DPtech_FW1000系列防火墙系统测试方案

1、DPtechFW1000测试方案DPtech杭州迪普科技有限公司2011年10月.下载可编辑.下载可编辑.DPtechFW1000测试方案.1第1章产品介绍.1第2章测试计划.22.1测试方案.22.2测试环境.22.2.1测试环境一.22.2.2测试环境二.2第3章测试内容.43.1性能特性.43.2功能特性.43.3管理特性.43.4安全性.3.5高可靠性.44第4章测试方法及步骤.5HYPERLINKl_TOC_2500014.1性能测试.5HYPERLINKl_TOC_2500004.2FW功能测试.74.3DPI功能测试.134.4管理特性.144.5安全特性.15第5章测试总结.1

2、7第1章产品介绍目前，Web2.0音频/视频、P2P云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的FVV已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统FW上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代FWDPtechFW100CN系列应用FWFW1OO0寸网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以

3、一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用FWFW1000-G为E例，在开启FWFWec/SSLVPNNATURL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。FW100CN系列开创了应用FW的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlatOS安全操作系统，是目前业界性能最高的应用FW无以伦比的高可用性、高性能和高可靠性，使得FW100CN系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用FW方案，也简化

4、了网络的安全架构，并大大降低了企业网络总体拥有成本！第2章测试计划测试方案DPtechFW产品主要包括包过滤、NAT静/动态路由、虚拟FW多种VPN等几大主体功能，本文档的测试项主要以上述主体功能的测试展开；同时，测试中还涉及到限流等多种响应方式，设备的可管理性、高可靠性等诸多方面的测试，以充分展示设备的完备功能和高性能。测试环境测试环境一图1性能测试环境1设备或软件名称描述数量DPtechFWSmartBitsSwitchFW测试设备性能的仪器交换机1122.2.2测试环境二viLuiche图2性能测试环境2设备或软件名称描述数量DPtechFWAvalanche/Reflector2500

5、FW1性能测试仪器1第3章测试内容性能特性FW的性能指标为吞吐量、每秒新建数、每秒并发数，性能测试部分将主要针对这几点进行测试。功能特性产品功能包括管理功能、ACL包过滤、NATDPI（攻击防护，防病毒，带宽限速，URLM滤）等几大主体功能，功能测试部分将主要针对这几点进行测试。管理特性为方便IT人员管理，设备提供了良好的可管理性。支持HTTPS等安全管理方式，支持Web的友好界面，简化FW的配置，方便用户操作和维护。特征库的升级支持手动和自动两种方式，用户可根据实际情况随意选择特征库的升级时间。安全性可设置管理员的权限，不同权限的管理员访问设备的功能权限不同。可设置的权限选项有系统配置、业务

6、配置、系统日志管理、操作日志管理和业务日志管理。在登录参数设置上，包括超时时间、错误登录锁定和锁定后解锁。高可靠性抗掉电保护，在设备异常掉电后，当FW灰复供电，系统的状态、相关日志和配置信息正常保存。第4章测试方法及步骤性能测试整机转发吞吐量测试目的验证FW勺整机转发能力测试条件测试组网：参见图1;性能测试仪的两个端口分别与被测设备的端口A和B相连。（端口数量按照客户要求测试过程配置，进行Fullmesh网状流量测试）在FW上配置201条安全策略，前200条均为deny，最后一条为允许全部通过SmartFlow设置主要参数如下：双向UDP数据包，包长为64、128、256、1024、1518字

7、节，时长为120秒，且不能匹配前200条策略。记录测试结果预期结果帧长64128256512102412801518吞吐量其它说明和注意事项测试结果帧长64128256512102412801518吞吐量每秒新建连接能力测试目的验证FW!秒新建会话数能力测试条件测试组网：参见图2;FW工作在NAT模式；测试过程设定avalanche测试仪模拟客户端500用户，FWnat转换地址池个数为20;采用测试仪表仿真客户端与服务器之间的HTTP通信过程。通过调节通信联接的建立速率，搜索FW能支持的最大的联接建立速率。分别在设置一条全允许规则和设置201条安全控制规则的条件下，完成上述测试过程，（其中，前

8、200条均为deny，最后一条为允许全部通过）预期结果FW每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率Connections/Sec201条允许规则条件下，最大的新建连接速率Connections/Sec其它说明和注意事项测试结果不允许出现一例失败，否则认为数据无效测试结果FW每秒新建会话能力：一条全允许规则条件下，最大的新建连接速率201条允许规则条件下，最大的新建连接速率Connections/SecConnections/Sec最大并发会话数测试目的验证FV设备的最大并发会话数测试条件测试组网：参见图2；FV工作在NAT模式；测试过程设定avalanche测试仪模拟客户端5

