文檔編號版本號/修改號密級

產(chǎn)品名稱：共頁

防火墻_測試方案

文檔作者:日期：—/—/

項目經(jīng)理:日期：—/—/

主管部長:日期：

管理員:日期：—/―/

廣東省電信公司科學技術(shù)研究院

數(shù)據(jù)網(wǎng)絡(luò)部

目錄

1防火墻測試環(huán)境................................................................1

1.1防火墻測試網(wǎng)絡(luò)拓撲與工具............................................I

1.2防火墻測試標準.......................................................3

2防火墻廠家情況調(diào)查...........................................................4

3參測的防火墻產(chǎn)品配置.........................................................5

4防火墻產(chǎn)品功能驗證則試.......................................................5

4.1防火墻集中管理架構(gòu)的驗證測試........................................6

4.2防火墻多級管理員工作方式的驗證測試..................................7

4.3防火墻系統(tǒng)管理功能的驗證測試........................................8

4.4防火墻組網(wǎng)功能測試...................................................9

4.5防火墻通信協(xié)議兼容性測試............................................10

4.6防火墻狀態(tài)檢測功能測試..............................................12

4.7防火墻用戶認證功能測試..............................................13

4.8防火墻應(yīng)用代理功能測試..............................................14

4.9防火墻ActivcX/Java過濾功能測試.....................................15

4.10防火墻內(nèi)容/郵件過濾功能測試.........................................16

4.11防火墻日志審計功能測試..............................................17

4.12防火墻報警功能測試..................................................19

4.13防火墻雙機熱備的功能支持完整性測試................................20

4.14防火墻抗掉電性測試..................................................21

4.15防火墻VPN功能測試.................................................22

4.16防火墻地址翻譯功能測試.............................................23

5防火墻產(chǎn)品性能測試..........................................................24

5.1防火墻吞吐量測試....................................................25

5.2防火墻背靠背緩存能力測試...........................................26

5.3防火墻最大為聯(lián)接建立速率測試.......................................28

5.4防火墻最大并發(fā)聯(lián)接數(shù)測試...........................................29

5.5防火墻有效通過率測試...............................................30

5.6混雜非法業(yè)務(wù)流條件下的防火墻聯(lián)接建立速率測試......................31

5.7防火墻延時參數(shù)測試..................................................32

5.8防火墻加密隧道的有效通過率測試.....................................33

5.9防火墻加密隧道延時參數(shù)測試.........................................34

5.10防火墻對DoS的防范能力測試........................................35

5.11防火墻內(nèi)核最小化測試...............................................36

5.12防火墻雙機熱備切換時間測試.........................................37

5.13防火墻帶寬管理功能測試.............................................38

5.14防火墻集成IDS的有效通過率測試....................................39

5.15防火墻集成防病毒功能的有效通過率測試..............................40

1防火墻測試環(huán)境

1.1防火墻測試網(wǎng)絡(luò)拓撲與工具

防火墻產(chǎn)品的測試拓撲分為單機測試條件下的拓撲（圖I）和雙機熱備條件下的測試拓

撲（圖2）。

信4區(qū)/非軍事區(qū)v____________膽迦___________a信任區(qū)/非軍曹

路由器/交換機防火墻a

Subnet5

測試主機a測試儀表測試主機b

圖L防火墻產(chǎn)品單機測試拓撲

1

非信任區(qū)信任區(qū)/非軍事區(qū)

一A

n

測主機

MSubnet5

測試主機

■,,,T-Subnet2

國。笛>刈國I、一.

