防火墙测试方案.docx
- 文档编号:8984593
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:48
- 大小:76.47KB
防火墙测试方案.docx
《防火墙测试方案.docx》由会员分享,可在线阅读,更多相关《防火墙测试方案.docx(48页珍藏版)》请在冰点文库上搜索。
防火墙测试方案
文档编号
版本号/修改号
密级
产品名称:
共页
防火墙测试方案
文档作者:
______________日期:
____/____/____
项目经理:
______________日期:
____/____/____
主管部长:
______________日期:
____/____/____
管理员:
______________日期:
____/____/____
广东省电信公司科学技术研究院
数据网络部
1防火墙测试环境
1.1防火墙测试网络拓扑与工具
防火墙产品的测试拓扑分为单机测试条件下的拓扑(图1)和双机热备条件下的测试拓扑(图2)。
图1.防火墙产品单机测试拓扑
图2.双机热备条件下防火墙产品测试拓扑
主要的测试设备包括测试仪表、测试主机/服务器和路由器/交换机三大类。
测试仪表包括IXIA、SmartBits和CawNetwork三种仪表。
✓SmartBits是一款很好的网络性能测试仪表,主要用于吞吐量、背对背帧缓冲能力的测试以及VPN的性能测试。
✓IXIA主要是用于防火墙安全防范水平的测试,即利用IXIA的重放功能以及内置的攻击软件包,测试防火墙抵御拒绝服务攻击的能力。
✓CawNetwork可以仿真批量的HTTP\HTTPs、FTP通信业务,主要用于有效通过率、通信联接建立速率和并发联接数等性能测试。
测试主机/服务器主要作为软件测试工具的承载平台。
用到的软件测试工具包括:
✓黑客攻击软件,主要是各种DoS软件工具,用于发出实际的DoS攻击流。
✓网络嗅探器Sniffer,用于监测和分析网络测试流。
✓网络扫描仪InternetScanner,用于评估防火墙系统内核的安全水平。
路由器/交换机是测试平台的组网设备。
1.2防火墙测试标准
防火墙产品测评指针的制定主要参考了以下标准。
1.GB/T18020-1999信息技术应用级防火墙安全技术要求
2.GB/T18019-1999信息技术包过滤防火墙安全技术要求
3.FWPD:
FirewallProductCertificationCriteriaVersion3.0a
4.InternetDraft:
BenchmarkingMethodologyforFirewallPerformance.
5.RFC2544:
BenchmarkingMethodologyforNetworkInterconnectDevices.
2防火墙厂家情况调查
防火墙厂家的情况调查主要包括:
生产厂家及其售后服务、产品技术资料和产品的市场评价等内容。
防火墙厂家在测试前,应当如实回答以下问题:
1)是否持有生产销售该产品的合法营业执照?
2)已通过何种质量管理体系认证?
3)企业向市场提供那些安全产品?
4)企业生产经营防火墙产品的时间?
5)防火墙产品在同类产品中的市场占有率如何?
(注明数据出处)
6)是否提供产品使用的相关培训和技术支持?
7)产品售后跟踪和维护渠道及方式如何?
8)可提交那些相关的产品技术资料?
9)防火墙产品是否通过国家权威机构的认证?
