网闸测试方案

网闸测试方案
HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
网络卫士安全隔离与信息交换系统
测试方案
2011年9月
第一部分测试环境
图1 产品功能测试环境
第二部分测试依据
检测所依据的标准为：国家保密标准BMB16-2004《涉及国家秘密的计算机信息系统安全隔离与信息交换系统产品技术要求》
第三部分产品功能测试
3.1配置管理界面测试
3.2 HTTP信息交换功能测试
3.3 SMTP邮件交换功能测试
3.4 POP3邮件交换功能测试
3.5 ORACLE数据库信息交换测试
3.6 SQLSERVER数据库信息交换测试
3.7 FTP信息交换测试
3.8 TELNET信息交换测试
3.9 NULL_TCP信息交换测试
3.10网络连通性服务测试
3.11UDP应用测试
第四部分测试总结。

网闸的测试分为两大模块，一是验证是否真的实现了网络隔离，二是验证是否实现了特定的功能交换模块。

如下图所示。

网络隔离断开的测试网闸的内部主机和外部主机物理层的断开通过控制逻辑来实现。

控制逻辑被固化在独立的CPLD 控制电路里，一般用户没有特定的环境来进行检查，因此不适合进行实验验证。

但可以通过逻辑检查验证。

由于OSI模型的物理层与数据链路层是捆绑在一起的，如以太卡与以太协议，串口卡与串口通信协议等，因此可以直接测试TCP/IP模型的链路层的断开，等同于OSI模型中的物理层和数据链路层的断开。

测试原理如下：从网闸的外部主机或内部主机的管理终端（Console）登录，检查所有的通信与网络接口;仔细确认每一个通信接口的用途; 仔细地检查外部主机与内部主机的连线，连接的设备。

对这些通信接口加载正常的通信协议，如果外部主机和内部主机可以进行正常通信，则没有实现物理层和数据链路层的断开。

反之，如果外部主机与内部主机没有连接的通信接口，内部主机看不到外部主机，也无法进行通信会话，则内部主机与外部主机是网络隔离的。

链路断开的测试，主要是依据TCP/IP协议栈描述的链路连通的原理来进行测试的。

TCP/IP协议栈包含有TCP、IP、ICMP、ARP、RARP等协议，相关扩展主要是路由。

因此，选择了PING、TraceRoute、SYN、ARP构成一个链路连通的测试集。

在确认了OSI模型的物理层和数据链路层的断开之后，链路连通性测试会失败。

如果通过网闸可以PING通，也意味着链路层没有断开。

链路连通存在基于通信协议攻击的安全隐患。

即使TCP/IP剥离了，应用协议也剥离了，如果网络的物理层和数据链路层没有断开，也是不安全的。

黑客可以通过链路层入侵操作系统。

代理型防火墙的不足就是这一点。

对网闸的OSI模型的第三层和第四层的网络隔离测试较为容易。

如果网闸剥离了所有的TCP/IP 协议，在网闸交换的数据，一定是原始数据，没有IP包、TCP包、UDP包，不可能泄露内部网络结构。

网闸测试方案范文一、简介网络闸是一种用于网络安全的设备，它可以实现对网络流量的监控、过滤和阻断。

网闸测试是为了确保网络闸的功能和性能达到预期要求，保障网络的安全性和可用性。

本方案将介绍网络闸测试的目的、测试对象、测试内容、测试方法和测试步骤。

二、目的通过网闸测试，可以评估网络闸的性能和功能是否达到设计要求，发现和修复潜在问题，提高网络的安全性和可用性。

三、测试对象网络闸设备、网络连接设备、网络测试工具等。

四、测试内容1.功能测试：测试网络闸的基本功能是否正常，包括流量监控、流量过滤和流量阻断功能。

2.性能测试：测试网络闸的处理能力和性能指标，如带宽、吞吐量、延迟等。

3.安全性测试：测试网络闸的安全性，包括入侵检测、流量鉴别和防御能力。

4.高可用性测试：测试网络闸的可靠性和容错能力，包括故障切换、容灾恢复和负载均衡等。

5.兼容性测试：测试网络闸与其他网络设备和应用的兼容性。

6.可扩展性测试：测试网络闸的可扩展性，包括设备的数量和规模的扩展。

五、测试方法1.功能测试：通过构造各种网络流量并进行监控、过滤和阻断来测试功能是否正常。

可以使用网络流量发生器、网络测试工具等进行测试。

2.性能测试：通过发送大量的网络流量进行测试，测量网络闸的处理能力和性能指标。

可以使用网络流量发生器和性能测试工具等进行测试。

3.安全性测试：通过模拟各种攻击和入侵行为来测试网络闸的安全性。

可以使用网络安全测试工具和漏洞扫描工具等进行测试。

4.高可用性测试：通过模拟各种故障和故障恢复情况来测试网络闸的可靠性和容错能力。

可以使用云平台搭建测试环境进行测试。

5.兼容性测试：通过将网络闸与其他网络设备和应用进行连接和通信来测试兼容性。

可以使用真实的网络设备和应用进行测试。

6.可扩展性测试：通过增加网络闸的数量和规模来测试可扩展性。

可以使用集群搭建测试环境进行测试。

六、测试步骤1.制定测试计划：明确测试目标、测试内容、测试方法和测试时间等。

网闸测试方案随着互联网技术的不断发展，网络安全问题愈发受到关注。

在大规模网络环境中，网闸作为网络安全的第一道防线，起到了至关重要的作用。

然而，无论是硬件设备还是软件系统，网闸都需要经过一系列的测试和验证，以确保其稳定性和安全性。

本文将探讨一种有效的网闸测试方案。

一、测试目标与测试方法选择在制定网闸测试方案时，首先需要明确测试的目标。

通常来说，网闸测试主要包括安全性测试、性能测试和兼容性测试。

安全性测试旨在验证网闸对恶意攻击、病毒和非法入侵的防御能力。

性能测试则关注网闸处理大流量数据时的稳定性、吞吐量和延迟等指标。

兼容性测试则测试网闸与其他网络设备或系统的兼容性。

针对不同的测试目标，可以选择不同的测试方法和工具进行测试。

二、测试环境的搭建为了保证测试结果的准确性和可重复性，需要建立真实可靠的测试环境。

测试环境应该包括真实的网络拓扑、网络设备和应用系统。

网络拓扑可以根据实际情况进行搭建，包括路由器、交换机、防火墙等网络设备。

同时，还需要模拟真实的攻击场景，以测试网闸的抗攻击能力。

为了降低测试成本和风险，可以使用虚拟化技术搭建测试环境。

三、安全性测试安全性是一个网闸最核心的功能，因此安全性测试是至关重要的环节。

安全性测试应该覆盖各种攻击手段和攻击方式，包括端口扫描、拒绝服务攻击、SQL注入等。

测试工程师可以使用黑盒测试和白盒测试相结合的方式来进行安全性测试。