路由器/交換機

測試儀表

圖2.雙機熱備條件下防火墻產(chǎn)品測試拓撲

主要的測試設(shè)備包括則試儀表、測試主機/服務(wù)器和路由器/交換機三大類。

測試儀表包括IXIA>SmartBits和CawNetwork三種儀表。

/SmartBits是一款很好的網(wǎng)絡(luò)性能測試儀表，主要用于吞吐量、背對背幀緩沖能力

的測試以及VPN的性能測試°

/1XIA主要是用于防火墻安全防范水平的測試，即利用1XIA的重放功能以及內(nèi)置的

攻擊軟件包，測試防火墻抵御拒絕服務(wù)攻擊的能力。

/CawNetwork可以仿真批量的HTTP'HTTPs、FTP通信業(yè)務(wù)，主要用于有效通過率、

通信聯(lián)接建立速率和并發(fā)聯(lián)接數(shù)等性能測試。

測試主機/服務(wù)器主要作為軟件測試工具的承載平臺。用到的軟件測試工具包括：

J黑客攻擊軟件，主要是各種DoS軟件工具，用于發(fā)出熨際的DoS攻擊流。

/網(wǎng)絡(luò)嗅探器Sniffer,用于監(jiān)測和分析網(wǎng)絡(luò)測試流。

/網(wǎng)絡(luò)掃描儀InternetScanner,用于評估防火墻系統(tǒng)內(nèi)核的安全水平。

路由器/交換機是測試平臺的組網(wǎng)設(shè)備。

2

1.2防火墻測試標準

防火墻產(chǎn)品測評指針的制定主要參考了以下標準。

l.GB/T18020-1999信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求

2.GB/T18019-1999信息技術(shù)包過濾防火墻安全技術(shù)要求

3.FWPD：FirewallProductCertificationCriteriaVersion3.0a

4.InternetDraft：BenchmarkingMethodologyforFirewallPerformance.

5.RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.

3

2防火墻廠家情況調(diào)查

防火堵廠家的情況調(diào)查主要包括：生產(chǎn)廠家及其售后服務(wù)、產(chǎn)品技術(shù)資料和產(chǎn)品的市場

評價等內(nèi)容。防火墻廠家在測試前，應(yīng)當如實何答以下問題：

1）是否持有生產(chǎn)銷售該產(chǎn)品的合法營業(yè)執(zhí)照？

2）已通過何種質(zhì)量管理體系認證？

3）企業(yè)向市場提供那些安全產(chǎn)品？

4）企業(yè)生產(chǎn)經(jīng)營防火墻產(chǎn)品的時間？

5）防火墻產(chǎn)品在同類產(chǎn)品中的市場占有率如何？（注明數(shù)據(jù)出處）

6）是否提供產(chǎn)品使用的相關(guān)培訓和技術(shù)支持？

7）產(chǎn)品售后跟蹤和維護渠道及方式如何？

8）可提交那些相關(guān)的產(chǎn)品技術(shù)資料?

4

9)防火墻產(chǎn)品是否通過國家權(quán)威機構(gòu)的認證？

3參測的防火墻產(chǎn)品配置

產(chǎn)品型號操作系統(tǒng)和版本防火墻軟件版本

首信防火墻CF2000CG-600linuxCF2000V2.1

CPU類型與數(shù)目存儲類型和容量電源與環(huán)境要求

施樂2.4G內(nèi)存Kingstone電源:400W以上服務(wù)器冗余電源

數(shù)目：1個內(nèi)存容量：2G工作溫度：0℃-40℃

硬盤:40G存儲溫度:-40℃-55℃

工作相對濕度：3()290%

氣壓：86KPAT06KPA

重量：15KG

4防火墻產(chǎn)品功能驗證測試

防火堵功能驗證測試部分主要是通過實際配置防火墻系統(tǒng)，檢查配置參數(shù)，嘗試性操作

以及發(fā)送驗證業(yè)務(wù)流等手段，驗證防火墻提供功能的合理性和完整性。

5

4.1防火墻集中管理架構(gòu)的驗證測試

測試編號：

測試組：防火墻集中管理架構(gòu)的驗證測試

測試依據(jù)：

測試目的：驗證防火墻系統(tǒng)體系架構(gòu)層次的合理性

測試步驟：

I.搭建防火墻的集中管理平臺；

2.針對測試表格的要求，驗證防火墻的集中管理架構(gòu)。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

管理架構(gòu)<3層Yes()No()

3層的管理體系Yes()No()

帶外管理Yes()No()

帶內(nèi)管理Yes()No()

管理信道加密Yes()No()

集中管理拓撲生成Yes()No()

能力全局策略定制Yes()No()

全局配置分發(fā)Yes()No()

全局集中日志審計Yes()No()

