信息技术应用创新 网络型防火墙测试方法

ICS点击此处添加ICS号

CCS点击此处添加CCS号

GXBD

团体标准

T/GXBDXXXX—2024

信息技术应用创新

网络型防火墙测试方法

Informationtechnologyapplicationinnovation－

Testmethodsfornetwork-basedfirewall

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

2024-XX-XX发布2024-XX-XX实施

广西大数据学会  发布

T/GXBDXXXX—2024

信息技术应用创新

网络型防火墙测试方法

1范围

本文件规定了符合T/GXBD002—2024《信息技术应用创新网络型防火墙》要求的网络型防火墙的

测试方法。

本文件适用于符合T/GXBD002—2024《信息技术应用创新网络型防火墙》要求的网络型防火墙的

适配测试。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20281信息安全技术防火墙安全技术要求和测试评价方法

GB/T25069信息安全技术术语

T/GXBD002—2024信息技术应用创新网络型防火墙技术要求

3术语和定义

GB/T25069、GB/T20281界定的术语和定义适用于本文件。

防火墙firewall

是指对经过的数据流进行解析，并实现访问控制及安全防护功能的网络安全产品。

注：根据安全目的、实现原理的不同，通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙

等。[来源：GB/T20281,3.1]

网络型防火墙network—basedfirewall

部署于不同安全域之间，对经过的数据流进行解析，具备网络层、应用层访问控制及安全防护的网

络安全产品。

信息技术应用创新Informationtechnologyapplicationinnovation

依靠国家可掌控的研发和生产条件，主导核心技术及产品研发、生产、发展全过程的活动。

适配adaptation

将两个或多个不同的系统、设备或组件进行连接，使其能够一起正常协同工作的一系列活动。

4缩略语

SOC：安全运营中心。

5规格要求测试方法

CPU

5.1.1测试方法

1

T/GXBDXXXX—2024

通过WEB管理界面的系统信息或CLI界面执行命令查看产品所使用的CPU。

5.1.2预期结果

产品使用的CPU符合信息技术应用创新的要求。

5.1.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

操作系统

5.2.1测试方法

通过WEB管理界面的系统信息或CLI界面执行命令查看产品所使用的系统。

5.2.2预期结果

产品使用的操作系统符合信息技术应用创新的要求。

5.2.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

内存

5.3.1测试方法

通过WEB管理界面的系统状态或CLI界面执行命令查看内存的容量。

5.3.2预期结果

产品的内存容量不小于8GB。

5.3.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

接口

5.4.1测试方法

测试方法如下：

a)通过WEB管理界面的网络接口或CLI界面执行命令查看接口数量及相关信息；

b)通过查看产品面板上的业务接口数量、面板是否有接口板卡扩展槽。

