DPtech FW1000系列防火墙系统测试方案.doc

DPtechDPtech FW1000FW1000 测试方案测试方案 杭州迪普科技有限公司杭州迪普科技有限公司 2011 年年 10 月月 杭州迪普科技有限公司 目目 录录 DPtechDPtech FW1000FW1000 测试方案测试方案 1 第第 1 章章 产品介绍产品介绍 1 第第 2 章章 测试计划测试计划 2 2 1 测试方案 2 2 2 测试环境 2 2 2 1 测试环境一 2 2 2 2 测试环境二 2 第第 3 章章 测试内容测试内容 4 3 1 性能特性 4 3 2 功能特性 4 3 3 管理特性 4 3 4 安全性 4 3 5 高可靠性 4 第第 4 章章 测试方法及步骤测试方法及步骤 5 4 1 性能测试 5 4 2 FW 功能测试 7 4 3 DPI 功能测试 13 4 4 管理特性 15 4 5 安全特性 16 第第 5 章章 测试总结测试总结 18 杭州迪普科技有限公司 第第 1 章章 产品介绍产品介绍 目前 Web2 0 音频 视频 P2P 云计算等各种新应用 新业务层出不穷 传统的 基于端口进行应用识别和访问控制的 FW 已远远无法满足各种新应用下安全防护的需 求 增加其它辅助设备又会增加组网复杂性 而通过在传统 FW 上简单叠加部分应用层 安全防护功能 也由于系统设计和硬件架构的天然不足 造成性能的大幅衰减 导致应 用层功能不敢真正启用 特别在对性能 稳定性要求苛刻的数据中心 此问题显得尤为 严峻 为解决上述难题 迪普科技推出了基于全新多核处理器架构的下一代 FW DPtech FW1000 N 系列应用 FW FW1000 对网络层 应用层安全进行融合 并采用独有的 并 行流过滤引擎 技术 全部安全策略可以一次匹配完成 即使在应用层功能不断扩展 特征库不断增加的情况下 也不会造成性能的下降和网络时延的增加 以万兆应用 FWFW1000 GE N 为例 在开启 FW FWec SSL VPN NAT URL 过滤 攻击防护 行为审计功能的情况下 扩展应用控制协议库 URL 过滤库等 处理能力依然可达万兆 线速 FW1000 N 系列开创了应用 FW 的先河 基于迪普科技自主知识产权的万兆级应用 安全硬件处理平台和 ConPlat OS 安全操作系统 是目前业界性能最高的应用 FW 无以 伦比的高可用性 高性能和高可靠性 使得 FW1000 N 系列可以放心规模部署于数据中 心 大型园区网等各种复杂场景 另外 功能丰富并可按需扩展的应用 FW 方案 也简 化了网络的安全架构 并大大降低了企业网络总体拥有成本 杭州迪普科技有限公司 第第 2 章章 测试计划测试计划 2 1 测试方案 DPtech FW 产品主要包括包过滤 NAT 静 动态路由 虚拟 FW 多种 VPN 等几 大主体功能 本文档的测试项主要以上述主体功能的测试展开 同时 测试中还涉及到 限流等多种响应方式 设备的可管理性 高可靠性等诸多方面的测试 以充分展示设备 的完备功能和高性能 2 2 测试环境 2 2 1 测试环境一 图 1 性能测试环境 1 设备或软件名称设备或软件名称描描 述述数量数量 DPtech FWFW1 SmartBits测试设备性能的仪器1 Switch交换机2 2 2 2 测试环境二 杭州迪普科技有限公司 图 2 性能测试环境 2 设备或软件名称设备或软件名称描描 述述数量数量 DPtech FWFW1 Avalanche Reflecto r 2500 性能测试仪器1 杭州迪普科技有限公司 第第 3 章章 测试内容测试内容 3 1 性能特性 FW 的性能指标为吞吐量 每秒新建数 每秒并发数 性能测试部分将主要针对这 几点进行测试 3 2 功能特性 产品功能包括管理功能 ACL 包过滤 NAT DPI 攻击防护 防病毒 带宽限 速 URL 过滤 等几大主体功能 功能测试部分将主要针对这几点进行测试 3 3 管理特性 为方便 IT 人员管理 设备提供了良好的可管理性 支持 HTTPS 等安全管理方式 