收藏
下载资源

DPtech FW1000系列防火墙系统测试方案

上传人:飞****9 文档编号:131402740 上传时间:2020-05-07 格式:DOC 页数:19 大小:1.76MB
返回 下载 相关 举报
DPtech FW1000系列防火墙系统测试方案_第1页
第1页 / 共19页
DPtech FW1000系列防火墙系统测试方案_第2页
第2页 / 共19页
DPtech FW1000系列防火墙系统测试方案_第3页
第3页 / 共19页
DPtech FW1000系列防火墙系统测试方案_第4页
第4页 / 共19页
DPtech FW1000系列防火墙系统测试方案_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《DPtech FW1000系列防火墙系统测试方案》由会员分享,可在线阅读,更多相关《DPtech FW1000系列防火墙系统测试方案(19页珍藏版)》请在金锄头文库上搜索。

1、DPtechDPtech FW1000FW1000 测试方案测试方案 杭州迪普科技有限公司杭州迪普科技有限公司 2011 年年 10 月月 杭州迪普科技有限公司 目目 录录 DPtechDPtech FW1000FW1000 测试方案测试方案 1 第第 1 章章 产品介绍产品介绍 1 第第 2 章章 测试计划测试计划 2 2 1 测试方案 2 2 2 测试环境 2 2 2 1 测试环境一 2 2 2 2 测试环境二 2 第第 3 章章 测试内容测试内容 4 3 1 性能特性 4 3 2 功能特性 4 3 3 管理特性 4 3 4 安全性 4 3 5 高可靠性 4 第第 4 章章 测试方法及步骤

2、测试方法及步骤 5 4 1 性能测试 5 4 2 FW 功能测试 7 4 3 DPI 功能测试 13 4 4 管理特性 15 4 5 安全特性 16 第第 5 章章 测试总结测试总结 18 杭州迪普科技有限公司 第第 1 章章 产品介绍产品介绍 目前 Web2 0 音频 视频 P2P 云计算等各种新应用 新业务层出不穷 传统的 基于端口进行应用识别和访问控制的 FW 已远远无法满足各种新应用下安全防护的需 求 增加其它辅助设备又会增加组网复杂性 而通过在传统 FW 上简单叠加部分应用层 安全防护功能 也由于系统设计和硬件架构的天然不足 造成性能的大幅衰减 导致应 用层功能不敢真正启用 特别在对

3、性能 稳定性要求苛刻的数据中心 此问题显得尤为 严峻 为解决上述难题 迪普科技推出了基于全新多核处理器架构的下一代 FW DPtech FW1000 N 系列应用 FW FW1000 对网络层 应用层安全进行融合 并采用独有的 并 行流过滤引擎 技术 全部安全策略可以一次匹配完成 即使在应用层功能不断扩展 特征库不断增加的情况下 也不会造成性能的下降和网络时延的增加 以万兆应用 FWFW1000 GE N 为例 在开启 FW FWec SSL VPN NAT URL 过滤 攻击防护 行为审计功能的情况下 扩展应用控制协议库 URL 过滤库等 处理能力依然可达万兆 线速 FW1000 N 系列开

4、创了应用 FW 的先河 基于迪普科技自主知识产权的万兆级应用 安全硬件处理平台和 ConPlat OS 安全操作系统 是目前业界性能最高的应用 FW 无以 伦比的高可用性 高性能和高可靠性 使得 FW1000 N 系列可以放心规模部署于数据中 心 大型园区网等各种复杂场景 另外 功能丰富并可按需扩展的应用 FW 方案 也简 化了网络的安全架构 并大大降低了企业网络总体拥有成本 杭州迪普科技有限公司 第第 2 章章 测试计划测试计划 2 1 测试方案 DPtech FW 产品主要包括包过滤 NAT 静 动态路由 虚拟 FW 多种 VPN 等几 大主体功能 本文档的测试项主要以上述主体功能的测试展