5.4.2预期结果

预期结果如下：

a)产品面板上的业务接口数量不少于4个；

b)产品面板上存在接口板卡扩展槽。

5.4.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6功能要求测试方法

通用要求

应包括：

——GB/T20281提出的功能要求按照GB/T20281规定的测试方法进行测试。

——T/GXBD002—2024提出的每一项应具备的功能要求应经测试用例测试，宜具备的功能要求宜

经测试用例测试。

2

T/GXBDXXXX—2024

组网与部署

6.2.1路由

链路聚合

.1测试方法

测试方法如下：

a)环境搭建：使用防火墙、交换机、终端设备等设备搭建测试环境，确保所有设备物理连接正

确；

b)聚合配置：在防火墙、交换机上配置链路聚合，包括创建聚合口、将物理口加入聚合口、VLAN

和IP地址、检查接口模式/速率/双工模式等；

c)策略配置：配置防火墙安全策略，确保通过聚合链路上的流量能够被正确转发；

d)PING测试：从聚合链路的一端向另一端发送Ping请求，检查聚合链路的连通性；

e)发送大包测试：通过发送大数据包来测试链路的稳定性和带宽利用率；

f)保持PING状态或数据包发送状态，模拟聚合链路中某个成员接口故障（拔掉网线、关闭接口），

检查聚合链路是否能够自动切换到其他成员口进行流量转发，同时检查数据转发丢包情况。

.2预期结果

预期结果如下：

a)设备支持链路聚合功能，链路聚合模式下，安全策略生效；

b)断开链路聚合组中任一接口成员后，聚合链路仍可正常转发数据，不丢包或丢包数在允许接

受范围内。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

链路探测

.1测试方法

测试方法如下：

a)BFD双向转发检测：

1)配置BFD会话：在防火墙与其他需要检测链路状态的网络设备配置BDF会话（指定对端

IP地址、BFD控制报文发送间隔、接收间隔）；

2)发送BFD报文：BFD会话建立后，双方设备相互发送BFD控制报文；

3)检测链路状态：模拟链路故障（拔掉网线、关闭接口）、恢复链路故障，检查BFD是否

正常监测、记录链路状态。

b)NQA网络质量分析：

1)配置NQA任务：在防火墙上配置NQA任务，指定测试类型（ICMP、TCP、UDP）、目标地

址、测试频率等参数；

2)发送NQA报文：启动NQA任务，按照配置发送测试报文（ICMP回显请求、TCP连接请求

等）；

3)检测链路状态：模拟链路故障（拔掉网线、关闭接口）、恢复链路故障，检查NQA是否

正常监测、记录链路状态。

c)IP—Link链路检测：

1)配置IP—Link规则：在防火墙设备上配置IP—Link检测规则，指定要检测的目的IP地

址、检测频率、超时时间等参数；

2)发送探测报文：配置完成规则后，防火墙周期性地向指定目标IP地址发送探测报文（ICMP

请求或ARP请求）；

3)检测链路状态：模拟链路故障（拔掉网线、关闭接口）、恢复链路故障，检查IP—Link

是否正常监测、记录链路状态。

3

T/GXBDXXXX—2024

.2预期结果

预期结果如下：

a)设备支持BFD功能，可根据链路状态正常记录、反馈探测结果；

b)设备支持NQA功能，可根据链路状态正常记录、反馈探测结果；

c)设备支持IP—Link功能，可根据链路状态正常记录、反馈探测结果。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.2.2设备虚拟化

