防火墙测试验收方案 Final revision by standardization team on December 10, 2020.
防火墙测试方案
一、引言
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。
评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了
使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。
测试的背景和目的
在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。
为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。
参考资料
GB/T 18020-1999信息技术应用级防火墙安全技术要求
GB/T 18019-1999 信息技术包过滤防火墙安全技术要求
FWPD:Firewall Product Certification Criteria Version
测试项目
一.测试项目
包过滤,NAT,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。
二.测试环境简略拓扑图
.
(2).1
10.10.1.240
10.10.3.10
()
FW1
10.10.2
()
FW2FW3
()
()
()
图1
管理器
图2
说明:在括号内的IP地址,为测试单一防火墙功能时所用的IP地址。
图2仅为测试TRUNK,代理路由和非IP规则时使用.
三.测试前软件环境的准备
1.子网主机具有Linux,windows 2000(or 98 or NT)两种环境。
2.测试环境Linux主机配置www,ftp,telnet服务,同时安装nmap,http_load,
sendudp等测试工具;Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape等浏览器
3.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
4.在广域网中采用静态路由和动态路由(rip或ospf)两种。
5.。
四.功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A. 包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计:a.方向:区1—>区2
b.操作:允许(拒绝)
c.协议:tcp,udp,icmp和其它协议号的协议。
d.审计:是(否)
e.有效时间段
B.地址绑定――――ip,mac地址绑定。防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计:a.方向:区1—>区2
b.操作:允许(或拒绝)
C本地访问控制――――对管理主机的访问进行控制
1.)单一地址
2.)多地址
规则设计:a.操作:1.允许ping ,telnet等。
2.允许管理
D NAT――――地址,端口的转换。私有ip转为公网ip。
1.)一对一
2.)多对一
3.)多对多
规则设计:a.方向:区1->区2.
b.操作:拒绝(或允许)
c.协议:tcp,udp,icmp和其它协议号的协议。
d.审计:是(否)
E多播――――解决一对多的通信。
1.单一多播源,多接收端。
2.多多播源,多接收端。
,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.
H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.
I .审计――――审计防火墙上的访问,及事件信息,防火墙的状态.
J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.
K攻击――――防攻击。
检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。
L.双机热备――――设备冗余。
同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。当激活状态的防火墙down掉时,备份防火墙接管。
通过测试用例来对具体的操作进行阐述。
在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制等。
A.包过滤
说明:对于EIP的测试,通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试,例如:igmp,ospf包等。
B.地址绑定