天清汉马USG防火墙(P系列)测试方案

1、天清汉马天清汉马 USGUSG 防火墙（防火墙（P P 系列）系列）选型测试方案选型测试方案2013 年年 11 月月 防火墙产品选型测试方案 2目目 录录一、前言一、前言.6二、选型原则二、选型原则.62.1 管理维护功能简单易用.62.2 入侵防护功能精准全面.62.3 病毒防护功能安全性高.62.4 上网行为管理可用实用.62.5 反垃圾邮件功能准确有效.62.6 主动防御安全防挂马.72.7 漏洞扫描监控主机安全.72.8 虚拟防火墙节省开销方便布局.72.9 日志呈现方式简洁易懂.72.10 性能满足发展要求.72.11 数据连续性保障方式多.7三、评测依据三、评测依据.7四、评测内

2、容四、评测内容.8五、评测方法分类五、评测方法分类.87.1 第一类：一般项目.87.2 第二类：重要项目.87.3 第三类：关键项目.9六、测试环境及工具六、测试环境及工具.10七、测试方案七、测试方案.111. 管理维护功能.112. 反垃圾邮件.243. 主动防御.254. 漏洞扫描功能.265. 虚拟防火墙.266. 日志与报表.297. 性能测试.318. 可靠性.33 防火墙产品选型测试方案 3附件一：防火墙评测结果汇总表附件一：防火墙评测结果汇总表.36附件二：测试结论附件二：测试结论.1Comment 微微微微1: 需要新版安管Comment 微微微微2: 需要新版安管Comm

3、ent 微微微微3: 需要新版安管 防火墙产品选型测试方案 4测试大纲测试大纲测试项目测试项目测试分项目测试分项目测试编号测试编号测试子项目测试子项目1.1.1系统管理1.1.2WEB 界面 CLI 控制台系统管理1.1.3管理员账号划分权限配置文件管理1.2.1配置文件的备份和恢复1.3.1路由接口1.3.2桥接口1.3.3Trunk 接口1.3.4单臂路由接口1.3.53G 设备1.3.6WIFI 设备接口管理1.3.7网口镜像1.4.1静态路由1.4.2默认路由（负载均衡）1.4.3ISP 路由1.4.4OSPF 动态路由1.4.5RIP 动态路由1.4.6OSPFV3 动态路由路由功能

4、1.4.7RIPNG 动态路由1.5.1.透明模式1.5.2.路由模式1.5.3.混合模式工作模式1.5.4.旁路模式1.6.1.排错管理维护功能管理维护功能监控与排错1.6.2.设备监控2.1.1.邮件地址黑名单过滤反垃圾邮件功能反垃圾邮件功能垃圾邮件过滤2.1.2.主题关键字过滤主动防御主动防御主动防御挂马网站3.1.1.挂马网站拦截漏洞扫描功能漏洞扫描功能服务探测4.1.1.常见端口扫描5.1.1.虚拟墙的独立规则虚拟墙的规则使用5.1.2.虚拟墙的共享规则5.2.1.虚拟墙独立用户管理虚拟防火墙虚拟防火墙虚拟墙的管理权限5.2.2.系统管理员用户管理6.1.1.内存日志6.1.2.Sy

5、slog 日志日志功能6.1.3.日志查询日志与报表日志与报表报表6.2.1.报表分析性能测试性能测试转发性能测试7.1.1.应用层吞吐量 防火墙产品选型测试方案 57.2.1.并发连接数连接性能测试7.2.2.新建连接速率Bypass8.1.1.硬件 BypassHA 功能8.2.1.负载均衡可靠性可靠性双系统管理8.3.1双系统备份恢复 防火墙产品选型测试方案 6一、前言一、前言 本方案以业界防火墙产品的通用功能作为参考，提供公正、专业的测试方案，为企业选购防火墙提供参考。二、选型原则二、选型原则根据我们的调研，防火墙产品的核心功能主要集中在防火墙的管理维护功能、入侵防护功能、病毒防护功能

6、、上网行为管理、反垃圾邮件、主动防御、漏洞扫描、虚拟防火墙、日志和报表、性能、可靠性这十一个方面，因此这十一个方面也成为考察防火墙和选型评测的主要指标。据此，我们确定防火墙的选型原则如下：2.1 管理维护功能简单易用管理维护功能简单易用配备一套防火墙系统，需要建立相应的防火墙应用防护规则和安全规则体系。由于不同防火墙设备在管理维护上存在差异，而我们不能要求每个网络管理员都是网络安全专家，所以可能出现因防火墙管理维护不方便，导致对防火墙的错误配置和发生安全事故的悲剧。因此我们需要关注防火墙是否具备完善的管理方式、齐备的维护方式和灵活的接入方式等管理维护功能。2.2 入侵防护功能精准全面入侵防护功

7、能精准全面 入侵防护功能是防火墙设备的重要功能之一。由于用户环境以及入侵防护技术的复杂性，根据防火墙的发展状况和我公司信息系统的应用需求，我们将重点关注对常见攻击的拦截能力、攻击特征的更新、误报率以及自定义攻击特征。2.3 病毒防护功能安全性高病毒防护功能安全性高病毒防护功能是防火墙设备的重要功能之一。由于对多协议拦截的需求以及网络流行病毒的复杂性。我们将重点关注常见协议的病毒拦截能力、流行病毒检测率、病毒特征的更新等。2.4 上网行为管理可用实用上网行为管理可用实用网络内部的的 P2P 下载、流媒体、IM 即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病