5、开 同时 测试中还涉及到 限流等多种响应方式 设备的可管理性 高可靠性等诸多方面的测试 以充分展示设备 的完备功能和高性能 2 2 测试环境 2 2 1 测试环境一 图 1 性能测试环境 1 设备或软件名称设备或软件名称描描 述述数量数量 DPtech FWFW1 SmartBits测试设备性能的仪器1 Switch交换机2 2 2 2 测试环境二 杭州迪普科技有限公司 图 2 性能测试环境 2 设备或软件名称设备或软件名称描描 述述数量数量 DPtech FWFW1 Avalanche Reflecto r 2500 性能测试仪器1 杭州迪普科技有限公司 第第 3 章章 测试内容测试内容 3

6、 1 性能特性 FW 的性能指标为吞吐量 每秒新建数 每秒并发数 性能测试部分将主要针对这 几点进行测试 3 2 功能特性 产品功能包括管理功能 ACL 包过滤 NAT DPI 攻击防护 防病毒 带宽限 速 URL 过滤 等几大主体功能 功能测试部分将主要针对这几点进行测试 3 3 管理特性 为方便 IT 人员管理 设备提供了良好的可管理性 支持 HTTPS 等安全管理方式 支持 Web 的友好界面 简化 FW 的配置 方便用户操作和维护 特征库的升级支持手 动和自动两种方式 用户可根据实际情况随意选择特征库的升级时间 3 4 安全性 可设置管理员的权限 不同权限的管理员访问设备的功能权限不同

7、 可设置的权限 选项有系统配置 业务配置 系统日志管理 操作日志管理和业务日志管理 在登录参 数设置上 包括超时时间 错误登录锁定和锁定后解锁 3 5 高可靠性 抗掉电保护 在设备异常掉电后 当 FW 恢复供电 系统的状态 相关日志和配置 信息正常保存 杭州迪普科技有限公司 第第 4 章章 测试方法及步骤测试方法及步骤 4 1 性能测试 整机转发吞吐量 测试目的验证FW的整机转发能力 测试条件测试组网 参见图 1 测试过程性能测试仪的两个端口分别与被测设备的端口 A 和 B 相连 端口数量按照客户要求 配置 进行 Fullmesh 网状流量测试 在 FW 上配置 201 条安全策略 前 200

8、 条均为 deny 最后一条为允许全部通过 SmartFlow 设置主要参数如下 双向 UDP 数据包 包长为 64 128 256 1024 1518 字节 时长为 120 秒 且不能匹配前 200 条策略 记录测试结果 预期结果 帧长64128256512102412801518 吞吐量 其它说明和注意事项 测试结果 帧长64128256512102412801518 吞吐量 每秒新建连接能力 测试目的验证FW每秒新建会话数能力 测试条件测试组网 参见图 2 测试过程FW 工作在 NAT 模式 设定 avalanche 测试仪模拟客户端 500 用户 FW nat 转换地址池个数为 20

9、采用测试仪表仿真客户端与服务器之间的 HTTP 通信过程 通过调节通信联接的建 立速率 搜索 FW 能支持的最大的联接建立速率 分别在设置一条全允许规则和设置 201 条安全控制规则的条件下 完成上述测试过 程 其中 前 200 条均为 deny 最后一条为允许全部通过 预期结果FW 每秒新建会话能力 一条全允许规则条件下 最大的新建连接速率 Connections Sec 201 条允许规则条件下 最大的新建连接速率 Connections Sec 杭州迪普科技有限公司 其它说明和注意事项 测试结果不允许出现一例失败 否则认为数据无效 测试结果FW 每秒新建会话能力 一条全允许规则条件下 最

10、大的新建连接速率 Connections Sec 201 条允许规则条件下 最大的新建连接速率 Connections Sec 最大并发会话数 测试目的验证FW设备的最大并发会话数 测试条件测试组网 参见图2 测试过程FW工作在NAT模式 设定avalanche测试仪模拟客户端500用户 FWnat转换地址池个数为20 采用测试仪表仿真客户端与服务器之间的HTTP 通信过程 设定通信联接的建立速 率为10000 conn s 搜索FW能支持的最大的并发会话处理能力 分别在设置一条全允许规则和设置1001 条安全控制规则的条件下 完成上述测试过 程 其中 前1000条均为deny 最后一条为允许

