防火墙测试方案

防火墙测试 引言 防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗，越来越多的上网企业开始重视网络安全问题。特别是近两三年来，以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光国内就有几十家。各种防火墙品种充斥市场，良莠不齐，有软件的防火墙，硬件的防火墙，也有软硬一体化的防火墙；有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的防火墙，也有状态的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的安全和性能是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面，业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报审计能力被越来越多的防火墙产品采用，同时，防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此，当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD：Firewall Product Certification Criteria Version 3.0a 测试项目 一． 测试项目 包过滤，NAT，地址绑定，本地访问控制，多播，TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击，双机热备,性能。 二． 用户实际网络拓扑 图1 上图为用户实际网络的拓扑图，为了更好的测试防火墙的功能，我们采用了下面的简略拓扑。 三． 测试环境简略拓扑图 管理器 172.16.1.10                                                    192.168.1.10 192.168.1.251 172.16.1.20                                                    192.168.1.20 192.168.1.11            192.168.1.21 图2 三．测试前软件环境的准备 1. 子网主机具有Linux，windows 2008两种环境。 2. 测试环境Linux主机配置www，ftp，telnet服务，同时安装nmap，http_load，sendUDP等测试工具；Windows主机配置ftp，telnet，iis，snmp等服务，同时安装IE，Netscape等浏览器 3. 防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip地址为当前网段的1地址。例：当前主机所在网段为192.168.1.0，那么它的网关为192.168.1.1，即防火墙接入接口的ip地址。 4. 防火墙的默认路由均指向其通往广域网的路由器或三层交换机。 5. 在广域网中采用静态路由和动态路由（rip或ospf）两种。 四.功能说明及规则设计。 针对防火墙各项功能，分别加以说明。 A．包过滤――――区间通信。 1.）单一地址 2.）多地址 规则设计：a.方向：区1—>区2 b.操作：允许（拒绝） c.：tcp，udp，ICMP和其它协议号的协议。 d.审计：是（否） e.有效时间段 B.地址绑定――――ip，mac地址绑定。防止地址欺骗。 a) 单一地址绑定 b) 多地址绑定。 规则设计：a.方向：区1—>区2 b.操作：允许（或拒绝） C本地访问控制――――对管理主机的访问进行控制 1．）单一地址 2.）多地址 规则设计：a.操作：1.允许ping ，telnet等。 2.允许管理 D NAT――――地址，端口的转换。私有ip转为公网ip。 1．）一对一 2.）多对一 3.）多对多 规则设计：a.方向： 区1－>区2. b.操作：拒绝（或允许） c.协议：tcp，udp，icmp和其它协议号的协议。 d.审计：是（否） E多播――――解决一对多的通信。    1. 单一多播源，多接收端。 2. 多多播源，多接收端。 G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由. H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员防火墙的信息. I .审计――――审计防火墙上的访问,及事件信息,防火墙的状态. J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况. K攻击――――防攻击。 检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。 L．双机热备――――设备冗余。 同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙down掉时，备份防火墙接管。 通过测试用例来对具体的操作进行阐述。 在所有的规则制定中考虑范围内取非，范围的临界值，中间值情况,时间的控制等。 A. 包过滤 测试项目 包过滤 测试日期   测试内容 IP过滤规则对ICMP数据包的过滤效果 测试环境 1. 路由模式 2. Linux，windows。 规则指定 1. 192.168.1.10-100－>192.168.2.254 ICMP允许。（内到外） 192.168.2.254－>192.168.3.10 ICMP允许。（外到DMZ） 192.168.3.1-15－>192.168.1.10 ICMP允许。（DMZ到内） 执行操作 1. 在192.168.1.10上ping 192.168.2.254，在192.168.2.254上ping 192.168.3.10，在192.168.3.10上ping 192.168.1.10。并反方向ping。 2. 在192.168.1.10上telnet 192.168.2.254，在192.168.2.254上telnet 192.168.3.10，在192.168.3.10上telnet 192.168.1.10。并反方向ftp，telnet。 3. 加载ICMP全通规则。 4. 重复步骤1 测试结果 步骤 预期结果 实测结果 1. 正向ping成功，反向ping不通，被禁止。   2. 访问被禁止，规则不允许。   3 都可以相互ping通。   备注               测试项目 包过滤 测试日期   测试内容 IP过滤规则对TCP数据包的过滤效果 测试环境 1. 路由模式 2. Linux，windows。 规则指定 1： 192.168.1.10－>192.168.2.254 telnet允许。（内到外） 192.168.2.254－>192.168.3.10 telnet允许。（外到DMZ） 192.168.3.10－>192.168.1.10 telnet允许。（DMZ到内） 执行操作 1. 在192.168。1.10上telnet 192.168.2.254，在192.168.2.254上telnet 192.168.3.10，在192.168.3.10上telnet 192.168.1.10，并反向telnet。 2. 在192.168.1.10用nslookup 到192.168.2.254上进行名字解析或其它的UDP服务。 3. 加载telnet全通规则，重复步骤1. 测试结果 步骤 预期结果 实测结果 1. 正向成功，反向被禁止   2. 访问被禁止，没有允许UDP服务。TCP协议的放开，对UDP协议不发生影响。   3. telnet访问都成功。   备注               测试项目 包过滤 测试日期   测试内容 IP过滤规则对TCP数据包的过滤效果，侧重于实时效果 测试环境 1. 路由模式 2. Linux，windows。 规则指定 1. 192.168.1.10－>192.168.2.254 telnet允许。（内到外） 192.168.2.254－>192.168.3.10 telnet允许。（外到DMZ） 192.168.3.10－>192.168.1.10 telnet允许。（DMZ到内） 生效时间：9:00－10:00 执行操作 1. 在192.168。1.10上telnet 192.168.2.254，在192.168.2.254上telnet 192.168.3.10，在192.168.3.10上telnet 192.168.1.10，并反向telnet。 2. 保持上述telnet已建立的连接，并不断的telnet没有建立连接的。 3. 在9:59－10:01之间，查看telnet状态的反应。 测试结果 步骤 预期结果 实测结果 1. 正向telnet成功，反向被禁止。   3 已建立的telnet连接被断开。   备注