网闸测试方案完整版

测试项目测试项随系统启动 FTP 主动模式测试FTP被动模式测试访问控制测试基本设置FTP被动模式测试认证选项设置用户认证Users认证内网黑名单设置外网黑名单地址控制设置内网白名单设置内网白名单设置外网白名单设置内网黑名单设置外网黑名单文件过滤设置内网白名单设置外网白名单内网命令过滤命令过滤命令过滤外网命令过滤测试方法预期结果测试结果选择随系统启动双机状态下，主从切换正常启动选择随系统启动手动停止服务，重启设备正常启动不选择随系统启动手动启动服务，重启设备禁止启动内网规则本地地址：172.17.16.200本地端口：21目的地址：172.17.16.20目的端口：21内网主机：客户端设置主动模式172.17.16.10 访问172.17.16.200172.17.16.10访问成功并可上传下载内网规则本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21内网主机：客户端设置主动模式172.17.16.10 访问172.17.16.200：555172.17.16.10访问成功并且可上传下载外网规则本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21外网主机：客户端设置主动模式172.17.16.20 访问172.17.16.100：21172.17.16.20访问成功并可上传下载外网规则本地地址：172.17.16.100本地端口：555目的地址：172.17.16.10目的端口：21外网主机：客户端设置主动模式172.17.16.10 访问172.17.16.200：555172.17.16.20访问成功并可上传下载内网规则本地地址：172.17.16.200本地端口：21目的地址：172.17.16.20目的端口：21内网主机：客户端设置被动模式172.17.16.10 访问172.17.16.200172.17.16.10访问成功并可上传下载内网规则本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21内网主机：内网主机：客户端设置被动模式172.17.16.10 访问172.17.16.200172.17.16.10访问成功并且可上传下载本地端口：21目的地址：172.17.16.10目的端口：21外网主机：客户端设置被动模式172.17.16.20 访问172.17.16.100：21172.17.16.20访问成功并可上传下载外网规则本地地址：172.17.16.100本地端口：555目的地址：172.17.16.10目的端口：21外网主机：客户端设置被动模式172.17.16.10 访问172.17.16.200：555172.17.16.20访问成功并可上传下载访问控制：内网规则本地地址：172.17.16.200本地端口：21目的地址：172.17.16.20目的端口：21启用内网用户认证内网主机：172.17.16.10 访问：172.17.16.200：21提示输入认证用户名密码外网主机：172.17.16.20访问：172.17.16.100：21无提示正常访问访问控制：外网规则本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21启用内网用户认证外网主机：172.17.16.20 访问：172.17.16.100：21提示输入认证用户名密码内网主机：172.17.16.10访问：172.17.16.200：21无提示正常访问内网规则本地地址：172.17.16.200本地端口：21目的地址：172.17.16.20目的端口：21启用内网用户认证：已审批的用户：test、test1、test2内网主机：172.17.16.10 访问：172.17.16.200：21输入用户名：test 密码：xxxxxx输入用户名：test 1 密码：xxxxxx输入用户名：test 2 密码：xxxxxx正常访问已审批的用户：test、test1、test2未审批的用户：test4内网主机：172.17.16.10 访问：172.17.16.200：21输入用户名：test4 密码：xxxxxx禁止访问本地端口：21目的地址：172.17.16.10目的端口：21启用内网用户认证：已审批的用户：test、test1、test2外网主机：172.17.16.20 访问：172.17.16.100：21输入用户名：test 密码：xxxxxx输入用户名：test 1 密码：xxxxxx输入用户名：test 2 密码：xxxxxx正常访问已审批的用户：test、test1、test2未审批的用户：test4外网主机：172.17.16.20 访问：172.17.16.100：21输入用户名：test4 密码：xxxxxx禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制源IP地址：172.17.16.10~172.17.16.10目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.10 被动模式访问FTP://172.17.16.200：禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.10目的地址：172.17.16.20目的端口：21内网主机：172.17.16.11 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.11 被动模式访问FTP://172.17.16.200：正常访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.19目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.19 被动模式访问FTP://172.17.16.200：禁止访问目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.19目的地址：172.17.16.20目的端口：21内网主机：172.17.16.21 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.9 被动模式访问FTP://172.17.16.200：555正常访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP+MAC地址控制：源IP地址：172.17.16.10 00:1D:09:13:16:7F目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 FTP://172.17.16.200：555内网主机：172.17.16.9 FTP://172.17.16.200：555172.17.16.10禁止访问172.17.16.9正常访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21MAC地址控制：源MAC： 00:1D:09:13:16:7F目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 FTP://172.17.16.200：555内网主机：172.17.16.9 FTP://172.17.16.200：555172.17.16.10禁止访问172.17.16.9正常访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制源IP地址：172.17.16.20~172.17.16.20目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.20 被动模式访问FTP://172.17.16.100：21禁止访问目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.20目的地址：172.17.16.10目的端口：21外网主机：172.17.16.21 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.21 被动模式访问FTP://172.17.16.100：21正常访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.29目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.129 被动模式访问FTP://172.17.16.100：21禁止访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.29目的地址：172.17.16.10目的端口：21外网主机：172.17.16.11 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.39 被动模式文中FTP://172.17.16.100：21正常访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21IP+MAC地址控制：源IP地址：172.17.16.20 00:1E:4F:DB:3E:DB目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 FTP://172.17.16.100：21内网主机：172.17.16.9 FTP://172.17.16.100：21172.17.16.10禁止访问172.17.16.9正常访问目的地址：172.17.16.10目的端口：21MAC地址控制：源MAC地址：00:1E:4F:DB:3E:DB目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 FTP://172.17.16.100：21内网主机：172.17.16.9 FTP://172.17.16.100：21172.17.16.10禁止访问172.17.16.9正常访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制源IP地址：172.17.16.10~172.17.16.10目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.10 被动模式访问FTP://172.17.16.200：正常访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.10目的地址：172.17.16.20目的端口：21内网主机：172.17.16.11 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.11 被动模式访问FTP://172.17.16.200：禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.19目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.19 被动模式访问FTP://172.17.16.200：正常访问目的地址：172.17.16.20目的端口：21IP地址控制：源IP地址：172.17.16.10~172.17.16.19目的地址：172.17.16.20目的端口：21内网主机：172.17.16.21 主动模式访问FTP://172.17.16.200：555内网主机：172.17.16.9 被动模式访问FTP://172.17.16.200：555禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21IP+MAC地址控制：源IP地址：172.17.16.10 00:1D:09:13:16:7F目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 FTP://172.17.16.200：555内网主机：172.17.16.9 FTP://172.17.16.200：555172.17.16.10正常访问172.17.16.9禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21MAC地址控制：源MAC地址：00:1D:09:13:16:7F目的地址：172.17.16.20目的端口：21内网主机：172.17.16.10 FTP://172.17.16.200：555内网主机：172.17.16.9 FTP://172.17.16.200：555172.17.16.10正常访问172.17.16.9禁止访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制源IP地址：172.17.16.20~172.17.16.20目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.20 被动模式访问FTP://172.17.16.100：21正常访问目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.20目的地址：172.17.16.10目的端口：21外网主机：172.17.16.21 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.21 被动模式访问FTP://172.17.16.100：21禁止访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.29目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.129 被动模式访问FTP://172.17.16.100：21正常访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.20目的端口：21地址控制：源IP地址：172.17.16.20~172.17.16.29目的地址：172.17.16.10目的端口：21外网主机：172.17.16.11 主动模式访问FTP://172.17.16.100：21外网主机：172.17.16.39 被动模式文中FTP://172.17.16.100：21禁止访问访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21IP+MAC地址控制：源IP地址：172.17.16.20 00:1E:4F:DB:3E:DB目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 FTP://172.17.16.100：21内网主机：172.17.16.9 FTP://172.17.16.100：21172.17.16.20正常访问172.17.16.9禁止访问目的地址：172.17.16.10目的端口：21MAC地址控制：源MAC：00:1E:4F:DB:3E:DB目的地址：172.17.16.10目的端口：21外网主机：172.17.16.20 FTP://172.17.16.100：21内网主机：172.17.16.9 FTP://172.17.16.100：21172.17.16.20正常访问172.17.16.9禁止访问访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件过滤：文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件禁止上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件过滤：文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：rar、jpg正常上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传文件名为：test.rar、新文件.PPT的文件禁止上传/下载目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传文件名为：我的文件.rar的文件正常上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件下载/上传：>1024KB的文件禁止上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件下载/上传：<1024KB的文件正常上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：扫描内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传：我的文件.rar 正常上传/下载并扫描病毒目的地址：172.17.16.10目的端口：21文件过滤：禁止上传/下载文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件过滤：正常上传/下载文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：rar、jpg访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21禁止上传/下载文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传文件名为：test.rar、新文件.PPT的文件访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21正常上传/下载文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传文件名为：我的文件.rar的文件目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件下载/上传：>1024KB的文件禁止上传/下载访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件下载/上传：<1024KB的文件正常上传/下载访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：扫描外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传：我的文件.rar 正常上传/下载并扫描病毒访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件过滤：文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件正常上传/下载目的地址：172.17.16.20目的端口：21文件过滤：禁止上传/下载文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：rar、jpg访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc正常上传/下载关键字过滤：test、新文件文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传文件名为：我的文件.exe的文件访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc禁止上传/下载关键字过滤：test、新文件文件大小设置：无病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传文件名为：test.txt、新文件.doc的文件访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc正常上传/下载关键字过滤：test、新文件文件大小设置：1024病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件下载/上传：>1024KB的文件目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传后缀名为：txt、exe、doc的文件下载/上传：<1024KB的文件禁止上传/下载访问控制：本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：扫描内网主机：172.17.16.10 FTP://172.17.16.200:555下载/上传：我的文件.txt 正常上传/下载并扫描病毒访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件过滤：文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件正常上传/下载访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件过滤：文件后缀名过滤：txt、exe、doc关键字过滤：无文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：rar、jpg禁止上传/下载目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传文件名为：我的文件.exe的文件正常上传/下载访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：无病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传文件名为：test.exe、新文件.txt的文件禁止上传/下载测试访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件下载/上传：>1024KB的文件正常上传/下载访问控制：本地地址：172.17.16.100本地端口：21目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：无外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传后缀名为：txt、exe、doc的文件下载/上传：<1024KB的文件禁止上传/下载目的地址：172.17.16.10目的端口：21文件后缀名过滤：txt、exe、doc关键字过滤：test、新文件文件大小设置：1024病毒扫描：扫描外网主机：172.17.16.20 FTP://172.17.16.100:21下载/上传：我的文件.txt 正常上传/下载并扫描病毒本地地址：172.17.16.200本地端口：555目的地址：172.17.16.20目的端口：21命令过滤：单项设置测试CWD 改变工作目录PORT 主动模式，指定本地端口PASV 请求被动模式RETR 下载文件STOR 上传文件RNFR 要重命名的文件DELE 删除文件RMD 删除目录MKD 创建目录内网主机：172.17.16.10 访问ftp://172.17.16.200:555CWD 改变工作目录 CDUP 改变到父目录PORT 主动模式，指定本地端口PASV 请求被动模式RETR 下载文件STOR 上传文件APPE 追加模式上传文件DELE 删除文件RMD 删除目录MKD 创建目录禁止使用目的地址：172.17.16.10目的端口：21命令过滤：单项设置测试CWD 改变工作目录PORT 主动模式，指定本地端口PASV 请求被动模式RETR 下载文件STOR 上传文件RNFR 要重命名的文件DELE 删除文件禁止使用RMD 删除目录MKD 创建目录内网主机：172.17.16. 20 访问ftp://172.17.16.100:21CWD 改变工作目录 CDUP 改变到父目录PORT 主动模式，指定本地端口PASV 请求被动模式RETR 下载文件STOR 上传文件APPE 追加模式上传文件DELE 删除文件RMD 删除目录MKD 创建目录。

网闸测试方案【网闸测试方案】一、引言随着互联网的迅猛发展，信息安全问题受到了越来越多的关注。

为了保障网络的安全性与可靠性，网闸测试方案应运而生。

本文将详细介绍网闸测试方案的制定与实施。

二、测试目的网闸测试的主要目的是验证和评估网络安全设备的功能及其防护策略的有效性，以及对网闸的性能指标进行全面的测试和评估，为网闸的优化和改进提供基础数据。

三、测试流程1.需求分析：明确测试的目标和范围，确定测试的关键指标和评估标准。

2.测试计划：制定详细的测试计划，包括测试环境的搭建、测试用例的设计等。

3.测试准备：准备测试所需的硬件设备和软件环境，确保测试的可靠性和可行性。

4.功能测试：通过切实可行的测试用例，测试网闸设备的各项功能是否正常运行。

5.性能测试：测试网闸设备在大流量、高并发等环境下的性能表现，评估其负载能力。

6.安全漏洞测试：模拟各种攻击方式，测试网闸设备对不同类型攻击的防护能力。

7.稳定性测试：通过持续运行各项功能和性能测试，评估网闸设备的稳定性和可靠性。

8.数据分析与评估：对测试结果进行数据分析和评估，形成测试报告，发现问题并提出改进建议。

9.测试总结：总结测试经验，完善测试流程和方法，为今后的网闸测试提供参考。

四、测试方法1.手工测试：测试人员通过手动操作，模拟实际用户行为，对网闸设备进行功能和性能测试。

2.自动化测试：借助测试工具和脚本，自动执行测试用例，提高测试的效率和准确性。

3.压力测试：通过模拟大量用户请求，测试网闸设备在高负荷情况下的性能表现和稳定性。

4.安全漏洞测试：模拟各种攻击方式，测试网闸设备对恶意攻击的防护能力。

5.兼容性测试：测试网闸设备在不同网络环境和操作系统下的兼容性和稳定性。

五、测试环境搭建测试环境的搭建是网闸测试的前提，需要配置相关硬件设备和软件环境，包括服务器、防火墙、虚拟机等，确保测试的可行性和准确性。

六、测试用例设计测试用例设计是网闸测试的核心环节，需要根据功能需求和性能指标，设计全面、充分的测试用例，确保对网闸设备进行全面的测试和评估。

网络安全专用产品网闸性能测试方法①李　旋, 顾建新, 李　毅(公安部第三研究所 检测中心, 上海 200031)通讯作者: 李　旋, E-mail: lixuan@摘　要: 为解决网络安全专用产品网闸的性能测试问题, 研究了针对网闸产品性能的测试方法, 设计了包括使用iPerf 软件和IXIA 硬件的两种测试方式, 两种测试方式均能够适用于对网闸性能的测试. 同时, 还分析了国家标准中对网闸性能要求的测试方法, 并与网络安全专用产品的性能要求做了对比说明, 最后通过实验的方式, 测试了网络安全专用产品中网闸的吞吐量和系统延时性能指标, 给出了14款网闸产品的性能结果分布.关键词: 网络安全专用产品; 网闸; 性能测试引用格式: 李旋,顾建新,李毅.网络安全专用产品网闸性能测试方法.计算机系统应用,2019,28(1):233–238. /1003-3254/6725.htmlPerformance Test Method for Gap in Network Security Special ProductsLI Xuan, GU Jian-Xin, LI Yi(Testing Center, the Third Research Institute, Ministry of Public Security, Shanghai 200031, China)Abstract : To solve the problem of performance testing for gap of network security special products, a test method for gap performance was studied. Two test methods including the use of iPerf software and IXIA hardware were designed. Both test methods can be applied to the test of gap performance. At the same time, a test method for the performance requirements of gap in the national standards was also analyzed, and a comparative analysis was made with the performance requirements of network security special products. Finally, the throughput and system delay performance for the gap of network security special products are tested through experiments. The distribution results of the 14 gap products are given.Key words : network security special products; gap; performance test国家互联网信息办公室联合信息化部、公安部、国家认证认可监督管理委员会等部门于2017年发布了一批网络关键设备和网络安全专用产品的目录, 目录内的设备和产品需按照国家标准的要求进行强制认证和检测, 进一步体现了国家对网络安全的重视. 网络安全产品—安全隔离与信息交换产品(网闸)出现在本次公布的目录之内, 且在目录中给出了网闸产品进入网络安全专用产品需要具备的条件. 条件中明确的对网闸性能进行了要求, 即吞吐量≥1 Gbps, 系统延时≤5 ms [1].国标《GB/T 20279-2015信息安全技术 网络和终端隔离产品安全技术要求》中对于网络隔离产品也具有性能要求, 即交换速率大于1000 Mbps, 硬件切换时间小于5 ms. 本文针对网络安全专用产品以及国标中的性能要求分别设计了网闸产品的性能测试方法, 并通过实验进行分析[2,3].1 网络隔离产品介绍1.1 网络隔离产品分类网络隔离产品主要分为网闸和协议隔离. 网闸在结构上以二主机加专用隔离部件的方式组成, 即由内计算机系统应用 ISSN 1003-3254, CODEN CSAOBNE-mail: csa@ Computer Systems & Applications,2019,28(1):233−238 [doi: 10.15888/ki.csa.006725] ©中国科学院软件研究所版权所有.Tel: +86-10-62661041① 基金项目: 国家重点研发计划(2016YFB0800903)Foundation item: National Key Research and Development Program of China (2016YFB0800903)收稿时间: 2018-05-16; 修改时间: 2018-06-08; 采用时间: 2018-08-15; csa 在线出版时间: 2018-12-26部处理单元、外部处理单元和专用隔离部件组成, 内部处理单元通常连接内部安全域, 外部处理单元连接外部安全域, 专用隔离部件对两个安全域进行物理上的断开, 同时满足数据的交换. 网闸除了实现不同安全域之间的物理断开之外, 在软件功能上还具有身份认证、访问控制、协议剥离等功能, 从而保证不同网络之间数据交换的安全性.协议隔离也起到不同安全域之间的安全数据交换,但是在物理结构上只要求二主机, 并没有强制要求二主机之间具有专有隔离部件, 而是采用协议剥离和转换的方式保证安全. 即两个安全域之间进行数据交换时, 协议隔离产品剥离了TCP/IP协议, 转换为私有协议进行通信和数据传输. 因此协议隔离产品是基于隐匿的安全, 相较于网闸, 网闸的安全性更高[4–6].1.2 网络隔离产品的性能要求在2006版国标《GB/T 20279-2006 信息安全技术网络和终端隔离部件安全技术要求》中并没有对网络隔离产品性能作相关要求, 网络隔离产品也不需要做性能测试, 而在替代其的2015版国家标准中, 对于网络隔离产品的性能提出可选要求, 即所有网络隔离产品均需要进行性能测试, 记录产品的性能测试结果, 但是结果不作为产品是否合格的评价结论. 从国家标准的演进和更新换代来看, 网络隔离产品的性能受到了重视, 但是还没有作为产品是否能够通过认证的测试条目.网络隔离产品和其他安全产品类似, 也涉及到数据的交换, 国家互联网信息办公室网络安全专用产品目录中对网闸产品的性能进行了约束, 通过测试其性能是否满足标准, 在技术层面限制了被测网闸是否能够成为网络安全专用产品, 而且该限制是强制的. 因此网络隔离产品的性能受到越来越多的重视.2 网络隔离产品性能测试方法研究本节针对网络安全专用产品和2015版国家标准的要求分别设计网络隔离产品的性能测试方法, 对于网络安全专用产品而言, 其性能要求的网络隔离产品特指网闸.2.1 网络安全专用产品测试方法研究2.1.1 吞吐量网络安全专用产品中对网闸性能的第一个要求是吞吐量. 一般的, 吞吐量是指对网络、设备、端口、虚电路或其他设施, 单位时间内成功地传送数据的数量(以比特、字节、分组等测量). 对于网闸来说, 吞吐量是指在没有帧丢失的情况下, 设备能够接收并转发的最大数据速率.吞吐量与产品的标称值相关, 通常产品的标称值为10 Gbps(万兆), 1 Gbps(千兆)和100 Mbps(百兆), 即在测试时, 测试产品吞吐量与标称值切合程度. 测试吞吐量时, 可以使用软件和硬件两种测试方法, 在使用软件进行测试时, 可以使用iPerf软件进行测试, 使用硬件进行测试时, 可以使用IXIA的IxNetwork模块.2.1.2 系统延时网络安全专用产品中对网闸产品性能的第二个要求是系统延时. 一般的, 延时是指从设备接收端口接收到数据包到转发到设备的目的端口之间的时间间隔.对于网闸来说, 系统延时是指产品一端接收到数据包,处理数据包(安全策略、协议剥离等), 摆渡数据包, 传输到对端处理数据包(协议封装、安全策略)至发送端口的耗时.测试延时的时候, 同样可以使用软件和硬件两种测试方法, 在使用软件进行测试时, 使用iPerf软件发送数据包并使用Wireshark或者Tcpdump网络协议分析工具捕获网络数据包. 使用硬件进行测试时, 同样可以使用IXIA的IxNetwork模块.2.1.3 软件测试方法(1) 吞吐量iPerf软件是用于主动测量IP网络上最大可实现带宽的工具, 因此可以使用其进行产品吞吐量的测试,在测试时, 选择2台性能较好的PC机, 此处性能较好指的是不能够低于被测产品标称的吞吐量数值, 如使用千兆的PC机去测量万兆产品的性能, 显然是无法测试出吞吐量的实际值的. 选择好PC机后, 还需要选择一台时间服务器, 提供NTP服务, 为什么需要NTP服务器, 下文介绍测试延时指标时会再做说明. 测试拓扑如图1所示, 在PC1和PC2上打开iPerf软件并分别运行于服务器和客户端模式, 使用客户端向服务器发送数据包的方式进行产品吞吐量的测试.(2) 系统延时iPerf软件虽具有测试延时抖动等参数的功能, 但是不具有测试延时的功能. 因此测试时使用网络协议分析工具配合, 获取同一个数据包到达接收端口和目标端口的时间, 计算时间差值. 但是使用这种方法时首先要在产品内部设置合适的MTU值或者数据包协议剥离、封装的模式, 使数据包不要分片, 即保持输入数计算机系统应用2019 年 第 28 卷 第 1 期据包和输出数据包的一致性; 其次要保证网闸连接内部安全域主机和连接外部安全域主机的主机时间的一致性, 因此需要用到上文提到的NTP 服务器做时间同步. 但是经过多次测试, 受网闸内部晶振等影响, 时间无法保持绝对一致, 总会出现ns 级甚至ms 级别的误差, 因此在做实验前, 除了进行时间同步, 还需要提前计算时间误差, 在计算延时时, 将时间误差计算在内,可获得相对精确的延时测试结果.NTP 服务器PC1PC2被测网闸产品图1 iPerf 软件测试拓扑图2.1.4 硬件测试方法使用IXIA 硬件进行测试时, 环境和配置方法较为简单便捷, 开启IXIA IxNetwork 客户端软件, 选择RFC 2544测试模块, 分别进行流配置(配置端口、IP 地址和传输方向), 协议选择(选择需要使用的协议,如TCP 或者UDP), 流选项(字节大小、起始延时等),开始参数(延时的计算方式等), 测试参数(测试时间、测试的轮数等). 测试拓扑如图1所示, 设备与IXIA 使用网线直连, 由IXIA 分别模拟服务器和客户端进行吞吐量和延时的测试. 测试结束后可由IXIA 直接得出被测设备的吞吐量和延时.被测网闸产品IXIA图2 IXIA 硬件测试拓扑图2.2 国标性能测试方法研究2.2.1 交换速率一般的, 交换速率又称传输速度, 指单位时间内在数据传输设备传送的比特、字符或消息的平均值. 因此交换速率更加接近于设备实际工作时的传输速度,即吞吐量测试设备的极限值, 而交换速率测试设备的实际工作值. 交换速率可以以两个指标来衡量, 最大交换速率(吞吐量)和实际工作交换速率.最大交换速率的测试方法, 上节已有介绍, 可以使用软件或者硬件进行测试, 下面简要说明实际工作交换速率的测试方法.根据网闸实现机制和支持的协议的不同, 网闸的实际工作方式多样. 但是目前网闸基本都支持文件交互或同步(个别应用于工控领域的网闸不支持文件传输), 因此在测试网闸的实际交换速率的时候, 可以使用传输文件的方式进行测试, 计算整个文件同步完成后, 所消耗的时间, 根据文件大小计算网闸在实际应用环境中的交换速率, 来确定交换速率是否达到国家标准中交换速率大于1000 Mbps 的要求.2.2.2 硬件切换时间因网闸特殊的硬件结构, 如2.1节所述, 网闸内部具有切换开关, 用来断开内外部安全域的直接相连, 因此硬件开关的切换速度, 切换时所消耗的时间, 关系到网闸的传输性能, 切换时间可以使用如下方法计算.T =C /V 网闸内部结构图如图3所示, 查阅隔离部件内部缓存大小, 设为C , 使用上节计算的交换速率, 设为V ,则切换时间的计算公式为. 这种计算方法在已计算出交换速率的情况下, 通过查阅隔离部件内部缓存大小的方法计算得出隔离开关在整个打开到闭合结束的时间. 但是这种计算方法并不准确, 误差出现在隔离部件内部缓存大小标称不准确和每次进行数据交换时, 向隔离部件内(摆渡区)写入的数据量不可能完全相同. 因此这种计算方式存在的误差较大. 目前国家标准中关于切换时间的性能指标被系统延时取代, 即使用网络安全专用产品的性能指标, 因为该指标包括了硬件切换时间和网闸对数据包的处理所消耗的时间,更能体现网闸的真实延时性能[7,8].外部安全域内部安全域隔离部件B C A 外部主机内部主机摆渡区隔离开关网闸图3 网闸产品内部结构图2019 年 第 28 卷 第 1 期计算机系统应用3 性能测试实验前一章中已经介绍了网闸的性能测试方法, 本章根据上一章介绍的方法对网络安全专用产品中要求的网闸性能进行测试并进行结果分析.以标称值为千兆的网闸产品为例, 分别使用软件和硬件的测试方法进行吞吐量和系统延时测试.3.1 软件方法测试测试拓扑如图1所示, 选择2台千兆性能的测试PC(PC1和PC2), 均安装iPerf 软件. 在PC1上启用iPerf 软件并设置为服务器模式, 在PC2上启用iPerf 软件并设置为客户端模式, 使用六类线将两台PC 直连, 测试PC 机的最大数据包传输速率. 确认两台PC 直连数据包传输速率能够到达1 Gbps, 即能够达到千兆网闸吞吐量的标称值[9,10].测试步骤如下:步骤1. 网闸工作于代理模式, 并配置一条从外到内的单向UDP 全通策略, 使基于UDP 的数据流能够正常通过网闸, 而不被网闸阻断(注: 个别产品需要配置UDP 源和目的端口);步骤2. 对网闸的内部、外部安全域主机(简称内部主机和外部主机)进行与NTP 服务器的校时, 校时结束后, 记录2台主机之间的时间误差, 如图4所示;图4 使用NTP 校时后的网闸内、外部主机时间步骤3. 将网闸串联在PC1和PC2之间, 并使PC1连接网闸内部主机, PC2连接网闸外部主机, 并在网闸的内部、外部主机上开启流量分析软件(如Wireshark 或Tcpdump);步骤4. 在PC1上运行iPerf 服务器指令iperf -s -u -p 5000 -t 30, 使用UDP 协议并开启UDP 的5000端口, 每30秒统计一次流量;步骤5. 在PC2上运行iPerf 客户端指令iperf -c 192.168.0.1 -u -p 5000 -5 -P 1 -l 1518 -b 1000 M, 连接192.168.0.1的服务器, 并以一个线程向服务器的UDP 5000端口发送流量带宽为1000 Mbps, 字节大小为1518 KB 的数据流;步骤6. 重复发送3次, 记录服务器端的统计结果,并求三次的平均值, 如图5.图5 服务器端的测试结果通过以上步骤能够测试出该网闸的吞吐量和系统延时, 在计算系统延时的时候, 需要将内、外部主机上获取的对应的数据包时间差再减去内外网主机之间的时间误差.3.2 硬件方法测试3.2.1 实验步骤测试拓扑如图2所示, 测试步骤如下:步骤1. 网闸工作于代理模式, 并配置一条从外到内的单向UDP 全通策略, 使基于UDP 的数据流能够正常通过网闸, 而不被网闸阻断(注: 个别产品需要配置UDP 源和目的端口);步骤2. 将网闸的内外部主机测试网口与IXIA 直连, 使用IxNetwork 配置IXIA 的测试参数;步骤3. 在IXIA 上选择测试端口, 并配置IP 地址,填入网闸的内外网主机地址作为网关地址;步骤4. 配置流方向, 将IXIA 的数据流打向网闸的代理端口, 选择快速测试中的RFC2544, 吞吐量/延时测试用例, 在用例中进行参数配置, 选择二分法, 使用固定1518字节的UDP 数据包测试吞吐量, 并同时计算延时, 测试三次, 取平均值. 配置界面如图6所示,测试结果如图7所示.由测试结果可以看出, 被测网闸在千兆环境下能够按照线速进行数据包转发, 即千兆速率下未丢包, 但是L2层的统计结果却显示986 Mbps, 小于1000Mbps, 是因为IXIA 在进行发包测试时插入了前导码,且发包时也具有帧间隙, 导致了统计结果略小.计算机系统应用2019 年 第 28 卷 第 1 期图6 IXIA IxNetwork 参数配置界面图7 测试结果理论上, 通过使用硬件和软件的测试方法均能够测试出网闸的性能参数, 但是通过测试结果分析, 使用硬件测试的结果更能够体现网闸性能的极限值, 且硬件设备配置过程简单, 可以直接得出实验结果, 系统延时不需要进行计算, 但是在不具有昂贵的硬件设备的情况下, 软件测试方法的测试结果同样在合理范围内.3.2.2 统计结果及分析使用硬件测试方法对2款百兆网闸、10款千兆网闸和2款万兆网闸的的吞吐量和系统延时分别进行测试, 测试结果的分布如图8所示.本文基于网络安全专用产品目录中对网闸性能的要求和网络隔离产品国家标准中对网闸性能的要求入手, 设计了基于软件和硬件的性能测试方法, 并使用设计的测试方法对网闸的吞吐量和系统延时进行了测试,证明了测试方法的有效性. 同时, 随机选取了14款网闸, 包括2台百兆性能、2台万兆性能和10台千兆性能的产品, 对其性能进行了测试, 得出了性能的分布情况和网闸的性能瓶颈.4 结语本文基于网络安全专用产品目录中对网闸性能的要求和网络隔离产品国家标准中对网闸性能的要求入手, 设计了基于软件和硬件的性能测试方法, 并使用设计的测试方法对网闸的吞吐量和系统延时进行了测试,证明了测试方法的有效性. 同时, 随机选取了14款网闸, 包括2台百兆性能、2台万兆性能和10台千兆性能的产品, 对其性能进行了测试, 得出了性能的分布情况和网闸的性能瓶颈.>5<55>1<10.85.84 G/0.15 ms97.21 M/1.65 ms2.57.50.510.99 Gpbs/0.60 ms 0.87 Gpbs/3.35 ms0.89 Gpbs/1.95 ms0.99 Gpbs/3.15 ms0.73 Gpbs/5.08 ms万兆网闸百兆网闸0.99 Gpbs/4.35 ms0.62 Gpbs/4.15 ms0.33 Gpbs/8.60 ms0.50 Gpbs/4.00 ms0.11 Gpbs/4.20 ms吞吐量 (Gbps)98.87 M/3.12 ms 4.82 G/1.89 ms系统延时 (m s )图8 14款网闸性能测试结果统计参考文献国家互联网信息办公室. 关于发布《网络关键设备和网络1安全专用产品目录(第一批)》的公告. 2017年第1号.中华人民共和国国家质量监督检验检疫总局, 中国国家标22019 年 第 28 卷 第 1 期计算机系统应用准化管理委员会. GB/T 20279–2015 信息安全技术 网络和终端隔离产品安全技术要求. 北京: 中国标准出版社, 2016.中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GB/T 20277–2015 信息安全技术 网络和终端隔离产品技术评价方法. 北京: 中国标准出版社, 2016.3须文波, 胡晋. MIPS千兆网闸系统实现及其信号完整性设计. 江南大学学报(自然科学版), 2005, 4(4): 419–422. [doi: 10.3969/j.issn.1671-7147.2005.04.022]4寇磊, 周安民, 吴少华. 多用户并发方式的网闸实验系统设计. 四川大学学报(自然科学版), 2008, 45(3): 544–548. [doi: 10.3969/j.issn.0490-6756.2008.03.020]5王锡普, 陈奇. 基于“池”策略的网闸并发连接数提高方法. 6计算机工程, 2011, 37(13): 248–250, 264. [doi: 10.3969/j.issn.1000-3428.2011.13.082]曹旭东, 张实. 基于FPGA的高速网闸交换卡的设计. 科学技术与工程, 2013, 13(22): 6610–6615. [doi: 10.3969/j.issn.1671-1815.2013.22.048]7王樱, 薛滨, 王文奇. 基于LINUX网桥实现隔离网闸技术的应用. 河南科技大学学报: 自然科学版, 2008, 29(5): 26–29.8傅雷扬, 朱军, 饶元. 一种跨网闸数据传输系统的设计与实现. 计算机与数字工程, 2016, 44(10): 1996–2000. [doi: 10.3969/j.issn.1672-9722.2016.10.028]9寇雅楠, 李增智, 王建国, 等. 计算机软件测试研究. 计算机工程与应用, 2002, (10): 103–105. [doi: 10.3321/j.issn:1002-8331.2002.10.034]10计算机系统应用2019 年 第 28 卷 第 1 期。

网络测试方案和计划1.集团客户互联网专线业务测试图1-1 互联网专线测试连接图测试前在客户端完成互联网相关参数配置，含IP地址、子网掩码、网关、主/备用DNS、带宽等。

1.1.连通性测试测试目的：测试用户是否可以正常连通业务网关（或SR路由器）、DNS 设备测试通过标准：在PC机上分别可以ping通归属业务网关（或SR路由器）、DNS的IP地址。

测试方法：1、按图1-1在客户侧数通设备上连接PC机；2、在PC机上ping 归属的业务网关（或SR路由器）、DNS的IP地址；3、记录测试结果，并保存ping操作截图。

1.2.平均时延测试测试目的：测试客户侧数通设备分别与归属的业务网关（或SR路由器）、DNS设备之间传送数据包的时延。

测试通过标准：客户侧数通设备与归属的业务网关（或SR路由器）之间发送数据包时，选取的不同包长下的单向平均时延数值均不大于10ms；与DNS之间发送数据包时，选取的不同包长下的单向平均时延数值均不大于25ms。

测试方法：1、将PC机或者测试仪表连接到客户侧数通设备上；2、在设备吞吐量范围内选取三个不同包长（1500B、800B、64B，）进行测试，设置合适的数据包发送频率使带宽负荷在70％以下，建议每秒发送一个数据包；3、在PC机上或者测试仪表上分别ping业务网关（或SR路由器）、DNS的IP地址，每个包长持续ping测试次数n=1000次，得出每个包长下的双向时延数值，取其算术平均值，除以2作为单向时延；4、记录测试结果。

1.3.丢包率测试测试目的：测试客户侧数通设备分别与归属的业务网关（或SR路由器）、DNS设备之间的丢包率。

测试通过标准：在客户侧数通设备分别与归属的业务网关（或SR路由器）、DNS设备之间发送数据包时，选取的不同包长下的丢包率均不大于1%。

测试方法：1、将PC机或者测试仪表连接到客户侧数通设备上；2、在设备吞吐量范围内选取三个不同包长（1500B、800B、64B，）进行测试，设置合适的数据包发送频率使带宽负荷在70％以下，建议每秒发送一个数据包；3、在PC机上或者测试仪表上分别ping业务网关（或SR路由器）、DNS的IP地址，每个包长持续ping测试次数n=1000次，得出每个包长下的丢包率；4、记录测试结果。

无线局域网测试方案目录第1章概述 (2)1.1总体需求分析 (2)第2章测试范围及设备 (2)2.1厂家需要提供设备 (2)2.2厂家需要提供测试软件 (2)2.3测试拓扑图 (3)第3章测试内容 (4)3.1基础性能测试 (4)3.1.1零配置轻量级AP管理 (4)3.1.2用户在不同AP下接入相同SSID的动态VLAN分配 (5)3.1.3室内AP的MESH连接 (6)3.2无线性能指标测试 (6)3.2.1802.11abg AP接入802.11a/b/g终端上行吞吐率测试 (6)3.2.2802.11a/b/g AP接入802.11a/b/g终端下行吞吐率测试 (7)3.2.3802.11a/b/g AP接入802.11a/b/g终端上、下行吞吐率测试 (8)3.3安全性测试 (9)3.3.1认证加密支持能力 (9)3.3.2非法AP的检测及压制 (10)3.3.3无线IDS/IPS功能 (11)3.3.4SSID信息保密 (12)3.3.5假冒IP地址阻断 (13)3.3.6无线控制器失效对AP的影响 (14)3.3.7无线接入用户之间的隔离 (15)3.4管理维护 (16)3.4.1客户端RF链路检测 (16)3.4.2客户端的远程排障功能 (17)3.4.3实时热感图 (19)3.4.4非法AP、终端实时定位 (19)3.4.5无线网络状态仪表盘（设备、终端、协议...） . (20)3.4.6无线设备状态管理 (21)3.4.7终端设备状态 (22)3.4.8无线安全管理 (23)第1章概述1.1总体需求分析第2章测试范围及设备本方案规定了WLAN接入设备的测试项目、测试要求、测试范围和测试内容等，提出了WLAN接入设备的功能、安全、性能、管理和维护等的测试要求。

2.1厂家需要提供设备2.2厂家需要提供测试软件2.3测试拓扑图局域网无线控制器AP-1Radius/DHCP Sever802.11a/b/g SwitchAP-2 AP-3PC2PC1第3章测试内容3.1基础性能测试3.1.1零配置轻量级AP管理测试目的：检测AP是否为零配置，能够满足快速的运营部署测试拓扑：测试过程：1．清空当前AP的所有配置2．在AP侧通过Console查看AP配置为初始化配置3．在控制器上配置SSID、认证方式、用户隔离、SSID对应的802.11协议类型4．将AP接入到交换机上，并使其能够与控制器进行关联测试要求：AP关联后无线客户端可以扫描到配置的SSID，其接入认证方式以及接入的802.11协议类型与控制器相符，无需在AP上进行二次配置。

网闸测试报告
报告编写人：XXX
报告编写日期：XXXX年XX月XX日
一、测试目的
本次网闸测试的主要目的是测试网闸的性能，判断其能否满足用户需求。

二、测试环境
1.硬件环境：
CPU：Intel(R)Core(TM)*******************
内存：16GB
存储：500GB SSD
2.软件环境：
系统：Windows 10 64位操作系统
测试工具：Iperf，Wireshark，Dig，Ping
三、测试结果
1.性能测试：
（1）带宽测试：连接速率为100Mbps，测试5分钟，吞吐率为98Mbps。

（2）连接测试：通过Dig命令测试，连接成功率为100%。

2.安全测试：
（1）端口扫描测试：运行Nmap工具，扫描网闸开放的端口，结果显示无开放端口。

（2）防火墙测试：通过Wireshark工具模拟攻击流量，结果显
示网闸成功阻止了攻击。

四、测试结论
本次网闸测试结果表明，该网闸的性能优异，能够满足用户在
网络安全、带宽等方面的需求。

五、测试建议
建议开发人员继续优化该网闸的性能，提高其负载能力和数据
处理能力。

六、附录
测试截图、日志文件等详细信息请见附件。

以上是本次网闸测试报告的全部内容，如有需要请查阅附件。

一、引言本文档旨在提供一个详细的网闸方案，以帮助企业和组织在网络上实现安全访问控制和数据流控制。

网闸（Network Gateway）是一种网络设备，用于管理网络流量和保护网络安全。

通过合理配置和使用网闸，可以实现网络的安全性、可用性和性能的最佳平衡。

二、背景随着互联网的迅速发展，组织面临着越来越多的网络攻击，如恶意软件、网络入侵和数据泄露等。

而无论是家庭用户还是企业用户，都需要一个有效的网闸方案来保护网络安全。

基于此，我们提出了以下网闸方案，旨在提供全面的网络安全保护。

三、网闸方案的目标我们的网闸方案旨在实现以下目标：1.提供全面的访问控制：通过网闸，可以实现对网络流量的精细控制和过滤，阻止未经授权的访问和有害内容的传输。

2.保障网络安全：通过防火墙、入侵检测和防病毒功能，有效地防止网络攻击和恶意软件的传播。

3.提供高性能和可用性：网闸应具备高性能，能够处理大量的网络流量；同时，网闸也应具备高可用性，以确保网络的连续性和稳定性。

4.简化管理和维护：网闸应提供简化管理和维护的功能，包括自动更新、日志记录、远程管理等。

四、网闸方案的实施步骤为了实现上述目标，我们建议采取以下步骤来实施网闸方案：1. 需求分析在开始实施之前，我们首先需要对组织的需求进行全面的分析和评估。

这包括对网络流量、安全威胁、用户需求等方面的调研和了解。

通过需求分析，可以明确网闸的功能和特性，为后续的实施和配置提供指导。

2. 设备选型根据需求分析的结果，我们需要选择适合组织的网闸设备。

选择合适的设备需要考虑多个因素，如性能、功能、可靠性、价格等。

在选型过程中，还可以考虑与现有网络设备的兼容性以及未来的扩展和升级需求。

3. 网闸配置选定合适的网闸设备后，我们需要对其进行配置。

配置包括网络拓扑结构的规划、IP地址分配、安全策略的定义等。

配置过程应根据需求分析的结果来进行，确保网闸能够满足组织的实际需求。

4. 安全策略的定义安全策略是网闸的核心组成部分，用于控制和管理网络流量。

网络卫士安全隔离与信息交换系统
测试方案
2011年9月
第一部分测试环境图1 产品功能测试环境
第二部分测试依据
检测所依据的标准为：国家保密标准BMB16-2004《涉及国家秘密的计算机信息系统安全隔离与信息交换系统产品技术要求》
第三部分产品功能测试3.1配置管理界面测试
3.2 HTTP信息交换功能测试
3.3 SMTP邮件交换功能测试
3.4 POP3邮件交换功能测试
3.5 ORACLE数据库信息交换测试
3.6 SQLSERVER数据库信息交换测试
3.7 FTP信息交换测试
3.8 TELNET信息交换测试
3.9 NULL_TCP信息交换测试
3.10网络连通性服务测试
3.11UDP应用测试
第四部分测试总结。

网闸测试方案范文一、简介网络闸是一种用于网络安全的设备，它可以实现对网络流量的监控、过滤和阻断。

网闸测试是为了确保网络闸的功能和性能达到预期要求，保障网络的安全性和可用性。

本方案将介绍网络闸测试的目的、测试对象、测试内容、测试方法和测试步骤。

二、目的通过网闸测试，可以评估网络闸的性能和功能是否达到设计要求，发现和修复潜在问题，提高网络的安全性和可用性。

三、测试对象网络闸设备、网络连接设备、网络测试工具等。

四、测试内容1.功能测试：测试网络闸的基本功能是否正常，包括流量监控、流量过滤和流量阻断功能。

2.性能测试：测试网络闸的处理能力和性能指标，如带宽、吞吐量、延迟等。

3.安全性测试：测试网络闸的安全性，包括入侵检测、流量鉴别和防御能力。

4.高可用性测试：测试网络闸的可靠性和容错能力，包括故障切换、容灾恢复和负载均衡等。

5.兼容性测试：测试网络闸与其他网络设备和应用的兼容性。

6.可扩展性测试：测试网络闸的可扩展性，包括设备的数量和规模的扩展。

五、测试方法1.功能测试：通过构造各种网络流量并进行监控、过滤和阻断来测试功能是否正常。

可以使用网络流量发生器、网络测试工具等进行测试。

2.性能测试：通过发送大量的网络流量进行测试，测量网络闸的处理能力和性能指标。

可以使用网络流量发生器和性能测试工具等进行测试。

3.安全性测试：通过模拟各种攻击和入侵行为来测试网络闸的安全性。

可以使用网络安全测试工具和漏洞扫描工具等进行测试。

4.高可用性测试：通过模拟各种故障和故障恢复情况来测试网络闸的可靠性和容错能力。

可以使用云平台搭建测试环境进行测试。

5.兼容性测试：通过将网络闸与其他网络设备和应用进行连接和通信来测试兼容性。

可以使用真实的网络设备和应用进行测试。

6.可扩展性测试：通过增加网络闸的数量和规模来测试可扩展性。

可以使用集群搭建测试环境进行测试。

六、测试步骤1.制定测试计划：明确测试目标、测试内容、测试方法和测试时间等。

网闸测试方案
HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络卫士安全隔离与信息交换系统
测试方案
2011年9月
第一部分测试环境
图1 产品功能测试环境
第二部分测试依据
检测所依据的标准为：国家保密标准BMB16-2004《涉及国家秘密的计算机信息系统安全隔离与信息交换系统产品技术要求》
第三部分产品功能测试
3.1配置管理界面测试
3.2 HTTP信息交换功能测试
3.3 SMTP邮件交换功能测试
3.4 POP3邮件交换功能测试
3.5 ORACLE数据库信息交换测试
3.6 SQLSERVER数据库信息交换测试
3.7 FTP信息交换测试
3.8 TELNET信息交换测试
3.9 NULL_TCP信息交换测试
3.10网络连通性服务测试
3.11UDP应用测试
第四部分测试总结。

网闸的测试分为两大模块，一是验证是否真的实现了网络隔离，二是验证是否实现了特定的功能交换模块。

如下图所示。

网络隔离断开的测试网闸的内部主机和外部主机物理层的断开通过控制逻辑来实现。

控制逻辑被固化在独立的CPLD 控制电路里，一般用户没有特定的环境来进行检查，因此不适合进行实验验证。

但可以通过逻辑检查验证。

由于OSI模型的物理层与数据链路层是捆绑在一起的，如以太卡与以太协议，串口卡与串口通信协议等，因此可以直接测试TCP/IP模型的链路层的断开，等同于OSI模型中的物理层和数据链路层的断开。

测试原理如下：从网闸的外部主机或内部主机的管理终端（Console）登录，检查所有的通信与网络接口;仔细确认每一个通信接口的用途; 仔细地检查外部主机与内部主机的连线，连接的设备。

对这些通信接口加载正常的通信协议，如果外部主机和内部主机可以进行正常通信，则没有实现物理层和数据链路层的断开。

反之，如果外部主机与内部主机没有连接的通信接口，内部主机看不到外部主机，也无法进行通信会话，则内部主机与外部主机是网络隔离的。

链路断开的测试，主要是依据TCP/IP协议栈描述的链路连通的原理来进行测试的。

TCP/IP协议栈包含有TCP、IP、ICMP、ARP、RARP等协议，相关扩展主要是路由。

因此，选择了PING、TraceRoute、SYN、ARP构成一个链路连通的测试集。

在确认了OSI模型的物理层和数据链路层的断开之后，链路连通性测试会失败。

如果通过网闸可以PING通，也意味着链路层没有断开。

链路连通存在基于通信协议攻击的安全隐患。

即使TCP/IP剥离了，应用协议也剥离了，如果网络的物理层和数据链路层没有断开，也是不安全的。

黑客可以通过链路层入侵操作系统。

代理型防火墙的不足就是这一点。

对网闸的OSI模型的第三层和第四层的网络隔离测试较为容易。

如果网闸剥离了所有的TCP/IP 协议，在网闸交换的数据，一定是原始数据，没有IP包、TCP包、UDP包，不可能泄露内部网络结构。

网闸测试方案1. 引言本文档旨在提供一种有效的网闸（Firewall）测试方案，以确保网络安全和防护措施的有效性。

网闸作为网络安全的重要组成部分，扮演着监控、过滤和阻止不安全网络流量的角色。

通过进行系统化的测试和评估，可以发现潜在的漏洞和弱点，从而改进和提升网络安全性。

2. 测试目的网闸测试的主要目的是评估网闸实施的安全策略、规则和配置是否满足预期，以及检测和修复潜在漏洞和安全风险。

通过网闸测试，可以确保网闸能够按照设计的预期行为对网络流量进行过滤和阻止。

3. 测试方法为了有效地测试网闸的安全性和防护性能，可以采用以下测试方法：3.1 黑盒测试黑盒测试是指在不考虑内部实现细节的情况下，仅根据输入和输出的需求对系统进行测试。

对于网闸的黑盒测试，可以模拟多种恶意攻击，包括但不限于：端口扫描、DoS（拒绝服务）攻击、SQL注入等。

通过模拟这些攻击，可以评估网闸对于不同类型攻击的防护能力。

3.2 白盒测试白盒测试是指测试人员具有系统内部实现细节的全部或部分信息的情况下进行的测试。

对于网闸的白盒测试，可以深入了解网闸的配置和规则，并通过验证这些配置和规则的正确性来评估网闸的安全性。

白盒测试还可以检查是否存在配置错误、访问控制不当以及其他潜在的弱点。

3.3 性能测试除了安全性测试外，性能测试也是网闸测试的重要一环。

性能测试可以评估网闸的处理能力和资源利用率。

通过模拟真实场景的流量负载，可以测试网闸在高负载情况下的稳定性和性能表现。

4. 测试步骤以下是进行网闸测试的一般步骤：4.1 确定测试需求在开始测试之前，需要明确测试目标和测试需求。

确定要测试的网闸功能、安全策略和性能指标。

4.2 设计测试用例根据测试需求，设计一系列的测试用例，覆盖不同的攻击场景、安全策略和性能要求。

4.3 进行测试按照设计的测试用例，进行测试操作。

记录测试过程中的数据、日志和结果。

4.4 分析测试结果根据测试结果对网闸的安全性、防护能力和性能进行分析。

网闸测试方案随着互联网技术的不断发展，网络安全问题愈发受到关注。

在大规模网络环境中，网闸作为网络安全的第一道防线，起到了至关重要的作用。

然而，无论是硬件设备还是软件系统，网闸都需要经过一系列的测试和验证，以确保其稳定性和安全性。

本文将探讨一种有效的网闸测试方案。

一、测试目标与测试方法选择在制定网闸测试方案时，首先需要明确测试的目标。

通常来说，网闸测试主要包括安全性测试、性能测试和兼容性测试。

安全性测试旨在验证网闸对恶意攻击、病毒和非法入侵的防御能力。

性能测试则关注网闸处理大流量数据时的稳定性、吞吐量和延迟等指标。

兼容性测试则测试网闸与其他网络设备或系统的兼容性。

针对不同的测试目标，可以选择不同的测试方法和工具进行测试。

二、测试环境的搭建为了保证测试结果的准确性和可重复性，需要建立真实可靠的测试环境。

测试环境应该包括真实的网络拓扑、网络设备和应用系统。

网络拓扑可以根据实际情况进行搭建，包括路由器、交换机、防火墙等网络设备。

同时，还需要模拟真实的攻击场景，以测试网闸的抗攻击能力。

为了降低测试成本和风险，可以使用虚拟化技术搭建测试环境。

三、安全性测试安全性是一个网闸最核心的功能，因此安全性测试是至关重要的环节。

安全性测试应该覆盖各种攻击手段和攻击方式，包括端口扫描、拒绝服务攻击、SQL注入等。

测试工程师可以使用黑盒测试和白盒测试相结合的方式来进行安全性测试。

黑盒测试关注从攻击者的角度来模拟攻击行为，白盒测试则关注网闸内部的安全机制和算法。

根据测试结果，及时修复和改进网闸的安全性能。

四、性能测试性能测试是评估网闸在处理大流量和高并发的情况下的能力。

为了准确测量性能，测试工程师可以使用压力测试工具模拟真实的网络环境和流量。

通过逐渐增加负载、观察网闸的响应时间和吞吐量等指标，并对其进行分析和优化。

性能测试还可以测试网闸在不同负载场景下的稳定性，以及应对峰值流量时的能力。

五、兼容性测试兼容性测试主要关注网闸与其他网络设备或系统的兼容性。

1. 引言网闸是一种网络设备，用于保护网络中的重要资产免受网络攻击的侵害。

为了确保网闸的可靠性和安全性，需要进行定期的测试。

本文档旨在提供一个完整的网闸测试方案，包括测试目的、测试环境、测试步骤和测试报告。

2. 测试目的网闸测试的主要目的是验证网闸的功能和性能，评估其对网络攻击的防御能力。

具体的测试目标如下： - 验证网闸的基本功能，包括流量过滤、端口封禁、入侵检测等。

- 验证网闸对不同类型网络攻击的防御能力，如DDoS攻击、SQL注入、远程代码执行等。

- 评估网闸的性能，并找出性能瓶颈。

- 跟踪和记录测试过程中的问题，并提供解决方案。

3. 测试环境3.1 网闸配置在测试环境中，需要配置一台网闸设备，并确保其处于正常工作状态。

网闸的配置包括网络拓扑、策略设置等。

3.2 攻击模拟器为了模拟不同类型的网络攻击，需要在测试环境中部署攻击模拟器。

攻击模拟器可以模拟各种攻击类型，如DDoS攻击、网络蠕虫等。

3.3 监控工具监控工具用于监控网闸的性能和异常情况。

在测试环境中，需要配置监控工具，并确保其能够准确地监测网闸的各项指标。

4. 测试步骤4.1 功能测试功能测试旨在验证网闸的基本功能是否正常工作。

测试步骤如下： 1. 配置网闸的基本参数，包括IP地址、子网掩码、网关等。

2. 配置网闸的策略，包括流量过滤规则、端口封禁规则等。

3. 发送不同类型的网络流量到网闸，验证流量过滤、端口封禁等功能是否生效。

4. 验证入侵检测功能，发送恶意流量到网闸，检测网闸能否准确识别和拦截入侵行为。

4.2 性能测试性能测试旨在评估网闸的性能，并找出性能瓶颈。

测试步骤如下： 1. 构建测试场景，包括不同流量负载、并发连接数等。

2. 使用性能测试工具对网闸进行压力测试，记录并分析测试结果。

3. 根据测试结果，评估网闸的性能，并找出性能瓶颈。

4. 提出优化建议，改善网闸的性能。

4.3 安全性测试安全性测试旨在验证网闸对不同类型的网络攻击的防御能力。

利谱网闸性能测试说明针对利谱公司网闸设备，主要在以下三个方面进行了测试，具体测试情况如下：测试环境：测试机1：测试机2：1、文件传输测试1）网闸自身带的文件同步方式内外网文件服务器可将本地指定目录下文件同步到对方服务器指定的目录下的文件夹下。

内外网服务器网卡无论是千兆网卡还是百兆网卡，单文件传输效率都为3-4M/s 。

2）打开文件传输端口和相关协议单文件传输效率，3-4M/s （百兆网卡）， 30M/s千兆网卡。

使用此种方式时网闸没有对文件进行病毒扫描。

备注：在文件传输的测试中，对计算机登录用户密码中有“#”字符不能识别。

反馈给工程师后，他说联系研发人员解决。

网闸自身的文件同步方式中：出现了在单个大文件传输的过程中，文件没有传输完成，但删除源文件后仍然可以传输文件，把掉网线后不传输文件，接上网线后又能自动续传。

2、数据库异构数据库的传输1）网闸自带的数据传输功能oracle 到 sql ：一张表（每条记录8字段），一秒钟能传输10条数据。

（源数据库和目标数据库表结构，主键值必须一样）备注：一开始测试不成功，网闸底层的病毒检测机制造成，联系研发工程师后，修改网闸底层病毒功能，关掉此功能后，才能够正常进行数据传输。

而且在传输的过程中只有源数据库中表的拥有者用户才能传输数据，普通具有查看权限的用户不能传输数据。

2）采用端口映射的方式：oralce开1521，sql开1443端口。

用sql2005自带的数据导入导出功能，使用100M网线。

每秒3万条数据，测试源数据库表中共有88627779条记录（每条记录28个字段）3、远程桌面，网页访问采用端口映射，并打开相应协议即可。

备注：此种方式是双向交互式，安全性是否符合国家保密要求待定。

远程桌面的操作流量：普通用户连接远程桌面消耗100kb/s以下。

连接公务员门户峰值会到达200kb/s，正常在100kb/s一下，观看视频消耗网络资源在2-3Mb/s整体感觉不太稳定，许多问题都是联系网闸开发工程师，现场修改网闸底层软件，边用边修改。

一、测试总体原则：以不影响业务运行为前提，选取部分网点实现带宽精准测定。

二、测试时间：因本次带宽测试涉及到网点交换机，考虑到网点的营业时间，建议测试时间选定在网点下班之后的18点-17点。

三、测试范围：本次测试采取抽样法进行测试，只对辖内的2个左右的网点进行测试，最好是选取下班之后ATM业务量不大的网点进行，为了控制测试的影响范围，因此需选定具有双线路、点对点的网点（注：“双线路”即为同一网点租用两家不同运行商的链路，“点对点”为下联华为S9306交换机的一个电口只对应一个网点），当其中一条链路中断时，另外一条仍能正常保证业务的正常通讯。

因省分行营业部比较特殊，网点皆为点对多点类型链路，故应选取汇聚到S9306交换机不同端口的两个网点。

四、风险及防范：为了在测试期间保持业务运行的稳定及持续，请各行在进行测试前先要测试选择的网点的两条通讯链路的状态是否正常，只有在保证两条链路均正常通讯的情况下方可进行带宽测试，避免因带宽测试导致影响业务运行的事件发生。

五、测试人员：因本次带宽测试的结果将作为我行跟运行商进行协商沟通的主要依据，故请各行在测试之前要求各家运行商派专人来参与见证测试的过程，并签字确定测试结果。

六、建议以下两种测试方式：1、端到端直连测试：为了排除测试过程中各路由器及交换机等设备对测试数据的影响，保证测试结果的精准度，可采用通讯链路端到端的直连测试。

具体方法如下：二级分行及网点两端的运营商传输设备端口利用网线直连笔记本，通过传输大文件来测试传输的速率。

建议除省分行营业部以外的其他二级分行使用此测试方法。

2、FTP传输测试：在二级分行端建立FTP服务器，由网点端PC机来进行文件下载和上传进行测试。

省分行营业部宜采用此方法。

七、测试准备：1、准备好具有能够看到数据传输流量功能的电脑，windows 7操作系统的电脑本身带有传输流量查看功能，其他操作系统类型电脑需下载可以查看传输流量的软件工具。