全局系統(tǒng)升級Yes()No()

全局集中監(jiān)控Yes()No()

測試人員:

廠商代表:

6

4.2防火墻多級管理員工作方式的驗證測試

測試編號：

測試組：防火墻多級管理員工作方式的驗證測試

測試依據(jù)：

測試FI的：驗證防火墻管理員權(quán)限的分割能力、管理員工作的保密性和操作界面的友好程度

測試步驟：

3.創(chuàng)建防火墻的各級管理員賬號，并進行相關(guān)的管理操作；

4.針對測試表格的要求，驗證防火墻的多級管理員工信方式。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

管理員分<3級Yes()No()

級大于3級的管理員體系Yes()No()

自定義方式實現(xiàn)多級管理員體系Yes()No()

管理員的一次性口令Yes()No()

接入安全靜態(tài)口令Yes()No()

口令長度大于7Yes()No()

口令長度小于等于7Yes()No()

有登錄嘗試次數(shù)限制Yes()No()

信道加密Yes()No()

密鑰長度128位以上Yes()No()

密鑰長度56為以下Yes()No()

管理員操未優(yōu)化的令令行Yes()No()

優(yōu)化的命令行Yes()No()

作界面

英文窗口Yes()No()

漢化窗口Yes()No()

測試人員:

廠商代表:

7

4.3防火墻系統(tǒng)管理功能的驗證測試

測試編號：

測試組：防火墻系統(tǒng)管理功能的測試

測試依據(jù)：

測試目的：測試防火墻提供的系統(tǒng)管理功能的完善程度

測試步驟：

5.利用防火墻網(wǎng)管系統(tǒng)遠程配置防火墻；

6.針對測試表格的要求，驗證防火墻管理系統(tǒng)的管理功能。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

網(wǎng)絡(luò)接口網(wǎng)絡(luò)拓撲顯示Yes()No()

與系統(tǒng)功（子）接口IP/MAC地址配置Yes()No()

能配置路由配置Yes()No()

VPN功能配置Yes()No()

NAT功能配置Yes()No()

添加/清除虛擬防火墻Yes()No()

故障監(jiān)測實時監(jiān)控Yes()No()

告警指示Yes()No()

系統(tǒng)升級全局分發(fā)Yes()No()

在線升級Yes()No()

管理員賬賬號增、刑、改Yes()No()

號的創(chuàng)建賬號的分發(fā)Yes()No()

安全策略支持基于端口、IP、對象、組的策略配置Yes()No()

配置策略增、刑、改Yes()No()

策略全局分發(fā)Yes()No()

日志審計日志查閱、刪除Yes()No()

不同管理系統(tǒng)日志審計的隔離Yes()No()

測試人員:

廠商代表:

8

4.4防火墻組網(wǎng)功能測試

測試編號：

測試組：防火墻組網(wǎng)功能的測試

測試依據(jù)：

測試目的：測試防火墻參與網(wǎng)絡(luò)組織的能力

測試步驟：

7.配置防火墻；

8.針對測試表格的要求，驗證防火墻系統(tǒng)配置。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

接口W4個接口Yes()No(V)

>4個接口Yes(V)No()

支持子接口而且安Yes()No()

全分區(qū)與接口無關(guān)

組網(wǎng)協(xié)議靜態(tài)路由Yes(7)No()

動態(tài)路由Yes()No(V)

物理結(jié)構(gòu)符合標準機架要求Yes(V)No()

虛擬防火墻Yes()No(V)

測試人員:

廠商代表:

9

4.5防火墻通信協(xié)議兼容性測試

測試編號：

測試組：防火墻通信協(xié)議兼容性測試

測試依據(jù)：

測試目的：測試防火墻支持的通信服務(wù)協(xié)議類型

測試步驟：

1.從防火墻的內(nèi)區(qū)到外區(qū)方向，建立相關(guān)協(xié)議的允許規(guī)則；

2.從內(nèi)區(qū)的測試主機向外區(qū)主機，進行規(guī)定協(xié)議的通信，同時，內(nèi)區(qū)的測試主機根據(jù)允許

規(guī)則向所設(shè)定的目的地址主機發(fā)送規(guī)定協(xié)議以外的數(shù)據(jù)包；

3.在通信過程中以及通信結(jié)束后，檢查防火墻的日志，同時，利用Sniffer在外區(qū)監(jiān)控業(yè)務(wù)