虚拟系统

.1测试方法

测试方法如下：

a)使用虚拟子系统管理员账号登录系统；

b)在虚拟子系统中配置路由、安全策略、NAT策略、开启日志记录功能，发起网络会话，并查看

虚拟子系统的路由、安全策略、NAT策略命中情况；

c)在虚拟子系统中将会话数或安全策略数设置特定阈值，产生超过阈值的会话数或安全策略数，

验证系统是否会提示相关资源使用超过配额限制；

d)在虚拟子系统中配置病毒防护、漏洞利用防护、URL过滤、文件过滤、内容过滤安全功能，产

生相应的网络会话。

.2预期结果

预期结果如下：

a)虚拟子系统管理员能够对虚拟子系统进行管理配置；

b)虚拟子系统能够配置独立的路由表与安全策略，并能够记录相关日志；

c)虚拟子系统能够限制会话或安全策略的数量；

d)虚拟子系统中能够配置病毒防护、漏洞利用防护、URL过滤、文件过滤、内容过滤安全功能，

并且能够正常生效。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.2.3IPv6支持

安全策略

.1测试方法

模拟IPv6网络环境，验证产品的安全策略是否能在IPv6网络环境下正常生效。

.2预期结果

产品在IPv6网络环境下安全策略能正常生效。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

网络层控制

6.3.1访问控制

包过滤

.1测试方法

4

T/GXBDXXXX—2024

测试方法如下：

a)设置基于安全域的安全策略，产生相应的网络会话，验证策略是否生效；

b)设置基于用户身份的安全策略，产生相应的网络会话，验证策略是否生效；

c)设置一条基于安全域、IP地址、端口、协议类型、时间和用户身份的组合安全策略，产生相

应的网络会话，验证策略是否生效；

d)设置两条具有包含关系的安全策略（如策略1为宽泛策略，策略2为明细策略，策略1位于

策略2之前），执行策略冗余分析，验证设备是否能够检测出策略2被策略1遮盖；

e)查看策略命中情况。

.2预期结果

预期结果如下：

a)安全策略正常生效；

b)安全策略正常生效；

c)安全策略正常生效；

d)设备能够分析、识别出冗余策略，以便进行策略优化；

e)能够查看策略命中情况。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

动态开放端口

.1测试方法

测试方法如下：

a)设置产品动态开放端口策略，使用支持SQLNET协议的工具在内部网络和外部网络之间发起连

接，检查产品是否能放行连接所使用的动态端口，网络会话是否连接正常；

b)设置产品动态开放端口策略，使用支持SIP协议的工具在内部网络和外部网络之间发起会话，

检查产品是否能放行连接所使用的动态端口，网络会话是否连接正常。

.2预期结果

预期结果如下：

a)工具运行正常，SQLNET协议连接所使用的动态端口开放；

b)工具运行正常，SIP协议连接所使用的动态端口开放。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

黑名单

.1测试方法

测试方法如下：

a)明确需要加入黑名单的IP地址、IP段或域名；

b)在防火墙管理界面或命令行界面中，将定义好的IP地址、IP地址段或域名地址添加到黑名单

配置中；

c)发起包含上述黑名单IP地址、IP地址段或域名的网络会话，验证防火墙黑名单功能是否生效。

.2预期结果

匹配黑名单的会话将被丢弃或阻止。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

5

T/GXBDXXXX—2024

白名单

.1测试方法

测试方法如下：

a)明确需要加入白名单的IP地址或IP段；

b)在防火墙管理界面或命令行界面中，将定义好的IP地址或IP地址段添加到白名单配置中；

c)发起包含上述白名单IP地址或IP地址段的网络会话，验证防火墙白名单功能是否生效。

.2预期结果

匹配白名单的会话将被正常转发。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

连接数控制

.1测试方法

测试方法如下：

a)将产品的所有IP并发数设置阈值，产生超过阈值的并发连接数，验证防火墙是否会进行限制；

b)将产品的所有IP新建数设置阈值，产生超过阈值的新建连接数，验证防火墙是否会进行限制。

.2预期结果

a)产品能够限制并发连接数的数量；

b)产品能够限制新建连接数的数量。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

应用层控制

6.4.1应用内容控制

应用文件过滤

.1测试方法

测试方法如下：

a)设置文件过滤策略，在内部网络和外部网络之间传输Windows、Linux系统常见文件类型文件，

如文本文件、流式文件、版式文件、网页文件、二进制数据文件等；