黑盒测试关注从攻击者的角度来模拟攻击行为，白盒测试则关注网闸内部的安全机制和算法。

根据测试结果，及时修复和改进网闸的安全性能。

四、性能测试性能测试是评估网闸在处理大流量和高并发的情况下的能力。

为了准确测量性能，测试工程师可以使用压力测试工具模拟真实的网络环境和流量。

通过逐渐增加负载、观察网闸的响应时间和吞吐量等指标，并对其进行分析和优化。

性能测试还可以测试网闸在不同负载场景下的稳定性，以及应对峰值流量时的能力。

五、兼容性测试兼容性测试主要关注网闸与其他网络设备或系统的兼容性。

网闸测试方案【网闸测试方案】一、引言随着互联网的迅猛发展，信息安全问题受到了越来越多的关注。

为了保障网络的安全性与可靠性，网闸测试方案应运而生。

本文将详细介绍网闸测试方案的制定与实施。

二、测试目的网闸测试的主要目的是验证和评估网络安全设备的功能及其防护策略的有效性，以及对网闸的性能指标进行全面的测试和评估，为网闸的优化和改进提供基础数据。

三、测试流程1.需求分析：明确测试的目标和范围，确定测试的关键指标和评估标准。

2.测试计划：制定详细的测试计划，包括测试环境的搭建、测试用例的设计等。

3.测试准备：准备测试所需的硬件设备和软件环境，确保测试的可靠性和可行性。

4.功能测试：通过切实可行的测试用例，测试网闸设备的各项功能是否正常运行。

5.性能测试：测试网闸设备在大流量、高并发等环境下的性能表现，评估其负载能力。

6.安全漏洞测试：模拟各种攻击方式，测试网闸设备对不同类型攻击的防护能力。

7.稳定性测试：通过持续运行各项功能和性能测试，评估网闸设备的稳定性和可靠性。

8.数据分析与评估：对测试结果进行数据分析和评估，形成测试报告，发现问题并提出改进建议。

9.测试总结：总结测试经验，完善测试流程和方法，为今后的网闸测试提供参考。

四、测试方法1.手工测试：测试人员通过手动操作，模拟实际用户行为，对网闸设备进行功能和性能测试。

2.自动化测试：借助测试工具和脚本，自动执行测试用例，提高测试的效率和准确性。

3.压力测试：通过模拟大量用户请求，测试网闸设备在高负荷情况下的性能表现和稳定性。

4.安全漏洞测试：模拟各种攻击方式，测试网闸设备对恶意攻击的防护能力。

5.兼容性测试：测试网闸设备在不同网络环境和操作系统下的兼容性和稳定性。

五、测试环境搭建测试环境的搭建是网闸测试的前提，需要配置相关硬件设备和软件环境，包括服务器、防火墙、虚拟机等，确保测试的可行性和准确性。

六、测试用例设计测试用例设计是网闸测试的核心环节，需要根据功能需求和性能指标，设计全面、充分的测试用例，确保对网闸设备进行全面的测试和评估。

网络安全专用产品网闸性能测试方法①李　旋, 顾建新, 李　毅(公安部第三研究所 检测中心, 上海 200031)通讯作者: 李　旋, E-mail: lixuan@摘　要: 为解决网络安全专用产品网闸的性能测试问题, 研究了针对网闸产品性能的测试方法, 设计了包括使用iPerf 软件和IXIA 硬件的两种测试方式, 两种测试方式均能够适用于对网闸性能的测试. 同时, 还分析了国家标准中对网闸性能要求的测试方法, 并与网络安全专用产品的性能要求做了对比说明, 最后通过实验的方式, 测试了网络安全专用产品中网闸的吞吐量和系统延时性能指标, 给出了14款网闸产品的性能结果分布.关键词: 网络安全专用产品; 网闸; 性能测试引用格式: 李旋,顾建新,李毅.网络安全专用产品网闸性能测试方法.计算机系统应用,2019,28(1):233–238. /1003-3254/6725.htmlPerformance Test Method for Gap in Network Security Special ProductsLI Xuan, GU Jian-Xin, LI Yi(Testing Center, the Third Research Institute, Ministry of Public Security, Shanghai 200031, China)Abstract : To solve the problem of performance testing for gap of network security special products, a test method for gap performance was studied. Two test methods including the use of iPerf software and IXIA hardware were designed. Both test methods can be applied to the test of gap performance. At the same time, a test method for the performance requirements of gap in the national standards was also analyzed, and a comparative analysis was made with the performance requirements of network security special products. Finally, the throughput and system delay performance for the gap of network security special products are tested through experiments. The distribution results of the 14 gap products are given.Key words : network security special products; gap; performance test国家互联网信息办公室联合信息化部、公安部、国家认证认可监督管理委员会等部门于2017年发布了一批网络关键设备和网络安全专用产品的目录, 目录内的设备和产品需按照国家标准的要求进行强制认证和检测, 进一步体现了国家对网络安全的重视. 网络安全产品—安全隔离与信息交换产品(网闸)出现在本次公布的目录之内, 且在目录中给出了网闸产品进入网络安全专用产品需要具备的条件. 条件中明确的对网闸性能进行了要求, 即吞吐量≥1 Gbps, 系统延时≤5 ms [1].国标《GB/T 20279-2015信息安全技术 网络和终端隔离产品安全技术要求》中对于网络隔离产品也具有性能要求, 即交换速率大于1000 Mbps, 硬件切换时间小于5 ms. 本文针对网络安全专用产品以及国标中的性能要求分别设计了网闸产品的性能测试方法, 并通过实验进行分析[2,3].1 网络隔离产品介绍1.1 网络隔离产品分类网络隔离产品主要分为网闸和协议隔离. 网闸在结构上以二主机加专用隔离部件的方式组成, 即由内计算机系统应用 ISSN 1003-3254, CODEN CSAOBNE-mail: csa@ Computer Systems & Applications,2019,28(1):233−238 [doi: 10.15888/ki.csa.006725] ©中国科学院软件研究所版权所有.Tel: +86-10-62661041① 基金项目: 国家重点研发计划(2016YFB0800903)Foundation item: National Key Research and Development Program of China (2016YFB0800903)收稿时间: 2018-05-16; 修改时间: 2018-06-08; 采用时间: 2018-08-15; csa 在线出版时间: 2018-12-26部处理单元、外部处理单元和专用隔离部件组成, 内部处理单元通常连接内部安全域, 外部处理单元连接外部安全域, 专用隔离部件对两个安全域进行物理上的断开, 同时满足数据的交换. 网闸除了实现不同安全域之间的物理断开之外, 在软件功能上还具有身份认证、访问控制、协议剥离等功能, 从而保证不同网络之间数据交换的安全性.协议隔离也起到不同安全域之间的安全数据交换,但是在物理结构上只要求二主机, 并没有强制要求二主机之间具有专有隔离部件, 而是采用协议剥离和转换的方式保证安全. 即两个安全域之间进行数据交换时, 协议隔离产品剥离了TCP/IP协议, 转换为私有协议进行通信和数据传输. 因此协议隔离产品是基于隐匿的安全, 相较于网闸, 网闸的安全性更高[4–6].1.2 网络隔离产品的性能要求在2006版国标《GB/T 20279-2006 信息安全技术网络和终端隔离部件安全技术要求》中并没有对网络隔离产品性能作相关要求, 网络隔离产品也不需要做性能测试, 而在替代其的2015版国家标准中, 对于网络隔离产品的性能提出可选要求, 即所有网络隔离产品均需要进行性能测试, 记录产品的性能测试结果, 但是结果不作为产品是否合格的评价结论. 从国家标准的演进和更新换代来看, 网络隔离产品的性能受到了重视, 但是还没有作为产品是否能够通过认证的测试条目.网络隔离产品和其他安全产品类似, 也涉及到数据的交换, 国家互联网信息办公室网络安全专用产品目录中对网闸产品的性能进行了约束, 通过测试其性能是否满足标准, 在技术层面限制了被测网闸是否能够成为网络安全专用产品, 而且该限制是强制的. 