防火墙测试报告2013.06.2目录1测试目的...................................................................................................................................32测试环境与工具.......................................................................................................................32.1测试拓扑............................................................................................................................32.2测试工具............................................................................................................................43防火墙测试方案.......................................................................................................................43.1安全功能完整性验证........................................................................................................43.1.1防火墙安全管理功能的验证.................................................................................53.1.2防火墙组网功能验证.............................................................................................53.1.3防火墙访问控制功能验证.....................................................................................63.1.4日志审计及报警功能验证.....................................................................................63.1.5防火墙附加功能验证.............................................................................................73.2防火墙基本性能验证........................................................................................................83.2.1吞吐量测试.............................................................................................................93.2.2延迟测试.................................................................................................................93.3压力仿真测试..................................................................................................................103.4抗攻击能力测试..............................................................................................................113.5性能测试总结....................................................................................错误!未定义书签。31测试目的防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。2.1测试拓扑本次测试采用以下的拓扑配置:待测防火墙SmartBit6000B没有攻击源时的测试拓扑结构待测防火墙SmartBit6000BPC攻击源有攻击源时的测试拓扑结构42.2测试工具本次测试用到的测试工具包括:待测防火墙一台;网络设备专业测试仪表SmartBits6000B一台;笔记本(或台式机)二台。测试详细配置如下:产品型号防火墙技术类型机箱规格防火墙软件及版本防火墙工作模式FORTINET1000AFA2ASIC防火墙2U3.00-b0668(MR6Patch2)NAT模式透明模式混合模式设备吞吐量CPU与存储硬件端口电源防火墙2GbpsVPN400MbpsASICversion:CP5ASICSRAM:64MCPU:Intel(R)Xeon(TM)CPU3.20GHzRAM:1009MBCompactFlash:122MB/dev/hdc10个1000Base-T端口2个千兆小包加速口2个冗余220V交流电源3防火墙测试方案为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18019-1999信息技术包过滤防火墙安全技术要求RFC2544BenchmarkingMethodologyforNetworkInterconnectDevices3.1安全功能完整性验证目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。53.1.1防火墙安全管理功能的验证1)测试目的:本项测试通过查看相应配置项,验证防火墙具备必要的安全管理手段。2)测试时间:__2008-7-23____3)测试人员:___XXXXXX一4)过程记录:测试项测试用例测试结果备注管理方式本地管理Yes(Y)No()集中控管需要配置Fortimanager设备远程命令行管理Yes(Y)No()远程GUI管理Yes(Y)No()管理地址认证Yes(Y)No()集中控管Yes(Y)No()管理员接入安全管理员分级管理Yes(Y)No()密码至少6位连续登陆三次失败,账户锁定3分钟静态口令Yes()No()口令长度大于等于7Yes()No()有登录尝试次数限制Yes(Y)No()信道加密Yes(Y)No()密钥长度支持128位以上Yes()No()3.1.2防火墙组网功能验证1)测试目的:本项测试通过查看相应配置项,验证防火墙参与网络组织的能力。2)测试时间:_2008-7-23____3)测试人员:___XXXXXX一4)过程记录:测试项测试用例测试结果备注接口=4个接口Yes(Y)No()支持灵活的安全域划分,且安全分区与接口无关Yes(Y)No()支持子接口Yes(Y)No()组网协议静态路由Yes(Y)No()动态路由Yes(Y)No()支持802.1QVLAN协议Yes(Y)No()物理结构符合标准机架要求Yes(Y)No()支持虚拟防火墙Yes(Y)No()63.1.3防火墙访问控制功能验证1)测试目的:本项测试用于明确防火墙安全规则配置的合理性和完整性。2)测试时间:_2008-7-22____3)测试人员:___XXX钱振4)过程记录:步骤检查内容结果备注1查看安全分区配置a)支持安全分区;(Y)b)无明确的安全分区;(Y)2查看过滤规则菜单的配置参数c)支持源/目的IP地址/端口过滤;(Y)d)支持TCP状态检测过滤;(Y)e)支持UDP状态检测过滤;(Y)f)支持ICMP协议过滤;(Y)g)支持自定制协议超时时间()3查看应用服务的安全过滤配置a)支持HTTP代理;(Y)b)支持SMTP代理;()c)支持POP3代理;()d)支持FTP代理;()e)支持h.323代理()f)支持应用代理的自动启用()4内容过滤支持检验a)支持过滤java组件(Y)b)支持过滤Activex组件(Y)c)支持过滤ZIP文件(Y)d)支持过滤EXE文件(Y)在病毒检查中配置注解:验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3.1.4日志审计及报警功能验证1)测试目的:验证防火墙日志审计内容的完整性及报警能力。2)测试时间:_2013-06___3)测试人员:___xxxxxx74)过程记录:步骤检查内容结果备注1检查日志的审计功能界面a)带有日志查阅工具;(Y)b)日志分级,分类存储(Y)支持向fortiAnalyzer或syslog服务器上传日志2检查登录防火墙的日志记录。c)记录包含登录时间;(Y)d)记录包含登录者账号信息;(Y)e)记录包含成功/失败信息;(Y)Q检查退出防火墙的日志记录。f)记录包含退出时间;(Y)4检查防火墙功能被启动的日志记录g)记录包含功能启用时间;(Y)h)记录包含操作员标识()5检查对防火墙安全规则进行配置的记录i)记录包含配置时间;(Y)j)记录包含操作员标识;(Y)k)配置变化(相应项的增、删、改);(Y)6检查防火墙对所监控的TCP连接做的记录l)tcp连接发起的时间;(Y)m)tcp连接终止的时间;(Y)n)源ip地址;(Y)o)源端口号;(Y)p)目的ip地址;(Y)q)目的端口号;(Y)注解:1、验证结果附合选项要求的,在结果一栏的相应项打勾,特殊情况则在备注一栏中补充说明。3.1.5防火墙附加功能验证1)测试目的:本项测试通过查看相应配置项,明确防火墙提供的其他附加功能。82)测试时间:_2013-06___3)测试人员:___XXXXXX一4)过程记录:步骤检查内容结果备注1查看地址配置a)支持桥接模式;(Y)b)支持IP/MAC绑定;(Y)2查看DNS的配置菜单c)支持DNS解析;(Y)DNS代理3查看路由配置d)支持虚拟路由器(Y)e)支持源地址路由()f)支持目的地址路由()4查看NAT配置g)支持MIP;(Y)h)支持DIP;(Y)i)支持VIP;(Y)5查看VPN配置j)支持DES加密IPSec(Y)k)支持3DES加密IPSec(Y)l)支持AES加密;(Y)m)支持Site-to-SiteVPN;(Y)6深度检测n)支持深度检测(DI)防火墙(Y)预定义检测规则7DoS/DDoS防护o)支持Synflood防护(Y)p)支持udpflood防护(Y)q)支持icmpflood防护(Y)r)支持windowswinnukeattack防护(Y)s)支持pingofdeath防护(Y)t)支持Teardrop防护(Y)u)支持LandAttack防护(Y)注解:1、验证结果附