河北网通测试研究报告(初稿).docVIP

河北网通 Check Point安全产品测试报告 （初稿） 2006-3-26 目录 1.前言 4 2.参考标准 4 3.虚拟防火墙测试 5 3.1测试平台 5 3.1.1 测试拓扑 5 3.1.2 测试设备 9 3.2 测试方法 9 3.3 功能测试 9 3.3.1 防火墙设备和策略基本管理 9 3.3.2 虚系统 11 3.3.3 状态监测 12 3.3.4 支持的服务类型 13 3.3.5 网络地址转换 15 3.3.6 网络日志和报警功能 16 网络日志测试 17 网络报警测试 17 3.3.7 入侵防御功能 19 4.实体防火墙（非虚拟）测试 21 4.1测试平台 21 4.1.1 测试拓扑 21 4.1.2 测试设备 21 4.2 测试方法 21 4.3 功能测试 22 4.3.1 防火墙设备和策略基本管理 22 4.3.2 状态监测 23 4.3.3 支持的服务类型 25 4.3.4 网络地址转换 27 4.3.5 网络日志和报警功能 28 网络日志测试 28 网络报警测试 28 4.3.6 入侵防御功能 30 5.终端防火墙测试 32 5.1测试平台 32 5.1.1 测试拓扑 32 5.1.2 测试设备 32 5.2 测试方法 33 5.3 功能测试 33 5.3.1 基于角色的管理 33 5.3.2 终端网络防火墙 34 5.3.3 终端应用控制 35 5.3.4 终端环境控制 36 5.3.5 终端防间谍软件控制 37 5.3.6 终端客户端锁定 38 5.3.7 报表统计 39 6． SSL VPN网关测试 40 6.1测试平台 40 6.1.1 测试拓扑 40 6.1.2 测试设备 40 6.2 测试方法 41 6.3 功能测试 41 6.3.1 Connectra设备基本管理 41 6.3.2 基于Web的远程安全访问 42 6.3.3 基于非Web应用的SSL远程安全访问 43 6.3.4 客户端安全验证 44 6.3.5 后台服务器安全保护 45 6.3.6 日志和状态 46 7． 总结 47  1.前言 随着计算机网络的发展，其开放性，共享性，互连程度扩大，网络的重要性和对社会的影响也越来越大。城域网作为城市主要的数据业务承载网络，特别是电子商务（E-Commerce）、企业数据专线、网络互联、虚拟专用网（VPN）、Internet接入服务等应用在社会经济生活的地位日益凸现。网络的安全性直接影响到社会的经济效益。例如，2003年1月份的SQL杀手蠕虫事件，中国有两万多台数据库服务器受到影响，使国内主要骨干网全部处于瘫痪或半瘫痪状态；2003年8月份的冲击波蠕虫，使成千上万的用户计算机变慢，被感染的计算机反复重启，有的还导致了系统崩溃，受到“冲击波”病毒感染的计算机反过来又会影响到网络的正常运行。随着网络安全问题重要性增加，如何保证城域网安全，应对日益增多的网络攻击、病毒破坏和黑客入侵等问题已成为城域网建设和运营所关注的重点。本测试建议按照Check Point针对河北网通提交的城域网安全方案制定，主要目的在于验证方案在河北网通城域网中的可用性，适用性和扩展性。 2.参考标准 RFC2544/2647GB/T 18336-2001《信息技术安全技术信息技术安全性评估准则》GB/T18019-1999《信息技术包过滤防火墙安全技术要求》GB/T 18020-1999《信息技术应用级防火墙安全技术要求》等 3.虚拟防火墙测试 3.1测试平台 参考实际的防火墙使用环境建立测试平台，分别模拟内部网络、公共网络。 3.1.1 测试拓扑 （1） 6808通过策略路由区分用户，将重要用户流量送到Check Point VSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。Check Point VSX直接通过一条物理链路上连到7609，7609上写静态路由将到重要用户网段的流量送回Check Point VSX。 （2） 6808通过策略路由区分用户，将重要用户流量送到Check Point VSX上的虚拟防火墙VS1和VS2进行访问控制和攻击防护。Check Point VSX通过一条物理链路连回6808，6808通过trunk利用原有物理链路上连7609，7609上写静态路由将到重要用户网段的流量送到Check Point VSX。 （3） 在7609上起 VRF，与客户A关联；在6808上起VRF，分别与Check Point VSX和客户B关联。客户A和客户B需要访问互联网时，通过MPLS到达与Check Point VSX相连的VRF，6808通过trunk将流量送到Check Point VSX。Check Point VSX根据VLAN标识将流量分配到相关虚拟防火墙VS1和