數(shù)據(jù)流；

4.根據(jù)測試表格的要求抽樣檢查常規(guī)的通信協(xié)議。

預(yù)期測試結(jié)果：可以成功地進行規(guī)定協(xié)議的通信，但是，規(guī)定以外的其他協(xié)議數(shù)據(jù)包應(yīng)當被

阻斷。

測試準備：需要準備測試主機和服務(wù)器。

測試說明：

10

測試結(jié)果:

測試項測試用例測試結(jié)果備注

DNS代理Yes()No(V)支持指定端口或指定端口范圍

狀態(tài)檢測Yes(V)No()的TCP或UDP狀態(tài)檢測。

FTP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

HTTP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

HTTPs代理Yes()No(J)

狀態(tài)檢測Yes(V)No()

RTTP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

IGMP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

NTP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

SNMP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

SIP代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

H.323代理Yes()No(V)

狀態(tài)檢測Yes(7)No()

TCP任意代理Yes()No(V)

狀態(tài)檢測Yes(V)No()

UDP任代理Yes()No(J)

意狀態(tài)檢測Yes(V)No()

其它任意代理Yes()No(V)支持ICMP過渡、IP包過濾。

狀態(tài)檢測Yes(V)No()

測試人員:

廠商代表:

11

4.6防火墻狀態(tài)檢測功能測試

測試編號：

測試組：防火墻狀態(tài)檢測功能的測試

測試依據(jù)：

測試目的：測試防火墻狀態(tài)檢測功能的完備性

測試步驟：

5.從防火墻的內(nèi)區(qū)到外區(qū)方向，建立HTTP和TFTP的允許規(guī)則；

6.從內(nèi)區(qū)的測試主機訪問外區(qū)的測試服務(wù)器，進行網(wǎng)頁瀏覽和TFTP文件下載操作，同時，

內(nèi)區(qū)的測試主機根據(jù)允許規(guī)則向所設(shè)定的目的地址主機發(fā)送規(guī)定協(xié)議以外的數(shù)據(jù)包；

7.在通信過程中以及通信結(jié)束后，檢查防火墻的日志以及狀態(tài)聯(lián)接表，同時，利用Sniffer

在外區(qū)監(jiān)控業(yè)務(wù)數(shù)據(jù)流；

8.在上述操作過程中，根據(jù)測試表格的要求檢查系統(tǒng)的配置功能。

預(yù)期測試結(jié)果：在網(wǎng)頁瀏覽和TFTP文件下載操作過程中，應(yīng)生成相應(yīng)的狀態(tài)聯(lián)接表項，但

是，內(nèi)區(qū)向外區(qū)發(fā)送的規(guī)定以外的其他協(xié)議數(shù)據(jù)包應(yīng)當被阻斷；在通信結(jié)束后，相應(yīng)的狀態(tài)

聯(lián)接表項隨后也被清除。

測試準備：需要準備測試主機和測試服務(wù)器。

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

條件域源地址/端口Yes(V)No()

目的地址/端口Yes(V)No()

協(xié)議Yes(V)No()

選項域口志Yes(V)No()

時間Yes(V)No()

告警Yes()No(V)

動作域允許Yes(V)No()

禁止Yes(V)No()

狀態(tài)檢測TCPYes(V)No()

UDPYes(V)No()

ICMP協(xié)議過濾Yes(V)No()

測試人員:

廠商代表:

12

4.7防火墻用戶認證功能測試

測試編號：

測試組：防火墻用戶認證的測試

測試依據(jù)：

測試目的：測試防火墻用戶認證功能實現(xiàn)方式的完整性

測試步驟：

1.配置認證服務(wù)器，建立認證用戶賬號；

2.利用測試主機和測試服務(wù)器，仿真用戶在認證后通過防火墻訪問服務(wù)器的通信過程，查

看防火墻日志記錄，確認用戶成功認證；

3.針對測試表格的要求，完成上述測試過程。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器。

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

Radius認證會話認證Yes()No(V)采用自主開發(fā)的一次

性口令認證技術(shù)，支持

事前認證Yes()No(V)

