记录某虚拟防火墙功能测试
记录厂家对测试报告的解释
纯粹技术性测试，不涉及到生产和应用
公网地址已经失效linux

某厂家虚拟防火测试文档windows

1.概述

本次使用某厂家深度安全网关VSG-4（如下简称vFW）部署在vsphere平台之中，用来测试不一样vlan的虚拟机东西向的安全防御功能和南北向的虚拟机访问外网和端口映射。为了简化测试，采用传统的硬件防御墙的部署思路进行，按照防火墙核心基本功能的策略控制和基本防范进行测试，不涉及×××和其余高级安全功能。后端

2.测试思路-东西向防御

1．vFW做为安全网关，采用路由模式部署；
2．不一样的vlan的虚拟机的网关指向vFW的物理接口，接口配置网关，不用配置vlan子接口；
3．vFW使用三个接口，两个做为不一样vlan的网关，一个做为管理接口；
4．vFW的ge0为管理口，配置172.31.101.8/24,ge1配置172.31.102.1/24,ge2配置172.31.103.1/24；
5．vFW配置三个安全域分别对应三个不一样安全域，基于安全域作的安全策略为基本元素，测试vFW的东西向防御功能；
6．采用四个虚拟机，vm1,vm2地址配置172.31.102.2-3/24,vm3,vm4地址配置172.31.103.2-3/24，vm2,vm4为linux操做系统，vm1,vm3为windows操做系统。,相同操做系统的虚拟机虚拟机硬件配置彻底同样。
如下为测试模拟图:
浏览器

3.测试思路-南北向防御

1．vFW配置外网访问接口，按照传统防火墙NAT部署方式进行，模拟vm通过vfW访问外网；
2．采用源NAT转换的方式，进行地址多对一的转换，即多个私网地址对应一个外网地址；
3．vm通过vFW的策略容许经过后，流量会引导至真实防火墙，再由真实防火墙策略控制访问外网；
4．采用172.31.205.31做为vFW的外网接口ip地址，下一跳为172.31.205.1，测试模拟图以下图所示：

（图：虚拟防火墙跟真实防火墙对接示意）
5．建立NAT池，指定单个地址172.31.205.32/24,全部vm访问外网都会被转换，同时建立能够访问外网的安全策略，并在防火墙上指定缺省路由，下一条为172.31.205.1，大体NAT上网方式以下图所示：
缓存

（图：南北向外网访问示意）
6．测试端口映射，采用目的NAT方式，实现端口映射。安全

4.功能配置

4.1.网络管理-接口

配置物理接口，ge0,ge1,ge2,分别配置IP地172.31.101.8/24,172.31.102/24,172.31.103.1/24这三个接口做为内网接口，ge3配置ip地址172.31.205.31/24，做为外网接口，,以下图所示：

（图：接口配置）
以ge1口配置为例，说明接口配置，以下图所示;