支持 Web 的友好界面 简化 FW 的配置 方便用户操作和维护 特征库的升级支持手 动和自动两种方式 用户可根据实际情况随意选择特征库的升级时间 3 4 安全性 可设置管理员的权限 不同权限的管理员访问设备的功能权限不同 可设置的权限 选项有系统配置 业务配置 系统日志管理 操作日志管理和业务日志管理 在登录参 数设置上 包括超时时间 错误登录锁定和锁定后解锁 3 5 高可靠性 抗掉电保护 在设备异常掉电后 当 FW 恢复供电 系统的状态 相关日志和配置 信息正常保存 杭州迪普科技有限公司 第第 4 章章 测试方法及步骤测试方法及步骤 4 1 性能测试 整机转发吞吐量 测试目的验证FW的整机转发能力 测试条件测试组网 参见图 1 测试过程性能测试仪的两个端口分别与被测设备的端口 A 和 B 相连 端口数量按照客户要求 配置 进行 Fullmesh 网状流量测试 在 FW 上配置 201 条安全策略 前 200 条均为 deny 最后一条为允许全部通过 SmartFlow 设置主要参数如下 双向 UDP 数据包 包长为 64 128 256 1024 1518 字节 时长为 120 秒 且不能匹配前 200 条策略 记录测试结果 预期结果 帧长64128256512102412801518 吞吐量 其它说明和注意事项 测试结果 帧长64128256512102412801518 吞吐量 每秒新建连接能力 测试目的验证FW每秒新建会话数能力 测试条件测试组网 参见图 2 测试过程FW 工作在 NAT 模式 设定 avalanche 测试仪模拟客户端 500 用户 FW nat 转换地址池个数为 20 采用测试仪表仿真客户端与服务器之间的 HTTP 通信过程 通过调节通信联接的建 立速率 搜索 FW 能支持的最大的联接建立速率 分别在设置一条全允许规则和设置 201 条安全控制规则的条件下 完成上述测试过 程 其中 前 200 条均为 deny 最后一条为允许全部通过 预期结果FW 每秒新建会话能力 一条全允许规则条件下 最大的新建连接速率 Connections Sec 201 条允许规则条件下 最大的新建连接速率 Connections Sec 杭州迪普科技有限公司 其它说明和注意事项 测试结果不允许出现一例失败 否则认为数据无效 测试结果FW 每秒新建会话能力 一条全允许规则条件下 最大的新建连接速率 Connections Sec 201 条允许规则条件下 最大的新建连接速率 Connections Sec 最大并发会话数 测试目的验证FW设备的最大并发会话数 测试条件测试组网 参见图2 测试过程FW工作在NAT模式 设定avalanche测试仪模拟客户端500用户 FWnat转换地址池个数为20 采用测试仪表仿真客户端与服务器之间的HTTP 通信过程 设定通信联接的建立速 率为10000 conn s 搜索FW能支持的最大的并发会话处理能力 分别在设置一条全允许规则和设置1001 条安全控制规则的条件下 完成上述测试过 程 其中 前1000条均为deny 最后一条为允许全部通过 预期结果FW每秒新建会话能力 一条全允许规则条件下 最大并发会话数 Connections 1001 条允许规则条件下 最大并发会话数 Connections 其它说明和注意事项 测试结果不允许出现一例失败 否则认为数据无效 测试结果FW每秒新建会话能力 一条全允许规则条件下 最大并发会话数 Connections 1001 条允许规则条件下 最大并发会话数 Connections VPN加密隧道的吞吐量 测试目的验证FW VPN加密隧道的吞吐量 测试条件 FW1FW2SMBSMB VPN 测试过程在两台FW的外区接口之间建立1 条VPN 加密隧道 把仪表分别与两台FW 的内区 接口相连 发送双向的UDP 测试数据流 搜索接口的吞吐量 采样时长设置为120 秒 分别对帧长为64 128 256 512 1024 1280 1518 字节的测试帧 重复上述测 杭州迪普科技有限公司 试过程 