b)设置文件过滤策略，在内部网络和外部网络之间传输可执行文件、压缩文件、图片文件、视

频文件；

c)设置文件过滤策略，使用标准协议等特定应用程序，如FTP、SMTP、HTTP、HTTPS等，在内部

网络和外部网络之间传输文件；

d)设置文件过滤策略，设置需要过滤的传输方向，在内部网络和外部网络之间传输文件。

.2预期结果

预期结果如下：

a)产品能够对Windows、Linux系统常见文件类型文件进行过滤；

b)产品能够对可执行文件、压缩文件、图片文件、视频文件进行过滤；

c)产品能够对使用标准协议等特定应用程序传输的文件进行过滤；

d)产品能够只针对设置过滤方向上的文件进行过滤。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6

T/GXBDXXXX—2024

文件内容过滤

.1测试方法

测试方法如下：

a)设置文件内容过滤策略，分别上传包含和不包含内容过滤策略中敏感字的html、doc、docx、

xls、xlsx、ppt、pptx文件；

b)设置文件内容过滤策略，分别下载包含和不包含内容过滤策略中敏感字的html、doc、docx、

xls、xlsx、ppt、pptx文件。

.2预期结果

预期结果如下：

a)产品能够识别出包含内容过滤策略中敏感字的html、doc、docx、xls、xlsx、ppt、pptx文

件，并进行记录；

b)产品能够识别出包含内容过滤策略中敏感字的html、doc、docx、xls、xlsx、ppt、pptx文

件，并进行记录。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

文件类型识别

.1测试方法

设置文件过滤策略，更改指定格式文件的扩展名，如将zip类型文件扩展名更改成docx，在内部网

络和外部网络之间传输该文件。

.2预期结果

产品能够识别出该文件，并进行记录。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

攻击防护

6.5.1拒绝服务攻击防护

测试方法

测试方法如下：

a)设置产品安全策略，在内部网络与外部网络之间模拟DNSFlood泛洪类攻击；

b)设置产品安全策略，在内部网络与外部网络之间模拟FragFlood攻击；

c)设置产品安全策略，在内部网络与外部网络之间模拟TCP异常攻击；

d)设置产品安全策略，在内部网络与外部网络之间模拟Smurf攻击；

e)设置产品安全策略，在内部网络与外部网络之间模拟Winnuke攻击；

f)设置产品安全策略，在内部网络与外部网络之间模拟超大ICMP数据攻击。

预期结果

预期结果如下：

a)产品能够对DNSFlood泛洪类攻击进行防护；

b)产品能够对FragFlood攻击进行防护；

c)产品能够对TCP异常攻击进行防护；

d)产品能够对Smurf攻击进行防护；

e)产品能够对Winnuke攻击进行防护；

f)产品能够对超大ICMP数据攻击进行防护。

7

T/GXBDXXXX—2024

结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.5.2WEB攻击防护

测试方法

测试方法如下：

a)设置产品安全策略，在外部网络对内部网络的WEB应用系统模拟缓冲区溢出攻击；

b)设置产品安全策略，在外部网络对内部网络的WEB应用系统进行恶意扫描；

c)设置产品安全策略，在外部网络利用已知漏洞模拟对内部网络的WEB应用系统攻击。

预期结果

预期结果如下：

a)产品能够对缓冲区溢出攻击进行防护；

b)产品能够对恶意扫描进行防护；

c)产品能够对已知漏洞攻击进行防护。

结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.5.3恶意代码防护

测试方法

测试方法如下：

a)设置产品安全策略，在外部网络与内部网络之间使用HTTP、FTP、POP3、SMTP协议传输恶意

代码；

b)设置产品安全策略，在外部网络与内部网络之间使用邮件传输恶意代码；

c)设置产品安全策略，在外部网络与内部网络之间传输包含有恶意代码的多层级压缩文件；

d)设置产品安全策略，从内部网络访问外部网络中带有恶意代码的网站。

预期结果

预期结果如下：

a)产品能够识别出使用HTTP、FTP、POP3、SMTP协议传输的恶意代码；

b)产品能够识别出使用邮件传输的恶意代码；

c)产品能够识别出多层级压缩文件里的恶意代码；

d)产品能够识别出网站中的恶意代码。

结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.5.4外部系统协同防护

测试方法

测试方法如下：

a)使产品本地威胁情报库版本低于云端威胁情报库版本，产品配置与云端连接；

b)产品配置与态势感知或SOC平台连接，模拟产生相应的网络会话；

c)产品配置与沙箱连接，模拟产生相应的网络会话；