3参测的防火墙产品配置
产品型号
操作系统和版本
防火墙软件版本
首信防火墙CF2000CG-600
linux
CF2000V2.1
CPU类型与数目
存储类型和容量
电源与环境要求
施乐2.4G
数目:
1个
内存Kingstone
内存容量:
2G
硬盘:
40G
电源:
400W以上服务器冗余电源
工作温度:
0℃-40℃
存储温度:
-40℃-55℃
工作相对湿度:
30%-90%
气压:
86KPA-106KPA
重量:
15KG
4防火墙产品功能验证测试
防火墙功能验证测试部分主要是通过实际配置防火墙系统,检查配置参数,尝试性操作以及发送验证业务流等手段,验证防火墙提供功能的合理性和完整性。
4.1防火墙集中管理架构的验证测试
测试编号:
测试组:
防火墙集中管理架构的验证测试
测试依据:
测试目的:
验证防火墙系统体系架构层次的合理性
测试步骤:
1.搭建防火墙的集中管理平台;
2.针对测试表格的要求,验证防火墙的集中管理架构。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
管理架构
<3层
Yes()No()
3层的管理体系
Yes()No()
带外管理
Yes()No()
带内管理
Yes()No()
管理信道加密
Yes()No()
集中管理能力
拓扑生成
Yes()No()
全局策略定制
Yes()No()
全局配置分发
Yes()No()
全局集中日志审计
Yes()No()
全局系统升级
Yes()No()
全局集中监控
Yes()No()
测试人员:
厂商代表:
4.2防火墙多级管理员工作方式的验证测试
测试编号:
测试组:
防火墙多级管理员工作方式的验证测试
测试依据:
测试目的:
验证防火墙管理员权限的分割能力、管理员工作的保密性和操作界面的友好程度
测试步骤:
3.创建防火墙的各级管理员账号,并进行相关的管理操作;
4.针对测试表格的要求,验证防火墙的多级管理员工作方式。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
管理员分级
<3级
Yes()No()
大于3级的管理员体系
Yes()No()
自定义方式实现多级管理员体系
Yes()No()
管理员的接入安全
一次性口令
Yes()No()
静态口令
Yes()No()
口令长度大于7
Yes()No()
口令长度小于等于7
Yes()No()
有登录尝试次数限制
Yes()No()
信道加密
Yes()No()
密钥长度128位以上
Yes()No()
密钥长度56为以下
Yes()No()
管理员操作界面
未优化的命令行
Yes()No()
优化的命令行
Yes()No()
英文窗口
Yes()No()
汉化窗口
Yes()No()
测试人员:
厂商代表:
4.3防火墙系统管理功能的验证测试
测试编号:
测试组:
防火墙系统管理功能的测试
测试依据:
测试目的:
测试防火墙提供的系统管理功能的完善程度
测试步骤:
5.利用防火墙网管系统远程配置防火墙;
6.针对测试表格的要求,验证防火墙管理系统的管理功能。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
网络接口与系统功能配置
网络拓扑显示
Yes()No()
(子)接口IP/MAC地址配置
Yes()No()
路由配置
Yes()No()
VPN功能配置
Yes()No()
NAT功能配置
Yes()No()
添加/清除虚拟防火墙
Yes()No()
故障监测
实时监控
Yes()No()
告警指示
Yes()No()
系统升级
全局分发
Yes()No()
在线升级
Yes()No()
管理员账号的创建
账号增、删、改
Yes()No()
账号的分发
Yes()No()
安全策略配置
支持基于端口、IP、对象、组的策略配置
Yes()No()
策略增、删、改
Yes()No()
策略全局分发
Yes()No()
日志审计
日志查阅、删除
Yes()No()
不同管理系统日志审计的隔离
Yes()No()
测试人员:
厂商代表:
4.4防火墙组网功能测试
测试编号:
测试组:
防火墙组网功能的测试
测试依据:
测试目的:
测试防火墙参与网络组织的能力
测试步骤:
7.配置防火墙;
8.针对测试表格的要求,验证防火墙系统配置。
预期测试结果:
测试准备:
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
接口
≤4个接口
