YD/T 1707-2007
基本信息
标准号: YD/T 1707-2007
中文名称:防火墙设备测试方法
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3112313
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1707-2007.Testing Methods for Firewall.
1范围
YD/T 1707规定了防火墙设备的接口测试、功能测试、性能测试、协议测试、网管测试、可靠性测试和常规测试。
YD/T 1707适用于支持IPv4的防火墙设备,同时适用于其他具有防火墙功能的IP设备。
2规范性引用文件
下列文件中的的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-1995信息技术设备(包括电气事务设备)的安全
GB 9254-1998信息技术设备的无线电骚扰限值和测量方法
GB/T 17618-1998信息技术设备抗扰度限值和测试方法
YD/T 965-1998电信终端设备的安全要求和试验方法
YD/T 993-1998电信终端设备防雷技术要求和测试方法
YD/T 1098-2001路由器测试规范一低端路由器
YD/T 1132-2001防火墙设备技术要求
YD/T 1141-2007 以太网交换机测试方法
YD/T 1467-2006 IP安全协议(IPSec) 测试方法
3术语
YDT 1132-2001确立的以及下列术语和定义适用于本标准。
防火墙Firewall
在网络之间执行访问控制策略的一一个或者一组设备。
受保护网络Protected Network
受防火墙保护的网段。
1范围
YD/T 1707规定了防火墙设备的接口测试、功能测试、性能测试、协议测试、网管测试、可靠性测试和常规测试。
YD/T 1707适用于支持IPv4的防火墙设备,同时适用于其他具有防火墙功能的IP设备。
2规范性引用文件
下列文件中的的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-1995信息技术设备(包括电气事务设备)的安全
GB 9254-1998信息技术设备的无线电骚扰限值和测量方法
GB/T 17618-1998信息技术设备抗扰度限值和测试方法
YD/T 965-1998电信终端设备的安全要求和试验方法
YD/T 993-1998电信终端设备防雷技术要求和测试方法
YD/T 1098-2001路由器测试规范一低端路由器
YD/T 1132-2001防火墙设备技术要求
YD/T 1141-2007 以太网交换机测试方法
YD/T 1467-2006 IP安全协议(IPSec) 测试方法
3术语
YDT 1132-2001确立的以及下列术语和定义适用于本标准。
防火墙Firewall
在网络之间执行访问控制策略的一一个或者一组设备。
受保护网络Protected Network
受防火墙保护的网段。
标准图片预览
标准内容
ICS 33 040 40
中华人民共和国通信行业标准
YD/T 1707-2007
防火墙设备测试方法
Testing Methods forFirewall
2007-09-29 发布
2008-01-01实施
中华人民共和国信息产业部发布前言
范围·
规范性引用文件
术语·
缔略语
测试配置图
接口测试-
功能测试
性能测试·
协议测试·
网管测试
可靠性测试·
常规测试·
环境测试
TKANIKAca
YD/T 1707-2007
YD/T1707-2007
本标准是防火系列标准之一。该系列标准的结构和名称如下:1.YD/T1132-2001防火墙设备技术要求;2、YD/T1707-2007防火墙设备测试方法。本标准是YD/T1132-2001防火墙设备技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信总产业部电信研究院本标准江要起草人:段世惠
1范围
防火墙设备测试方法
YD/T 1707-2007
本标准规定了防火墙设备的接口测试、功能测试、性能测试、协议测试、网管测试、可靠性测试和常规测试。
本标准适用于支持正v4的防火增设备,同时适用工其他具有防火墙功能的IP设备。2规范性引用文件
下列文件中的的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是个注日期的引用文件,其最新版本适用于本标准。GB 4943-1995
GB 9254-1998
GB/T 17618-1998下载标准就来标准下载网
YD/T 965-1998
YD/T 993-1998
YD/T 1098-2001
YD/T 1132-2001
YD/T 1141-2007
YD/T 1467-2006
3术语
信息技术设备(包括电气事务设备)的安全倍息技术设备的无线电骚扰限值和测量方法借息技术设备抗扰度限值和测试方法电信终端设备的安全要求和试验方法电信终端设备防雷技术要求和测试方法路由器测试规范——-低端路山器防火墙设备技术要求
以太网交换机测试方法
IP安全协议(IPSec)测试方法
YD/T1132-2001确立的以及下列术语和定义适用于本标准。防火墙Firewall
在网络之间执行访问控制策略的一个或者一组设备。受保护网络Protected Network
受防火墙保护的网段。
分区化 Hamed
防火墙设备所具有的逻辑接口数H。内部网络InternalNetwork
