合勤UTM测试报告.doc

合勤utm测试报告1. utm产品介绍目前，市面上大多数的 utm产品具备了网络防火墙、vpn、网络入侵检测/防御和网关防病毒等多项基本的功能。同时，很多utm产品还集成了常用的反垃圾邮件、web内容过滤等模块。另外，诸如安全管理、日志、策略管理、服务质量（qos）、负载均衡、高可用性（ha）和带宽管理等其他特性，也逐步加入了utm产品中。2. 测试目标合勤utm在前期测试时，由于zywall 70产品未配备turbo卡，所以主要只测试了操作界面、产品的性能和vpn功能，主要的utm功能没有测试，因此此次测试主要涉及utm功能和在实际使用环境中的测试。主要功能测试如下l 网络功能l 防火墙功能l idp功能l 内容过滤l 高级功能测试l 防垃圾邮件功能l 防病毒功能l 实际环境测试3. 测试网络拓扑按照zywall 70的功能其测试网络拓扑设计如下：4. 测试过程及结果4.1. 网络功能zywall支持多wan口，支持主从备份、负载均衡和流量重定向三种模式4.1.1. 主从备份模式主从备份模式下，通过设置wan口的优先级，可以达到在正常情况下，所有流量只通过主wan口，一旦主wan口出现故障时，启用备份wan口，主wan口恢复时，流量又回到主wan口。测试时设置wan1口为主wan口，优先级为1，wan2口为备份wan口，优先级为21、 在正常情况下，数据应该走wan1，我们用ping测试网络连通用tracert测试路由断开wan1，测试：再接通wan1测试结果：zywall能达到主从备份功能，但从ping的过程可以看到主从切换有一定的延时，造成网络丢包，而且tracert的第1跳路由延时很大。这可能与连线检查设置有关。4.1.2. 负载均衡模式负载均衡模式支持负载最小优先、比重分配、基于溢出三种算法测试时选用了其中一种按比重分配算法：正常情况下，数据路由能下分别走wan1和wan2：wan1断线：测试结果：有负载均衡功能，支持其中一个出口断线时自动转到另一个出口，但切换过程延时较大会有丢包。4.1.3. 流量重定向，流量重定向功能可实现在防火墙wan口失效时，将数据转发到另外一台网关设备，从而不会造成网络中断。因测试环境问题，我们只测试了在目标镜像地址上抓包观察。测试结果：支持流量重定向功能4.2. 防火墙功能测试防火墙功能提供了不同区域之间详尽的访问规则，应对管理员的不同需求，但测试过程中发现，尽管开了wan口允许ping但仍无法从外网ping通防火墙,而防火墙上面也没有网络诊断的工具，给排障造成非常不便，这可能是防火墙的小bug。4.3. idp功能入侵检测与保护功能提供了位于不同区域的保护选项，特征保护码有1960条之多。按功能分为ddos bufferoverflow accesscontrol scan trojanhorse p2p im virusworm porn webattacks spam等。针对每一个特征码，可以选择是否激活、日志、警示，保护动作可有：no action,drop packet,drop session,reset sender,reset receiver,reset both。ddos攻击防火墙首先失去反应查看报告可发现ddos攻击测试结果：抗ddos功能可以，但性能太差。网络扫描测试，通过网络扫描软件，可以模拟出许多网络攻击，我们用xscan测试zywall反应：但同时也有些误报测试过程中发现，日志留存时间太短，看不到之前的攻击日志，威胁报告最多只有top 10攻击的报告，要看到完全详细的日志只能将日志传送到syslog日志服务器上，再通过日志分析软件分析统计。结合一些企业需求应用1封堵p2p软件将p2p类特征码动作全改为丢弃封包上bt网站下载种子仍然可以下载但速度非常慢，基本上不能正常下载。运行pplive网络电视软件im软件qq但qq仍能登录，并聊天，但经常断线，信息有时发不出去，文件传输则不能传。msn则不能登录测试结果：总体来说入侵检测与保护功能比较全面，但存在问题很多，最明显的是性能问题，以及一些误判、漏报。日志和报表不够具体全面。4.4. 内容过滤内容过滤可包括过滤vpn封包，并可拦截activex java applet cookies web proxy等，它还包括一个外部的网址库，厂家已经将其分好类，因为这个数据库由厂家自已维护，你只能查询某些网址是否会被拦截。当然还可以定制，可以定制信任网站、禁用网站和关键字拦截由于厂家的内容过滤服务已效所以其定内的过滤库无法测试测试了定制功能禁止上163.一样被过滤可见它使用的是模糊匹配方式关键字过滤添加关键字不能添加中文字，提示有非法字符，估计与ie的编码方式有关：用关键字unix测试google搜索unixnet可见关键字过滤不但包含网站url还包含网页内容，而且是模糊匹配。测试结果：支持模糊匹配的内容过滤，但对中文不支持。4.5. 高级功能测试nat地址映射可设置单机最大并发进程数，可有效控制网络的使用，在地址映射里可以设置ip地址池，端口转发里可设置反向nat映射，不过在这里设置好后还需在防火墙设置里相应区域开放相应的端口才行。策略路由策略路由可以定义源、目的地址和网关地址的走向，在双链路的环境中非常有用，比如可以解决南电信北网通访问慢的问题，收集好网通或电信的地址表在策略路由里添加上就可以了，但zywall策略路由的条目最多只有50个，太少了。带宽管理通过在输出端口处建立队列进行流量控制，按照不同的分类、分配带宽和优先级可以使一些重要的业务优先发包出去，从而达到控制带宽的目的，在比较繁忙的网络应用，或adsl线路，做带宽控制可达到较好的效果。4.6. 实际环境测试网络结构改为如下图，重点测试系统反应，网络速度，防垃圾邮件功能、防病毒功能4.6.1. 系统性能zywall 70的系统性能在前期测试中就已经发现性能比较低，接上实际环境中后监视系统状态，发现系统响应有时的确很慢，其中软件部反映最为严重，开发环境数据备份突然断线，mysql数据库经常连不上等。而接入网络的pc数量还不到40台，一旦网络出现异常如出现网络病毒，防火墙将会失去反应，造成网络瘫痪。实际接上电脑数量只有37台4.6.2. 防垃圾邮件功能测试加上防垃圾邮件功能后，通过pop3收发邮件速度非常慢，收100封正常邮件竟需20分钟而正常情况下不需5分钟，而误判和漏判率也比较高：图中加了spam000的zywall为判定为垃圾邮件，实际情况下只有含*spam*标题的才是垃圾邮件。4.6.3. 防病毒功能测试防病毒功能已经打开，但杀毒功能有限，收邮件过程中，杀毒软件发现有病毒，但zywall并没有报告出来5. 测试总结合勤utm的功能比较齐全，基本上企业应用所需的功能它都具有但是产品性能不够，因为作为utm产品，涉及七层的内容检测，没有强劲的处理能力是不可能达到很好的效果的。此utm产品比较突出的功能有多链路负载、带宽控制和入侵检测保护，但都还存在很多小问题。给人感觉是功能全却不专业。l 存在问题列表性能问题多链路切换时时延太大断成网络中断wan口不能ping,尽管已经有此设置入侵检测保护误判和漏