Yes()No(√)
>4个接口
Yes(√)No()
支持子接口而且安全分区与接口无关
Yes()No()
组网协议
静态路由
Yes(√)No()
动态路由
Yes()No(√)
物理结构
符合标准机架要求
Yes(√)No()
虚拟防火墙
Yes()No(√)
测试人员:
厂商代表:
4.5防火墙通信协议兼容性测试
测试编号:
测试组:
防火墙通信协议兼容性测试
测试依据:
测试目的:
测试防火墙支持的通信服务协议类型
测试步骤:
1.从防火墙的内区到外区方向,建立相关协议的允许规则;
2.从内区的测试主机向外区主机,进行规定协议的通信,同时,内区的测试主机根据允许规则向所设定的目的地址主机发送规定协议以外的数据包;
3.在通信过程中以及通信结束后,检查防火墙的日志,同时,利用Sniffer在外区监控业务数据流;
4.根据测试表格的要求抽样检查常规的通信协议。
预期测试结果:
可以成功地进行规定协议的通信,但是,规定以外的其他协议数据包应当被阻断。
测试准备:
需要准备测试主机和服务器。
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
DNS
代理
Yes()No(√)
支持指定端口或指定端口范围的TCP或UDP状态检测。
状态检测
Yes(√)No()
FTP
代理
Yes()No(√)
状态检测
Yes(√)No()
HTTP
代理
Yes()No(√)
状态检测
Yes(√)No()
HTTPs
代理
Yes()No(√)
状态检测
Yes(√)No()
RTTP
代理
Yes()No(√)
状态检测
Yes(√)No()
IGMP
代理
Yes()No(√)
状态检测
Yes(√)No()
NTP
代理
Yes()No(√)
状态检测
Yes(√)No()
SNMP
代理
Yes()No(√)
状态检测
Yes(√)No()
SIP
代理
Yes()No(√)
状态检测
Yes(√)No()
H.323
代理
Yes()No(√)
状态检测
Yes(√)No()
TCP任意
代理
Yes()No(√)
状态检测
Yes(√)No()
UDP任意
代理
Yes()No(√)
状态检测
Yes(√)No()
其它任意
代理
Yes()No(√)
支持ICMP过滤、IP包过滤。
状态检测
Yes(√)No()
测试人员:
厂商代表:
4.6
防火墙状态检测功能测试
测试编号:
测试组:
防火墙状态检测功能的测试
测试依据:
测试目的:
测试防火墙状态检测功能的完备性
测试步骤:
5.从防火墙的内区到外区方向,建立HTTP和TFTP的允许规则;
6.从内区的测试主机访问外区的测试服务器,进行网页浏览和TFTP文件下载操作,同时,内区的测试主机根据允许规则向所设定的目的地址主机发送规定协议以外的数据包;
7.在通信过程中以及通信结束后,检查防火墙的日志以及状态联接表,同时,利用Sniffer在外区监控业务数据流;
8.在上述操作过程中,根据测试表格的要求检查系统的配置功能。
预期测试结果:
在网页浏览和TFTP文件下载操作过程中,应生成相应的状态联接表项,但是,内区向外区发送的规定以外的其他协议数据包应当被阻断;在通信结束后,相应的状态联接表项随后也被清除。
测试准备:
需要准备测试主机和测试服务器。
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
条件域
源地址/端口
Yes(√)No()
目的地址/端口
Yes(√)No()
协议
Yes(√)No()
选项域
日志
Yes(√)No()
时间
Yes(√)No()
告警
Yes()No(√)
动作域
允许
Yes(√)No()
禁止
Yes(√)No()
状态检测
TCP
Yes(√)No()
UDP
Yes(√)No()
ICMP协议过滤
Yes(√)No()
测试人员:
厂商代表:
4.7
防火墙用户认证功能测试
测试编号:
测试组:
防火墙用户认证的测试
测试依据:
测试目的:
测试防火墙用户认证功能实现方式的完整性
测试步骤:
1.配置认证服务器,建立认证用户账号;
2.利用测试主机和测试服务器,仿真用户在认证后通过防火墙访问服务器的通信过程,查看防火墙日志记录,确认用户成功认证;
3.针对测试表格的要求,完成上述测试过程。
预期测试结果:
测试准备:
需要准备测试主机和测试服务器。
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
Radius认证
会话认证
Yes()No(√)
