天清汉马USG防火墙(P系列)测试方案.doc

天清汉马USG防火墙(P系列)
选型测试方案
2013年11月
目录
一、前言 6
二、选型原则 6
管理维护功能简单易用 6
入侵防护功能精准全面 6
病毒防护功能安全性高 6
上网行为管理可用实用 6
反垃圾邮件功能准确有效 6
主动防御安全防挂马 7
漏洞扫描监控主机安全 7
虚拟防火墙节省开销方便布局 7
7
7
7
三、评测依据 7
四、评测内容 8
五、评测方法分类 8
第一类:一般项目 8
第二类:重要项目 8
第三类:关键项目 9
六、测试环境及工具 10
七、测试方案 11
1. 管理维护功能 11
2. 反垃圾邮件 24
3. 主动防御 25
4. 漏洞扫描功能 26
5. 虚拟防火墙 26
6. 日志与报表 29
7. 性能测试 31
8. 可靠性 33
附件一:防火墙评测结果汇总表 36
附件二:测试结论 1
测试大纲
测试项目
测试分项目
测试编号
测试子项目
管理维护功能
系统管理

系统管理

WEB界面CLI控制台

管理员账号划分权限
配置文件管理

配置文件的备份和恢复
接口管理

路由接口

桥接口

Trunk接口

单臂路由接口

3G设备

WIFI设备

网口镜像
路由功能

静态路由

默认路由(负载均衡)

ISP路由

OSPF动态路由

RIP动态路由

OSPFV3动态路由

RIPNG动态路由
工作模式
.
透明模式
.
路由模式
.
混合模式
.
旁路模式
监控与排错
.
排错
.
设备监控
反垃圾邮件功能
垃圾邮件过滤
.
邮件地址黑名单过滤
.
主题关键字过滤
主动防御
主动防御挂马网站
.
挂马网站拦截
漏洞扫描功能
服务探测
.
常见端口扫描
虚拟防火墙
虚拟墙的规则使用
.
虚拟墙的独立规则
.
虚拟墙的共享规则
虚拟墙的管理权限
.
虚拟墙独立用户管理
.
系统管理员用户管理
日志与报表
日志功能
.
内存日志
.
Syslog日志需要新版安管
.
日志查询需要新版安管
报表
.
报表分析需要新版安管
性能测试
转发性能测试
.
应用层吞吐量
连接性能测试
.
并发连接数
.
新建连接速率
可靠性
Bypass
.
硬件Bypass
HA功能
.
负载均衡
双系统管理

双系统备份恢复
一、前言
本方案以业界防火墙产品的通用功能作为参考,提供公正、专业的测试方案,为企业选购防火墙提供参考。
二、选型原则
根据我们的调研,防火墙产品的核心功能主要集中在防火墙的管理维护功能、入侵防护功能、病毒防护功能、上网行为管理、反垃圾邮件、主动防御、漏洞扫描、虚拟防火墙、日志和报表、性能、可靠性这十一个方面,因此这十一个方面也成为考察防火墙和选型评测的主要指标。据此,我们确定防火墙的选型原则如下:
管理维护功能简单易用
配备一套防火墙系统,需要建立相应的防火墙应用防护规则和安全规则体系。由于不同防火墙设备在管理维护上存在差异,而我们不能要求每个网络管理员都是网络安全专家,所以可能出现因防火墙管理维护不方便,导致对防火墙的错误配置和发生安全事故的悲剧。因此我们需要关注防火墙是否具备完善的管理方式、齐备的维护方式和灵活的接入方式等管理维护功能。
入侵防护功能精准全面
入侵防护功能是防火墙设备的重要功能之一。由于用户环境以及入侵防护技术的复杂性,根据防火墙的发展状况和我公司信息系统的应用需求,我们将重点关注对常见攻击的拦截能力、攻击特征的更新、误报率以及自定义攻击特征。
病毒防护功能安全性高
病毒防护功能是防火墙设备的重要功能之一。由于对多协议拦截的需求以及网络流行病毒的复杂性。我们将重点关注常见协议的病毒拦截能力、流行病毒检测率、病毒特征的更新等。