要探护网整。
内部接口InternalIntertace
与内部网络相连的网络接口。
未保护网络UnprotectedNetwork不受防火墙保护的网段。
外部网络ExternalNetwork
TIKAoNIKAca-
YD/T 1707-2007
即未保护网络。
外部接口ExtemalInterface
与外部网络连接的网络接口。
内部主机InternalHost
位于内部网络的主机。
外部主机 External Host
位于外部网络的主机。
非军事区DemilitarizedZone,DMz介于受保护网段与未受保护网段之间的网段。非军事区接口DemilitarizedZoneInterface,Dzl与非军事区连接的网络接口。
网络地址转换NetAddress Traslation.NAT网络地址转换是一种将一个P地址域映射到另一个IP地址域从而为终端主机提供透明路由的方法。正向NAT
为从内部主机尚外部士机发起的会话所进行的网络地址转换反向NAT
为从外部主机向内部机发起的会话所进行的网络地址转换。策略Policy
对被接受的向内部网绍、非军事化区以及外部网络的访问进行定义(即规则)的记录。规则集Rule Set
访问控制规则的柔合,它定文了所火瑞设备应转发和拒绝哪些数据包。包过滤Packet Filtering
通过检查包头内容来控制访问的过程。动态包过滤StatefulPacketFitering基于防火墙所维护的状态表的内容来转发或者拒绝数据包的过程。身份验证 Authentication
确定访问某一网络资源的用户是否是其所声称的身份的过程。日志Logging
对防火增或网络中所发生的事件的记录。代理Proxy
代表主机接收与转发请求的处理方式。链路代理Circuit Proxy
根据州户和系统建立的规则集的许可而不考虑服务本身的特殊性米建立代理连接:应用代理ApplicationProxy
根据用户和系统建立的规则集,间时考虑服务本身的特殊性,动态地建立与拆卸代理连接。位转发率BitForwardingRate
在给定的负载下,每秒钟被防火墙设备正确的转发到目的端口的被允许的数据的位数。2
缩略语
下列缩略语适用于本标准。
RADIUS
Acess Control List
Advanced Encryption StandardAuthentication Header
bit per second
Commard Line Interpreter
Central Processing Unit
Data Encryption Standard
Demilitarized Zone InterfaceDomain Name Server
Denial of Service
Devicc Under Test
Encapsulating Security PayloadFile Transfer Protocol
Graphical User Intertaces
Hypertext Transfer Protocal
Inlernet Control Messages ProtocolInvade Detection System
Internet Group Management ProtocolIntemet Key Exchange
Internet Protocol
IP Security Protocal
Local Area Network
Layer Two Tunneling ProtocolMedia Aceess Control
Net Address Tranlation
Network Address Port TranslationNetwork Invade Detection SystemPoint to Point Tunnel ProtocotQuality of Service
Open Shortest Path First
Rernote Authentication Dial in User ServiccRouting Information Pr>tocolTransfer Contrl Protocal
Trivial File Transfer ProtocolSimple MessageTransferProtocolTIKAoNIKAca-
访问控制列表
先加密标准
认证报头协议
每秒比特率
命令行解释程序
中央处理器
数据加密标准
非军事化区
域名服务器
拒绝服务攻击
被测设备
封装安全负载
文件传输协议
图形用户接山
超文本传输协议
网问控制报文协议
入侵检测系统
网际纽管理协议
网络密钥交换
网际协议
互联网安全协议
局域网
二层隧道协议
媒体访问控制
网络地址转换
网络地址及端口转换
网络入侵检测系统
点到点隧道协议
服务质量
开放最知路径优先
远程认证拨入用户服务
路由信协议
传输控制协议
普通文件传输协议
简单邮件传输协议
YD/T 1707-2007
YD/T 1707-2007
5测试配置图
Simple Network Management ProtocolSecure Shell
User Datagram Protocol
Uniform Resource Locator
Virtual Pri vate Network
wide Area Network
Virtual Local Area Network
测试环境配置1如图I所系。
192.168.2.1/24
P测试夜!