9、00用户，FWna转换地址池个数为20；采用测试仪表仿真客户端与服务器之间的HTTP通信过程。设定通信联接的建立速率为10000conn/s，搜索FV能支持的最大的并发会话处理能力。分别在设置一条全允许规则和设置1001条安全控制规则的条件下，完成上述测试过程，（其中，前1000条均为deny，最后一条为允许全部通过）预期结果FV每秒新建会话能力：一条全允许规则条件下，最大并发会话数Connections1001条允许规则条件下，最大并发会话数Connections其它说明和注意事项测试结果不允许出现一例失败，否则认为数据无效FV每秒新建会话能力：测试结果一条全允许规则条件下，最大并发会话数C

10、onnections1001条允许规则条件下，最大并发会话数ConnectionsVPF加密隧道的吞吐量过程。预期结果帧长64128256512102412801518吞吐量其它说明和注意事项测试结果帧长64128256512102412801518吞吐量FW功能测试管理功能测试测试目的验证FW设备的设备管理功能测试条件噥PC00/24/24测试过程PC机器与FW相连；配置FW为用户名/密码管理或软证书管理方式；预期结果PC机通过两种方式都可管理设备其它说明和注意事项测试结果端口映射测试目的验证FW设备的端口映射功能测试条件2PC-01防火墙PC-000/24/24/24测试过程PC01模拟客

11、户端，PC02模拟服务器端（安装有FTP或HTTP服务器端软件）；PC02上将FTP服务器端口改为8000，FW上配置端口映射；PC01ftpPC02的ip:8000端口，可正常访问PC02的ftp服务；预期结果PC01可以正常访问PC02的FTP服务其它说明和注意事项测试结果ACL测试目的验证FW设备的AC功能测试条件參妙PC-01防火墙PC-000/24/24/24测试过程FW连接两PC机器的两端口加入不同安全域，配置面向对象ACL（域间策略）阻止PC01与PC02互访或根据客户实际要求限制对某些IP地址或端口的访问；测试PC01与PC02的互访功能是否符合既定域间策略；预期结果PC01与

12、PC02间互访符合既定域间ACL策略其它说明和注意事项Pc1为untrust,PC2为DMZ允许可以访问PC1，不允许访问PC2，PING,和HTTP测试结果允许可以访问PC1，不允许访问PC2包过滤测试目的验证FW设备的包过滤功能测试条件PC-01防火墙PC-000/24/24/24测试过程FW开启包过滤功能，FW配置包过滤策略；PC01访问PC02观察FW设备能否按照既定的包过滤策略访问；预期结果FW能够正常按照既定包过滤策略进行互访其它说明和注意事项1允许pinghttp2阻断FTP3允许FTP4允许FTPget,阻断FTPputPc1为untrust,PC2为DMZ测试结果4没有阻断F

13、TPput，因为FTPGET和PUT在检测的是时候是采用通用的同样的5元组，sourceip,dstip.sourceport,dstip,propole,GET和PUT所用的一样的，检测线条太粗，只能采用深度检测，检测关键字，识别上传还是下载NAT测试目的验证FW设备的静态地址转换功能测试条件-IPnetwork1甲斛十PC-01防火墙PC-00/24/24/24测试过程PC01模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01PC02处于不同网段；FW配置静态一对一地址静态地址转换功能；PC01访问PC02的FTP服务，在PC02端抓包；PC01可正常

14、访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为FW上所配置的静态映射地址；预期结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW上预先配置的静态映射地址其它说明和注意事项Pc-01为trust,pc-02为untrust，PC02网关不指向测试结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW上预先配置的静态映射地址动态地址转换测试目的验证FW设备的动态地址访问功能测试条件|:IPnetwork.|PC-01防火墙PC-000/24/24/24测试过程

15、PC01PC02模拟内网主机，PC02模拟外网服务器（装有服务器软件如:FTPserver等），PC01处于不同网段；FW配置动态地址转换功能；PC01访问PC02的FTP服务，在PC02端抓包；PC01可正常访问PC02的FTP服务，在PC02上抓包可以看到PC01访问PC02所用源地址为FW上所配置的地址池中的地址；预期结果PC01可正常访问PC02上的服务，PC02端抓包看到PC01访问PC02访问其服务所用源地址为FW上预先配置的地址池中的地址其它说明和注意事项接口配置同t06-01，先进行EASYIP的方式进行NAT转换，然后采用PAT,NO-PAT测试结果内部服务器测试目的验证FW

16、设备的内部服务器功能测试条件W-防火墙IPnetworkPC-000/24测试过程PC01模拟内网主机，服务器功能；/24/24PC-02PC02模拟外外网主机，PC01PC02处于不同网段；FW配置内部PC01开启FTP服务,PC02访问FW外网口地址进而可以访问PC01的FTP服务；PC02可以正常访问PC01的FTP服务预期结果PC02可以正常访问PC01的FTP服务其它说明和注意事项接口配置同t06-01,先是在PC-02上不指定网关到G0/2上，需要配置静态NAT才能够访问内部服务器，然后在PC-O2指定网关到G0/2上，就通过以上配置外部网络可访问内部的服务器测试结果SNMP测试目

