防火墙测试方案
测试项目
一.测试项目
包过滤,NA T,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。
二.测试环境简略拓扑图
172.10.2.254 192.168.2.254
(192.168.2.253)
图1
192.168.1.11 192.168.1.21
图2
说明:在括号内的IP地址,为测试单一防火墙功能时所用的IP地址。
图2仅为测试TRUNK,代理路由和非IP规则时使用.
三.测试前软件环境的准备
1.子网主机具有Linux,windows 2000(or 98 or NT)两种环境。
2.测试环境Linux主机配置www,ftp,telnet服务,同时安装nmap,http_load,sendudp
等测试工具;Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape 等浏览器
3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip地址为当前网段
的1地址。例:当前主机所在网段为192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的ip地址。
4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
5.在广域网中采用静态路由和动态路由(rip或ospf)两种。
6.。
四.功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A. 包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计:a.方向:区1—>区2
b.操作:允许(拒绝)
c.协议:tcp,udp,icmp和其它协议号的协议。
d.审计:是(否)
e.有效时间段
B.地址绑定――――ip,mac地址绑定。防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计:a.方向:区1—>区2
b.操作:允许(或拒绝)
C本地访问控制――――对管理主机的访问进行控制
1.)单一地址
2.)多地址
规则设计:a.操作:1.允许ping ,telnet等。
2.允许管理
D NAT――――地址,端口的转换。私有ip转为公网ip。
1.)一对一
2.)多对一
3.)多对多
规则设计:a.方向:区1->区2.
b.操作:拒绝(或允许)
c.协议:tcp,udp,icmp和其它协议号的协议。
d.审计:是(否)
E多播――――解决一对多的通信。
1.单一多播源,多接收端。
2.多多播源,多接收端。
G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.
H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.
I .审计――――审计防火墙上的访问,及事件信息,防火墙的状态.
J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.
K攻击――――防攻击。
检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。
L.双机热备――――设备冗余。
同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。当激活状态的防火墙down掉时,备份防火墙接管。
通过测试用例来对具体的操作进行阐述。
在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制等。A.包过滤
说明:对于EIP的测试,通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试,例如:igmp,ospf包等。
B.地址绑定
E.多播。
注:桥模式下,多播与之类似,防火墙透明,与路由情况配置一样,指定区域即可.不再赘述. F.VPN
G.TRUNK
J. 实时监控.
K.攻击
K. 双机热备。
防火墙安装调试计划方案
实施方案 1、项目概况 山东分公司所属河口、寿光、昌邑、羊口、即墨、楮岛、海阳风电场,每个风场两台,共计14台天气预报防火墙设备采购、运输、安装、调试及一年质保工作,用于满足自动化应用系统安全需求。 2、服务范围、服务内容 2.1 供货范围 本工程的供货范围见表2-1所示。 表2-1 供货需求一览表 2.2工作范围 供货商的工作范围包括: a)提供合同内所有硬件设备和软件,并保证系统完全符合最终技术规范的 要求。 b)提供所需的系统技术资料和文件,并对其正确性负责。 c)提供所有合同设备的备品备件和安装、维护所需的专门工具和试验仪器 仪表(包括调整、测试和校核)。 d)负责进行工厂验收,将设备运输(含搬运至指定位置)、安装在现场(设 备机房)以及现场调试直至成功地投入运行。 e)负责提出设备对供电、接地、消防、运行环境及安装等要求。 f)负责完成与买方另外购买的其它设备接口连接调试工作。 g)负责现场勘察,与风场协调、确定设备安装位置,制定设备安装、调试 计划。