8、毒、木马、后门传播的主要途径。上网行为管理功能可降低内部机密信息泄露及病毒传播的机率。2.5 反垃圾邮件功能准确有效反垃圾邮件功能准确有效来自外部网络的大量垃圾邮件攻击占用大量的网络资源、给网络带来极大压力，而且包含的不良消息也会影响到邮件系统使用者的日常生活、工作及学习。我们将重点关注反垃圾邮件的功能及准确性。 防火墙产品选型测试方案 72.6 主动防御安全防挂马主动防御安全防挂马目前挂马网站的日益增多，强大的木马将严重威胁用户的账号安全及系统安全。主动防御功能也成为了防火墙等安全产品的一个重要考察指标。我们将重点关注其是否可检测挂马网站并安全的处理挂马访问过程。2.7 漏洞扫描监控主机安全

9、漏洞扫描监控主机安全集成了漏洞扫描功能的防火墙设备可以很好的监管内网主机、服务器的安全状况，生成报告提示内网主机关闭不必要的端口，升级最新的系统补丁，提高安全性减少入侵威胁。我们将重点关注其扫描范围及报告功能。2.8 虚拟防火墙节省开销方便布局虚拟防火墙节省开销方便布局随着网络的复杂化，购置多台安全设备实现意味着更多的设备购置资金投入及后期的设备维护。虚拟防火墙技术可以将一台设备虚拟成多台资源、规则独立的安全设备有效的利用设备的闲置网口，减少资金投入，同时也便于后期维护。我们将重点关注虚拟墙的规则及管理的独立性。2.9 日志呈现方式简洁易懂日志呈现方式简洁易懂网络管理员需要对网络中存在的攻击有

10、个详细的了解，这就需要有丰富的告警方式以及日志呈现方式，管理员能及时了解网络中正在发生的攻击，能方便地查询攻击的来源、发生时间，甚至可以对过去一段时间的攻击进行详细统计分析。2.10 性能满足发展要求性能满足发展要求网络中接入防火墙后，性能是否降低以及降低程度，关系到网络通信是否顺畅，关系到信息系统是否能够实时地保障生产，因此我们要求防火墙具有较高的工作效率，包括数据吞吐率、并发连接数等关键指标。2.11 数据连续性保障方式多数据连续性保障方式多由于防火墙是串接到网络中，如果防火墙设备本身发生故障，网络也将中断，防火墙设备反而成为整个网络可靠性的瓶颈，也就失去了防火墙的价值，因此设备的可靠性显

11、得尤为重要，主要体现在设备出现软件或硬件故障时能至少保证网络的畅通。三、三、评测依据评测依据 我们将根据防火墙技术的最新发展状态，参照公安部信息安全产品检测中心针对防火墙类产品的标准GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法，本着客观、公正的原则，确定防火墙选型评测的测试环境和测试工具及测试方案。 防火墙产品选型测试方案 8四、评测内容四、评测内容 根据选型原则和评测依据，我们确定的评测内容如附件一中的表格所示。五、评测方法分类五、评测方法分类为了突出测试重点，将所有评测内容划分为三类，每类分别采取不同的评分标准，具体分类原则及其相应的评测方法如下：7.1 第一

12、类：一般项目第一类：一般项目1. 分类原则分类原则同时满足以下第 1-2 款条件的内容定义为一般项目。1）没有显著的程度差异或程度差异对使用影响小；2）企业可能使用该项功能。2评测方法评测方法在专用测试环境中实际测试，并直接将“支持”或“不支持”记入附件一中的“防火墙评测结果汇总表”。3标识形式标识形式在后续章节中，将以“C”为标识符号，代表一般项目。7.2 第二类：重要项目第二类：重要项目1.分类原则分类原则同时满足以下第 1-2 款条件的所有评测内容定义为重点项目。1）有程度差异且程度差异对使用功能有影响；2）企业应用中通常使用该项功能。2评测方法评测方法在专用测试环境中实际测试，测试结果

13、包括“优良”、“一般”、“不支持”三档，由评测执行小组根据实际测试效果按相同的尺度确定。 防火墙产品选型测试方案 93标识形式标识形式在后续章节中，将以“B”为标识符号，代表重要项目。7.3 第三类：关键项目第三类：关键项目1.分类原则分类原则同时满足以下第 1-3 款条件的所有评测内容定义为关键项目。1）一定会使用的关键功能；2）性能高低对系统工作效率影响很大；3）对网络业务影响很大。2评测方法评测方法在专门搭建的测试环境中实际测试，测试结果为在测试过程中通过专用设备测出的实际指标由评测执行小组根据实际测试效果按相同的尺度确定。3标识形式标识形式在后续章节中，将以“A”为标识符号，代表关键项