(图：ge1口配置）服务器

配置各个安全域，绑定对应接口，以安全域为单位配置安全策略，,不开启域内接口互访，以下图所示：

（图：安全域配置）微信

4.2.网络管理-静态路由

配置静态的缺省路由0.0.0.0 0.0.0.0 172.31.205.1，表示访问外网路由路径，以下图所示：

（图：静态路由）网络

4.3.网络管理-NAT-NAT池

配置NAT池，使得访问外网的ip地址通过NAT转换，本次配置单一NAT地址为172.31.205.32，以下图所示：

（图：NAT地址池）负载均衡

4.4.网络管理-NAT-源NAT

配置源NAT规则，决定那些地址须要进行NAT，规则采用地址池的方式，注意，地址薄等信息配置见本文后面章节,详细以下图所示：

（图：源NAT规则配置）

4.5.网络管理-NAT-目的NAT

目的NAT,即常说的端口映射，即将一个私网地址的ip端口转换到公网ip端口，实现特定的外部访问，详细配置以下图所示：

(图：目的NAT采用端口映射方式，映射端口22）

4.6.网络管理-DHCP服务器-DHCP服务器

在接口ge2上开启DHCP服务器，以下图所示：

（图：接口开启DHCP服务器）

4.7.网络管理-DHCP服务器-服务器

配置相应的DHCP服务器分配的地址和DNS等，使得ge2接口下的vm3和vm4可以使用dhcp服务器获取ip地址，以下图所示：

（图：DHCP列表配置）

4.8.资源管理-地址对象

防火墙策略采用五元组的形式的判断报文是否符合策略控制，其中地址对象是最基本和最重要的的配置，本次测试的地址对象以下图所示：

（图：地址对象）

4.9.资源管理-时间表

配置时间表工做时间，时间段为9：00-18：00,详细以下图所示：

（图：时间表配置）

5.东西向策略测试

所谓东西向，指在同一个虚拟化平台或云环境之中，不一样vm之间的访问安全控制。本次测试采用vm的地址和服务应用以下表所示：
安全域
序号 名称 包含接口 地址段 说明
1 trust_zone_mange ge0 172.31.101.0/24 管理员跳板机所在域
2 trsut_zone_test1 ge1 172.31.102.0/24 vm1,vm2所在安全域
3 trsut_zone_test2 ge2 172.31.103.0/24 vm3,vm4所在安全域
4 WAN ge3 172.31.205.31/24 外网域

地址对象
序号 名称 内容 说明
1 Netip_vlan102_vm1 172.31.102.2/32 vm1(windows)地址
2 Netp_vlan102_vm2 172.31.102.3/32 vm2(linux）地址
3 Netp_vlan103_vm3 172.31.103.2/32 vm3(windows）地址
4 Netp_vlan103_vm4 172.31.103.3/32 vm4(linux）地址
5 Netip_vlan101_mange 172.31.101.110/32 管理员跳板机地址
6 NetIP_public_1 172.31.205.32/32 模拟公网地址
7 NetGP_VLAN102 172.31.102.0/24 vm1,vm2所在地址段
8 NetGP_VLAN103 172.31.103.0/24 vm3,vm4所在地址段

（表：地址对象）

5.1.管理员跳板机访问vm1,vm2

新建安全策略，使得管理员跳板机172.31.101.110能够访问vm1,vm2,vm3,vm4,容许全部的应用，服务协议。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动做 断定方法
管理员跳板机访问vm1,vm2 trust_mange Netip_vlan101_mange trsut_zone_test1 any any any permit 1)172.31.101.110能够ping通vm1,vm2
2）172.31.101.110能够ssh登陆vm2
（表：东西向策略1）

（图：东西向策略1）
测试结果
①　172.31.101.110能够ping通172.31.102.2，172.31.102.3

（图：东西向策略1测试结果1-ping通172.31.102.2）

（图：东西向策略1测试结果1-ping通172.31.102.3）

②　172.31.101.110可使用ssh客户端登陆172.31.102.3

（图：东西向策略1测试结果-2-ssh登陆172.31.102.3）
断定
本条策略成功生效。

5.2.vm1使用ssh客户端登陆vm4

新建安全策略，使得vm1（172.31.102.2）能够SSH到vm4(172.31.103.3),可是不能使用其余服务访问。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动做 断定方法
vm1只能ssh链接到vm4 trsut_zone_test1 Netip_vlan102_vm1 trsut_zone_test2 Netip_vlan103_vm4 ssh any permit 1)vm1能够ssh登陆到vm4
2)vm1不能ping通vm4

（图：东西向策略2）

测试结果
①　Vm1能够经过ssh客户端登陆到vm4

(图：东西向策略2测试结果1-ssh登陆）
②　Vm1不能ping通vm4

（图：东西向策略2-测试结果2-不能ping通172.31.103.3）
断定
本条策略成功生效。

5.3.Vm3使用ftp客户端链接VM2并传送文件

Vm3（windows）172.31.103.2做为ftp客户端，vm4（linux）172.31.102.3做为ftp服务器端，测试FTP服务状况，新建安全策略，使得vm3能够正常ftp链接到VM4。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动做 断定方法
vm3只能ftp到vm1，并传送文件 trust_zone_tes2 Netip_vlan103_vm3 trsut_zone_test1 Netip_vlan102_vm1 ftp any permit 1)172.31.103.2不能ping通172.31.102.2
2）172.31.103.2能够ftp到172.31.102.2
3)能够正常发送接受文件