h)负责编制试验、验收的计划报告。 i)在两年保修期内提供必要的保修服务,卖方应保证及时免费维修或更换 任何并非有买方人员非正常操作而导致的缺陷或故障,并应提供限时到达现场的维修服务。 j)由我公司进行安装调试,并提供售后服务。 k)技术培训。 l)按合同要求为买方提供必要其它的服务。 3、服务依据、工作目标; 3.1 服务依据 《信息技术设备的安全》 GB4943-2001 《建筑物电子信息系统防雷技术规范》GB50343-2004 《环境电磁卫生标准》 GB5175-88 《电磁辐射防护规定》 GB8702-88 《电气装置安装工程施工及验收规范》 GB50254-96 《电气装置安装工程施工及验收规范》 GB50255-96 3.2 工作目标 本工程计划工期30日历天,质量执行国家现行验收标准及要求,达到合格标准,严格执行安全措施,达到安全零事故。 4、服务机构设置、岗位职责 4.1 服务机构设置 **设立两个服务小组,随时调遣工作。 机构包括服务主管、调度员、市场信息收集员、三包配件管理员、配件鉴定员等。 下图为我公司的服务机构架构图:
状态检测防火墙原理
浅谈状态检测防火墙和应用层防火墙的原理(结合ISA SERVER) 防火墙发展到今天,虽然不断有新的技术产生,但从网络协议分层的角度,仍然可以归为以下三类: 1,包过滤防火墙; 2,基于状态检测技术(Stateful-inspection)的防火墙; 3,应用层防火墙。 这三类防火墙都是向前包容的,也就是说基于状态检测的防火墙也有一般包过滤防火墙的功能,而基于应用层的墙也包括前两种防火墙的功能。在这里我将讲讲后面两类防火墙的实现原理。 先从基于状态检测的防火墙开始吧,为什么会有基于状态检测的防火墙呢?这就要先看看第一类普通包过滤防火要缺点,比如我们要允许内网用户访问公网的WEB服务,来看看第一类普通包过滤防火墙是怎样处理的呢?那们应该建立一条类似图1所示的规则: 但这就行了吗?显然是不行的,因为这只是允许我向外请求WEB服务,但WEB服务响应我的数据包怎么进来呢还必须建立一条允许相应响应数据包进入的规则。好吧,就按上面的规则加吧,在动作栏中我们填允许,由于现据包是从外进来,所以源地址应该是所有外部的,这里不做限制,在源端口填80,目标地址也不限定,这个这端口怎么填呢?因为当我访问网站时本地端口是临时分配的,也就是说这个端口是不定的,只要是1023以上的有可能,所以没有办法,那只有把这些所有端口都开放了,于是在目标端口填上1024-65535,这样规则就如图示了,实际上这也是某些第一类防火墙所采用的方法。 想一想这是多么危险的,因为入站的高端口全开放了,而很多危险的服务也是使用的高端口啊,比如微软的终端远程桌面监听的端口就是3389,当然对这种固定的端口还好说,把进站的3389封了就行,但对于同样使用高但却是动态分配端口的RPC服务就没那么容易处理了,因为是动态的,你不便封住某个特定的RPC服务。 上面说了这是某些普通包过滤防火墙所采用的方法,为了防止这种开放高端口的风险,于是一些防火墙又根据T 接中的ACK位值来决定数据包进出,但这种方法又容易导致DoS攻击,何况UDP协议还没有这种标志呢?所包过滤防火墙还是没有解决这个问题,我们仍然需要一种更完美的方法,这时就有了状态检测技术,我们先不解么是状态检测防火墙,还是来看看它是怎样处理上面的问题的。同上面一样, 首先我们也需要建立好一条类似图1的规则(但不需要图2的规则),通常此时规则需要指明网络方向,即是进还是出,然后我在客户端打开IE向某个网站请求WEB页面,当数据包到达防火墙时,状态检测检测到这是一个发起连接的初始数据包(由SYN标志),然后它就会把这个数据包中的信息与防火墙规则作比较没有相应规则允许,防火墙就会拒绝这次连接,当然在这里它会发现有一条规则允许我访问外部WEB服务,于允许数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标连接时间等信息,对于TCP连接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这个数
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
防火墙测试报告
防火墙测试报告 2013.06.
