防火墻測試方法

    我們使用的測試儀器是思博倫通信公司的SmartBits 6000B�？刂婆_使用一臺配置為PIII 1GHz/128M內存/20G硬盤的惠普臺式機。

    在測試百兆防火墻性能時，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模塊的兩個10/100Base-TX端口，將其分別與防火墻的內外網口直連，如圖1所示。測試千兆防火墻性能與百兆防火墻基本一樣，使用1000Base-X SmartMetrics模塊的兩個1000Base-SX GBIC，通過光纖將其分別與千兆防火墻的內外網口直連。

圖1

    測試防火墻防攻擊能力時，使用SmartBits 6000B的10/100M Ethernet SmartMetrics模塊的4個10/100Base-TX端口，分別連接到港灣的礖ammer24交換機上（該交換機經過我們測試達到線速），防火墻的內外網口也連接到交換機上（千兆防火墻通過光纖與交換機連接）。如圖2所示。

圖2

    測試軟件為SmartFlow 1.50和WebSuite Firewall 1.10。

     性能測試

    我們的性能測試主要依照RFC2544、RFC 2647以及中華人民共和國國家標準GB/T 18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡代理服務器的安全技術要求》。

    測試吞吐量、延遲和丟包率使用的是SmartFlow 1.50，測試雙向性能時，每一個方向設置一個流（flow），單向性能測試設置一個流，測試使用的是UDP包。測試百兆防火墻與千兆防火墻的測試方法相同。測試防火墻雙向、單向性能與最大并發連接數時，我們要求防火墻配置為內外網全通，測試起NAT功能后的性能時，防火墻只增加了NAT功能。測試雙向性能時，我們選用了64字節、128字節、256字節、512字節、1518字節5種長度的幀，測試單向性能時，選用了64字節、512字節、1518字節3種長度的幀。吞吐量的測試時間為60s，允許的幀丟失率（Acceptable loss）設置為0（我們認為這樣測得的數據才是真正意義上的吞吐量），測試延遲和丟包率的時間為120s，測試延遲的壓力為10%和該種幀長的吞吐量。測試防火墻的最大并發連接數時，我們使用的是WebSuite Firewall 1.10，通過防火墻建立帶HTTP請求的TCP連接（TCP Connection/HTTP），速率為500個請求/秒。防火墻啟動NAT功能以后的性能測試方法與單向性能測試相同。

     防攻擊測試

    在測試防火墻防攻擊能力時，我們要求防火墻允許內外網相互訪問，允許ping。每種攻擊設置5個session，在100%壓力下發攻擊包，同時測試防火墻能否建立50000個HTTP連接（稱之為背景流），連接速率也為500請求/秒。攻擊由外網向內網發起，背景流為外網向內網建立HTTP請求。

    測試SynFlood、Smurf、Land-based、Ping Sweep、Ping Flood 5種攻擊時，共發送1000個攻擊包；在測試 Ping of Death攻擊時5個session發送5個超長包，每個超長包分成45個攻擊包，共225個攻擊包；測試TearDrop攻擊時5個session共發送5個攻擊，每個攻擊由3段組成，一共發送15個攻擊包。

    我們使用NAI公司的Sniffer Pro 4.70對SmartBits 6000B的模擬受攻擊端口進行抓包，過濾掉一些廣播包、ARP包等非攻擊包后，得到的就是透過防火墻的攻擊包。

    我們每種測試都進行三遍，取三次的平均值作為最后的結果。

     功能考察

    在防火墻的功能考察測試中，我們的工程師詳細地閱讀了送測防火墻隨機提供的說明文檔，實際地對每款防火墻進行了安裝和配置。根據不同防火墻的差異性，我們通過Console口、Web方式以及某些防火墻特定的管理軟件對防火墻進行了配置和嘗試。我們在防火墻中實際考察了功能表中的功能，同時也考察了每種防火墻各種管理方式的易用程度、界面友好程度。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 測試方法 防火墻