防火墙路由模式测试方案系统测试设计———路由模式防火墙系统测试设计路由模式2/9一.测试目标提供稳定,可靠,易用的产品。二.测试环境简略拓扑图10.10.11.*10.10.12.*S1S0FW110.10.3.*S1S0S1172.10.1.*S0192.168.1.*FW2FW3172.10.3.*192.168.3.*管理机WebServer三.IP定址。SiSi防火墙系统测试设计路由模式3/910.10.11.1010.10.12.2010.10.11(2).110.10.1.24010.10.3.1010.10.1.110.10..3.1(192.168.3.30)FW110.10.2.110.10.3.2010.10.2.240(192.168.1.30)172.1.1.1172.1.1.240192.168.1.10172.10.1.10172.1.5.240FW2172.10.2.1192.168.2.1FW3172.10.1.1192.168.1.1172.10.1.20172.10.3.1192.168.3.1192.168.1.20(192.168.2.252)192.168.3.10192.168.3.20172.10.3.10172.10.3.20(192.168.2.251)172.10.2.254192.168.2.254(192.168.2.253)备注:在没有进行VPN测试时,只对一台防火墙进行测试,主机划分,按需分配。在括号内的IP地址,为测试单一防火墙功能时所用的IP地址。拓扑图设计思想:以贴近普遍的用户环境为基本。考虑防火墙集成VPN功能,需要在异地建立多节点网关,必须满足一个防火墙(建立多个虚拟设备)可以拥有多个安全通道,并且可以构造不同组合的加密强度,因此,至少需要三台防火墙,构建广域网的网络拓扑。这样,便十分贴近用户实际环境。同时在广域网上,配置一台具有ftp,http等服务来模拟广域网上的WebServer。并且考虑到用户防火墙后可能有多局域子网,需挂接路由器,来为多子网进行路由。注:1.VPN功能动态装载,启动/停用独立,不影响防火墙的正常运行。2.当停用VPN功能,防火墙相对独立,测试只考虑当前子系统;启动VPN功能,防火墙相关联,整个拓扑环境为一个统一体。同时考虑对移动用户的支持。SiSi防火墙系统测试设计路由模式4/93.不同防火墙(vpn)之间的区域IP标识为A.B.C.*,其中*为10的主机之间的通信为加密通信(走vpn通道),*为20的主机之间为不加密通信。四.测试环境的准备1.子网主机具有Linux,windows2000(or98orNT)两种环境。其中一台装有HPopenview,来对trap进行接收。并且有一台是unix系统。2.测试环境Linux主机配置,ftp,telnet服务,同时安装nmap,http_load,sendudp等测试工具;Windows主机配置ftp,telnet,iis,snmp,mediaplay等服务,同时安装IE,Netscape等浏览器,Sniffer,NetXray等监听工具。3.数据库安装SQLserver7.0,2000数据库。4.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip地址为当前网段的1地址。例:当前主机所在网段为192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的ip地址。5.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。6.在广域网中采用静态路由和动态路由(rip或ospf)两种。路由器设置为支持snmp管理。五.规则设计系统测试所需要验证的功能有,NAT,地址绑定,本地访问控制,包过滤,多播,VPN,认证,内容过滤,流量控制,SNMP,攻击,双机热备,性能测试。对规则的制订采用将多种功能规则同时混和使用,在各个方向都同时应用多种规则。具体的规则的指定在本设计中不做制订,只是在执行步骤中体现(reason:根据执行步骤可以制订规则,保存,以后的测试重新上载即可,不在此赘述)。所有的规则制定中考虑范围内取非,范围的临界值,中间值情况。例如:IN-OUT审计,认证,地址绑定,NAT,vpn,多播。内容过滤。流量控制。各种规则中相关协议和内容的制订:ICMP:Ping相关类型(Echo,Reply等。)TCP:telnet目标端口:23源端口:1-65535ftp目标端口:21源端口:1-65535http目标端口:80源端口:1-65535pop3目标端口:110源端口:1-65535smtp目标端口:25源端口:1-65535UDP:Sendudp,DNS目标端口:可任意指定源端口:可任意指定EIP:nemsisospf,igmp数据包。VPN:ipip+ah;ipip+esp;ipip+ah+esp三种加密级别。Mutilcast:多种流媒体格式的支持,nsc,rm,pnm,mov等格式。播放器:Windowsmediaplay,Realplay,QuickTime。GDA:任意,或指定。SNMP:浏览器:HPOpenView,Linuxsnmpwalk,CATNG。Auth:在进行Radius认证的同时,完成相应的支持的属性的认证。AceServer..QuickTime简单介绍:QuickTime4支持两种类型的流:实时流和快速启动流。使用实时流的QuickTime影片必须从支持QuickTime流的服务器上播放,是真正意义上的StreamingMedia,使用实时传输协议(RTP)来传输数据。快速启动影片可以从任何WebServer上播放,防火墙系统测试设计路由模式5/9使用超文本传输协议(HTTP)或文件传输协议(FTP)来传输数据。