14、目。 防火墙产品选型测试方案 10六、测试环境及工具六、测试环境及工具 测试环境搭建是否合理，测试工具选择是否有效，直接关系到测试结果是否准确可信。为了保证评测质量，我们根据有关专家建议，在完备性和可行性之间确立最恰当的测试环境及测试工具。测试环境中需要以下工具：1、硬件工具、硬件工具 被测防火墙 两台 普通 PC 四台 普通网线 20 根 千兆交换机 2 台 Avlanche 2900 性能分析仪一台 BreakingPoint Elite 性能分析仪一台2、软件工具、软件工具 Microsoft windows XP,安装常用网管和测试软件（如 SecureCRT,ServU等） 被测防火

15、墙随机工具(如随机带的光盘及手册等) 攻击模拟回放用的各类数据包 病毒检测使用的基本病毒样本库 IRIS 回放包软件3、网络环境、网络环境 至少保证一种方式访问 Internet（代理上网方式除外）. 防火墙产品选型测试方案 11七、测试方案七、测试方案 本次评测将从管理维护功能、入侵防护功能、病毒防护功能、上网行为管理、反垃圾邮件、主动防御、漏洞扫描、虚拟防火墙、日志和报表、性能、可靠性这十一个方面进行。具体方案如下： 1. 管理维护功能管理维护功能.系统管理系统管理.1.1. 系统管理系统管理测试子项目系统管理测试原理考察防火墙是否具备灵活的配置管理功能，是否支

16、持通过加密方式(SSH 或 HTTPS)进行管理，是否可以通过集中监控来管理多台设备。测试拓扑测试步骤1 支持通过 Console 口登录设备并进行配置管理2 支持通过 SSH 进行配置管理3 支持通过加密的 HTTPS 方式进行配置管理预期结果支持上述各种管理方式Console支持 不支持 SSH支持 不支持 测试结果HTTPS支持 不支持 .1.2. WEB 界面界面 CLI 控制台控制台测试子项目WEB 界面 CLI 控制台测试原理通过防火墙的界面 CLI 控制台功能，管理员可以在 web 界面上通过CLI 控制台的命令行功能进行查看、配置防火墙相应功能模块。测试拓扑 防火

17、墙产品选型测试方案 12测试步骤1通过 web 界面管理方式登录防火墙；2在系统管理状态CLI 控制台；3在 CLI 控制台中查看防火墙当前配置，配置防火墙相关功能模块。预期结果在 CLI 控制台通过命令行查看防火墙当前配置状态正确；通过 CLI 控制台进行防火墙配置，配置正确生效。测试结果WEB 界面 CLI 支持 不支持 .1.3. 管理员账号划分权限管理员账号划分权限测试子项目设置不同权限管理员账号测试原理新建防火墙管理员，能够为新建的管理员分配不同的访问控制权限。测试拓扑 测试步骤1通过 web 界面管理方式登录防火墙；2在系统管理管理员设置，新建管理员账号；3为新建的管

18、理员分配不同的管理员权限；4使用新建的管理员账号登录防火墙，能否登录成功且管理员权限正确。预期结果可以使用新建的管理员账号登录防火墙，且新建管理员账号分配的权限正确。测试结果管理员账号权限划分 支持 不支持 .配置文件管理配置文件管理.2.1. 配置文件的备份和恢复配置文件的备份和恢复测试子项目配置文件的备份和恢复测试原理考察防火墙产品是否支持配置文件备份和恢复功能测试拓扑测试步骤1将当前配置文件保存到 PC；2修改当前配置文件并保存；3通过将 PC 上保存的文件拷贝到主配置文件并重启设备可以恢复原先的配置。预期结果支持配置文件备份和恢复功能，可以恢复原先保存的配置

19、 防火墙产品选型测试方案 13测试结果支持 不支持 .接口管理接口管理.3.1. 路由接口路由接口测试子项目静态配置 IP 地址、DHCP 自动获得 IP 地址测试原理考察防火墙产品接口是否支持静态及动态配置 IP 地址测试拓扑测试步骤1按图搭建测试环境，配置 DHCP 地址池为 0- 0 。2静态 IP 地址配置测试：在接口 Ge0 配置 IP 地址为0/24，测试从防火墙是否可以从防火墙接口 Ge0 Ping通地址 ，是否可以用 show 命令看到所配置生效的 IP地址。3动

20、态 IP 地址配置测试：将接口 Ge0 的配置为动态获得 IP 地址，观察是否可以通过命令行查看获得的 IP 地址，测试是否能通过Ge0 Ping 通 。预期结果静态配置 IP 时能通过命令行看到配置的 IP 且能 Ping 通。动态获得 IP 时能通过命令行看到获得的 IP 且能 Ping 通 。测试结果静态配置 IP 地址： 支持 不支持 动态获得 IP 地址： 支持 不支持 .3.2. 桥接口桥接口略。测试方法同 1.7.1 节。.3.3. Trunk 接口接口测试子项目Trunk 接口测试原理

21、考察防火墙是否支持处理打 802.1Q 标的数据包测试拓扑 防火墙产品选型测试方案 14测试步骤1如图搭建好测试环境，配置交换机与防火墙相接的接口为 trunk；2在防火墙上配置应用防护规则，允许 PC1 与 PC2 的通信；3从 PC1 Ping PC2，可以 Ping 通。预期结果防火墙支持 Trunk 接口，PC1 可以 Ping 通 PC2测试结果支持 不支持 .3.4. 单臂路由接口单臂路由接口测试子项目单臂路由接口测试原理考察防火墙是否支持单臂路由接口（无此需求的用户可忽略，防火墙一般不采用此种接入）测试拓扑测试步骤1如图搭建好测试环境，配置交换机与防火墙相接的接口为