192. [68.2.10024
配瓷端
外部接口
测试环境配置2如图2所示。
192.168.2.1/24
IP测试仪1
192, 168.2.100r24
外部口
外部服务器
192.168.2.20/24
测试环境配暨3如图3所示。
10.0.0,1/24
192.168.2.1/24
IP测试仅 1
192.168.2.100/24
DMZ接口
192.168.3.1/24
图 1 浏试环境配 1
DMZ妾口
192.168.3,1/24
图 2 测试环境配量 2
路白器
图3 测试环境配量 3
简单网络管理协议
安金防卫盾
用户数据报协议
致资源定位器
虚拟个人网络
广域网
虚拟局域网
192.168.1.1/24
内部接口
192.168.1,1/24
内部接口
内部服务器
192.168.1.20/24
10,0.1.1/24
测试收2
192.168.1.100/24
测试仪 2
192. 168.1,100/24
192,168.1.1/24
IP测试仅2
192.168,1.100/24
测试环境配置4如图4所示
IP 测试仪 2
192.168.2.100/24
[92.168.2.1
192.168.2.20
国务器!
测试环境配置5如图5所示。
192,168.,2.[/24
外部接口
192 168.2.10024
测试环境配置6如图6所示。
Trust 192.168.1.1/24
内部接口
HTTP客广端
192.168.3.12
[92.t68.3.1]
图4测试环境配4
性能测试仪
图5测试环境配5
192.168.1.1/24
内部接厂
192.168.1.1
YD/T 1707-2007
P 试仪 1
192.168.1.100
+L92.168.1.20
服务器2
192.168.1.100/24
Untrust: 192.168.2.1r24
外部接口
DMZ接H
192.168.3.1/24
HTTP服务器*
图6测试环境配面 6
*注:一般情况下,都采用HTTP服务器,除节在测试项中特别声明TTIKAONIKAca-
伤其网路
DDOS 改击者
YD/T1707-2007
测试环境配置7如图7所示。
Untnust:192.168.3.10
Trust: [92.158.2.1/24
IP[92.168.2.10/24
Gateway: 192.168.2.1/24
测试环境配置8如图8所示。
192.168.2.2
IPSec 窖户端或
流量活生器
192,158 3.10024
192,168.3.1
测试环境配置 9 如图 9 所示。IDS设备
交换机
HTTP服务器*
测试环境配置10如图10所示。
内部网路
交换机
[Jnbrust:192.168.3.11
性能测试仪
Trust: 192.168,1.1/24
IP:192.168.1.1DF24
Gateway:192.168.1.1/24
图?测试环境配置7
192,168.2.1
图 8测试环境配重 8
图 9 测试环境配重 9
图10测试环境配置10
192.168,1.1
Unrust
应用服务器或
流量分析仪
192.168.1.100/24
攻击若
外部网络
6接口测试
6.110/100Mbit/s以太网测试
YD/T 1707-2007
10/100Mbits以太网测试参见YD/T1098-2001《路由器测试规范——低端路由器》第3.3.7节。6.2千兆比以太网接口测试
6.2.11000Base-LX 接口测试
本节测试内容参见YD/T1141-2007《以太网交换机测试方法》第5.1.2节。6.2.2°1000Base-SX接口测试
本节测试内容参见YD/T1141-2007第5.1.3节。6.2.31000Base-T接口测试
本节测试内容参见YD/T1[41-2007第5.1.4节。7功能测试
多数的防火墙设备的逻辑接口数目都在三个或者三个以上,本章对功能测试方法的描述主要针对进处于内部接口与外部接口之间的数据的,对于具有三接口以上的被测防火墙设备,除非有特别强调和特殊需要,否则只进行针对进出内部接口与外部接口之间数据的测试。7.1防火墙安全策略功能
测试编号:1
项目编号:FW_FUNC_POLICY_1
测试项目:防火墙设备安全策略功能测试配置:图1
测试过程:
1.将配置终端、测试仪与DUT连接,将DUT的外部接口地址设定为192.168.2.t/24,内部接口P地址为192.168.1.1/24,测试仪1地址设定为192.168.2.100/24,测试仪2地址设定为192.168.1.100/242.查看DUT是否对没有明确定义的数据包具有默认的明确的处理方法:3.进行DUT的过滤规则配置试验,查看是否可以在过滤规则中对出入防火墙设备的数据包按照其源、目的地址、端口、封装协议以及出入防火墙设备的网络接等进行分类设置:4.分别设置两条规则,一条允许外部源地址为192.168.2.100的数据包通过DUT,5·条禁止来自外部源地址为192.168.2.100的数据包通过DUT,查看DUT是否在配置终端直接给出规则冲宽提示,如果没有提示,自外部测试仪1发送间内部测试仪2发送数据包:查看数据包通过防火墙的情况:5.查看是否可以对过滤规则的起作用时间范围进行指定预期结果:
1.步骤2、3中观察到的结果应该与测试说明中的1、2相符合表示合格,否则为不合格:2.步骤4、5中观察到的结果不在必须要求范围内,为可选项,与测试说明3、4相符表示支持该功能,否则表示不支持
