防火墙测试报告

防火墙测试

测试介绍

根据checkpoint gtp方面工程师介绍，针对部署在S5/S8接口上的GTP防火墙进行功能方面的测试。

LTE环境模拟器为：nwepc

测试结论

1. 基于nwepc模拟器，check point能做基本的gtp防护

模拟器nwepc正常使用：不影响模拟器nwepc的正常使用，以及TSS针对于该模拟器的测试。

Flooding攻击：能配置PGW等网元设备的流量阈值检测Flooding攻击。对于超出该设备配置流量的数据包进行drop。

Teid维护：能维护teid信息，对于承载修改，掉线等,攻击者需要使用正确的teid才能奏效，否则会被防火墙drop，原因为无效上下文。

IP白名单：针对IP地址白名单判断攻击。对于白名单之外的IP地址的攻击会被drop

IMSI白名单：针对IMSI白名单进行判断攻击，对于在IMSI白名单之外的攻击会被drop APN：目前无法配置。（check point工程师还没有回复）

伪源IP攻击:无法判断伪源IP的攻击，当攻击者获取到正确的teid后，在IMSI等白名单的范围内，通过伪源IP的能进行承载修改，掉线等攻击。

功能测试

1. 模拟器正常上下线，修改, 数据层面流量测试

测试项目模拟器正常流量测试

测试目的测试防火墙对于模拟器的正常gtpc tunnle创

建，更新，删除等等操作是是否有影响、对

于gtpu的数据层面传输是否有影响

测试方法 1. 配置并启动pgw，sgw，mme模拟器，允

许给测试机器tss(ip地址：172.16.0.251)，建

立tunnel，从而访问192.168.2.0网段的地址。

2. 配置防火墙gtpc策略白名单为pgw，sgw

3. 配置2152的udp端口访问为accept

预期结果 1.Tss能正常访问http://192.168.2.108:8080/

2.对于模拟器的定时更新tunnel，不会受到影

响

测试结果 1.Tss能正常访问http://192.168.2.108:8080/

2.对于模拟器的定时更新tunnel，不会受到影

响

测试效果

1. 防火墙对于gtpc和gtpu报文都是accept

防火墙日志

2. 172网段的tss能访问192.168.2网段地址的服务

Tss访问http://192.168.2.108:8080/

2. 非白名单的上线测试

测试项目非白名单的gtpc访问测试

测试目的测试防火墙对于匿名机器的攻击监测

测试方法 1. 配置并启动pgw，sgw，mme模拟器，允

许给测试机器tss(ip地址：172.16.0.251)，建

立tunnel，从而访问192.168.2.0网段的地址。

2. 配置防火墙gtpc策略白名单为pgw

3. 配置2152的udp端口访问为accept

预期结果 1.SGW建立tunnel失败

2.TSS无法访问http://192.168.2.108:8080/

测试结果 1.SGW建立tunnel失败

2.TSS无法访问http://192.168.2.108:8080/

测试效果

1. 防火墙对于gtpc报文拒绝