11、全部通过 预期结果FW每秒新建会话能力 一条全允许规则条件下 最大并发会话数 Connections 1001 条允许规则条件下 最大并发会话数 Connections 其它说明和注意事项 测试结果不允许出现一例失败 否则认为数据无效 测试结果FW每秒新建会话能力 一条全允许规则条件下 最大并发会话数 Connections 1001 条允许规则条件下 最大并发会话数 Connections VPN加密隧道的吞吐量 测试目的验证FW VPN加密隧道的吞吐量 测试条件 FW1FW2SMBSMB VPN 测试过程在两台FW的外区接口之间建立1 条VPN 加密隧道 把仪表分别与两台FW 的内区 接口

12、相连 发送双向的UDP 测试数据流 搜索接口的吞吐量 采样时长设置为120 秒 分别对帧长为64 128 256 512 1024 1280 1518 字节的测试帧 重复上述测 杭州迪普科技有限公司 试过程 预期结果 帧长64128256512102412801518 吞吐量 其它说明和注意事项 测试结果 帧长64128256512102412801518 吞吐量 4 2 FW 功能测试 管理功能测试 测试目的验证FW 设备的设备管理功能 测试条件 PC 10 0 0 100 2410 0 0 1 24 测试过程 PC 机器与 FW 相连 配置FW 为用户名 密码管理或软证书管理方式 预期结果

13、 PC 机通过两种方式都可管理设备 其它说明和注意事项 测试结果 端口映射 测试目的验证FW 设备的端口映射功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 PC01 模拟客户端 PC02 模拟服务器端 安装有 FTP 或 HTTP 服务器端软件 PC02 上将 FTP 服务器端口改为 8000 FW 上配置端口映射 PC01 ftpPC02 的 ip 8000 端口 可正常访问 PC02 的 ftp 服务 预期结果 PC01 可以正常访问 PC02 的 FTP 服务 杭州迪普科技有限公司 其它说明和注意事项 测试

14、结果 ACL 测试目的验证FW 设备的ACL功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 FW 连接两 PC 机器的两端口加入不同安全域 配置面向对象 ACL 域间策略 阻止 PC01 与 PC02 互访或根据客户实际要求限制对某些 IP 地址或端口的访问 测试 PC01 与 PC02 的互访功能是否符合既定域间策略 预期结果 PC01 与 PC02 间互访符合既定域间 ACL 策略 其它说明和注意事项 Pc 1 为 untrust PC2 为 DMZ 允许 20 0 0 2 可以访问 PC1 不允许 20 0

15、 0 3 访问 PC2 PING 和 HTTP 测试结果 允许 20 0 0 2 可以访问 PC1 不允许 20 0 0 3 访问 PC2 包过滤 测试目的验证FW 设备的包过滤功能 测试条件 PC 01 PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 测试过程 FW 开启包过滤功能 FW 配置包过滤策略 PC01 访问 PC02 观察 FW 设备能否按照既定的包过滤策略访问 预期结果 FW 能够正常按照既定包过滤策略进行互访 其它说明和注意事项 1 允许 ping http 2 阻断 FTP 3 允许 FTP 4 允许 FTP get 阻断 FTP

16、 put Pc 1 为 untrust PC2 为 DMZ 测试结果 4 没有阻断 FTP put 因为 FTP GET 和 PUT 在检测的是时候是采用通用的同样的 5 元组 source ip dst ip source port dst ip propole GET 和 PUT 所用的一样的 检测 线条太粗 只能采用深度检测 检测关键字 识别上传还是下载 杭州迪普科技有限公司 NAT 测试目的验证FW 设备的静态地址转换功能 测试条件 PC 01PC 02 防火墙 10 0 0 100 2410 0 0 1 2420 0 0 1 24 IP network 测试过程 PC01 模拟内网主机 PC02 模拟外网服务器 装有服务器软件如 FTPserver 等 PC01 PC02 处于不同网段 FW 配置静态一对一地址静态地址转换功能 PC01 访问 PC02 的 FTP 服务 在 PC02 端抓包 PC01 可正常访问 PC02 的 FTP 服务 在 PC02 上抓包可以看到 PC01 访问 PC02 所用 源地址为 FW 上所配置的静态映射地址 预期结果 PC01 可正常访问 P

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号