测试说明:
1.包过滤防火墙设备的过滤规则集应涵盖对所有出入防火墙的数据包的处理方法,对于那些没有明确定义的数据包,应该有一个明确的总的处理方法:2.过滤规则应易于理解、编辑和修改:3.建议包过滤防火墙具备-致性检测机制,检测过滤规则集中各规则之间存在的冲突,并做出相应的处理:4.包过滤防火墙可以指定每条规则起作用的时间范围/时问段判定原则:测试结果必须与预期结果相符,否则不符合要求7
rKAoNIKAca
YD/T 1707-2007
测试编号:2
项目编号:FW_FUNC_FOLICY_2
测试项目:火墙设备ACL 的编辑功能测试配置:图1
测试过程:
1.将配置终端、测试仪与DUT连接,将DUT的外部接口地址设定为192.168.2.1/24,内部接口IP地址为192.168.1.1/24,测试仪1地址设定为192.168.2.100/24,测试仪2地址设定为192.168.1.100/242.创建一条ACL并使之生效,发送违反该ACL的数据流进行验证,例如可以编辑ACL禁止IP源地址为192.168.2.200-~192.168.2.254的P包通过,发送IP源地址为192.168.2.220、目的地址为192.168.1.100的IP包数据流来进行ACL验证;
3.修改该ACL,增加/删除某些内容,并使修改后的ACL生效,发送违反该ACL的数据流进行验证,例如修改ACL禁止IP源地址为192.168.2.200~192.168.2.254的ICMP包通过,其他类型的IP包可以通过,发送IP源地址为t92.168.2.220、且的地址为192.168.1.100的Ping包数据流来进行ACL验证;4.删除该ACL,发送任意数据流
预期结果:
1.步骤2、3中应该观察不到数据流通过防火墙2.步骤4中能够观察到据流通过防火墙测试说明:
防火墙设备能够根据需要设置ACL规则,并对ACL进行适当的编辑修改判定原则:测试结果必须与预期结果相符,否则不符合要求测试编号:3
项日编号: FW FUNC_POLICY_3
测试项目:防火墙设备ACL的注释与描述功能测试置:图1
测试过程:
1、现有的某条ACL或创建一条新的ACL,为该ACL添加描述,重新显示该ACL:2.删除该ACL的描述,重新显示该ACL;3.为该ACL增加注释,重新显示该ACL:4.删除该ACL的注释,重新显示该ACL。5.发送违反该ACL的数据流来验证该ACL的有效性预期结果:
1.步骤1、3中应该观察该ACL的描述或注释;2、步骤2、4中光法观察到ACL的描述或注释;3.步骤5中能够观察到数据流无法通过防火墙测试说明:
用户可以根据需要为防火墙ACL增加描述或注释,J对ACL的描述与江释进朋除判定原则:测试结果必须与预期结果相符,否则不符合要求TTIKAoNIKAca
YD/T 1707-2007
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1707-2007
防火墙设备测试方法
Testing Methods forFirewall
2007-09-29 发布
2008-01-01实施
中华人民共和国信息产业部发布前言
范围·
规范性引用文件
术语·
缔略语
测试配置图
接口测试-
功能测试
性能测试·
协议测试·
网管测试
可靠性测试·
常规测试·
环境测试
TKANIKAca
YD/T 1707-2007
YD/T1707-2007
本标准是防火系列标准之一。该系列标准的结构和名称如下:1.YD/T1132-2001防火墙设备技术要求;2、YD/T1707-2007防火墙设备测试方法。本标准是YD/T1132-2001防火墙设备技术要求》的配套标准。本标准由中国通信标准化协会提出并归口。本标准起草单位:信总产业部电信研究院本标准江要起草人:段世惠
1范围
防火墙设备测试方法
YD/T 1707-2007
本标准规定了防火墙设备的接口测试、功能测试、性能测试、协议测试、网管测试、可靠性测试和常规测试。
本标准适用于支持正v4的防火增设备,同时适用工其他具有防火墙功能的IP设备。2规范性引用文件
下列文件中的的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是个注日期的引用文件,其最新版本适用于本标准。GB 4943-1995
GB 9254-1998
GB/T 17618-1998下载标准就来标准下载网
YD/T 965-1998
YD/T 993-1998
YD/T 1098-2001
YD/T 1132-2001
YD/T 1141-2007
YD/T 1467-2006
3术语
信息技术设备(包括电气事务设备)的安全倍息技术设备的无线电骚扰限值和测量方法借息技术设备抗扰度限值和测试方法电信终端设备的安全要求和试验方法电信终端设备防雷技术要求和测试方法路由器测试规范——-低端路山器防火墙设备技术要求
以太网交换机测试方法
IP安全协议(IPSec)测试方法
YD/T1132-2001确立的以及下列术语和定义适用于本标准。防火墙Firewall
在网络之间执行访问控制策略的一个或者一组设备。受保护网络Protected Network
受防火墙保护的网段。
分区化 Hamed
防火墙设备所具有的逻辑接口数H。内部网络InternalNetwork
要探护网整。
内部接口InternalIntertace