预期结果 帧长64128256512102412801518 吞吐量 其它说明和注意事项 测试结果 帧长64128256512102412801518 吞吐量 4 2 FW 功能测试 管理功能测试 测试目的验证FW 设备的设备管理功能 测试条件 PC 10 0 0 100 2410 0 0 1 24 测试过程 PC 机器与 FW 相连 配置FW 为用户名 密码管理或软证书管理方式 预期结果 PC 机通过两种方式都可管理设备 其它说明和注意事项 测试结果 端口映射 测试目的验证FW 设备的端口映射功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 PC01 模拟客户端 PC02 模拟服务器端 安装有 FTP 或 HTTP 服务器端软件 PC02 上将 FTP 服务器端口改为 8000 FW 上配置端口映射 PC01 ftpPC02 的 ip 8000 端口 可正常访问 PC02 的 ftp 服务 预期结果 PC01 可以正常访问 PC02 的 FTP 服务 杭州迪普科技有限公司 其它说明和注意事项 测试结果 ACL 测试目的验证FW 设备的ACL功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 FW 连接两 PC 机器的两端口加入不同安全域 配置面向对象 ACL 域间策略 阻止 PC01 与 PC02 互访或根据客户实际要求限制对某些 IP 地址或端口的访问 测试 PC01 与 PC02 的互访功能是否符合既定域间策略 预期结果 PC01 与 PC02 间互访符合既定域间 ACL 策略 其它说明和注意事项 Pc 1 为 untrust PC2 为 DMZ 允许 20 0 0 2 可以访问 PC1 不允许 20 0 0 3 访问 PC2 PING 和 HTTP 测试结果 允许 20 0 0 2 可以访问 PC1 不允许 20 0 0 3 访问 PC2 包过滤 测试目的验证FW 设备的包过滤功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 FW 开启包过滤功能 FW 配置包过滤策略 PC01 访问 PC02 观察 FW 设备能否按照既定的包过滤策略访问 预期结果 FW 能够正常按照既定包过滤策略进行互访 其它说明和注意事项 1 允许 ping http 2 阻断 FTP 3 允许 FTP 4 允许 FTP get 阻断 FTP put Pc 1 为 untrust PC2 为 DMZ 测试结果 4 没有阻断 FTP put 因为 FTP GET 和 PUT 在检测的是时候是采用通用的同样的 5 元组 source ip dst ip source port dst ip propole GET 和 PUT 所用的一样的 检测 线条太粗 只能采用深度检测 检测关键字 识别上传还是下载 杭州迪普科技有限公司 NAT 测试目的验证FW 设备的静态地址转换功能 测试条件 PC 01PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 IP network 测试过程 PC01 模拟内网主机 PC02 模拟外网服务器 装有服务器软件如 FTPserver 等 PC01 PC02 处于不同网段 FW 配置静态一对一地址静态地址转换功能 PC01 访问 PC02 的 FTP 服务 在 PC02 端抓包 PC01 可正常访问 PC02 的 FTP 服务 在 PC02 上抓包可以看到 PC01 访问 PC02 所用 源地址为 FW 上所配置的静态映射地址 预期结果 PC01 可正常访问 PC02 上的服务 PC02 端抓包看到 PC01 访问 PC02 访问其 服务所 用源地址为 FW 上预先配置的静态映射地址 其它说明和注意事项 Pc 01 为 trust pc 02 为 untrust PC02 网关不指向 20 0 0 1 测试结果 PC01 可正常访问 PC02 