目前,FOX新闻在线、FOX体育在线、BBCWORLD、气象频道(WeatherChannel)等机构都加入QuickTime内容供应商行列,使用QuickTime技术制作实况转播节目。六.测试思想:1.管理器界面:以往我们在界面对规则的操作是编辑好规则,再进行验证,即在没有流量(连接)或有很少的流量(连接)下进行规则的编辑,上载,应用。这回对界面的稳定的操作更针对于在防火墙处于一个非常忙的状态(大流量,大连接数,非法攻击)时,完成相应规则,工程的加载,来观察界面的响应(是否出现无响应,响应速度慢,规则加载不上或出错等情况。)同时,对界面的可用性,结构的合理性,布局的规范性,显示的正确性以及一些相关的,可能出现的低级错误(如非法数据的输入,按钮的正确响应等),严加把握。2.防火墙端:防火墙对声明可防的几种攻击类型的防御基本没有问题,因此对防火墙的稳定性的测试除了利用现有的扫描,攻击程序来进行测试,更侧重于防火墙对非法数据包的处理(利用SmartBitSmartWindow,Sniffer),文件系统的性能测试(CPU的占用率,内存的使用率。Bonnie,Nbench等。)。3.其它:防火墙对特殊情况的处理;虚拟盘空间写满,报警邮件(trap)发送失败,网络(本地)日志写满,异常掉电,网线频繁的插拔。七.备份恢复,升级功能这两种功能是用户比较关注的,也是用户比较常用的功能。它的操作的正确与否,对用户至关重要,有可能造成灾难性的后果。因此它的测试也是这次系统测试的重点,特单独说明。其中备份恢复功能包括规则的备份,恢复;整个防火墙文件的备份,恢复,恢复后是否好用以及哪些内容不能备份。升级包括2.0到3.1,3.0到3.1的升级,以及升级后是否需要作软,硬件的调整或其它配置的更改。八.移动客户端和小网关的支持对移动用户远程拨号连接VPN,与防火墙内部区域的主机能否顺畅的建立连接的测试,预计第二版的测试中加入对其的测试。根据小网关开发的实际情况酌情考虑是否增加对其支持性的测试。目前不予考虑。九.具体测试执行:序号执行操作预期结果原因或备注1192.168.1.10ping192.168.2.254通包规则允许2在192.168.1.10上ping192.168.3.10通走vpn通道,规则允许3在192.168.1.10上ping172.10.1.10,ping10.10.11.10通走vpn通道。同时Sniffer数据包,查看内容4在192.168.1.20上ping192.168.3.20不通包过滤规则禁止5在192.168.3.10上ping10.10.12.20不通vpn禁止6在192.168.3.20上ping192.168.2.254不通地址绑定禁止7在192.1682.254上ping192.168.2.253(192.168.3.10)通192.168.3.10NAT192.168.2.2538在192.168.1.10上ping192.168.1.1通本地规则允许9在192.168.3.10上ping192.168.2.1不通本地规则禁止10在192.168.1.10上telnet192.168.2.254通过包规则允许11在192.168.1.20上telnet192.168.2.254不通要求认证。认证域:intoout认证失败防火墙系统测试设计路由模式6/912在192.168.1.10上telnet192.168.2.254通要求认证,认域:intoout,考虑错误输入,对口令的记住与否分别进行测试,并验证认证的超时:180sec13在192.168.1.10上telnet172.10.1.10通走vpn通道14在192.168.1.10上telnet10.10.3.10通。走vpn通道15在10.10.11.10上telnet192.168.2.2532323通192.168.3.10NAT192.168.2.253,中间进行NAT穿越,并同时完成端口的转换16在10.10.11.10上telnet172.10.1.10通中间进行NAT穿越17在192.168.1.10上telnet192.168.1.不通本地规则禁止18在192.168.3.20上telnet192.168.2.1通本地规则允许19在192.168.1.10上ftp192.168.3.10。下载10M文件下传到一半停止进行认证,通过,记住口令,。Reason:流量控制5M。20在进行步骤第15的同时在192.168.3.20上ftp192.168.1.20。下载10M文件正常传输认证,同时进行时间的限制21在192.168.1.10上ftp10.10.11.10,下载1M文件。进行认证,通过,走vpn通道。中途进行NAT穿越。正常下载完毕。并验证在流量控制规则中所走流量。22在192.168.1.10上ftp172.10.3.10,下载文件进行认证,走vpn通道,进行ftp命令级内容过滤。23在192.168.1.10上ftp172.10.1.10,下载10M文件走vpn通道,下载过程中冻结账号。ftp被复位24在10.10.11.10上ftp172.10.3.10,下载10M文件。下载过程中停止走vpn通道。Reason:流量限制,为5M,查看所走的流量。增大流量为15M,重新下载,顺利完成,查看所走的流量。25在10.10.3.10上ftp192.168.2.33,下载10M文件192.168.3.10NAT192.168.2.33,10.10.3.10NAT10.10.2.33,认证,走vpn通道,中途进行NAT穿越。26在ftp的过程中进行双向的访问。例如:在1-2,ftp同时进行2-1telnet。27在192.168.1.10上ftp192.168.1.1正常下载文件本地规则允许28在192.168.3.20上ftp192.168.3.1不通本地规则禁止29在192.168.1.10上,并进行http内容过滤操作正常浏览包规则允许30在192.168.1.10上通道。NAT穿越31在192.168.1