与内部网络相连的网络接口。
未保护网络UnprotectedNetwork不受防火墙保护的网段。
外部网络ExternalNetwork
TIKAoNIKAca-
YD/T 1707-2007
即未保护网络。
外部接口ExtemalInterface
与外部网络连接的网络接口。
内部主机InternalHost
位于内部网络的主机。
外部主机 External Host
位于外部网络的主机。
非军事区DemilitarizedZone,DMz介于受保护网段与未受保护网段之间的网段。非军事区接口DemilitarizedZoneInterface,Dzl与非军事区连接的网络接口。
网络地址转换NetAddress Traslation.NAT网络地址转换是一种将一个P地址域映射到另一个IP地址域从而为终端主机提供透明路由的方法。正向NAT
为从内部主机尚外部士机发起的会话所进行的网络地址转换反向NAT
为从外部主机向内部机发起的会话所进行的网络地址转换。策略Policy
对被接受的向内部网绍、非军事化区以及外部网络的访问进行定义(即规则)的记录。规则集Rule Set
访问控制规则的柔合,它定文了所火瑞设备应转发和拒绝哪些数据包。包过滤Packet Filtering
通过检查包头内容来控制访问的过程。动态包过滤StatefulPacketFitering基于防火墙所维护的状态表的内容来转发或者拒绝数据包的过程。身份验证 Authentication
确定访问某一网络资源的用户是否是其所声称的身份的过程。日志Logging
对防火增或网络中所发生的事件的记录。代理Proxy
代表主机接收与转发请求的处理方式。链路代理Circuit Proxy
根据州户和系统建立的规则集的许可而不考虑服务本身的特殊性米建立代理连接:应用代理ApplicationProxy
根据用户和系统建立的规则集,间时考虑服务本身的特殊性,动态地建立与拆卸代理连接。位转发率BitForwardingRate
在给定的负载下,每秒钟被防火墙设备正确的转发到目的端口的被允许的数据的位数。2
缩略语
下列缩略语适用于本标准。
RADIUS
Acess Control List
Advanced Encryption StandardAuthentication Header
bit per second
Commard Line Interpreter
Central Processing Unit
Data Encryption Standard
Demilitarized Zone InterfaceDomain Name Server
Denial of Service
Devicc Under Test
Encapsulating Security PayloadFile Transfer Protocol
Graphical User Intertaces
Hypertext Transfer Protocal
Inlernet Control Messages ProtocolInvade Detection System
Internet Group Management ProtocolIntemet Key Exchange
Internet Protocol
IP Security Protocal
Local Area Network
Layer Two Tunneling ProtocolMedia Aceess Control
Net Address Tranlation
Network Address Port TranslationNetwork Invade Detection SystemPoint to Point Tunnel ProtocotQuality of Service
Open Shortest Path First
Rernote Authentication Dial in User ServiccRouting Information Pr>tocolTransfer Contrl Protocal
Trivial File Transfer ProtocolSimple MessageTransferProtocolTIKAoNIKAca-
访问控制列表
先加密标准
认证报头协议
每秒比特率
命令行解释程序
中央处理器
数据加密标准
非军事化区
域名服务器
拒绝服务攻击
被测设备
封装安全负载
文件传输协议
图形用户接山
超文本传输协议
网问控制报文协议
入侵检测系统
网际纽管理协议
网络密钥交换
网际协议
互联网安全协议
局域网
二层隧道协议
媒体访问控制
网络地址转换
网络地址及端口转换
网络入侵检测系统
点到点隧道协议
服务质量
开放最知路径优先
远程认证拨入用户服务
路由信协议
传输控制协议
普通文件传输协议
简单邮件传输协议
YD/T 1707-2007
YD/T 1707-2007
5测试配置图
Simple Network Management ProtocolSecure Shell
User Datagram Protocol
Uniform Resource Locator
Virtual Pri vate Network
wide Area Network
Virtual Local Area Network
测试环境配置1如图I所系。
192.168.2.1/24
P测试夜!