上的服务 PC02 端抓包看到 PC01 访问 PC02 访问其 服务所 用源地址为 FW 上预先配置的静态映射地址 动态地址转换 测试目的验证FW设备的动态地址访问功能 测试条件 PC 01PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 IP network 测试过程 PC01 模拟内网主机 PC02 模拟外网服务器 装有服务器软件如 FTPserver 等 PC01 PC02 处于不同网段 FW 配置动态地址转换功能 PC01 访问 PC02 的 FTP 服务 在 PC02 端抓包 PC01 可正常访问 PC02 的 FTP 服务 在 PC02 上抓包可以看到 PC01 访问 PC02 所用 源地址为 FW 上所配置的地址池中的地址 预期结果 PC01 可正常访问 PC02 上的服务 PC02 端抓包看到 PC01 访问 PC02 访问其 服务所 用源地址为 FW 上预先配置的地址池中的地址 其它说明和注意事项 接口配置同 t06 01 先进行 EASY IP 的方式进行 NAT 转换 然后采用 PAT NO PAT 测试结果 内部服务器 测试目的验证FW 设备的内部服务器功能 杭州迪普科技有限公司 测试条件 PC 01PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 IP network 测试过程 PC01 模拟内网主机 PC02 模拟外外网主机 PC01 PC02 处于不同网段 FW 配置 内部服务器功能 PC01 开启 FTP 服务 PC02 访问 FW 外网口地址进而可以访问 PC01 的 FTP 服务 PC02 可以正常访问 PC01 的 FTP 服务 预期结果 PC02 可以正常访问 PC01 的 FTP 服务 其它说明和注意事项 接口配置同 t06 01 先是在 PC 02 上不指定网关到 G0 2 上 需要配置静态 NAT 才能 够访问内部服务器 然后在 PC O2 指定网关到 G0 2 上 就通过以上配置外部网络可 访问内部的服务器 测试结果 SNMP 测试目的验证FW 设备的SNMP功能 测试条件 PC 防火墙 10 0 0 100 2410 0 0 1 24 IP network 测试过程 PC 与 FW 一接口向连 PC 装有 MIB Browser 软件 FW 配置 SNMP PC 机通过 MIB Browser 与 FW 连接 通过 MIB Browser 软件查找相应 MIB 项 预期结果 通过客户端 PC 安装的 MIB Browser 软件查找相应 MIB 项 其它说明和注意事项 测试结果 SynFlood 测试目的验证FW 设备的抵御SynFlood功能 测试条件 测试过程 FW 开启 SynFlood 攻击防范功能 使用测试仪器模拟进行 SynFlood 攻击 攻击 FW 内网区域的 PC 观察 FW 设备能否对 SynFlood 攻击进行防御 并在 PC 上抓包进行验证 预期结果 FW 能够正常抵御 SynFlood 攻击 杭州迪普科技有限公司 其它说明和注意事项 测试结果 RIPv1 v2 测试目的验证FW 对RIP协议的支持 测试条件 防火墙 01防火墙 02 PC 01 PC 02 20 0 0 1 2420 0 0 2 24 10 1 0 100 2410 2 0 100 24 测试过程 PC1 PC2 的网关分别指向 FW1 和 FW2 在 FW1 和 FW2 上面配置 RIP 动态路由 并进行发布 一段时间后在 FW1 和 FW2 上分别查看 RIP 路由学习情况 并从 PC1 ping PC2 预期结果 FW1 与 FW2 能够相互学习到对端的动态路由 其它说明和注意事项 测试结果 OSPF 测试目的验证FW 对OSPF协议的支持 测试条件 防火墙 01防火墙 02 PC 01 PC 02 20 0 0 1 2420 0 0 2 24 10 1 0 100 2410 2 0 100 24 