目录 1 测试目的 (3) 2 测试环境与工具 (3) 2.1 测试拓扑 (3) 2.2 测试工具 (4) 3 防火墙测试方案 (4) 3.1 安全功能完整性验证 (4) 3.1.1 防火墙安全管理功能的验证 (5) 3.1.2 防火墙组网功能验证 (5) 3.1.3 防火墙访问控制功能验证 (6) 3.1.4 日志审计及报警功能验证 (6) 3.1.5 防火墙附加功能验证 (7) 3.2 防火墙基本性能验证 (8) 3.2.1 吞吐量测试 (9) 3.2.2 延迟测试 (9) 3.3 压力仿真测试 (10) 3.4 抗攻击能力测试 (11) 3.5 性能测试总结.................................................................................... 错误!未定义书签。
1测试目的 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 本次测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。2测试环境与工具 这里描述的测试环境和工具应用于整个测试过程。具体的应用情况参见测试内容中不同项目的说明。 2.1 测试拓扑 本次测试采用以下的拓扑配置: 没有攻击源时的测试拓扑结构 有攻击源时的测试拓扑结构
2.2 测试工具 本次测试用到的测试工具包括: 待测防火墙一台; 网络设备专业测试仪表SmartBits 6000B一台; 笔记本(或台式机)二台。 测试详细配置如下: 3防火墙测试方案 为全面验证测试防火墙的各项技术指标,本次测试方案的内容包括了以下主要部分:基本性能测试、压力仿真测试、抗攻击测试。测试严格依据以下标准定义的各项规范:GB/T 18020-1999 信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 RFC2544 Benchmarking Methodology for Network Interconnect Devices 3.1 安全功能完整性验证 目标:验证防火墙在安全管理、组网能力、访问控制、日志、报警、审计等必要的安全功能组成的完整性以及集成在防火墙中的其它辅助安全功能。
网御神州防火墙项目割接节点实施方案模板
XXX项目实施方案模板
网御神州科技(北京)有限公司 2009年月 目录 1概述 (3) 2工程实施安排 (3) 3工程总体要求 (6) 4工程实施步骤 (7) 4.1 前期准备工作 (7) 4.2 安装实施前期 (8) 4.2.1 资料采集 (8) 4.2.2 分析调研 (9) 4.2.3 规则翻译 (10) 4.2.4 产品到货验收 (10) 4.2.5 加电检测 (11) 4.2.6 配置安全设备(网御神州) (11) 4.2.7 模拟环境测试 (15) 4.3 安装实施中期 (16) 4.3.1 设备上线 (16) 4.3.2 应用系统验证性测试 (17) 4.3.3 计划变更 (17) 4.4安装实施后期 (18) 4.4.1 设备试运行 (18) 4.4.2 现场培训 (19)
4.4.3 节点初验 (19) 4.4.4 文档整理 (20) 5风险控制 (20) 5.1 实施现场的风险控制 (20) 5.1.1 业务全部中断情况的处理 (21) 5.1.2 部分业务中断情况的处理 (22) 5.2 运行期间的风险控制 (23) 6附件 (24) “XXX”项目设备到货确认单 (24) 1概述 XXX安全设备项目是2006年信息安全建设的一个重要项目,内容为更换副省级以上(含)机构XXX安全设备。此文档是XXX安全设备项目各节点的实施方案。 2工程实施安排 此次工程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8天,第一批安装单位的开始为1月22日,第二批安装单位的开始时间为1月29日,项目分为实施前期、实施中期、实施后期三个阶段,其中:周一至周五为实施前期,主要是进行相关前期的准备工作和模拟环境测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后期安排一天时间,主要是进行现场值守技术保障、文档整理等工作。工程开始时
防火墙的高级检测技术IDS
防火墙的高级检测技术IDS 更多防火墙相关文章:防火墙应用专区 多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。 图1 Gartner发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: (1)利用端口扫描器的探测可以发现防火墙开放的端口。 (2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。 采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。 研究有效的安全策略,并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
防火墙测试实施方案{项目}
防火墙测试方案测试项目 测试一、NAT/PAT 拓扑图 FTP Client LoadRunner LoadRunner PC3 测试要求
(如防火墙inside 接口不够,则使用交换机连接内部三台pc 并将内部网络合并为192.168.0.0/16) 1. 将19 2.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55 2. 将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56 检查方法及检查项目 ● PC1通过FTP 方式从教育网下载数据 ● PC2和PC3使用LoadRunner 分别模拟500台电脑浏览网页 ● 查看设备负载和网络延迟 测试二、Site-to-Site IPSec/VPN 拓扑图 5540 测试防火墙 PC1 PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC 的加密 检查方法及检查项目
