(fā)延時(shí)；調(diào)整通信幀長，分別在64、128、256、512、1024、1280、1518條件下，完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備SmartBits測(cè)試儀測(cè)試說明：測(cè)試結(jié)果：幀長(Byte)64128256512102412801518VPN加密隧道方向一的包轉(zhuǎn)發(fā)延時(shí)(us)VPN加密隧道方向二的包轉(zhuǎn)發(fā)延時(shí)(us)不支持VPN。5?10防火墻對(duì)DoS的防范能力測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻抗DoS攻擊測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻對(duì)拒絕服務(wù)攻擊的防范能力。測(cè)試步驟：防火墻配置一條全允許規(guī)則，測(cè)試儀表與防火墻的外區(qū)和內(nèi)區(qū)接口相連，并且仿真從外區(qū)到內(nèi)區(qū)服務(wù)器瀏覽網(wǎng)頁的正常通信過程；利用DoS攻擊工具從外區(qū)向被保護(hù)的內(nèi)區(qū)發(fā)起拒絕服務(wù)攻擊；在攻擊過程中，搜索最大的有效TCP聯(lián)接建立速率和最大的有效數(shù)據(jù)傳輸速率，并且統(tǒng)計(jì)滲透到內(nèi)區(qū)的攻擊包數(shù)目；分被針對(duì)Synflood、Pingflood、Udpflood、Landattack、Smurfattack、TearDrop、PingofDeath等DoS攻擊完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要準(zhǔn)備兩臺(tái)CawNetwork測(cè)試儀，一臺(tái)用于仿真客戶端，一臺(tái)用于仿真服務(wù)器端，同時(shí)需要準(zhǔn)備DoS攻擊工具。測(cè)試說明：有效通過率的測(cè)試網(wǎng)頁大小為10K字節(jié)，聯(lián)接建立速率的測(cè)試網(wǎng)頁大小為1字節(jié)。測(cè)試結(jié)果：對(duì)于下述DoS攻擊，防火墻不產(chǎn)生日志。攻擊類型有效通過率(bps)最大聯(lián)接建立速率發(fā)出的DoS攻擊包數(shù)目滲透的DoS攻擊包數(shù)目Pingflood962.8M6762Consps179597pps30ppsSynflood962.8M6762Consps94554pps91988ppsUnreachablehostattack962.8M6762Consps2pps0Landattack962.8M6762Consps179597pps0Smurfattack962.8M6762Consps94554pps0TearDrop962.8M6762Consps6pps6ppsPingofDeath962.8M6762Consps94pps0防火墻內(nèi)核最小化測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻內(nèi)核最小化安全評(píng)估測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻軟件及其使用的操作系統(tǒng)的安全程度。測(cè)試步驟：利用InternetScanner對(duì)處于工作狀態(tài)的防火墻仿真黑客攻擊;統(tǒng)計(jì)檢測(cè)到的漏洞預(yù)期測(cè)試結(jié)果：測(cè)試準(zhǔn)備：需要InternetScanner工具軟件。測(cè)試說明：測(cè)試結(jié)果：序號(hào)漏洞類型序號(hào)漏洞類型1LR OpensshRunning V=OpenSSH3.5p12LRIcmpTstamp3LRApacheRunningApache_v=1.3.27(Unix)PHP/4.2.3mod_ssl/2.8.12OpenSSL/O.9.6h4LRTraceroute5MRHttpTraceEnabledport=4436MRsyslogflood防火墻雙機(jī)熱備切換時(shí)間測(cè)試測(cè)試編號(hào)：測(cè)試組：防火墻雙機(jī)備份測(cè)試測(cè)試依據(jù)：測(cè)試目的：測(cè)試防火墻產(chǎn)品雙機(jī)熱備的切換時(shí)間。測(cè)試步驟：把兩臺(tái)防火墻配置在一主一備的雙機(jī)熱備狀態(tài)；測(cè)試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連，利用儀表產(chǎn)生恒定的UDP業(yè)務(wù)流；在主工作狀態(tài)的防火墻上生成故障，觸發(fā)主備切換，待系統(tǒng)穩(wěn)定后，根據(jù)丟包數(shù)目計(jì)算切換時(shí)間；重新產(chǎn)生恒定的UDP業(yè)務(wù)流，故障恢復(fù)，待系統(tǒng)穩(wěn)定后，根據(jù)丟包數(shù)目計(jì)算故障恢復(fù)的切換時(shí)間；分別針對(duì)外區(qū)/內(nèi)區(qū)接口故障、管理或DMZ接口故障、設(shè)備掉電，完成上述測(cè)試過程。預(yù)期測(cè)試結(jié)果：切換時(shí)長可能在數(shù)秒的范圍內(nèi)，與故障類型會(huì)有關(guān)聯(lián)。切換時(shí)長越短越好。測(cè)試準(zhǔn)備：需要一臺(tái)SmartBits測(cè)試儀測(cè)試說明：部分防火墻產(chǎn)品