事前認證。

WindowsNT會話認證Yes()No(V)

域用戶認證事前認證Yes()No(V)

測試人員:

廠商代表:

13

4.8防火墻應(yīng)用代理功能測試

測試編號：

測試組：防火墻應(yīng)用代理功能測試

測試依據(jù)：

測試目的：測試防火墻的應(yīng)用代理功能的覆蓋范圍和工作方式

測試步驟：

1.配置防火墻的應(yīng)用代理功能；

2.利用測試主機與測試服務(wù)器建立通信過程；

3.檢查代理狀態(tài)，確認代理按配置要求正常工作；

4.根據(jù)測試表格的要求，完成各項代理功能的測試。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器，用于生成驗證業(yè)務(wù)流。

測試說明：

測試結(jié)果：不支持。

測試項測試用例測試結(jié)果備注

HTTP透明代理Yes()No()

可以切換到狀態(tài)檢測模式Y(jié)es()No()

FTP透明代理Yes()No()

可以切換到狀態(tài)檢測模式Y(jié)es()No()

TELNET透明代理Yes()No()

可以切換到狀態(tài)檢測模式Y(jié)es()No()

SMTP透明代理Yes()No()

可以切換到狀態(tài)檢測模式Y(jié)es()No()

POP3透明代理Yes()No()

可以切換到狀態(tài)檢測模式Y(jié)es()No()

測試人員:

廠商代表:

14

4.9防火墻ActiveX/Java過濾功能測試

測試編號：

測試組：防火墻ActiveX/Java過濾功能的測試

測試依據(jù)：

測試目的：測試ActiveX/Java過渡功能與防火墻功能的集成度以及功能的有效性。

測試步驟：

1.配置防火墻功能和AcliveX/Java過濾功能，使之正常工作；

2.傳送非法URL或含有非法ActiveX/Java代碼的網(wǎng)頁，檢查ActiveX/Java過濾的有效性。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器，用于生成驗證的業(yè)務(wù)流。

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

集成方防火墻事后阻斷Yes()No(V)

式防火墻事前阻斷Yes(V)No()

ActivcX/Java過濾模塊以第三方廠家產(chǎn)Yes()No(V)

品方式存在

支持標準接口的ActiveX/Java過濾產(chǎn)品Yes()No(V)

兩種功能模塊集成在一個機箱內(nèi)Yes(V)No()

功能效非法ActiveX編碼過濾Yes()No(V)

果非法Java編碼過濾Yes()No(7)

非法URL過濾Yes(V)No()

非法腳本過濾Yes()No(V)

基于源地址實現(xiàn)封堵Yes(V)No()

基于源端口實現(xiàn)封堵Yes(V)No()

基于目的地址實現(xiàn)封堵Yes(V)No()

基于目的端口實現(xiàn)封堵Yes(V)No()

基于時間實現(xiàn)封堵Yes(V)No()

測試人員:

廠商代表:

15

4.10防火墻內(nèi)容/郵件過濾功能測試

測試編號：

測試組：防火墻內(nèi)容/郵件過謔的測試

測試依據(jù)：

測試目的：測試內(nèi)容/郵件過濾功能與防火墻功能的集成度以及功能的有效性

測試步驟：

I.配置防火墻功能和內(nèi)容/郵件過濾功能，使之正常工作；

2.傳送非法郵件或內(nèi)容信息，檢查內(nèi)容/郵件過濃的有效性。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器，用于生成驗證的業(yè)務(wù)流。

測試說明：

測試結(jié)果：不支持。

測試項測試用例測試結(jié)果備注

集成方防火墻事后阻斷Yes()No()

式

防火墻事前阻斷Yes()No()

內(nèi)容/郵件過濾模塊以第三方廠家產(chǎn)品方Y(jié)es()No()

式存在

支持標準接11的內(nèi)容/郵件過濾產(chǎn)品Yes()No()

兩種功能模塊集成在一個機箱內(nèi)Yes()No()

功能效非法關(guān)鍵字內(nèi)容過濾Yes()No()

果含病毒郵件附件過濾Yes()No()

非法郵件地址過濾Yes()No()

基于源地址實現(xiàn)封堵Yes()No()

基于源端11實現(xiàn)封堵Yes<)No()

基于目的地址實現(xiàn)封堵Yes()No()

基于目的端口實現(xiàn)封堵Yes()No()

基于時間實現(xiàn)封堵Yes()No()

測試人員:

廠商代表:

16

4.11防火墻日志審計功能測試

測試編號：

測試組：防火墻日志審計的測試

測試依據(jù)：

測試目的：測試防火墻日志審計功能的完善程度。

測試步驟：

I.查閱日志信息，檢查日志審計工具；

2.根據(jù)測試表格要求，分別進行登錄/退出防火墻、啟動/停止系統(tǒng)功能、配置安全規(guī)則、

配置審計功能等操作，檢查日志信息；

3.生成惡意事件，發(fā)送驗證業(yè)務(wù)流，檢杳受監(jiān)控通信過程的日志記錄信息。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器，用于生成驗證業(yè)務(wù)流。

測試說明：

17

測試結(jié)果:

測試項測試用例測試結(jié)果備注

審計界面漢化界面Yes(V)No()

英文界面Yes()No(V)

查閱方式分類查閱Yes(V)No()僅基于給定的關(guān)鍵詞作檢

關(guān)鍵字檢索Yes(V)No()索。

日志分析工自帶分析工具Yes(V)No()

具的支持提供第三方工具接口Yes()No(V)

日志存儲方本機存儲Yes()No(V)存儲采用Linux的MySQL

式輸出文本存儲Yes()No(V)數(shù)據(jù)庫。

輸出數(shù)據(jù)庫存儲Yes(V)No()

登錄防火墻登錄時間Yes(V)No()

的日志登錄賬號Yes(V)No()

登錄成功/失敗信息Yes(V)No()

退出防火墻退出時間Yes(V)No()

的日志退出賬號Yes(V)No()

功能啟動的啟動時間Yes(V)No()

日志操作員標識Yes(V)No()

功能停止的停止時間Yes(V)No()

日志操作員標識Yes(V)No()

安全規(guī)則配配置時間Yes(V)No()

置的記錄操作員標識Yes(V)No()

增、刪、改Yes(V)No()

初始化配置配置時間Yes(V)No()

的記錄操作員標識Yes(V)No()

增、刪、改Yes(V)No()

審計功能配配置時間Yes(V)No()

置的記錄操作員標識Yes(V)No()

增、刪、改Yes(V)No()

被監(jiān)控聯(lián)接起/止時間Yes(V)No()

的日志源/目的IP地址Yes(V)No()

源/目的端口Yes(V)No()

攻擊事件的事件發(fā)生時間Yes(V)No()所有攻擊事件僅限于打開

日志事件類型Yes(V)No()入侵檢測模塊所能監(jiān)測到

的違規(guī)行為。

測試人員:

廠商代表:

18

4.12防火墻報警功能測試

測試編號：

測試組：防火墻報警功能則試

測試依據(jù)：

測試目的：測試防火墻報警功能的報警觸發(fā)條件和報警方式。

測試步驟：

I.設(shè)置防火墻的報警觸發(fā)條件；

2.生成報警事件，檢查報警效果；

3.根據(jù)測試表格要求，完成上述測試。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：不支持。

測試項測試用例測試結(jié)果備注

觸發(fā)條件設(shè)定的被監(jiān)控的安Yes()No()

全事件

設(shè)備功能模塊故障Yes()No()

線路故障Yes()No()

報警方式手機Yes()No()

郵件Yes()No()

界面顯示Yes()No()

可擴展報警方式Y(jié)es()No()

測試人員:

廠商代表:

19

4.13防火墻雙機熱備的功能支持完整性測試

測試編號：

測試組：防火墻雙機備份的測試

測試依據(jù)：

測試目的：測試雙機熱備對防火墻其他功能模塊支持的完整性

測試步驟：

i.把兩臺防火墻配置在雙機熱備狀態(tài)；

2.根據(jù)測試表格要求，在主工作狀態(tài)的防火墻上，分別配置各種功能模塊，校驗主備防火

墻之間工作狀態(tài)一致性的維持情況。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：不支持。

測試項測試結(jié)果測試項測試結(jié)果

邏輯子接人工同步Y(jié)es()No()認證人工同步Y(jié)es()No()

口自動同步Y(jié)es()No()自動同步Y(jié)es()No()

路由人工同步Y(jié)es()No()安全策人工同步Y(jié)es()No()

自動同步Y(jié)es()No()略表自動同步Y(jié)es()No()

虛擬防火人工同步Y(jié)es()No()聯(lián)接狀人工同步Y(jié)es()No()

墻子系統(tǒng)自動同步Y(jié)es()No()態(tài)表自動同步Y(jié)es()No()

NAT人工同步Y(jié)es()No()日志人工同步Y(jié)es()No()

自動同步Y(jié)es()No()自動同步Y(jié)es()No()

VPN人工同步Y(jié)es()No()管理員人工同步Y(jié)es()No()

自動同步Y(jié)es()No()賬號自動同步Y(jié)es()No()

代理人工同步Y(jié)es()No()備注

自動同步Y(jié)es()No()

不支持。

測試人員:

廠商代表:

20

4.14防火墻抗掉電性測試

測試編號：

測試組：防火墻抗掉電測試

測試依據(jù)：

測試目的：測試掉電這一異常事故對防火墻的影響。

測試步驟：

I.對工作中的防火墻實施掉電操作；

2.對掉電的防火墻恢復(fù)供電，根據(jù)測試表格要求檢查系統(tǒng)的狀態(tài)和配置信息。

預(yù)期測試結(jié)果：

測試準備：

測試說明：

測試結(jié)果：

測試項測試用例測試結(jié)果備注

對系統(tǒng)的日志丟失Yes()No(V)本機不存儲日志，放在

外接日志服務(wù)器中。

影響

接口配置信息丟失Yes()No(V)

網(wǎng)絡(luò)功能模塊配置信息丟Yes()No(V)

失

安全策略模塊配置信息丟Yes()No(V)

失

審計模塊配置信息丟失Yes()No(V)

系統(tǒng)用戶配置信息丟失Yes()No(V)

系統(tǒng)恢復(fù)報警Yes()No(V)

能力需要重新調(diào)整配置Yes()No(V)

測試人員:

廠商代表:

21

4.15防火墻VPN功能測試

測試編號：

測試組：防火墻VPN功能測試

測試依據(jù)：

測試目的：測試防火墻與VPN網(wǎng)關(guān)的集成方式以及VPN功能實現(xiàn)的完整性。

測試步驟：

I.在防火墻上配置Site-to-Site的VPN隧道，對VPN隧道接口施加安全策略；

2.針對測試表格檢查VPN的配置；

3.利用測試主機穿過VPN隧道進行正常的網(wǎng)頁訪問，確認VPN隧道工作正常，同時，利

用Sniffer確認傳送資料被正確加密。

預(yù)期測試結(jié)果：

測試準備：需要準備測試主機和測試服務(wù)器

測試說明：

測試結(jié)果：不支持。

測試項功能類型測試結(jié)果備注

VPN工作方式支持隧道VPNYes()No()

支持傳輸VPNYes()No()

VPN交換Yes()No()

加密算法DES/3DESYes()No()

AESYes()No()

國內(nèi)加密算法Yes()No()

密鑰管理PKIYes()No()

測試人員:

廠商代表:

22

4.16防火墻地址翻譯功能測試

測試編號：

測試組：測試防火墻的地址翻譯功能

測試依據(jù)：

測試目的：測試防火墻是否具備完整的地址翻譯功能以及NAT配置的靈活性。

測試步驟：

I.在防火增的內(nèi)區(qū)與外區(qū)之間的通信接口上配置地址翻譯功能；

2.發(fā)送業(yè)務(wù)流，用Sniffer確認地址翻譯成功：

3.按測試表格內(nèi)容驗證地址翻譯功能。

預(yù)期測試結(jié)果：防火墻應(yīng)當能全面支持測試表格所列的地址翻譯功能。

測試準備：需要Sniffer嗅探器以及用來生成業(yè)務(wù)流的測試主機和服務(wù)器。

測試說明：

測試結(jié)果：

測試項目驗證結(jié)果雙向與接口無關(guān)