● PC1和PC2能否相互PING 通,在ASA5540上检测数据是否为加密数据。 ● 修改PC2的ip 地址为10.0.2.22,使用pc1 PING pc2,在asa5540上检 查数据是否为明文。 测试三、Dynamic Remote-Access IPSec/VPN 拓扑图 .2. 0/2 416 8. 1.0/24PC1PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 其他 4. 防火墙Outside 外任何主机都可以与防火墙建立IPSec/VPN 连接。 5. 只对PC1和PC2互访的数据加密。
项目测试验收方案
17.16 项目测试验收方案 17.16.1 验收流程 在验收阶段,平台系统所有应用系统将按照用户和我公司都认可的《系统需求分析》,组织验收小组,进行功能和性能的验收测试。从系统的实用性、稳定性、可维护性、灵活性、可操作性、和安全性及系统文档、代码、规范及注释说明等方面组织全面验收。验收测试安排分为系统初验和系统终验。 17.16.1.1 系统初验 经过系统内部试运行,我公司对内部试运行期间发现的问题改正后,提出系统初验书面申请。验收标准将按照“需求说明书”和双方认可的有关系统设计文档所提的要求进行。 用户在收到我公司验收申请后,尽快组织系统初验。初验前我公司提供全部的工程文档和安装测试报告,并提供初验测试文档,在用户认可后进行初验测试,初验通过后,系统进入正式试运行期。我公司应解决试运行期间所反映出的问题,若系统达不到合同规定要求,试运行期将继续顺延,直到系统完善,但试运行期最长不得超过三个月。17.16.1.2 系统试运行 初验合格后,经用户同意,系统进入试运行阶段,试运行周期不超过三个月。在试运行期间,我公司按用户要求提供培训和技术支持,保证用户能够正确理解和使用系统;我公司对试运行中出现的任何问题及用户提出的修改意见将及时做出响应,并提交解决方案,在用户确认后实施。试运行期间如出现重大故障,则试运行期从故障排除之日起重新计算。 17.16.1.3 系统终验标准 正式试运行期结束后,如系统无功能缺陷,能够正常运行,在具备终验条件下进行系统终验,由我公司提出
终验书面申请,用户在收到我公司验收申请后,尽快组织系统终验。成立项目全面验收小组,由用户、我公司以及外部专家等组成,对项目进行全面验收。系统终验前,我公司提交终验测试标准和终验测试计划,内容包括:测试对象及应达到的测试指标、测试方法和测试条件、测试资料和数据,并以图表说明每一测试对象或过程的功能输入输出测试进度。 17.16.1.4 系统终验内容 1)系统实用性:项目验收最关键的指标,检查系统是否符合当前业务的需要,特别是业务流的整体性和数据流的一致性,并前瞻性提供未来业务接口。 2)系统稳定性:硬件环境的稳定性、软件运行异常处理和正常运行情况。 3)系统可维护性:含网络系统管理与维护、服务器系统平台管理与维护、操作系统管理与维护、应用系统软件管理与维护、数据库管理与维护以及数据库备份、应用系统备份,灾难事件处理与解决实施方案等。 4)系统文档:验收文档是否齐全、规范、准确、详细,主要的文档包括:需求分析报告,框架设计报告,数据库物理及逻辑设计报告,详细设计报告,编码规范及技术选型报告,测试报告,系统部署和发布报告,集成方案,软件用户使用手册,系统维护方案和操作文档等。 5)代码规范及注释说明:程序代码编写是否规范;注释说明或代码文档是否详细全面;接口定义是否符合局信息系统规划一致性的要求。 6)系统灵活性:系统是否方便客户进行维护;系统是否在先进性的基础上具备未来升级和可扩充性;是否利于系统平台迁移和部署等。 7)系统可操作性:界面是否友好性;是否实现傻瓜化操作和智能化数据检索功能。 8)系统安全性:是否有完善的安全机制保证系统的安全性,如软件方面的安全防范(加 密措施、相关认证、数据库安全防范),硬件方面(防火墙、物理隔离和逻辑隔离)的安全
Check Point VSX虚拟防火墙测试方案 2015
Check Point 虚拟防火墙测试方案 version 2.2 Check Point安全软件科技有限公司 2009年6月
目录 1 测试方案概述 (4) 2 测试环境和拓扑结构 (4) 2.1 功能测试拓扑结构及环境说明 (4) 2.1.1 单机功能测试拓扑结构(除Site to Site VPN) (4) 2.1.2 双机冗余功能测试拓扑结构(除Site to Site VPN) (5) 2.1.3 功能测试拓扑结构(Site to Site VPN) (6) 2.2 性能测试拓扑结构结构及环境说明 (6) 2.2.1 单机网络/应用性能测试拓扑结构(除Site to Site VPN) (6) 2.2.2 双机网络/应用性能测试拓扑结构(除Site to Site VPN) (7) 2.2.3 VPN性能测试拓扑结构(Site to Site VPN) (8) 2.3 当前测试版本 (8) 3 功能测试 (9) 3.1 测试环境初始化 (9) 3.2 物理指标 (10) 3.3 设备虚拟化能力测试 (11) 3.3.1 测试目标 (11) 3.3.2 测试用例 (11) 3.3.3 测试方法 (11) 3.4 组网功能测试 (12) 3.4.1 测试目标 (12) 3.4.2 测试用例 (12) 3.4.3 测试方法 (12) 3.5 高可用性测试 (13) 3.5.1 测试目标 (13) 3.5.2 测试用例 (13) 3.5.3 测试方法 (14) 3.6 防火墙功能测试 (15) 3.6.1 测试目标 (15) 3.6.2 测试用例 (15) 3.6.3 测试方法 (15) 3.7 IPS 功能测试 (16) 3.7.1 测试目标 (16) 3.7.2 测试用例 (16) 3.8 WEB过滤功能测试 (17) 3.8.1 测试目标 (17) 3.8.2 测试用例 (17) 3.9 集中管理系统冗余 (18) 3.9.1 测试目标 (18) 3.9.2 测试用例 (18) 3.10 日志管理 (19)