（图：东西向策略3）

测试结果
①　Vm3不能ping通vm1

（图：东西向策略3-测试结果1-ping不通）
②　Vm3可使用ftp客户端链接到vm1

（图：东西向策略-3-测试结果2-FTP登陆成功）
③　Vm3可使用ftp客户端上传文件到vm1

（图：东西向策略测试3-测试结果3-FTP上传文件）

（图：东西向策略测试3-测试结果3-FTP下载文件）
断定
本条策略成功生效。

5.4.结论

1)vm之间的东西向策略功能正常；
2)支持ftp多通道协议的策略控制；
3)支持NGFW状态检测机制，即只用单向策略就能够保证后续报文的双向访问。

6.南北向策略测试

南北向策略测试，指的是vm经过vFW能够正常上网，同时可以配置基本的端口映射。已经在物理防火墙上作好了配置，与vFW对接成功。
vFW公网地址172.31.205.32（相对而言），物理防火墙公网地址58.19.180.65，对于须要访问外网的vm，如vm1,172.31.102.2,首先通过vFW的源nat转换为172.31.205.32，再通过物理防火墙nat转换为58.19.180.65，而后访问外网。
对于端口映射，目的nat也是通过两道nat实现。
源NAT,NAT地址池，目的NAT配置以下表所示：
NAT地址池
序号 名称 地址池列表 说明
1 Natpool_test 172.31.205.32 公网地址池，源NAT转换使用
2 Natpool_vlan102_vm2_tcp22 172.31.102.3 须要进行目的NAT转换使用的地址
源NAT
序号 源地址 目的地址 服务 接口 转换后地址 说明
1 NetGP_VLAN102 any any ge3 Natpool_test 172.31.102.0/24网段NAT
2 NetGP_VLAN103 any any ge3 Natpool_test 172.31.103.0/24网段NAT

目的NAT
序号 源地址 目的地址 服务 接口 转换后地址 转换后端口 说明
1 any NetIP_public_1 ssh ge3 Natpool_vlan102_vm2_tcp22 22 将公网地址172.31.0.32转换为172.31.102.2的22端口

6.1.Vm1,vm2,访问外网

新建安全策略，使得全部的vm1，vm2均可以访问外网，容许全部的应用和协议。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动做 断定方法
vm1,vm2均可以访问外网 trsut_zone_test1 NetGP_VLAN102 WAN any any any permit 1)vm1,vm2可以ping通电信dns服务器
2）vm1可以使用浏览器访问网页
3）vm2可以yum下载

（图：南北向策略1）
测试结果
①　Vm1可以ping通DNS服务器202.103.24.68

（图：南北向策略测试1-测试结果1-vm1可以ping通DNS）

②　Vm2可以ping通DNS服务器202.103.24.68

（图：南北向策略测试1-测试结果2-vm2可以ping通DNS）
③　Vm1可以经过访问www.163.com

（图：南北向策略测试1-测试结果3-vm1可以访问网页）
④　Vm2可以使用yum下载软件包

（图：南北向策略测试1-测试结果4-vm2可以yum下载软件包）

断定
本条策略成功生效。

6.2.源NAT测试

使用工具，检查访问外网的NAT策略是否对vm1,vm2的私网地址进行了源NAT，同时检查是否与物理防火墙对接顺利，同时能够查询到真实的公网ip。
测试方法
(1)查询物理防火墙日志软件，查询是否进行了源NAT，将172.31.101.2转换为172.31.205.32
(2)在vm1上登陆ip138,查询是通过多道NAT转换后，是否转换为正确的真实的公网地址。