靜態(tài)1對1NATYes(V)No()Yes(V)No()Yes()No(V)

動態(tài)1對多NATYes(V)No()Yes()No(V)Yes()No(J)

動態(tài)多對多NATYes(V)No()Yes()No(V)Yes()No(V)

PATYes(V)No()Yes(V)No()Yes()No(V)

測試人員:

廠商代表:

23

5防火墻產(chǎn)品性能測試

防火墻產(chǎn)品的性能測試是在功能測試完成的基礎(chǔ)上,考察防火墻產(chǎn)品部署后對正常網(wǎng)絡(luò)

通信在性能方面的影響程度，同時防火增本身的安全性和可靠性也是性能測試的一項重要內(nèi)

容。

24

5.1防火墻吞吐量測試

測試編號：

測試組：防火墻基本通信性能測試

測試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.

測試目的：測試防火墻在不丟包條件下能達到的最大的資料包轉(zhuǎn)發(fā)速率。

測試步驟：

I.在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置一條雙向的全允許規(guī)則；

2.采用測試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；

3.利用儀表，發(fā)送雙向的UDP測試數(shù)據(jù)流，搜索接口的吞吐量，采樣時長設(shè)置為30秒；

4.分別對64、128、256、512、1024、1280、1518字節(jié)的測試幀，重復(fù)上述測試過程。

預(yù)期測試結(jié)果：測試包應(yīng)當能夠通過防火墻。但是，在短幀和1518字節(jié)幀長條件下，測試

結(jié)果可能達不到接II線速。

測試準備：需要準備一臺SmartBits測試儀。

測試說明：

測試結(jié)果：

幀長（字節(jié)）64128256512102412801518

一對光纖接口的100100100100100100100

平均吞吐量（％）

整機的平均吞吐100100100100100100100

量（％）

整機支持2對光纖接口。

測試人員:

廠商代表:

25

5.2防火墻背靠背緩存能力測試

測試編號：

測試組：防火墻基本通信性能測試

測試依據(jù)：RFC2544：BenchmarkingMethodologyforNetworkInterconnectDevices.

測試目的：測試防火墻按最小幀間隔轉(zhuǎn)發(fā)突發(fā)資料而不引起丟包的最大突發(fā)資料長度。

測試步驟：

1.在防火墻的內(nèi)區(qū)和外區(qū)之間設(shè)置一條雙向的全允許規(guī)則；

2.采用測試儀表分別與防火墻的外區(qū)和內(nèi)區(qū)接口相連；

3.利用儀表，發(fā)送雙向的UDP測試數(shù)據(jù)流，搜索接口的背靠背緩沖值，采樣時長設(shè)置為2

秒；

4.分別對64、128、256、512、1024、1280、1518字節(jié)的測試幀,重復(fù)上述測試過程各5

次。

預(yù)期測試結(jié)果：

測試準備：需要準備一臺SmarlBits測試儀.

測試說明：

測試結(jié)果:

幀長（字節(jié)）64128256512102412801518

背靠背緩沖幀29761901689190905798469924239464192308162548

數(shù)目（Frames）72976190/1689190/905798M69924Z239464/192308/162548

29761901689190905798469924239464192308162548

/2976I90/I689I90/905798M69924Z239464/192308/162548

29761901689190905798469924239464192308162548

/2976I90/1689190/905798M69924Z239464/192308/162548

29761901689190905798469924239464192308162548

/297619O/1689190/905798M69924Z239464/192308/162548

29761901689190905798469924239464192308162548

/297619O/1689I90/905798M69924Z239464/192308/162548

平均值29761901689190905798469924239464192308162548

/2976190/1689190/905798Z469924Z239464/192308/162548

整機測試值與上述一樣。

測試人員:

26

廠商代表:

27

5.3防火墻最大的聯(lián)接建立速率測試

測試編號：

測試組：防火墻基本通信性能測試

測試依據(jù)：Interne