22、 trunk，与 PC 连接的接口为 Access。2在防火墙上配置 vlan 接口如拓扑所示，并启用应用防护规则，允许 PC1 与 PC2 的通信；3从 PC1 Ping PC2，可以 Ping 通。预期结果PC1 可以 Ping 通 PC2，防火墙支持单臂路由接口。测试结果支持 不支持 .3.5. 3G 设备设备测试子项目3G 互联功能测试原理通过防火墙上 3G 互联，保护内网网络安全的同时保证内网用户通过3G 连接访问互联网 防火墙产品选型测试方案 15测试拓扑电信3GWCDMA测试步骤1按图示搭建拓扑，防火墙作为网关，内网 PC 直连防火墙；2防火墙两个出接口，分别通过电

23、信运营商和 3G（WCDMA）连接；3防火墙的 3G 接口配置 3G 拨号，自动获取到 3G 拨号地址；4在电信链路故障的情况下，内网 PC 能正常访问互联网。预期结果内网 PC 通过 3G 连接访问互联网正常测试结果3G 互联 支持 不支持 .3.6. WIFI 设备设备测试子项目WIFI 功能测试原理通过防火墙上的 WIFI 功能，保护内网网络安全的同时保证内网移动终端通过 WIFI 连接到防火墙访问互联网 防火墙产品选型测试方案 16测试拓扑电信3GWCDMA测试步骤1按图示搭建拓扑，防火墙作为连接外网的网关；2防火墙上开启 WIFI 功能，内网移动终端设备通过 WIFI

24、连接至防火墙3内网移动终端能通过防火墙正常访问互联网预期结果内网 PC 通过 WIFI 连接防火墙访问互联网正常测试结果WIFI 支持 不支持 .3.7. 网口镜像网口镜像测试子项目网口镜像测试原理通过防火墙的网口镜像功能，能够实时将通讯的业务网口数据镜像到管理员连接的监控网口上，便于管理员对实时的网络流量进行监控分析。 防火墙产品选型测试方案 17测试拓扑电信3GWCDMAPC1PC2测试步骤1防火墙配置内外网接口，保证内网用户可以通过防火墙访问互联网；2防火墙上启用网口镜像功能，将连接内网用户的内网口数据，镜像到管理员 PC2 所连接的接口；3内网用户 PC1 正常访问互联网

25、。在防火墙上连接管理员的接口以及管理员 PC2 上抓包查看，是否有内网用户访问互联网的数据镜像。预期结果在防火墙连接管理员的接口以及管理员 PC2 上抓包查看，均有内网用户产生的数据报文。测试结果网口镜像 支持 不支持 .路由路由功能功能.4.1. 静态路由静态路由测试子项目静态路由功能测试原理考察防火墙产品是否支持静态路由功能测试拓扑 防火墙产品选型测试方案 18测试步骤1如图搭建好测试环境，配置 PC1 的网关地址为防火墙的 G0 接口地址；配置 PC2 的网关地址为与其直接的路由器接口地址；在路由器上配置路由；2在防火墙上配置应用防护规则，允许接口之间的通信；

26、3在防火墙上配置静态路由，设置静态路由下一跳为图中的；4从 PC1 Ping PC2，应该可以 Ping 通。预期结果防火墙支持静态路由，PC1 可以 Ping 通 PC2 测试结果 支持 不支持 .4.2. 默认路由（负载均衡）默认路由（负载均衡）测试子项目负载均衡的默认路由测试原理考察防火墙是否支持默认路由负载均衡。测试拓扑S SW WP PC C1 1U UT TM MI In nt te er rn ne et tP PC C2 2P PC C3 3E Et th h1 1E Et th h2 2E Et th h3 3测试步骤1防火墙设备上面配置接口 I

27、P，ETH1 口为私网 IP，ETH2 和 ETH3口分别为不同的公网 IP、配置两条默认路由分别关联 ETH2 和ETH3 接口、配置域名服务器；2在设备上面配置两条 NAT 规则（源地址转换）同时指定流出网口为 ETH2 和 ETH3 口；或者或者配置一条 NAT 规则（伪装）添加源地址为内网主机 IP 或者该网段地址；3PC 访问 Internet 的数据既可以走 EHT2 口也可以走 ETH3 口；4断掉 ETH2 或者 ETH3 线路设备可以正常通信。预期结果无论断开 ETH2、ETH3 口，内网用户上网不会中断。测试结果支持 不支持 .4.3. ISP 路由路由测试子

28、项目ISP 路由测试测试原理考察防火墙是否支持 ISP 路由 防火墙产品选型测试方案 19测试拓扑测试步骤1.搭建好如上拓扑2.在防火墙上导入电信、联通的 ISP 路由3.通过 PC 客户端去访问 Internet预期结果能够上网，并且通过识别电信，联通的 IP 进行下一跳选择测试结果支持 不支持 .4.4. OSPF 动态路由动态路由测试子项目OSPF 动态路由测试原理测试动态路由 OSPF 功能特性测试拓扑测试步骤1.FW1 分别和 FW2、CISCO、huawei 路由器通过 MD5 认证建立OSPF 邻居2.FW1 和 FW2 之间为区域 0，FW1 和 CISCO、hu