测试结果
①　在物理防火墙上查询到172.31.0.32的流量记录，说明vm1的地址已经被转换

（图：南北向策略测试2-测试结果1-物理防火墙查询到vFW的源NAT）

②　在vm1上登陆ip138.com，可否显示为58.19.180.65的公网地址

（图：南北向策略测试2-测试结果1-ip138查询到vm1转换为正确的公网地址）
断定
(1)vFW的源NAT功能正常。
(2)vFW与物理防火墙对接后能够知足vm的外网访问。

6.3.目的NAT测试

在vFW与物理防火墙对接后，配置正确的策略，使得实现端口映射功能，将公网特定的接口转换为私网特定的接口。本次新建策略，使得vm2（172.31.102.3）的ssh端口22能够由外网58.19.180.67：22进行访问。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动做 断定方法
可由公网地址的22端口访问到vm1的22端口，采用SSH协议 WAN any trsut_zone_test1 Natpool_vlan102_vm2 ssh any permit 1)在特定虚拟机上可使用tcping检测到172.31.205.32的22端口开放
2）能够由58.19.180.67（真实公网地址）使用ssh客户端访问

（图：南北向策略3）
测试结果
①　使用tcping能够监测到172.31.205.32的22端口开放

（图：南北向策略测试3-测试结果1-tcping监测到22端口开放）

②　使用ssh客户端，登陆58.19.180.67，采用22端口能够登陆

（图：南北向策略3-测试结果2-登陆公网地址的22端口）
断定
(1)vFW可以实现目的NAT,实现特定的端口映射；
(2)在与物理防火墙对接后，能够知足的vm的目的NAT使用需求。

6.4.结论

(1)vFW在虚拟化平台之中，能够按照传统防火墙的配置实现vm的NAT配置需求；
(2)在与物理防火墙对接好后，vFW能够作到南北向的vm访问策略控制；

7.vFW深度安全功能测试

NGFW通常除了带有UTM功能以外，还能够作到深度报文监测，还不少高级安全功能。
安全功能按照防火墙策略为单位配置，本次测试只是测试南北向，即vm访问外网，端口映射的状况下的深度安全功能。

7.1.应用过滤-过滤qq功能

配置策略，使得vm2能够访问外网，同时在该策略配置应用过滤，测试安全功能。
详细的策略再也不描述，跟前面同样。
安全功能
开启应用过滤，过滤qq聊天程序，相关控制内容与断定方法以下所示：

序号 描述 功能配置 断定方法
1 控制vm3能够登陆qq可是不能正常发送消息，
同时记录审计 1.应用-QQ
2.相关行为-发送消息
3.审计行为-全部
4.关键字-全部
5.动做-拒绝 1.vm3能够登陆qq
2.qq不能发送任何消息

（图：应用过滤-过滤qq功能）
测试结果
①　Vm3能够正常登陆qq

（图：应用过滤测试1-测试结果1-能够正常登陆qq）

②　Vm3不能发送消息，显示发送拒绝

（图：应用过滤测试1-测试结果2-qq不能发送消息）
断定
应用过滤，qq控制功能成功生效。

7.2.应用过滤-过滤迅雷下载

安全功能
开启应用过滤，控制迅雷下载。
序号 描述 功能配置 断定方法
1 控制vm3能够登陆迅雷，可是不能使用下载功能 1.应用-迅雷
2.相关行为-下载
3.审计行为-全部
4.关键字-全部
5.动做-拒绝 1.vm3能够开启迅雷
2.迅雷不能下载文件

（图：应用过滤-限制迅雷下载）
测试结果
①　Vm3可以开启迅雷

（图：应用过滤2-测试结果1-正常开启迅雷）

②　迅雷不能下载

（图：应用过滤2-测试结果2-迅雷不能正常下载）
断定
应用过滤，迅雷控制功能成功生效。

7.3.url过滤-过滤网易

配置安全功能，开启url过滤，将网易www.163.com加入过滤之中，使得vm3不能访问网易。
安全功能
url过滤
序号 描述 功能配置 断定方法
1 控制vm3，除了www.163.com不能访问以外，其余的网页都能访问 1.URL分类-网易