系统集成测试验收方案
太原市治超信息综合管理系统集成测试验收方案 版本:0.1 日期:2012年07月 修订记录
太原市治超信息综合管理系统项目集成测试验收方案
太原项目系统集成测试验收方案 目录 1.文档说明 (4) 1.1.文档目的 (4) 1.2.适用范围 (4) 1.3.参考资料 (4) 2.项目概述 (5) 2.1.背景 (5) 2.2.项目工作范围 (5) 2.3.项目目标 (5) 2.4.阶段划分 (6) 2.5.项目部署情况 (7) 2.5.1.系统拓扑结构 (7) 3.验收概述 (8) 3.1.验收条件 (8) 3.2.验收总体内容 (8) 3.3.验收方法概述 (8) 4.验收计划 (9) 4.1.人员及角色 (9) 4.2.验收流程 (9) 4.3.任务安排 (9)
5.验收内容 (10) 5.1.集成验收 (10) 5.1.1.设备测试 (10) 5.1.2.网络测试 (13) 5.1.3.操作系统的测试 (14) 5.1.4.其他测试 (14) 5.2.相关文档验收 (15) 6.系统集成测试报告 (16) 7.系统测试表格 (17) 7.1计算机网络系统 (18) 7.1.1核心交换机测试 (18) 7.1.2接入交换机测试 (19) 7.1.3路由器测试 (20) 7.1.4防火墙测试 (21) 7.1.5防病毒网关检测 (23) 7.1.6 服务器测试 (24) 7.1.7操作主机测试 (25) 7.1.8存储设备测试 (26) 7.1.9扫描仪、传真机、打印机测试 (27) 7.1.10机柜测试 (28) 7.2大屏及视频会议系统 (29) 7.2.1DLP屏幕测试 (29) 7.2.2RGB矩阵测试 (31) 7.2.3视频矩阵测试 (32) 7.2.4扩声系统测试 (33) 7.2.5视频会议系统测试 (35)
防火墙测试验收方案
防火墙测试方案 引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业幵始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用, 因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安
全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全
技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为咼、中、低三档。考虑到,咼档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个 部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999信息技术包过滤防火墙安全技术要求 FWPD Firewall Product Certification Criteria Version 3.0a 测试项目 ?测试项目 包过滤,NAT地址绑定,本地访问控制,多播,TRUNK代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 ?测试环境简略拓扑图 ).20
下一代防火墙设计方案V2
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日
目录 一、方案背景 (2) 二、网络安全现状 (2) 三、惠尔顿下一代防火墙(NGWF)介绍及优势 (7) 四、惠尔顿NGWF功能简介 (10) 五、部署模式及网络拓扑 (14) 六、项目报价 (15) 七、售后服务 (16)
一、方案背景 无锡某部队响应国家公安部82号令号召,加强部队网络安全建设。针对目前网络存在的涉密、泄密、木马、病毒等进行预防。 二、网络安全现状 近几年来,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统(IDS)越来越难以检测和阻挡。随着每一次成功的攻击,黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短,使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻,它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告,并对补丁进行简单的逆向工程,由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是,对于最近的一些攻击,这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁,他们还不得不集中精力来防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁。为了对抗这种新的威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统(IPS)等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移,我们可以看到一些更加狡猾的攻击方式正被不断开发出来,以绕过传统的安全设备,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。
防火墙测试验收方案.