29、awei 为区域 13.CISCO 宣告 /24,huawei 路由器宣告 /244.FW1 重发布直连路由 /24FW2 发布缺省路由预期结果1.FW1、FW2、CISCO、huawei 能够通过 OSPF 认证学到全网的路由 防火墙产品选型测试方案 202.FW1、CISCO、huawei 能够学到下放的缺省路由3FW2、CISCO、huawei 能够学到 FW1 重发布的直连路由测试结果支持 不支持 .4.5. RIP 动态路由动态路由测试子项目RIP 动态路由测试原理测试动态路由 OSPF 功能特性测试拓扑测试步

30、骤1.FW1 和和 cisco 运行 OSPF 动态路由，FW 和 huawei 路由器使用MD5 认证运行 RIP 动态路由2.FW1 和 FW2 运行 RIP 动态路由3.FW1 将 OSPF 学到的路由重发布到 RIPFW1 将 RIP 学到的路由重发布到 OSPF预期结果1.FW2 能够通过 RIP 学到 huawei 路由器的路由条目2.CISCO 能够通过 OSPF 学到重发布过来的 RIP 路由3Huawei 能够通过 RIP 学到重发布过来的 OSPF 路由测试结果支持 不支持 .4.6. OSPFV3 动态路由动态路由测试项目IPV6 OSPFV3测试目的检查防

31、火墙 IPV6 OSPFV3 单区域功能是否正常 防火墙产品选型测试方案 21测试拓扑FW1FW2R1思思科科R2华华为为FE2F0/0F0/1FE3FE2F0/0F0/1FE32001:410:1:1:/642001:410:1:2:/642001:410:1:4:/642001:410:1:3:/64OSPFV3Area 0测试步骤1、 防火墙一启用 IPV6，FE2、FE3 口均启用 IPV6，分别配置 IPV6 地址2001:410:1:1:/64、2001:410:1:2:/64（地址后 64 位以接口 ID 自动生成方式产生）2、 思科路由器 R1 启用 IPV6，F0/0、F0/

32、1 口均启用 IPV6，分别配置 IPV6 地址2001:410:1:1:/64、2001:410:1:4:/64（地址后 64 位以接口 ID 自动生成方式产生）3、 防火墙二启用 IPV6，FE2、FE3 口均启用 IPV6，分别配置 IPV6 地址2001:410:1:3:/64、2001:410:1:4:/64(地址后 64 位以接口 ID 自动生成方式产生)4、 华为路由器 R2 启用 IPV6，F0/0、F0/1 口均启用 IPV6，分别配置 IPV6 地址2001:410:1:3:/64、2001:410:1:2:/64（地址后 64 位以接口 ID 自动生成方式产生）5、 防火

33、墙一启用 OSPFV3，进程号为 100，router-id 为 ，FE2、FE3 口均参与运行 OSPFV3；思科路由器配置同防火墙，router-id 为 ；华为路由器 OSPFV3 配置同上，router-id 为 ；防火墙二 OSPFV3 配置同上，router-id 为 6、 防火墙上 IPV6 包过滤规则默认全通，开启记录日志选项；7、 在防火墙一上进行 Ping 测试，ping 防火墙二的 FE3 口全局单播地址，ping防火墙二的 FE2 口全局单播地址8、 在防火墙一命令行下查看 IPV6 路由，OSPFV3 路由以及下

34、一跳地址、出接口等信息9、 分别在思科路由器、华为路由器上查看 IPV6 路由，根据路由信息进行 Ping测试10、查看防火墙路由监控界面路由信息，以及防火墙记录的日志信息预期结果1、 步骤 7，从防火墙一上发起的 Ping 测试通过2、 步骤 9，思科、华为路由器上路由学习均正确，Ping 测试通过3、 防火墙一和二上命令行方式以及界面路由监控方式查看 IPV6 路由均正确，且日志信息记录准确测试结果支持 不支持 防火墙产品选型测试方案 .4.7. RIPNG 动态路由动态路由测试项目IPV6 RIPNG测试原理检查防火墙 IPV6 RIPNG 基本功能是否可用测试拓扑R1

35、FW1R2FW2RIPNG测试步骤1、 防火墙一启用 IPV6，启用 RIPNG，在相应需要运行 RIPNG 的接口下运行RIPNG2、 防火墙二启用 IPV6，启用 RIPNG，在相应需要运行 RIPNG 的接口下运行RIPNG3、 路由器 R1、R2 同防火墙配置，启用 IPV6，启用 RIPNG4、 查看防火墙二上 RIPNG 邻居状态以及 IPV6 路由信息（界面以及命令行模式）5、 从防火墙二上访问路由器 R1 以及 R2，ping 测试6、 查看防火墙日志相关信息预期结果1、 防火墙上查看 RIPNG 邻居关系正常，IPV6 路由信息正确2、 从防火墙上发起对 R1、R2 的访问测