2.动做-拒绝 1.vm3不能访问www.163.com
2.vm3能够访问www.sina.com

（图：url过滤配置）
测试结果
①　Vm3访问www.163.com被禁止

（图：url过滤-测试结果1-过滤www.163.com）

②　Vm3正常访问www.baidu.com

（图：url过滤-测试结果2-访问百度正常）

断定
URL过滤，特定网页过滤功能成功生效。

7.4.病毒防御-http

配置病毒防御安全功能，vm3尝试登陆恶意网页，下载恶意程序，测试该安全功能。
安全功能

（图：病毒防御-http）
在不开启的第三安全软件，系统自带防火墙的状况下，vm3访问恶意网站，下载恶意软件能有效阻断。
测试结果
①　下载恶意程序，并不能成功运行

（图：病毒防御-http测试结果-恶意程序不能随意运行）

断定
病毒防御功能，http防御生效。

7.5.病毒防御-FTP

Vm3作为FTP客户端，VM1做为服务器端，上传恶意文件文件给服务器，检测FTP防御功能。
在记事本中复制粘贴如下字符串：
（略）
另存为eicar.com文件。
EICAR文件模拟病毒文件来验证反病毒功能。EICAR文件是欧洲反计算机病毒协会为测试反病毒功能提供的文件，让用户在不使用真正病毒的状况下来测试反病毒功能。
安全功能
在开启ftp防御的状况下，病毒文件应能被vFW阻断，并有记录日志。
测试结果
①　病毒文件不能经过ftp上传

（图：病毒防御-FTP-测试结果1-病毒文件不能经过上传）
②　病毒文件会被vFW阻断，同时记录日志

（图：病毒防御-FTP-测试结果-2-病毒文件被阻断并记录日志）
判断病毒防御ftp安全功能生效

7.6.应用过滤-按照关键字过滤微信信息

安全功能
配置关键字列表，添加关键字，并应用策略，配置的关键字以下图所示：

（图：关键字列表）
测试结果
微信电脑版能够发送通常的消息，不管是否包含关键字均可以发送。

（图：微信关键字过滤）
断定
关键字过滤控制功能没有起做用。

7.7.结论

vFW能够实现以策略为元素的深度安全功能防御；
vFW具有NGFW的基本深度安全功能。
vFW关键字过滤功能没有实现。

8.vFW安全防御测试

vFW开启全部的安全防御功能包括：
1.防arp***；
2.***防御；
3.flood***防御；
配置全部的安全防御功能子项，并将全部接口和vm的ip开启保护。
在vm1(172.31.102.2)上安装科来分析软件，使用包回放功能，回放典型***包报文，查询vFW日志，检测安全防御功能是否正常。
8.1.arp***
测试包回放

（图：arp***包回放）

测试结果

（图：arp***日志）
断定
在arp功能彻底开启的状况下，vFW可以处理相关***。

8.2.异常包***

***包回放

（图：ip分片异常包***回放）
测试结果

（图：异常包***日志）
断定
在安全防御功能彻底开启的状况下，vFW可以处理相关异常包***。

8.3.扫描***

***包回放

（图：扫描探测***包回放）

测试结果

（图：扫描***日志）
断定
vFW没有识别到相应扫描***并归类

8.4.flood***

***包回放

（图：flood***包回放）
测试结果

(图：flood***日志）

断定
vFW没有识别到相应flood***并归类

8.5.IPS***

***包回放

（图：ips***包回放）


测试结果
（IPS安全日志）
断定
vFW识别到相应的ips***并归类

8.6.结论

在升级病毒库，ips特征库后，vFW可以作到ips防御；
vFW可以具备必定的安全防御能力，能够针对底层的的***作出有效控制；
vFW不可以具体识别到***类型与特征，大部分识别为异常包***。

9.其余功能测试

9.1.服务质量管理

能够针对出口网络的网关进行ping，测定出口网络的稳定性，详细以下图所示：

（图：服务质量管理）

9.2.流量管理

测试vFW对应接口，单个ip的带宽及流量控制管理功能。
功能配置
线路设置，配置ge3接口外网访问限速，上行，下行都限制为1Mb/s，以下图所示：

（图：线路设置）
在完成线路设置后，vFW自动生成流量控制策略，以下图所示：

（图：流量控制策略）
vFW能够精细化控制每一个ip带宽，配置每一个ip为200kb/S,以下所示：

（图：每一个ip控制流量）
测试方法
Vm1访问外网，开启下载，查看下载速率；
在vFW上查看实时速率。
测试结果
①　Vm1平均下载速率，11.7KB/S,转换为带宽将近为200kb/s

（图：流量管理测试-平均下载）
②　vFW上查看实时速率

（图：流量监控-实施速率小于200kb/s）
判断
vFW可以根据每一个ip限制带宽。

9.3.会话监控

vFW可以监控到当前链接的全部会话，以下图所示：

（图：会话监控功能）

9.4.Tcp Syn

vFW拥有TCP SYN功能，实现探测指定主机的tcp协议端口，以下所示：

（图：tcp syn功能）

9.5.抓包工具

vFW除了能够实现常规抓包以外，还支持抓去特定应用的包。
测试抓取172.31.102.2的qq应用的全部报文，以下所示：

（图：抓取QQ应用报文）

vFW抓取的包能够经过回放分析

（图：抓包回放）

10.结论

鉴于本次测试是处于vsphere平台之中，受制于虚拟化网络限制，vFW的多链路负载均衡和应用缓存功能没法测试，无线安全接口没法测试，资源管理中的大部分特点功能如ip-mac绑定、维信认证、广告推送等都没有进行测试。
本次测试在于NGFW标准功能和深刻安全防御测试，测试了通常FW没法深度识别应用，没法审计上网行为管控的软肋。同时本次测试重点也着手采用新颖的虚拟化部署方式进行测试，实际证实了vFW的可行性和可以正常对接物理防火墙，可是因为受制于vsphere部署的虚拟化网络制约，暂时不能测试其余虚拟化平台如kvm，NFV如vxlan功能，vmware NSX部署方式。
通过测试结论以下：
1.vFW具有NGFW功能；
2.vFW能够以虚拟化方式部署在vsphere的分布式机之中，可以与物理防火墙对接；
3.vFW在虚拟化或云计算环境中实现东西，南北向防御；

=================厂家答疑===============

Vfw测试相关说明

1，应用过滤，按照关键字过滤微信信息

原测试结果：
关键字过滤控制功能没有起做用
说明：
微信加密是使用本身的加密方式，不是简单的使用https。当前不支持微信解密。

2，扫描***

原测试结果：
vfw没有识别到相应扫描***并归类
说明：
测试中是用的是包回放工具，数据包的目的ip是192.168.10.103，目的mac是00.23.54.cb.ab.0d。而测试中vfw的接口ip和mac和数据包中的不同，也就再也不属于对接口的扫描***。
测试建议：
扫描***分为端口扫描和IP扫描，经常使用的***软件可使用x-scan和IP scanner。这两个软件都是傻瓜式的，能够很方便的使用。
Vfw配置：

x-scan：配置ip范围后，点击肯定，而后在工具栏点击开始。

端口扫描测试结果

Ip scanner：配置ip范围后，直接开始扫描。注意ip范围须要设置大一点。

Ip扫描测试结果

3，flood***
原测试结果：
vfw没有识别到相应的flood***并归类
说明：
测试中是用的是包回放工具，数据包的目的ip是192.168.10.103，目的mac是00.23.54.cb.ab.0d。测试人员测试的时候应该是没有修改vfw对应接口的ip和mac，致使不能识别。
测试建议：
Vfw配置：

可使用IPOP软件，模拟发送flood***。
Ipop：注意目的ip和目的mac的地址要和相应的vfw接口保持一致。

Flood测试结果