测试过程 PC1 PC2 的网关分别指向 FW1 和 FW2 在 FW1 和 FW2 上面配置 OSPF 动态路由 并进行发布 一段时间后在 FW1 和 FW2 上分别查看 OSPF 路由学习情况 并从 PC1 ping PC2 预期结果 FW1 与 FW2 能够相互学习到对端的动态路由 其它说明和注意事项 测试结果 BGP 测试目的验证FW 对BGP协议的支持 杭州迪普科技有限公司 测试条件 防火墙 01防火墙 02 PC 01 PC 02 20 0 0 1 2420 0 0 2 24 10 1 0 100 2410 2 0 100 24 测试过程 PC1 PC2 的网关分别指向 FW1 和 FW2 在 FW1 和 FW2 上面配置 BGP 动态路由 并进行发布 一段时间后在 FW1 和 FW2 上分别查看 BGP 路由学习情况 并从 PC1 ping PC2 预期结果 FW1 与 FW2 能够相互学习到对端的动态路由 其它说明和注意事项 测试结果 虚拟FW功能 测试目的验证虚拟FW功能 测试条件 VFW 192 168 1 2 24 192 168 1 2 24 192 168 1 2 24 192 168 1 1 24 192 168 1 1 24 192 168 1 1 24 172 31 1 1 24 area1 area2 area3 172 31 1 2 24 测试过程 在上面 FW 组网中 内网的服务器划分为三个区域 area1 area2 area3 并且这三 个区域的网络地址完全重叠 3 个服务器的地址均为 192 168 1 2 后分别接入 FW 的内网接口上 FW 上对应的直连地址为 192 168 1 1 在 FW 上进行虚拟 FW 的相关配置 模拟出 3 个独立的 FW 分别把内网区域 3 个服 务器映射为不同的公网 IP 然后从外网区域访问分别 3 个 服务器 针对内网区域 3 个服务器配置不同的安全控制策略 然后再分别从外网区域访问分 别 3 个 服务器 预期结果 步骤 2 从外网区域都能够同时正常访问 3 个服务器 步骤 3 从其他区域访问 3 个服务器时 会受到针对每个服务器配置的安全策略的控 制 其它说明和注意事项 测试结果 杭州迪普科技有限公司 4 3 DPI 功能测试 URL过滤功能测试 测试目的验证URL过滤功能 测试条件 Internet PC UTM G0 1 G0 2 G0 0 Console 测试过程 使用 PC 机访问被过滤的 URL 站点 预期结果 可以查看到相关的阻断日志 其它说明和注意事项 无 测试结果 带宽管理功能测试 测试目的验证带宽管理功能 测试条件 Internet PC UTM G0 1 G0 2 G0 0 Console 测试过程 使用 PC 在线观看电影 使用迅雷下载限速 预期结果 可以带宽被限制 其它说明和注意事项 无 测试结果 杭州迪普科技有限公司 4 4 管理特性 丰富的管理方式 测试目的验证设备的管理方式 测试条件1 测试组网 参见图 1 2 管理台用串口和设备相连 管理口用网线和设备管理口相连 且 IP 地址属同一网 段 测试过程1 FW 支持 Web 操作 http https 端口可自定义 Telnet SSH 串口管理 2 用上述方式管理设备 得到预期结果 1 预期结果1 各种管理方式均支持 其它说明和注意事项 无 测试结果 手动升级特征库 测试目的验证手动升级特征库 测试条件1 组网 参见图 1 2 设备中有该特征库的 License 3 有要升级的特征库文件 测试过程1 在 web 上导入该特征库 2 点确定按钮 升级最新的特征库 3 得到预期结果 1 预期结果1 特征库升级成功 其它说明和注意事项 无 测试结果 设备状态检测 测试目的验证FW WEB界面查看设备CPU 内存使用率 测试条件1 组网 参见图 1 测试过程1 B 界面查看设备的 CPU 和内存使用率 2 预期结果 1 杭州迪普科技有限公司 预期结果1 可查看设备的 CPU 内存使用率 其它说明和注意事项 无 测试结果