36、试通过3、 防火墙上日志信息记录正确测试结果支持 不支持 .工作模式工作模式.5.1. 透明模式透明模式测试子项目透明模式测试原理考察防火墙产品是否支持透明接入模式测试拓扑 防火墙产品选型测试方案 23测试步骤1如图搭建好测试环境，配置 PC1 和 PC2 位于同一网段；2配置防火墙产品于透明接入模式，配置应用防护规则允许 PC1 到PC2 之间的通信；3从 PC1 Ping PC2，应该可以 Ping 通；4在防火墙上配置应用防护规则，禁止 PC1 到 PC2 之间的通信；5从 PC1 Ping PC2，不能够 Ping 通。预期结果防火墙支持透明接入模式，在该模

37、式下可以控制数据流通过或不通过测试结果支持 不支持 .5.2. 路由模式路由模式测试子项目路由模式测试原理考察防火墙产品是否支持路由接入模式测试拓扑测试步骤1配置防火墙采用路由模式，PC1 和 PC2 位于不同网段，配置相应的应用防护规则允许 PC 间的通讯；2从 PC 1 Ping PC 2，可以 Ping；3配置策略禁止 PC 1 和 PC 2 之间的通讯；4从 PC 1 Ping PC 2，不能 Ping 通。预期结果防火墙产品支持路由接入模式测试结果支持 不支持 .5.3. 混合模式混合模式测试子项目混合模式测试原理考察防火墙产品是否支持混合接入模式测试拓扑

38、测试步骤1配置防火墙采用混合模式，将 Ge0 与 Ge1 配置为桥模式，并在桥上配 IP 地址；将 Ge2 配置成路由模式，并在接口上配置一个 IP 地址；2配置相应的应用防护规则允许 PC1 到 PC3 的通讯； 防火墙产品选型测试方案 243在 PC 上配置网关，从 PC 1 Ping PC 2 和 PC3，可以 Ping 通；4配置策略禁止 PC 1 和 PC 3 之间的通讯；5从 PC 1 Ping PC 3，不能 Ping 通。预期结果防火墙产品支持混合接入模式测试结果支持 不支持 .5.4. 旁路模式旁路模式测试子项目旁路模式测试原理考察防火墙产品是否支持旁路接入模式

39、测试拓扑注：此处使用攻击包回放工具使流量经过交换机，从而镜像到防火墙，PC1 与 PC2 可使用双网卡机器以方便使用软件模拟攻击交互。测试步骤1按图搭建好拓扑，PC1 与 PC2 在同一网段，交换机上与 PC1 连接的接口镜像到防火墙上；2使用包回放工具使用攻击流量通过镜像到达防火墙；3查看防火墙上是否有相关攻击日志。预期结果防火墙产品支持旁路接入模式测试结果支持 不支持 .排错与排错与监控监控.6.1. 排错测试子项目测试基本排错工具 Ping、Traceroute测试原理Ping 和 Traceroute 是最基本的网络诊断功能；测试拓扑 防火墙产品选型测试方案

40、 25测试步骤1可以通过防火墙 Ping 其它网络主机以判断是否有正确的 IP 层连接；2可以通过防火墙 Traceroute 其它网络主机以判断故障点的位置；预期结果防火墙 支持基本网络诊断功能Ping支持 不支持 测试结果Traceroute支持 不支持 .6.2. 设备监控设备监控测试子项目设备监控测试原理通过 WEB 界面或相关软件实时监控设备的运行情况，包括 CPU 利用率，内存利用率，接口实时流量，攻击事件曲线图，会话数量。测试拓扑测试步骤5按图示搭建拓扑，防火墙透明接入，PC1 与 PC2 在同一网段；6使用 PC2 作为 FTP 服务器，PC1 从 PC2 下载文

41、件，使流量通过防火墙；7通过 PC1 监控防火墙的资源利用率。预期结果从 PC1 可以监控到防火墙的 CPU 利用率，内存利用率，接口实时流量，攻击事件曲线图，会话数量。CPU 利用率支持 不支持 内存利用率支持 不支持 接口实时流量支持 不支持 攻击事件曲线图支持 不支持 测试结果会话数量支持 不支持 2. 反垃圾邮件反垃圾邮件.垃圾邮件过滤垃圾邮件过滤.1.1. 邮件地址黑名单过滤邮件地址黑名单过滤测试子项目邮件地址黑名单过滤测试原理考察防火墙是否支持邮件地址黑名单过滤。测试拓扑 防火墙产品选型测试方案 26测试步骤1按上图搭建测试环境，确保 PC1 可以接入

42、Internet；2在防火墙上配置不允许使用的邮件地址黑名单，配置记录日志；3使用 Outlook 软件以邮件地址黑名单中的邮件地址发送邮件，观察邮件是否可以发送；4查看防火墙上的日志信息。预期结果可以拦截邮件发送，有日志记录。测试结果支持 不支持 .1.2. 主题关键字过滤主题关键字过滤测试子项目主题关键字过滤测试原理考察防火墙设备是否能够阻止主题内的垃圾邮件地址，并拦截含主题关键字的邮件测试拓扑测试步骤1按上图搭建测试环境，确保 PC1 可以接入 Internet；2在防火墙上配置不允许使用的主题关键字，配置记录日志；3使用 Outlook 软件以主题关键字列表中的关键字作主

43、题，观察邮件是否可以发送；4查看防火墙上的日志信息。预期结果可以拦截垃圾邮件发送，有日志记录。测试结果支持 不支持 3. 主动防御主动防御.主动防御挂马网站主动防御挂马网站.1.1. 挂马网站拦截挂马网站拦截测试子项目挂马网站拦截测试原理考察防火墙防御挂马网站的能力测试拓扑 防火墙产品选型测试方案 27测试步骤1按上图搭建测试环境，确保 PC1 可以接入 Internet；2在防火墙上配置启动主动防御功能，配置日志记录；3使用 IE 登录常见挂马网站 http:/ 不支持 4. 漏洞扫描功能漏洞扫描功能.服务探测服务探测.1.1. 常见端

44、口扫描常见端口扫描测试子项目常见端口扫描测试原理考察防火墙常见端口扫描能力测试拓扑测试步骤1按上图搭建测试环境，PC 开启常见服务，如 ftp，http，邮件服务等；2在防火墙上配置启动漏洞扫描目标地址，配置服务探测功能，启动扫描功能。3观察防火墙给出的扫描结果。预期结果防火墙可以检测 PC 上开启的常见端口，并给出漏洞扫描报告。测试结果支持 不支持 5. 虚拟防火墙虚拟防火墙.虚拟墙的规则使用虚拟墙的规则使用.1.1. 虚拟墙的独立规则虚拟墙的独立规则测试子项目虚拟墙的独立规则测试原理防火墙的虚拟防火墙技术是指将一台设备虚拟为多台设备;每台虚拟设备具有自己独立的规

45、则,并且无法使用其余虚拟墙的规则. 防火墙产品选型测试方案 28测试拓扑PC1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4测试步骤1如图搭建好测试环境，四台 PC 可以相互访问；2在防火墙上配置启用虚拟防火墙 vm1 和 vm2，其中 fe1、fe2 划入vm1 的独立网口，fe3、fe4 划入 vm2 的独立网口；3使用系统管理员关闭所有应用防护规则；4在 vm1 虚拟域中配置全通的应用防护规则，在 vm2 中不配置任何规则，使用 PC1 ping PC3，使用 PC2 ping PC4；预期结果虚拟域 v

46、m1 中 PC1 可以与 PC3 互相访问；虚拟域 vm2 中 PC2 与 PC4 无法互相访问。测试结果支持 不支持 .1.2. 虚拟墙的共享规则虚拟墙的共享规则测试子项目虚拟墙的共享规则测试原理防火墙的虚拟防火墙使用共享规则可以实现虚拟防火墙内无规则下的互相访问，方便虚拟墙用户的规则配置。测试拓扑PC1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4测试步骤1如图搭建好测试环境，四台 PC 可以相互访问；2在防火墙上配置启用虚拟防火墙 vm1 和 vm2，其中 fe1、fe2 划入vm1 的独立

47、网口，fe3、fe4 划入 vm2 的独立网口；3使用系统管理员配置共享的应用防护规则；在 vm1 虚拟域及 vm2中不配置任何规则；4使用 PC1 ping PC3，使用 PC2 ping PC4；预期结果虚拟域 vm1 中 PC1 可以与 PC3 互相访问；虚拟域 vm2 中 PC2 可以与 PC4 互相访问。测试结果支持 不支持 防火墙产品选型测试方案 2.虚拟墙的管理权限虚拟墙的管理权限.2.1. 虚拟墙独立用户管理虚拟墙独立用户管理测试子项目虚拟墙独立用户管理测试原理防火墙的虚拟防火墙可以使用虚拟墙的独立用户实现该虚拟墙内的规则及资源配置。测试拓扑PC1

48、 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4测试步骤1如图搭建好测试环境，四台 PC 可以相互访问；2在防火墙上配置启用虚拟防火墙 vm1 和 vm2，其中 fe1、fe2 划入vm1 的独立网口，fe3、fe4 划入 vm2 的独立网口；3使用系统管理员配置虚拟域 vm1 的用户 a；4使用 a 用户登录系统是否只可以管理虚拟墙 vm1 的规则、资源。预期结果使用 a 用户登录系统，只可以配置 vm1 的规则、资源，无法查看、配置 vm2 的规则及资源。测试结果支持 不支持 .2.2. 系统管

49、理员用户管理系统管理员用户管理测试子项目虚拟墙独立用户管理测试原理防火墙的虚拟防火墙可以使用虚拟墙的独立用户实现该虚拟墙内的规则及资源配置。测试拓扑PC1 /24PC2 /24PC3 /24PC4 /24Fe1Fe2Fe3Fe4测试步骤1如图搭建好测试环境，四台 PC 可以相互访问；2在防火墙上配置启用虚拟防火墙 vm1 和 vm2，其中 fe1、fe2 划入vm1 的独立网口，fe3、fe4 划入 vm2 的独立网口；3使用系统管理员配置虚拟域 vm1 的用户 a，配置 vm2 的用户 b；预期结果使用系统管理员 administrat