192. [68.2.10024
配瓷端
外部接口
测试环境配置2如图2所示。
192.168.2.1/24
IP测试仪1
192, 168.2.100r24
外部口
外部服务器
192.168.2.20/24
测试环境配暨3如图3所示。
10.0.0,1/24
192.168.2.1/24
IP测试仅 1
192.168.2.100/24
DMZ接口
192.168.3.1/24
图 1 浏试环境配 1
DMZ妾口
192.168.3,1/24
图 2 测试环境配量 2
路白器
图3 测试环境配量 3
简单网络管理协议
安金防卫盾
用户数据报协议
致资源定位器
虚拟个人网络
广域网
虚拟局域网
192.168.1.1/24
内部接口
192.168.1,1/24
内部接口
内部服务器
192.168.1.20/24
10,0.1.1/24
测试收2
192.168.1.100/24
测试仪 2
192. 168.1,100/24
192,168.1.1/24
IP测试仅2
192.168,1.100/24
测试环境配置4如图4所示
IP 测试仪 2
192.168.2.100/24
[92.168.2.1
192.168.2.20
国务器!
测试环境配置5如图5所示。
192,168.,2.[/24
外部接口
192 168.2.10024
测试环境配置6如图6所示。
Trust 192.168.1.1/24
内部接口
HTTP客广端
192.168.3.12
[92.t68.3.1]
图4测试环境配4
性能测试仪
图5测试环境配5
192.168.1.1/24
内部接厂
192.168.1.1
YD/T 1707-2007
P 试仪 1
192.168.1.100
+L92.168.1.20
服务器2
192.168.1.100/24
Untrust: 192.168.2.1r24
外部接口
DMZ接H
192.168.3.1/24
HTTP服务器*
图6测试环境配面 6
*注:一般情况下,都采用HTTP服务器,除节在测试项中特别声明TTIKAONIKAca-
伤其网路
DDOS 改击者
YD/T1707-2007
测试环境配置7如图7所示。
Untnust:192.168.3.10
Trust: [92.158.2.1/24
IP[92.168.2.10/24
Gateway: 192.168.2.1/24
测试环境配置8如图8所示。
192.168.2.2
IPSec 窖户端或
流量活生器
192,158 3.10024
192,168.3.1
测试环境配置 9 如图 9 所示。IDS设备
交换机
HTTP服务器*
测试环境配置10如图10所示。
内部网路
交换机
[Jnbrust:192.168.3.11
性能测试仪
Trust: 192.168,1.1/24
IP:192.168.1.1DF24
Gateway:192.168.1.1/24
图?测试环境配置7
192,168.2.1
图 8测试环境配重 8
图 9 测试环境配重 9
图10测试环境配置10
192.168,1.1
Unrust
应用服务器或
流量分析仪
192.168.1.100/24
攻击若
外部网络
6接口测试
6.110/100Mbit/s以太网测试
YD/T 1707-2007
10/100Mbits以太网测试参见YD/T1098-2001《路由器测试规范——低端路由器》第3.3.7节。6.2千兆比以太网接口测试
6.2.11000Base-LX 接口测试
本节测试内容参见YD/T1141-2007《以太网交换机测试方法》第5.1.2节。6.2.2°1000Base-SX接口测试
本节测试内容参见YD/T1141-2007第5.1.3节。6.2.31000Base-T接口测试
本节测试内容参见YD/T1[41-2007第5.1.4节。7功能测试
多数的防火墙设备的逻辑接口数目都在三个或者三个以上,本章对功能测试方法的描述主要针对进处于内部接口与外部接口之间的数据的,对于具有三接口以上的被测防火墙设备,除非有特别强调和特殊需要,否则只进行针对进出内部接口与外部接口之间数据的测试。7.1防火墙安全策略功能
测试编号:1
项目编号:FW_FUNC_POLICY_1
测试项目:防火墙设备安全策略功能测试配置:图1
测试过程:
1.将配置终端、测试仪与DUT连接,将DUT的外部接口地址设定为192.168.2.t/24,内部接口P地址为192.168.1.1/24,测试仪1地址设定为192.168.2.100/24,测试仪2地址设定为192.168.1.100/242.查看DUT是否对没有明确定义的数据包具有默认的明确的处理方法:3.进行DUT的过滤规则配置试验,查看是否可以在过滤规则中对出入防火墙设备的数据包按照其源、目的地址、端口、封装协议以及出入防火墙设备的网络接等进行分类设置:4.分别设置两条规则,一条允许外部源地址为192.168.2.100的数据包通过DUT,5·条禁止来自外部源地址为192.168.2.100的数据包通过DUT,查看DUT是否在配置终端直接给出规则冲宽提示,如果没有提示,自外部测试仪1发送间内部测试仪2发送数据包:查看数据包通过防火墙的情况:5.查看是否可以对过滤规则的起作用时间范围进行指定预期结果:
1.步骤2、3中观察到的结果应该与测试说明中的1、2相符合表示合格,否则为不合格:2.步骤4、5中观察到的结果不在必须要求范围内,为可选项,与测试说明3、4相符表示支持该功能,否则表示不支持
测试说明:
1.包过滤防火墙设备的过滤规则集应涵盖对所有出入防火墙的数据包的处理方法,对于那些没有明确定义的数据包,应该有一个明确的总的处理方法:2.过滤规则应易于理解、编辑和修改:3.建议包过滤防火墙具备-致性检测机制,检测过滤规则集中各规则之间存在的冲突,并做出相应的处理:4.包过滤防火墙可以指定每条规则起作用的时间范围/时问段判定原则:测试结果必须与预期结果相符,否则不符合要求7
rKAoNIKAca
YD/T 1707-2007
测试编号:2
项目编号:FW_FUNC_FOLICY_2
测试项目:火墙设备ACL 的编辑功能测试配置:图1
测试过程:
1.将配置终端、测试仪与DUT连接,将DUT的外部接口地址设定为192.168.2.1/24,内部接口IP地址为192.168.1.1/24,测试仪1地址设定为192.168.2.100/24,测试仪2地址设定为192.168.1.100/242.创建一条ACL并使之生效,发送违反该ACL的数据流进行验证,例如可以编辑ACL禁止IP源地址为192.168.2.200-~192.168.2.254的P包通过,发送IP源地址为192.168.2.220、目的地址为192.168.1.100的IP包数据流来进行ACL验证;
3.修改该ACL,增加/删除某些内容,并使修改后的ACL生效,发送违反该ACL的数据流进行验证,例如修改ACL禁止IP源地址为192.168.2.200~192.168.2.254的ICMP包通过,其他类型的IP包可以通过,发送IP源地址为t92.168.2.220、且的地址为192.168.1.100的Ping包数据流来进行ACL验证;4.删除该ACL,发送任意数据流
预期结果:
1.步骤2、3中应该观察不到数据流通过防火墙2.步骤4中能够观察到据流通过防火墙测试说明:
防火墙设备能够根据需要设置ACL规则,并对ACL进行适当的编辑修改判定原则:测试结果必须与预期结果相符,否则不符合要求测试编号:3
项日编号: FW FUNC_POLICY_3
测试项目:防火墙设备ACL的注释与描述功能测试置:图1
测试过程:
1、现有的某条ACL或创建一条新的ACL,为该ACL添加描述,重新显示该ACL:2.删除该ACL的描述,重新显示该ACL;3.为该ACL增加注释,重新显示该ACL:4.删除该ACL的注释,重新显示该ACL。5.发送违反该ACL的数据流来验证该ACL的有效性预期结果:
1.步骤1、3中应该观察该ACL的描述或注释;2、步骤2、4中光法观察到ACL的描述或注释;3.步骤5中能够观察到数据流无法通过防火墙测试说明:
用户可以根据需要为防火墙ACL增加描述或注释,J对ACL的描述与江释进朋除判定原则:测试结果必须与预期结果相符,否则不符合要求TTIKAoNIKAca
YD/T 1707-2007
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。