防火墙测试验收方案

1防火墙测试方案一、引言防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立2一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。随着网上黑客活动的日益猖獗，越来越多的上网企业开始重视网络安全问题。特别是近两三年来，以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光国内就有几十家。各种防火墙品种充斥市场，良莠不齐，有软件的防火墙，硬件的防火墙，也有软硬一体化的防火墙；有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的防火墙，也有状态检测的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的安全和性能是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面，业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时，防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此，当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。测试的背景和目的在防火墙产品市场上，产品一般分为高、中、低三档。考虑到，高档防火墙普遍是各公司最新或计划推出的产品，证券作为大型的安全产品使用者，使用的防火墙产品以中、高档为主，为了便于横向比较各公司的产品，在本次测试中将统一以中档防火墙产品作为测评的对象。为了较全面地评估各公司的防火墙产品，本次防火墙产品的测试分成以下几个部分：功能测试、安全防范能力测试、性能测试和设备可靠性测试。参考资料GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18019-1999信息技术包过滤防火墙安全技术要求FWPD：FirewallProductCertificationCriteriaVersion3.0a测试项目一．测试项目包过滤，NAT，地址绑定，本地访问控制，多播，TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击，双机热备,性能。二．测试环境简略拓扑图310.10.11.1010.10.12.2010.10.11(2).110.10.1.24010.10.3.1010.10.1.110.10..3.1（192.168.3.30）FW110.10.2.110.10.3.2010.10.2.240（192.168.1.30）172.1.1.1192.168.1.10172.10.1.10FW2172.10.2.1192.168.2.1FW3172.10.1.1192.168.1.1172.10.1.20172.10.3.1192.168.3.1192.168.1.20（192.168.2.252）192.168.3.10192.168.3.20172.10.3.10172.10.3.20（192.168.2.251）172.10.2.254192.168.2.254（192.168.2.253）图1管理器SiSi4172.16.1.10192.168.1.10192.168.1.251172.16.1.20192.168.1.20192.168.1.11192.168.1.21图2说明：在括号内的IP地址，为测试单一防火墙功能时所用的IP地址。图2仅为测试TRUNK,代理路由和非IP规则时使用.三．测试前软件环境的准备1.子网主机具有Linux，windows2000（or98orNT）两种环境。2.测试环境Linux主机配置，ftp，telnet服务，同时安装nmap，http_load，sendudp等测试工具；Windows主机配置ftp，telnet，iis，snmp等服务，同时安装IE，Netscape等浏览器3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip地址为当前网段的1地址。例：当前主机所在网段为192.168.1.0，那么它的网关为192.168.1.1，即防火墙接入接口的ip地址。4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5.在广域网中采用静态路由和动态路由（rip或ospf）两种。6.。四.功能说明及规则设计。针对防火墙各项功能，分别加以说明。A.包过滤――――区间通信。1.）单一地址2.）多地址规则设计：a.方向：区1—区2b.操作：允许（拒绝）c.协议：tcp，udp，icmp和其它协议号的协议。d.审计：是（否）e.有效时间段5B.地址绑定――――ip，mac地址绑定。防止地址欺骗。a)单一地址绑定b)多地址绑定。规则设计：a.方向：区1—区2b.操作：允许（或拒绝）C本地访问控制――――对管理主机的访问进行控制1．）单一地址2.）多地址规则设计：a.操作：1.允许ping，telnet等。2.允许管理DNAT――――地址，端口的转换。私有ip转为公网ip。1．）一对一2.）多对一3.）多对多规则设计：a.方向：区1－区2.b.操作：拒绝（或允许）c.协议：tcp，udp，icmp和其它协议号的协议。d.审计：是（否）E多播――――解决一对多的通信。1.单一多播源，多接收端。2.多多播源，多接收端。G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.I.审计――――审计防火墙上的访问,及事件信息,防火墙的状态.J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.K攻击――――防攻击。