50、or 可以添加、删除、修改 vm1 及 vm2 的独立用户； 防火墙产品选型测试方案 30测试结果支持 不支持 6. 日志与报表日志与报表.日志功能日志功能.1.1. 内存日志内存日志测试子项目内存日志测试原理在没有日志服务器的情况下，应该可以将设备的重要日志信息记录到内存测试拓扑测试步骤4如图搭建好测试环境；5在防火墙上配置将某些日志信息记录到内存，譬如应用识别事件、接口 UP 等；6制造相应的事件，譬如从 PC 访问 internet 并产生应用识别事件或者使接口 up/down；7在防火墙上察看内存日志信息。预期结果防火墙可以将日志信息记录到内存测试结果支持

51、不支持 .1.2. Syslog 日志日志测试子项目Syslog 日志测试原理考察防火墙产品各功能模块是否能够发送日志到标准 Syslog 服务器，厂商是否有专门的 Syslog 处理软件测试拓扑测试步骤1如图搭建好测试环境；2在防火墙产品上配置 Syslog 服务器端口和地址，并启用日志服务器；3允许防火墙产品的相关模块向服务器发送信息级别日志；4在防火墙上对已允许发送信息级别日志的功能模块进行操作，在 防火墙产品选型测试方案 31Syslog 服务器上观察日志信息。预期结果防火墙产品各功能模块能够发送正确的日志信息到 Syslog 服务器。测试结果支持 不支持

52、.1.3. 日志查询日志查询测试子项目日志查询测试原理应该提供专门的数据处理软件，实现对 Syslog 信息的保存和分类查询。测试拓扑测试步骤1如图搭建好测试环境；2在日志服务器上安装日志处理软件；3在防火墙产品上配置日志服务器；4在防火墙上配置日志功能模块，并产生日志；5在日志服务器上添加防火墙的 IP 地址；6在日志服务器上查看日志。预期结果日志服务器上能够查询到正确的日志信息测试结果支持 不支持 .防火墙报表防火墙报表.2.1. 报表分析报表分析测试子项目报表分析测试原理测试防火墙的报表分析功能测试拓扑 防火墙产品选型测试方案 32测试步骤1如图搭建好测试环境

53、；2在 PC 上安装相关软件或打开报表管理界面；3确定需要验证的某一功能模块日志，用相关方法触发特征产生大量日志；4查看报表信息。预期结果1可以按照攻击类型进行统计，有良好的图形统计和文字信息统计；2可以按照攻击来源和攻击目的进行统计，有良好的图形统计和文字信息统计；3可以按攻击处理类型、协议类型及特征组进行统计，有良好的图形统计和文字信息统计；测试结果优良 一般 不支持 结果判定参考不支持：不支持报表功能一般：有报表功能，并可进行一定的条件查询，但不够丰富，不能完全满足用户需求优良：有报表功能，并且报表分析功能强大，能较好或完全满足用户需求7. 性能测试性能测试.防火墙转发性能

54、防火墙转发性能.1.1. 应用层吞吐量应用层吞吐量测试子项目应用层吞吐量测试原理考察防火墙设备在模拟用户真实环境下的最大吞吐量，可以在透明接入或路由模式下执行测试拓扑 防火墙产品选型测试方案 33测试步骤1在不开启入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；2使用 Avlanche 测试仪，测试 HTTP 协议取 32K 的 html 文件时防火墙支持的应用层流量；3在开启入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；4再次使用 Avlanche 测试仪，测试

55、 HTTP 协议取 32K 的 html 文件时的应用层流量。测试结果(不开启 IPS+AV)测试结果(开启 IPS+AV)测试结果吞吐量.防火墙连接性能防火墙连接性能.2.1. 并发连接数并发连接数测试子项目并发连接数测试测试原理并发连接数是指防火墙对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。 测试拓扑测试步骤1在不开启入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；

56、2使用 Avlanche 的 layer 4-7Application 软件，测试防火墙支持的 http最大连接数；3在开启入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；4使用 Avlanche 的 layer 4-7Application 软件，测试防火墙支持的 http最大连接数。测试结果(不开启 IPS+AV)测试结果(开启 IPS+AV)测试结果HTTP 并发连接 防火墙产品选型测试方案 34数.2.2. 新建连接速率新建连接速率测试子项目新建连接速率测试测试原理新建连接速率是指防火墙每秒能够建立起的连接的数量。

57、测试拓扑测试步骤1在入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；2使用 Avlanche 的 layer 4-7Application 软件，测试防火墙每秒钟能建立的 http 连接数；3在开启入侵防护+防病毒(IPS+AV)功能的情况下，配置应用防护规则允许防火墙（Permit）两接口之间的通信；4使用 Avlanche 的 layer 4-7Application 软件软件，测试防火墙每秒钟能建立的 http 连接数。测试结果(不开启 IPS+AV)测试结果(不开启 IPS+AV) 测试结果HTTP 每秒新建连接数8. 可靠性可靠性. bypass 功能功能.1.1. 硬件硬件 bypass测试子项目硬件 bypass测试原理考察防火墙在异常掉电后是否影响网络正常畅通 防火墙产品选型测试方案 35测试拓扑测试步骤1按图搭建好拓扑，防火墙透明接入，在防火墙配置策略使 PC 可正常访问 Internet；2使用 PC 不停 Ping ；3关闭设备电源，查看 PC 是否还能 ping 通新浪。预期结果设备在断电时不会中断网