防火墙测试方案
引言
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
随着网上黑客活动的日益猖獗,越来越多的上网企业幵始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用, 因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。
评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安
全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全
技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。
测试的背景和目的
在防火墙产品市场上,产品一般分为咼、中、低三档。考虑到,咼档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。
为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个
部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。
参考资料
GB/T 18020-1999信息技术应用级防火墙安全技术要求
GB/T 18019-1999信息技术包过滤防火墙安全技术要求
FWPD Firewall Product Certification Criteria Version 3.0a
测试项目
?测试项目
包过滤,NAT地址绑定,本地访问控制,多播,TRUNK代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。
?测试环境简略拓扑图
).20
FW1
10.10.2
10.10.2.2 FW2FW3
()
S3
()
管理器
说明:在括号内的IP 地址,为测试单一防火墙功能时所用的
图2仅为测试TRUNK 弋理路由和非IP 规则时使用.
三.测试前软件环境的准备 1. 子网主机具有 Linux , windows 2000 (or 98 or NT )
2. 测试环境Linux 主机配置 wwwftp ,teInet 服务,同时安装nmap http_load ,
sendudp 等测试工具;Windows 主机配置ftp , telnet , iis , snmp 等服务, 同时
安装IE , Netscape 等浏览器
3. 防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
4. 在广域网中采用静态路由和动态路由(rip 或ospf )两种。
5. 。
10.10.1.1 仞0..3.1 10.10.3.10
()
IP 地址。
两种环境。
() 10.10.1.240 fl
(
四. 功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A. 包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计: a. 方向:区1—>区 2
b.操作:允许(拒绝)
c.协议:tcp ,udp,icmp 和其它协议号的协议。
d.审计:是(否)
e.有效时间段
B.地址绑定------- ip , mac地址绑定。防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计: a. 方向:区1—>区 2
b.操作:允许(或拒绝)
C本地访问控制 ------ 对管理主机的访问进行控制
1 .)单一地址
2. )多地址
规则设计: a. 操作: 1. 允许ping ,telnet 等。
2. 允许管理
D NAT -------- 地址,端口的转换。私有ip转为公网ip。
1.)一对一
2. )多对一