17、的验证FW设备的SNM功能测试条件-IPnetworkPC防火墙00/24/24测试过程PC与FW接口向连，PC装有MIBBrowser软件；FW配置SNMPPC机通过MIBBrowser与FW连接；通过MIBBrowser软件查找相应MIB项；预期结果通过客户端PC安装的MIBBrowser软件查找相应MIB项其它说明和注意事项测试结果SynFIood测试目的验证FW设备的抵御SynFlood功能测试条件测试过程FW开启SynFlood攻击防范功能；使用测试仪器模拟进行SynFlood攻击，攻击FW内网区域的PC观察FW设备能否对SynFlood攻击进行防御，并在PC上抓包进行验证预期结果F

18、W能够正常抵御SynFlood攻击其它说明和注意事项测试结果RIPv1/v2测试目的验证FW对RIP协议的支持测试条件PC-01防火墙-01防火墙-02PC_000/24/24/2410-2-0-100/24测试过程PC1、PC2的网关分别指向FW1和FW2在FW1和FW2上面配置RIP动态路由，并进行发布。一段时间后在FW1和FW2上分别查看RIP路由学习情况，并从PC1pingPC2。预期结果FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项测试结果OSPF测试目的验证FW对OSP协议的支持测试条件Aq鶴；矗Z醪零、乡PC-01防火墙-01防火墙-02PC-000/24/24/2

19、400/24PC1、PC2的网关分别指向FW1和FW2测试过程在FW1和FW2上面配置OSPF动态路由，并进行发布。一段时间后在FW1和FW2上分别查看OSPF路由学习情况，并从PC1pingPC2。预期结果FW1与FW2能够相互学习到对端的动态路由其它说明和注意事项测试结果BGP测试目的验证FW对BG协议的支持测试条件测试过程PC-000/24PC1、PC2的网关分别指向麟鬱防火墙-0/24FW1和FW2防火墙-0/249PC_000/24在FW1和FW2上面配置BGP动态路由，并进行发布。一段时间后在FW1和FW2上分别查看BGP路由学习情况，并从PC1pingPC2。预期结果FW1与FW

20、2能够相互学习到对端的动态路由其它说明和注意事项测试结果虚拟FW功能测试目的验证虚拟FV功能测试过程预期结果在上面FW组网中，内网的服务器划分为三个区域（areal、area2、area3），并且这三个区域的网络地址完全重叠，3个服务器的地址均为，后分别接入FW的内网接口上，FW上对应的直连地址为在FW上进行虚拟FW的相关配置，模拟出3个独立的FW分别把内网区域3个服务器映射为不同的公网IP。然后从外网区域访问分别3个服务器。针对内网区域3个服务器配置不同的安全控制策略，然后再分别从外网区域访问分别3个服务器。步骤2，从外网区域都能够同时正常访问3个服务器。步骤3，从其他区域访问3个服务器时，

21、会受到针对每个服务器配置的安全策略的控制。其它说明和注意事项测试结果DPI功能测试测试目的验证URL过滤功能测试条件1Console|-UTMgG02*-1Bernet测试过程使用PC机访问被过滤的URL站点预期结果可以查看到相关的阻断日志其它说明和注意事项无测试结果带宽管理功能测试测试目的验证带宽管理功能测试条件Console1-4InternetG0/G0/2PC测试过程使用PC在线观看电影，使用迅雷下载限速。预期结果可以带宽被限制其它说明和注意事项无测试结果URL过滤功能测试管理特性测试目的验证设备的管理方式测试条件1、测试组网，参见图12、管理台用串口和设备相连，管理口用网线和设备管理

22、口相连，且IP地址属同一网段测试过程1、FW支持Web操作（http/https，端口可自定义）、Telnet、SSH串口管理2、用上述方式管理设备，得到预期结果1预期结果1、各种管理方式均支持其它说明和注意事项无测试结果手动升级特征库测试目的验证手动升级特征库1、组网，参见图1测试条件2、设备中有该特征库的License3、有要升级的特征库文件1、在web上导入该特征库测试过程2、点确定按钮，升级最新的特征库3、得到预期结果1预期结果1、特征库升级成功其它说明和注意事项无测试结果设备状态检测测试目的验证FWWE界面查看设备CPU内存使用率测试条件1、组网，参见图1测试过程1、B界面查看设备的CPU和内存使用率2、预期结果1丰富的管理方式预期结果1、可查看设备的CPU内存使用率其它说明和注意事项无测试结果安全特性用户登陆锁定的安全性测试目的用户登陆锁定的安全性测试条件1、测试组网，参见图11、在web上添加一个用户测试过程2、设置错误登陆的尝试次数为3次3、该用户用错