检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。L．双机热备――――设备冗余。同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙down掉时，备份防火墙接管。通过测试用例来对具体的操作进行阐述。在所有的规则制定中考虑范围内取非，范围的临界值，中间值情况,时间的控制等。A.包过滤测试项目包过滤测试日期测试内容IP过滤规则对ICMP数据包的过滤效果测试环境1.路由模式2.Linux，windows。6规则指定1.192.168.1.10-100－192.168.2.254ICMP允许。（内到外）192.168.2.254－192.168.3.10ICMP允许。（外到DMZ）192.168.3.1-15－192.168.1.10ICMP允许。（DMZ到内）执行操作1.在192.168.1.10上ping192.168.2.254，在192.168.2.254上ping192.168.3.10，在192.168.3.10上ping192.168.1.10。并反方向ping。2.在192.168.1.10上telnet192.168.2.254，在192.168.2.254上telnet192.168.3.10，在192.168.3.10上telnet192.168.1.10。并反方向ftp，telnet。3.加载ICMP全通规则。4.重复步骤1测试结果步骤预期结果实测结果1.正向ping成功，反向ping不通，被禁止。2.访问被禁止，规则不允许。3都可以相互ping通。备注测试项目包过滤测试日期测试内容IP过滤规则对TCP数据包的过滤效果测试环境1.路由模式2.Linux，windows。规则指定1：192.168.1.10－192.168.2.254telnet允许。（内到外）192.168.2.254－192.168.3.10telnet允许。（外到DMZ）192.168.3.10－192.168.1.10telnet允许。（DMZ到内）执行操作1.在192.168。1.10上telnet192.168.2.254，在192.168.2.254上telnet192.168.3.10，在192.168.3.10上telnet192.168.1.10，并反向telnet。2.在192.168.1.10用nslookup到192.168.2.254上进行名字解析或其它的udp服务。3.加载telnet全通规则，重复步骤1.测试结果步骤预期结果实测结果1.正向成功，反向被禁止2.访问被禁止，没有允许UDP服务。TCP协议的放开，对UDP协议不发生影响。3.telnet访问都成功。7备注测试项目包过滤测试日期测试内容IP过滤规则对TCP数据包的过滤效果，侧重于实时效果测试环境1.路由模式2.Linux，windows。规则指定1.192.168.1.10－192.168.2.254telnet允许。（内到外）192.168.2.254－192.168.3.10telnet允许。（外到DMZ）192.168.3.10－192.168.1.10telnet允许。（DMZ到内）生效时间：9:00－10:00执行操作1.在192.168。1.10上telnet192.168.2.254，在192.168.2.254上telnet192.168.3.10，在192.168.3.10上telnet192.168.1.10，并反向telnet。2.保持上述telnet已建立的连接，并不断的telnet没有建立连接的。3.在9:59－10:01之间，查看telnet状态的反应。测试结果步骤预期结果实测结果1.正向telnet成功，反向被禁止。3已建立的telnet连接被断开。备注测试项目包过滤测试日期测试内容在IP包过滤中，由于FTP服务的特殊性，所以下面几个用例主要针对FTP进行测试。这个用例主要用来测试FTP建立连接后，防火墙对20端口的特殊处理测试环境1.路由模式2.Linux，windows。规则指定1.192.168.1.10－192.168.2.254ftp允许（内到外）8执行操作1.在192.168.1.10上telnet192.168.2.25420。2.在192.168.1.10上ftp192.168.2.254，进行大文件（1G）的数据传输。3.在ftp的同时，在192.168.1.10上telnet192.168.2.25420。4.passive进行ftp文件的传输。5.在192.168.1.10上telnet192.168.2.25420测试结果步骤预期结果实测结果1,3,5访问被禁止2,4访问成功。备注测试项目包过滤测试日期测试内容IP包过滤包括ICMP、UDP、TCP和非（ICMP、UDP、TCP）包的过滤，UDP过滤行测试测试环境1.路由模式2.Linux，windows。规则指定规则1：192.168.1.10－192.168.2.254UDP允许。192.168.2.253－192.168.3.20UDP允许。192.168.3.30－192.168.1.30UDP允许生效时间：9:00－10:00。〕规则2：192.168.1.10－192.168.2.254UDP拒绝。执行操作1.在192.168.1.10，192.168.2.253，192.168.3.30上启动UDP的测试工具Udp_Server，在192.168.2.253，192.168.3.20，192.168.1.30上启动Udp_Client来分别连192.168.1.10,192.168.2.253,192.168.3.30上的服务程序。2.保持连接。查看在10:00时连接的状态。3.保持Client对Server的主动，不间断