Check-Point-VSX-1-虚拟防火墙测试方案

PAGEPAGE19CheckPoint虚拟防火墙测试方案 version2.2CheckPoint安全软件科技有限公司2009年6月目录TOC\o"1-6"\h\z\u1 测试方案概述 32 测试环境和拓扑结构 42.1 功能测试拓扑结构及环境说明 42.1.1 单机功能测试拓扑结构（除SitetoSiteVPN） 42.1.2 双机冗余功能测试拓扑结构（除SitetoSiteVPN） 42.1.3 功能测试拓扑结构（SitetoSiteVPN） 52.2 性能测试拓扑结构结构及环境说明 52.2.1 单机网络/应用性能测试拓扑结构（除SitetoSiteVPN） 52.2.2 双机网络/应用性能测试拓扑结构（除SitetoSiteVPN） 62.2.3 VPN性能测试拓扑结构(SitetoSiteVPN) 72.3 当前测试版本 73 功能测试 83.1 测试环境初始化 83.2 物理指标 93.3 设备虚拟化能力测试 103.3.1 测试目标 103.3.2 测试用例 103.3.3 测试方法 103.4 组网功能测试 113.4.1 测试目标 113.4.2 测试用例 113.4.3 测试方法 113.5 高可用性测试 123.5.1 测试目标 123.5.2 测试用例 123.5.3 测试方法 133.6 防火墙功能测试 143.6.1 测试目标 143.6.2 测试用例 143.6.3 测试方法 143.7 IPS功能测试 153.7.1 测试目标 153.7.2 测试用例 153.8 WEB过滤功能测试 163.8.1 测试目标 163.8.2 测试用例 163.9 集中管理系统冗余 173.9.1 测试目标 173.9.2 测试用例 173.10 日志管理 183.10.1 测试目标 183.10.2 测试用例 183.11 报表管理 203.11.1 测试目标 203.11.2 测试用例 20测试方案概述本方案用于测试CheckPointVSX-1系列虚拟防火墙。测试方案主要分为两个部分：功能测试和性能测试。功能测试部分用于测试和验证CheckPoint系列防火墙可实现的功能，主要包括：设备虚拟化能力（虚拟化组件及资源控制功能）组网功能高可用性功能防火墙功能IPS功能WEB过滤功能SSLVPN功能集中管理系统冗余功能日志管理功能报表功能；性能测试部分用于测试CheckPoint系列防火墙/VPN/应用层安全的性能指标，测试指标主要包括：UDP数据包网络吞吐量BlendTraffic数据包网络吞吐量（和各模块相关）最大并发连接数每秒新建连接数由于性能测试部分与测试设备密切相关，因此，在测试方案设计时，我们将功能测试方案和性能测试方案独立设计；以便于在没有性能测试的环境下，仍然可以实现全面的功能测试；测试环境和拓扑结构功能测试拓扑结构及环境说明单机功能测试拓扑结构（除SitetoSiteVPN）测试设备CheckPointPower-111085，建立至少2个虚拟防火墙（以验证虚拟防火墙的安全独立性）SpirentAvalanche/ReflectorSpirentSmartBit测试千兆交换机2台补充说明需配置一台Power-1的管理服务器。硬件推荐配置：CPU至强3.0以上/内存4G/硬盘80G/双机冗余功能测试拓扑结构（除SitetoSiteVPN）测试设备CheckPointPower-111085，建立至少4个虚拟防火墙（以验证虚拟防火墙的冗余和负载均衡能力）SpirentAvalanche/ReflectorSpirentSmartBit测试千兆交换机2台功能测试拓扑结构（SitetoSiteVPN）略性能测试拓扑结构结构及环境说明单机网络/应用性能测试拓扑结构（除SitetoSiteVPN）测试设备CheckPointPower-111085，建立至少2个虚拟防火墙（根据端口类型来进行配置）。SpirentAvalanche/ReflectorSpirentSmartBit测试千兆交换机2台双机网络/应用性能测试拓扑结构（除SitetoSiteVPN）测试设备CheckPointPower-111085，建立至少2个虚拟防火墙（根据端口类型来进行配置）。SpirentAvalanche/ReflectorSpirentSmartBit测试千兆交换机2台VPN性能测试拓扑结构(SitetoSiteVPN)略当前测试版本当前测试软件版本为CheckPointNGXR65PowerVSX版本；当前测试硬件平台为CheckPointPower-111000系列硬件平台；功能测试测试环境初始化略物理指标略设备虚拟化能力测试测试目标通过该测试，达到以下目标：了解虚拟防火墙的虚拟化能力，能够支持哪些虚拟化组件；了解虚拟防火墙的资源控制能力，以保证在某一台虚拟防火墙收到攻击时，不会造成整个虚拟防火墙平台的崩溃；测试用例测试内容测试要求测试结果虚拟换能力R31虚拟防火墙是否支持创建虚拟防火墙R32虚拟路由器是否支持创建虚拟路由器R33虚拟交换机是否支持创建虚拟交换机R34虚拟网线是否支持创建虚拟网线R35路由功能1虚拟防火墙支持哪些动态路由（单播、多播）R36路由功能2虚拟路由器支持哪些动态路由（单播、多播）资源控制能力R37CPU资源控制定义各虚拟系统所占用的CPU资源分配比例；当某虚拟防火墙使用定义的CPU资源份额时，别的虚拟防火墙将无法占用该部分CPU资源；当某虚拟防火墙空闲时，将允许空闲的CPU资源份额被其他虚拟防火墙使用R38防火墙状态表控制分别定义各虚拟防火墙所能够使用的最大并发连接数，以控制该虚拟防火墙所使用的内存资源测试方法略组网功能测试测试目标通过该测试，以评估虚拟防火墙的组网能力，以适应不同的网络应用需求。测试用例测试内容测试要求测试结果R41路由模式虚拟防火墙是否可以运行在路由模式R42NAT模式虚拟防火墙是否可以运行在NAT模式(动态、静态)R43桥模式虚拟防火墙是否可以运行在桥模式R44混合模式在同一硬件平台上，部分虚拟防火墙以桥模式运行，部分防火墙以路由模式运行测试方法略高可用性测试测试目标通过该测试，以评估虚拟防火墙双机冗余能力，包括：主备模式（Active-Standby）测试负载均衡（Active-Active）测试测试用例测试内容测试要求测试结果R51主备模式-1虚拟防火墙是否支持路由模式下的主备模式R52主备模式-2虚拟防火墙是否支持桥模式下的主备模式R53主备模式-3在路由模式时，当某一个虚拟防火墙fail-over切换时，是否会造成其他虚拟防火墙也同时进行fail-over切换R54主备模式-4在路由模式时，当某一个虚拟防火墙fail-over切换时，不会造成连接中断（FTP/Telnet）R55主备模式-5在桥模式时，当某一个虚拟防火墙fail-over切换时，是否会造成其他虚拟防火墙也同时进行fail-over切换R56主备模式-6在桥模式时，当某一个虚拟防火墙fail-over切换时，不会造成连接中断（FTP/Telnet）R57负载均衡-1是否支持路由模式下的负载均衡，即一部分虚拟防火墙运行在硬件平台A，另一部分虚拟防火墙运行在硬件平台B；R58负载均衡-2是否支持桥模式下的负载均衡，即一部分虚拟防火墙运行在硬件平台A，另一部分虚拟防火墙运行在硬件平台B；R59负载均衡-3在路由模式时，当某一个虚拟防火墙fail-over切换时，是否会造成其他虚拟防火墙也同时进行fail-over切换R510负载均衡-4在路由模式时，当某一个虚拟防火墙fail-over切换时，不会造成连接中断（FTP/Telnet）R511负载均衡-5在桥模式时，当某一个虚拟防火墙fail-over切换时，是否会造成其他虚拟防火墙也同时进行fail-over切换R512负载均衡-6在桥模式时，当某一个虚拟防火墙fail-over切换时，不会造成连接中断（FTP/Telnet）R513混合模式-1在混合模式下（部分虚拟防火墙运行在桥模式，部分运行在路由模式），虚拟防火墙是否支持主备模式R514混合模式-2在混合模式下（部分虚拟防火墙运行在桥模式，部分运行在路由模式），虚拟防火墙是否支持负载均衡测试方法略防火墙功能测试测试目标通过该测试，了解虚拟防火墙可以实现的基本功能，以及其虚拟化程度，包括：访问控制功能NAT功能用户认证功能IPSECVPN功能SSLVPN功能测试用例测试内容测试要求测试结果在本测试中，将建立至少两个虚拟防火墙，并对2个虚拟防火墙部署不同的安全策略，测试各虚拟防火墙是否严格执行了所配置的策略，而不会受到其他虚拟防火墙策略的影响R61访问控制-1是否支持访问控制(FTP/PING/HTTP)R62访问控制-2是否支持访问控制策略的独立性R63NAT功能-1是否支持各种NAT模式(动态、静态)R64NAT功能-2是否支持NAT策略的独立性R65用户认证-1是否支持用户认证功能（内部用户要需要通过防火墙认证后，才能够访问外部网络）R66用户认证-2是否支持用户认证策略的独立性R67IPSECVPN-1是否支持IPSECVPN功能（点到点，客户端到点）R68IPSECVPN-2是否支持IPSECVPN策略的独立性R69SSLVPN-1是否支持SSLVPN功能R610SSLVPN-2是否支持SSLVPN策略的独立性测试方法略IPS功能测试测试目标通过该测试，以评估虚拟防火墙（设备）的入侵防御能力。测试主要分为两个方面：手工工具测试设备测试测试用例测试方法测试结果R71,手工测试(主要侧重于WEB攻击防御SQL注射跨网站脚本攻击HTTPHeaderSpoofing目录遍历命令注射R72,设备测试（如：SpirentThreatEX）扫描类攻击DOS类攻击FTP应用攻击MAIL应用攻击DNS应用攻击VOIP应用攻击SNMP应用攻击MSCIFS应用攻击WEB应用攻击协议符合性保护欺骗攻击保护其他攻击类型R73,SmartDefense规则库升级规则库升级测试规则库升级过程是否造成网络连接中端WEB过滤功能测试测试目标通过该测试，以评估虚拟防火墙(设备)的WEB过滤引擎的安全检测能力。测试用例测试项目源地址测试结果R81基于内置数据库黑客类，测试访问黑客网站是否被过滤成人类，测试访问成人类网站是否被过滤Web邮件，测试访问WEB邮件是否被过滤R82基于URL/IP白名单测试URL白名单R83基于URL/IP黑名单测试URL黑名单R84基于主机白名单测试主机白名单