d)产品配置与第三方管理平台连接。

预期结果

预期结果如下：

8

T/GXBDXXXX—2024

a)产品能够连接云端，并从云端威胁情报下载新版本的威胁情报库至本地；

b)产品能够连接态势感知或SOC平台，将数据包发送至态势感知或SOC平台，接收态势感知或

SOC平台的处置策略；

c)产品能够连接本地沙箱，并将流量中的文件上传至沙箱，接收沙箱的扫描结果；

d)产品能够连接第三方管理平台，并能够通过第三方管理平台进行管理。

结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.5.5抗渗透防护

测试方法

测试方法如下：

a)模拟进行端口扫描攻击；

b)模拟进行碎片包攻击；

c)模拟进行无效数据攻击；

d)模拟进行数据异常攻击。

预期结果

预期结果如下：

a)能够对端口扫描攻击进行防护；

b)能够对碎片包攻击进行防护；

c)能够对无效数据进行验证；

d)能够对数据异常进行错误检查。

结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

安全审计、告警与统计

6.6.1安全审计

日志管理

.1测试方法

测试方法如下：

a)产品设置存储空间报警阈值，设置达到阈值时的通知方式为日志、邮件、弹框、声音中的一

种，设置产品处理机制为覆盖、停止记录、转存中的一种，使产品存储空间达到报警阈值；

b)产生不同类型和级别的攻击网络会话，查看产品日志；

c)使产品记录各类安全日志，并查看安全日志。

.2预期结果

预期结果如下：

a)产品能够使用日志、邮件、弹框、声音中的一种作为通知方式，并能够正常使用设置的通知

方式进行通知，能够使用覆盖、停止记录、转存中的一种作为处理机制，并能够正常使用设

置的处理机制进行处理；

b)产品能够记录攻击事件，并进行分类、分级显示；

c)产品能够基于时间、日志类型、IP、用户、动作、严重等级等维度对安全日志进行查询。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.6.2告警

9

T/GXBDXXXX—2024

告警方式

.1测试方法

产品设置产生告警时告警方式为日志、邮件、电话、短信、微信、页面提示、声音播报中的一种，

使产品产生告警。

.2预期结果

产品能够使用日志、邮件、电话、短信、微信、页面提示、声音播报中的一种作为告警方式，并能

够正常使用设置的告警方式进行告警。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

6.6.3统计

接口流量统计

.1测试方法

测试方法如下：

a)在产品上查看接口实时流量情况；

b)在产品上查看历史流量统计情况。

.2预期结果

预期结果如下：

a)产品能够查看接口实时流量情况；

b)产品能够查看历史流量统计情况。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

接口丢包统计

.1测试方法

模拟丢包场景，查看产品数据包丢包统计情况。

.2预期结果

产品能够对数据包丢包数进行统计。

.3结果判定

实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。

报表分析统计

.1测试方法

测试方法如下：

a)在报表菜单生成流量相关的报表；

b)在报表菜单生成安全风险相关的报表；

c)在报表菜单中根据时间段生成流量报表、安全风险报表。

.2预期结果

预期结果如下：

a)能够生成流量报表；

b)能够生成安全风险报表；

10

T/GXBDXXXX—2024

c)能够生成某一时间段的流量报表、安全风险报表。

.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

故障诊断

6.7.1测试方法

测试方法如下：

a)通过SSH或HTTPS协议登录设备，执行pingx.x.x.x命令，进行ping功能测试；

b)通过SSH或HTTPS协议登录设备，执行tracerx.x.x.x命令，进行tracer功能测试；

c)通过SSH或HTTPS协议登录设备，使用抓包工具进行抓包；

d)通过SSH或HTTPS协议登录设备，使用debug工具进行调试测试。

6.7.2预期结果

预期结果如下：

a)ping命令工具功能正常；

b)trace命令工具功能正常；

c)抓包工具功能正常；

d)debug工具功能正常。

6.7.3结果判定

实际结果与预期结果一致，则测试结果判定为通过，否则判定为不通过。

7安全要求测试方法

通用要求

应包括：

——GB/T20281提出的安全要求按照GB/T20281规定的测试方法进行测试；

——T/GXBD002—2024提出的每一项应具备的安全要求应经测试用例测试，宜具备的安全要求宜

经测试用例测试。

管理方式

7.2.1测试方