收藏
下载资源

防火墙测试方案

上传人:mg****85 文档编号:33637394 上传时间:2018-02-16 格式:DOC 页数:19 大小:575.27KB
返回 下载 相关 举报
防火墙测试方案_第1页
第1页 / 共19页
防火墙测试方案_第2页
第2页 / 共19页
防火墙测试方案_第3页
第3页 / 共19页
防火墙测试方案_第4页
第4页 / 共19页
防火墙测试方案_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《防火墙测试方案》由会员分享,可在线阅读,更多相关《防火墙测试方案(19页珍藏版)》请在金锄头文库上搜索。

1、 1防火墙测试方案 2一、 引言防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有

2、状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活

3、多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。参考资料GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T 18019-1999 信息技术包过滤防火墙安全技术要求FWPD:Firewall Product Certification Criteria Version 3.0a 3测试项目一测试项目包过滤,NAT ,地址绑定

4、,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。二用户实际网络拓扑图 1上图为用户实际网络的拓扑图,为了更好的测试防火墙的功能,我们采用了下面的简略拓扑。 4三测试环境简略拓扑图管理器172.16.1.10 192.168.1.10192.168.1.251172.16.1.20 192.168.1.20192.168.1.11 192.168.1.21图 2三测试前软件环境的准备1. 子网主机具有 Linux,windows 2008 两种环境。2. 测试环境 Linux 主机配置 www,ftp,telnet 服务,同时安装nmap,http

5、_load,sendudp 等测试工具;Windows 主机配置 ftp,telnet,iis,snmp等服务,同时安装 IE,Netscape 等浏览器3. 防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip 地址为当前网段的 1 地址。例:当前主机所在网段为 192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的 ip 地址。4. 防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5. 在广域网中采用静态路由和动态路由(rip 或 ospf)两种。 5四.功能说明及规则设计。针对防火墙各项功能,分别加以说明。A包过滤区间通信。1.)单一地址2.)多

6、地址规则设计:a.方向:区 1区 2b.操作:允许(拒绝)c.协议:tcp ,udp,icmp 和其它协议号的协议。d.审计:是(否)e.有效时间段B.地址绑定ip,mac 地址绑定。防止地址欺骗。a) 单一地址绑定b) 多地址绑定。规则设计:a.方向:区 1区 2b.操作:允许(或拒绝)C 本地访问控制对管理主机的访问进行控制1 )单一地址2.)多地址规则设计:a.操作:1.允许 ping ,telnet 等。2.允许管理D NAT地址,端口的转换。私有 ip 转为公网 ip。1 )一对一2.)多对一3.)多对多规则设计:a.方向: 区 1区 2.b.操作:拒绝(或允许)c.协议:tcp,u

7、dp,icmp 和其它协议号的协议。d.审计:是(否)E 多播解决一对多的通信。1. 单一多播源,多接收端。2. 多多播源,多接收端。G.TRUNK,代理路由复用链路,为防火墙单一区域内的子网通信进行路由.H.报警利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.I .审计审计防火墙上的访问 ,及事件信息,防火墙的状态.J.实时监控实时检测防火墙的通讯情况,跟踪防火墙的运行状况.K 攻击防攻击。检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。L双机热备设备冗余。同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。当激活状态的防火墙 down 掉时,备份防火墙接管。通过测试用例

8、来对具体的操作进行阐述。在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制等。 6A. 包过滤测试项目 包过滤 测试日期测试内容 IP 过滤规则对 ICMP 数据包的过滤效果测试环境1. 路由模式2. Linux,windows。规则指定1. 192.168.1.10-100192.168.2.254 ICMP 允许。 (内到外)192.168.2.254192.168.3.10 ICMP 允许。 (外到 DMZ)192.168.3.1-15192.168.1.10 ICMP 允许。 (DMZ 到内)执行操作1. 在 192.168.1.10 上 ping 192.168.

9、2.254,在 192.168.2.254 上 ping 192.168.3.10,在192.168.3.10 上 ping 192.168.1.10。并反方向 ping。2. 在 192.168.1.10 上 telnet 192.168.2.254,在 192.168.2.254 上 telnet 192.168.3.10,在 192.168.3.10 上 telnet 192.168.1.10。并反方向 ftp,telnet。3. 加载 ICMP 全通规则。4. 重复步骤 1步骤 预期结果 实测结果1. 正向 ping 成功,反向 ping 不通,被禁止。2. 访问被禁止,规则不允许。测

10、试结果3 都可以相互 ping 通。备注测试项目 包过滤 测试日期测试内容 IP 过滤规则对 TCP 数据包的过滤效果测试环境1. 路由模式2. Linux,windows。规则指定1: 192.168.1.10192.168.2.254 telnet 允许。 (内到外)192.168.2.254192.168.3.10 telnet 允许。 (外到 DMZ)192.168.3.10192.168.1.10 telnet 允许。 (DMZ 到内) 7执行操作1. 在 192.168。1.10 上 telnet 192.168.2.254,在 192.168.2.254 上 telnet 192

11、.168.3.10,在 192.168.3.10 上 telnet 192.168.1.10,并反向 telnet。2. 在 192.168.1.10 用 nslookup 到 192.168.2.254 上进行名字解析或其它的 udp 服务。3. 加载 telnet 全通规则,重复步骤 1.步骤 预期结果 实测结果1. 正向成功,反向被禁止2. 访问被禁止,没有允许 UDP 服务。TCP 协议的放开,对 UDP 协议不发生影响。测试结果3. telnet 访问都成功。备注测试项目 包过滤 测试日期测试内容 IP 过滤规则对 TCP 数据包的过滤效果,侧重于实时效果测试环境1. 路由模式2.

12、Linux,windows。规则指定1. 192.168.1.10192.168.2.254 telnet 允许。 (内到外)192.168.2.254192.168.3.10 telnet 允许。 (外到 DMZ)192.168.3.10192.168.1.10 telnet 允许。 (DMZ 到内)生效时间:9:0010:00 执行操作1. 在 192.168。1.10 上 telnet 192.168.2.254,在 192.168.2.254 上 telnet 192.168.3.10,在 192.168.3.10 上 telnet 192.168.1.10,并反向 telnet。2.

13、 保持上述 telnet 已建立的连接,并不断的 telnet 没有建立连接的。3. 在 9:5910:01 之间,查看 telnet 状态的反应。步骤 预期结果 实测结果1. 正向 telnet 成功,反向被禁止。测试结果3 已建立的 telnet 连接被断开。备注测试项目 包过滤 测试日期测试内容在 IP 包过滤中,由于 FTP 服务的特殊性,所以下面几个用例主要针对 FTP 进行测试。这个用例主要用来测试 FTP 建立连接后,防火墙对 20 端口的特殊处理 8测试环境1. 路由模式2. Linux,windows。规则指定1.192.168.1.10192.168.2.254 ftp 允

14、许 (内到外)执行操作1. 在 192.168.1.10 上 telnet 192.168.2.254 20。2. 在 192.168.1.10 上 ftp 192.168.2.254 ,进行大文件(1G)的数据传输。3. 在 ftp 的同时,在 192.168.1.10 上 telnet 192.168.2.254 20。4. passive 进行 ftp 文件的传输。5. 在 192.168.1.10 上 telnet 192.168.2.254 20步骤 预期结果 实测结果1,3,5 访问被禁止测试结果2,4 访问成功。备注测试项目 包过滤 测试日期测试内容 IP 包过滤包括 ICMP、UDP、TCP 和非(ICMP、UDP、TCP)包的过滤,UDP 过滤行测试测试

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号