防火墙测试方案 一、引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立
一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD:Firewall Product Certification Criteria Version 3.0a 测试项目 一.测试项目 包过滤,NA T,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 二.测试环境简略拓扑图
防火墙测试方法
防火墙测试方法 我们使用的测试仪器是思博伦通信公司的SmartBits 6000B。控制台使用一台配置为PIII 1GHz/128M 内存/20G硬盘的惠普台式机。 在测试百兆防火墙性能时,使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口,将其分别与防火墙的内外网口直连,如图1所示。测试千兆防火墙性能与百兆防火墙基本一样,使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别与千兆防火墙的内外网口直连。 图1 测试防火墙防攻击能力时,使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的4个10/100Base-TX端口,分别连接到港湾的礖ammer24交换机上(该交换机经过我们测试达到线速),防火墙的内外网口也连接到交换机上(千兆防火墙通过光纤与交换机连接)。如图2所示。
图2 测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。 性能测试 我们的性能测试主要依照RFC2544、RFC 2647以及中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和 GB/T17900-1999《网络代理服务器的安全技术要求》。 测试吞吐量、延迟和丢包率使用的是SmartFlow 1.50,测试双向性能时,每一个方向设置一个流(flow),单向性能测试设置一个流,测试使用的是UDP包。测试百兆防火墙与千兆防火墙的测试方法相同。测试防火墙双向、单向性能与最大并发连接数时,我们要求防火墙配置为内外网全通,测试起NAT功能后的性能时,防火墙只增加了NAT功能。测试双向性能时,我们选用了64字节、128字节、256字节、512字节、1518字节5种长度的帧,测试单向性能时,选用了64字节、512字节、1518字节3种长度的帧。吞吐量的测试时间为60s,允许的帧丢失率(Acceptable loss)设置为0(我们认为这样测得的数据才是真正意义上的吞吐量),测试延迟和丢包率的时间为120s,测试延迟的压力为10%和该种帧长的吞吐量。测试防火墙的最大并发连接数时,我们使用的是WebSuite Firewall 1.10,通过防火墙建立带HTTP请求的TCP 连接(TCP Connection/HTTP),速率为500个请求/秒。防火墙启动NAT功能以后的性能测试方法与单向性能测试相同。 防攻击测试 在测试防火墙防攻击能力时,我们要求防火墙允许内外网相互访问,允许ping。每种攻击设置5个session,在100%压力下发攻击包,同时测试防火墙能否建立50000个HTTP连接(称之为背景流),连接速率也为500请求/秒。攻击由外网向内网发起,背景流为外网向内网建立HTTP请求。 测试SynFlood、Smurf、Land-based、Ping Sweep、Ping Flood 5种攻击时,共发送1000个攻击包;在测试 Ping of Death攻击时5个session发送5个超长包,每个超长包分成45个攻击包,共225个攻击包;测试TearDrop攻击时5个session共发送5个攻击,每个攻击由3段组成,一共发送15个攻击包。 我们使用NAI公司的Sniffer Pro 4.70对SmartBits 6000B的模拟受攻击端口进行抓包,过滤掉一些广播包、ARP包等非攻击包后,得到的就是透过防火墙的攻击包。 我们每种测试都进行三遍,取三次的平均值作为最后的结果。 功能考察 在防火墙的功能考察测试中,我们的工程师详细地阅读了送测防火墙随机提供的说明文档,实际地对每款防火墙进行了安装和配置。根据不同防火墙的差异性,我们通过Console口、Web方式以及某些防火墙特定的管理软件对防火墙进行了配置和尝试。我们在防火墙中实际考察了功能表中的功能,同时也考察了每种防火墙各种管理方式的易用程度、界面友好程度。
防火墙实施方案
防火墙实施方案 一.项目背景 随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不得不面对来自网络内外的各种安全问题。 不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的主要途径。 公司目前信息网络边界防护比较薄弱,只部署了一台硬件防火墙,属于很久前购买,但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足公司网络安全需要,即使部署了防火墙的安全保障体系仍需要进一步完善,需要对网络信息安全进行升级改造。 为提公司信息外网安全,充分考虑公司网络安全稳定运行,对公司网络信息安全进行升级改造,更换信息机房网络防火墙,以及附属设备,增加两台防火墙实现双机热备以实现网络信息安全稳定运行。 二.防火墙选型及价格 华为USG2210 价格8998元 配置参数 设备类型:安全网关网络端口:2GE Combo 入侵检测:Dos,DDoS 管理:支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的告警、测试等功能。 VPN支持:支持安全标准:CE,ROHS,CB,UL,VCCI 控制端口:Console 口其他性能:UTM 三.防火墙架构
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括: