DPtechFW1000系列防火墙系统测试方案讲解

DPtech FW1000测试方案

杭州迪普科技有限公司

2011年10月

目录

DPtech FW1000测试方案 (1)

第1章产品介绍 (1)

第2章测试计划 (2)

2.1测试方案 (2)

2.2测试环境 (2)

2.2.1 测试环境一 (2)

2.2.2 测试环境二 (2)

第3章测试内容 (4)

3.1性能特性 (4)

3.2功能特性 (4)

3.3管理特性 (4)

3.4安全性 (4)

3.5高可靠性 (4)

第4章测试方法及步骤 (5)

4.1性能测试 (5)

4.2FW功能测试 (7)

4.3DPI功能测试 (13)

4.4管理特性 (14)

4.5安全特性 (15)

第5章测试总结 (17)

第1章产品介绍

目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的FW，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统FW上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。

为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代FW—DPtech FW1000 N系列应用FW。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用FWFW1000-GE-N为例，在开启FW、FWec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。

FW1000 N系列开创了应用FW的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlat OS安全操作系统，是目前业界性能最高的应用FW。无以伦比的高可用性、高性能和高可靠性，使得FW1000 N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用FW方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本！

第2章测试计划

2.1 测试方案

DPtech FW产品主要包括包过滤、NAT、静/动态路由、虚拟FW、多种VPN等几大主体功能，本文档的测试项主要以上述主体功能的测试展开；同时，测试中还涉及到限流等多种响应方式，设备的可管理性、高可靠性等诸多方面的测试，以充分展示设备的完备功能和高性能。

2.2 测试环境

2.2.1 测试环境一

图1 性能测试环境1

设备或软件名称描述数量DPtech FW FW 1

SmartBits 测试设备性能的仪器 1

Switch 交换机 2

2.2.2 测试环境二

图2 性能测试环境2

设备或软件名称描述数量DPtech FW FW 1 Avalanche/Reflecto

性能测试仪器 1

r 2500

第3章测试内容

3.1 性能特性

FW的性能指标为吞吐量、每秒新建数、每秒并发数，性能测试部分将主要针对这几点进行测试。

3.2 功能特性

产品功能包括管理功能、ACL、包过滤、NAT、DPI（攻击防护，防病毒，带宽限速，URL过滤）等几大主体功能，功能测试部分将主要针对这几点进行测试。

3.3 管理特性

为方便IT人员管理，设备提供了良好的可管理性。支持HTTPS等安全管理方式，支持Web的友好界面，简化FW的配置，方便用户操作和维护。特征库的升级支持手动和自动两种方式，用户可根据实际情况随意选择特征库的升级时间。

3.4 安全性

可设置管理员的权限，不同权限的管理员访问设备的功能权限不同。可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。在登录参数设置上，包括超时时间、错误登录锁定和锁定后解锁。

3.5 高可靠性

抗掉电保护，在设备异常掉电后，当FW恢复供电，系统的状态、相关日志和配置信息正常保存。

第4章测试方法及步骤

4.1 性能测试

整机转发吞吐量

测试目的验证FW的整机转发能力

测试条件测试组网：参见图1；

测试过程性能测试仪的两个端口分别与被测设备的端口A和B相连。（端口数量按照客户要求配置，进行Fullmesh网状流量测试）

在FW上配置201条安全策略，前200条均为deny，最后一条为允许全部通过

SmartFlow设置主要参数如下：双向UDP数据包，包长为64、128、256、1024、1518

字节，时长为120秒，且不能匹配前200条策略。

记录测试结果

预期结果帧长64 128 256 512 1024 1280 1518

吞吐量

其它说明和注意事项

测试结果帧长64 128 256 512 1024 1280 1518

吞吐量

每秒新建连接能力

测试目的验证FW每秒新建会话数能力

测试条件测试组网：参见图2；

测试过程FW工作在NAT模式；

设定avalanche测试仪模拟客户端500用户，FW nat转换地址池个数为20；

采用测试仪表仿真客户端与服务器之间的HTTP 通信过程。通过调节通信联接的建立

速率，搜索FW能支持的最大的联接建立速率。

分别在设置一条全允许规则和设置201 条安全控制规则的条件下，完成上述测试过

程，（其中，前200条均为deny，最后一条为允许全部通过）

预期结果FW每秒新建会话能力：

一条全允许规则条件下，最大的新建连接速率________ Connections/Sec

201 条允许规则条件下，最大的新建连接速率________ Connections/Sec