采用自主开发的一次性口令认证技术,支持事前认证。
事前认证
Yes()No(√)
WindowsNT域用户认证
会话认证
Yes()No(√)
事前认证
Yes()No(√)
测试人员:
厂商代表:
4.8
防火墙应用代理功能测试
测试编号:
测试组:
防火墙应用代理功能测试
测试依据:
测试目的:
测试防火墙的应用代理功能的覆盖范围和工作方式
测试步骤:
1.配置防火墙的应用代理功能;
2.利用测试主机与测试服务器建立通信过程;
3.检查代理状态,确认代理按配置要求正常工作;
4.根据测试表格的要求,完成各项代理功能的测试。
预期测试结果:
测试准备:
需要准备测试主机和测试服务器,用于生成验证业务流。
测试说明:
测试结果:
不支持。
测试项
测试用例
测试结果
备注
HTTP
透明代理
Yes()No()
可以切换到状态检测模式
Yes()No()
FTP
透明代理
Yes()No()
可以切换到状态检测模式
Yes()No()
TELNET
透明代理
Yes()No()
可以切换到状态检测模式
Yes()No()
SMTP
透明代理
Yes()No()
可以切换到状态检测模式
Yes()No()
POP3
透明代理
Yes()No()
可以切换到状态检测模式
Yes()No()
测试人员:
厂商代表:
4.9
防火墙ActiveX/Java过滤功能测试
测试编号:
测试组:
防火墙ActiveX/Java过滤功能的测试
测试依据:
测试目的:
测试ActiveX/Java过滤功能与防火墙功能的集成度以及功能的有效性。
测试步骤:
1.配置防火墙功能和ActiveX/Java过滤功能,使之正常工作;
2.传送非法URL或含有非法ActiveX/Java代码的网页,检查ActiveX/Java过滤的有效性。
预期测试结果:
测试准备:
需要准备测试主机和测试服务器,用于生成验证的业务流。
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
集成方式
防火墙事后阻断
Yes()No(√)
防火墙事前阻断
Yes(√)No()
ActiveX/Java过滤模块以第三方厂家产品方式存在
Yes()No(√)
支持标准接口的ActiveX/Java过滤产品
Yes()No(√)
两种功能模块集成在一个机箱内
Yes(√)No()
功能效果
非法ActiveX编码过滤
Yes()No(√)
非法Java编码过滤
Yes()No(√)
非法URL过滤
Yes(√)No()
非法脚本过滤
Yes()No(√)
基于源地址实现封堵
Yes(√)No()
基于源端口实现封堵
Yes(√)No()
基于目的地址实现封堵
Yes(√)No()
基于目的端口实现封堵
Yes(√)No()
基于时间实现封堵
Yes(√)No()
测试人员:
厂商代表:
4.10
防火墙内容/邮件过滤功能测试
测试编号:
测试组:
防火墙内容/邮件过滤的测试
测试依据:
测试目的:
测试内容/邮件过滤功能与防火墙功能的集成度以及功能的有效性
测试步骤:
1.配置防火墙功能和内容/邮件过滤功能,使之正常工作;
2.传送非法邮件或内容信息,检查内容/邮件过滤的有效性。
预期测试结果:
测试准备:
需要准备测试主机和测试服务器,用于生成验证的业务流。
测试说明:
测试结果:
不支持。
测试项
测试用例
测试结果
备注
集成方式
防火墙事后阻断
Yes()No()
防火墙事前阻断
Yes()No()
内容/邮件过滤模块以第三方厂家产品方式存在
Yes()No()
支持标准接口的内容/邮件过滤产品
Yes()No()
两种功能模块集成在一个机箱内
Yes()No()
功能效果
非法关键字内容过滤
Yes()No()
含病毒邮件附件过滤
Yes()No()
非法邮件地址过滤
Yes()No()
基于源地址实现封堵
Yes()No()
基于源端口实现封堵
Yes()No()
基于目的地址实现封堵
Yes()No()
基于目的端口实现封堵
Yes()No()
基于时间实现封堵
Yes()No()
测试人员:
厂商代表:
4.11
防火墙日志审计功能测试
测试编号:
测试组:
防火墙日志审计的测试
测试依据:
测试目的:
测试防火墙日志审计功能的完善程度。
测试步骤:
1.查阅日志信息,检查日志审计工具;
2.根据测试表格要求,分别进行登录/退出防火墙、启动/停止系统功能、配置安全规则、配置审计功能等操作,检查日志信息;
3.生成恶意事件,发送验证业务流,检查受监控通信过程的日志记录信息。
预期测试结果:
测试准备:
需要准备测试主机和测试服务器,用于生成验证业务流。
测试说明:
测试结果:
测试项
测试用例
测试结果
备注
审计界面
汉化界面
Yes(√)No()
英文界面
Yes()No(√)
查阅方式
分类查阅
Yes(√)No()
仅基于给定的关键词作检索。
关键字检索
Yes(√)No()
日志分析工具的支持
自带分析工具
Yes(√)No()
提供第三方工具接口
Yes()No(√)
日志存储方式
本机存储
Yes()No(√)
存储采用Linux的MySQL数据库。
输出文本存储
Yes()No(√)
输出数据库存储
Yes(√)No()
登录防火墙的日志
登录时间
Yes(√)No()
登录账号
Yes(√)No()
登录成功/失败信息
Yes(√)No()
退出防火墙的日志
退出时间
Yes(√)No()
退出账号
Yes(√)No()
功能启动的日志
启动时间
Yes(√)No()
操作员标识
Yes(√)No()
功能停止的日志
停止时间
Yes(√)No()
操作员标识
Yes(√)No()
安全规则配置的记录
配置时间
Yes(√)No()
操作员标识
Yes(√)No()
增、删、改
Yes(√)No()
初始化配置的记录
配置时间
Yes(√)No()
操作员标识
Yes(√)No()
增、删、改
Yes(√)No()
审计功能配置的记录
配置时间
Yes(√)No()
操作员标识
Yes(√)No()
增、删、改
Yes(√)No()
被监控联接的日志
起/止时间
Yes(√)No()
源/目的IP地址
Yes(√)No()
源/目的端口
Yes(√)No()
攻击事件的日志
事件发生时间
Yes(√)No()
所有攻击事件仅限于打开入侵检测模块所能监测到的违规行为。
事件类型
Yes(√)No()
测试人员:
厂商代表:
4.12
防火墙报警功能测试
测试编号:
测试组:
防火墙报警功能测试
测试依据:
测试目的:
测试防火墙报警功能的报警触发条件和报警方式。
测试步骤:
1.设置防火墙的报警触发条件;
2.生成报警事件,检查报警效果;
3.根据测试表格要求,完成上述测试。
预期测试结果:
测试准备:
测试说明:
测试结果:
不支持。
测试项
测试用例
测试结果
备注
触发条件
设定的被监控的安全事件
Yes()No()
设备功能模块故障
Yes()No()
线路故障
Yes()No()
报警方式
手机
Yes()No()
邮件
Yes()No()
界面显示
Yes()No()
可扩展报警方式
Yes()No()
测试人员:
厂商代表:
4.13
防火墙双机热备的功能支持完整性测试
测试编号:
测试组:
防火墙双机备份的测试
测试依据:
测试目的:
测试双机热备对防火墙其他功能模块支持的完整性
测试步骤:
1.把两台防火墙配置在双机热备状态;
2.根据测试表格要求,在主工作状态的防火墙上,分别配置各种功能模块,校验主备防火墙之间工作状态一致性的维持情况。
预期测试结果:
测试准备:
测试说明:
测试结果:
不支持。
测试项
测试结果
测试项
测试结果
逻辑子接口
人工同步
Yes()No()
认证
人工同步
Yes()No()
自动同步
Yes()No()
自动同步
Yes()No()
路由
人工同步
Yes()No()
安全策略表
人工同步
Yes()No()
自动同步
Yes()No()
自动同步
Yes()No()
虚拟防火墙子系统
人工同步
Yes()No()
联接状态表
人工同步
Yes()No()
自动同步
Yes()No()
自动同步
Yes()No()
NAT
人工同步
Yes()No()
日志
人工同步
Yes()No()
自动同步
Yes()No()
自动同步
Yes()No()
VPN
人工同步
Yes()No()
管理员账号
人工同步
Yes()No()
自动同步
Yes()No()
自动同步
Yes()No()
代理
人工同步
Yes()No()
备注
自动同步
Yes()No()
不支持。
测试人员:
厂商代表:
4.14
防火墙抗掉电性测试
测试编号:
测试组:
防火墙抗掉电测试
测试依据:
测试目的:
测试掉电这一异常事故对防火墙的影响。
测试步骤:
1.对工作中的防火墙实施掉电操作;
2.对掉电的防火墙恢复供电,根据测试表格
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 测试 方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)