防火墙测试方案1一、引言防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。参考资料GB/T18020-1999信息技术应用级防火墙安全技术要求GB/T18019-1999信息技术包过滤防火墙安全技术要求FWPD:FirewallProductCertificationCriteriaVersion3.0a2测试项目一.测试项目包过滤,NAT,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。二.用户实际网络拓扑3图1上图为用户实际网络的拓扑图,为了更好的测试防火墙的功能,我们采用了下面的简略拓扑。4三.测试环境简略拓扑图管理器172.16.1.10192.168.1.10192.168.1.251172.16.1.20192.168.1.20192.168.1.11192.168.1.21图2三.测试前软件环境的准备1.子网主机具有Linux,windows2008两种环境。2.测试环境Linux主机配置www,ftp,telnet服务,同时安装nmap,http_load,sendudp等测试工具;Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape等浏览器3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip地址为当前网段的1地址。例:当前主机所在网段为192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的ip地址。4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5.在广域网中采用静态路由和动态路由(rip或ospf)两种。5四.功能说明及规则设计。针对防火墙各项功能,分别加以说明。A.包过滤――――区间通信。1.)单一地址2.)多地址规则设计:a.方向:区1—>区2b.操作:允许(拒绝)c.协议:tcp,udp,icmp和其它协议号的协议。d.审计:是(否)e.有效时间段B.地址绑定――――ip,mac地址绑定。防止地址欺骗。a)单一地址绑定b)多地址绑定。规则设计:a.方向:区1—>区2b.操作:允许(或拒绝)C本地访问控制――――对管理主机的访问进行控制1.)单一地址2.)多地址规则设计:a.操作:1.允许ping,telnet等。2.允许管理DNAT――――地址,端口的转换。私有ip转为公网ip。1.)一对一2.)多对一3.)多对多规则设计:a.方向:区1->区2.b.操作:拒绝(或允许)c.协议:tcp,udp,icmp和其它协议号的协议。d.审计:是(否)E多播――――解决一对多的通信。1.单一多播源,多接收端。2.多多播源,多接收端。G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.H.报警――――利用邮件,T...