因此网络隔离产品的性能受到越来越多的重视.2 网络隔离产品性能测试方法研究本节针对网络安全专用产品和2015版国家标准的要求分别设计网络隔离产品的性能测试方法, 对于网络安全专用产品而言, 其性能要求的网络隔离产品特指网闸.2.1 网络安全专用产品测试方法研究2.1.1 吞吐量网络安全专用产品中对网闸性能的第一个要求是吞吐量. 一般的, 吞吐量是指对网络、设备、端口、虚电路或其他设施, 单位时间内成功地传送数据的数量(以比特、字节、分组等测量). 对于网闸来说, 吞吐量是指在没有帧丢失的情况下, 设备能够接收并转发的最大数据速率.吞吐量与产品的标称值相关, 通常产品的标称值为10 Gbps(万兆), 1 Gbps(千兆)和100 Mbps(百兆), 即在测试时, 测试产品吞吐量与标称值切合程度. 测试吞吐量时, 可以使用软件和硬件两种测试方法, 在使用软件进行测试时, 可以使用iPerf软件进行测试, 使用硬件进行测试时, 可以使用IXIA的IxNetwork模块.2.1.2 系统延时网络安全专用产品中对网闸产品性能的第二个要求是系统延时. 一般的, 延时是指从设备接收端口接收到数据包到转发到设备的目的端口之间的时间间隔.对于网闸来说, 系统延时是指产品一端接收到数据包,处理数据包(安全策略、协议剥离等), 摆渡数据包, 传输到对端处理数据包(协议封装、安全策略)至发送端口的耗时.测试延时的时候, 同样可以使用软件和硬件两种测试方法, 在使用软件进行测试时, 使用iPerf软件发送数据包并使用Wireshark或者Tcpdump网络协议分析工具捕获网络数据包. 使用硬件进行测试时, 同样可以使用IXIA的IxNetwork模块.2.1.3 软件测试方法(1) 吞吐量iPerf软件是用于主动测量IP网络上最大可实现带宽的工具, 因此可以使用其进行产品吞吐量的测试,在测试时, 选择2台性能较好的PC机, 此处性能较好指的是不能够低于被测产品标称的吞吐量数值, 如使用千兆的PC机去测量万兆产品的性能, 显然是无法测试出吞吐量的实际值的. 选择好PC机后, 还需要选择一台时间服务器, 提供NTP服务, 为什么需要NTP服务器, 下文介绍测试延时指标时会再做说明. 测试拓扑如图1所示, 在PC1和PC2上打开iPerf软件并分别运行于服务器和客户端模式, 使用客户端向服务器发送数据包的方式进行产品吞吐量的测试.(2) 系统延时iPerf软件虽具有测试延时抖动等参数的功能, 但是不具有测试延时的功能. 因此测试时使用网络协议分析工具配合, 获取同一个数据包到达接收端口和目标端口的时间, 计算时间差值. 但是使用这种方法时首先要在产品内部设置合适的MTU值或者数据包协议剥离、封装的模式, 使数据包不要分片, 即保持输入数计算机系统应用2019 年 第 28 卷 第 1 期据包和输出数据包的一致性; 其次要保证网闸连接内部安全域主机和连接外部安全域主机的主机时间的一致性, 因此需要用到上文提到的NTP 服务器做时间同步. 但是经过多次测试, 受网闸内部晶振等影响, 时间无法保持绝对一致, 总会出现ns 级甚至ms 级别的误差, 因此在做实验前, 除了进行时间同步, 还需要提前计算时间误差, 在计算延时时, 将时间误差计算在内,可获得相对精确的延时测试结果.NTP 服务器PC1PC2被测网闸产品图1 iPerf 软件测试拓扑图2.1.4 硬件测试方法使用IXIA 硬件进行测试时, 环境和配置方法较为简单便捷, 开启IXIA IxNetwork 客户端软件, 选择RFC 2544测试模块, 分别进行流配置(配置端口、IP 地址和传输方向), 协议选择(选择需要使用的协议,如TCP 或者UDP), 流选项(字节大小、起始延时等),开始参数(延时的计算方式等), 测试参数(测试时间、测试的轮数等). 测试拓扑如图1所示, 设备与IXIA 使用网线直连, 由IXIA 分别模拟服务器和客户端进行吞吐量和延时的测试. 测试结束后可由IXIA 直接得出被测设备的吞吐量和延时.被测网闸产品IXIA图2 IXIA 硬件测试拓扑图2.2 国标性能测试方法研究2.2.1 交换速率一般的, 交换速率又称传输速度, 指单位时间内在数据传输设备传送的比特、字符或消息的平均值. 因此交换速率更加接近于设备实际工作时的传输速度,即吞吐量测试设备的极限值, 而交换速率测试设备的实际工作值. 交换速率可以以两个指标来衡量, 最大交换速率(吞吐量)和实际工作交换速率.最大交换速率的测试方法, 上节已有介绍, 可以使用软件或者硬件进行测试, 下面简要说明实际工作交换速率的测试方法.根据网闸实现机制和支持的协议的不同, 网闸的实际工作方式多样. 但是目前网闸基本都支持文件交互或同步(个别应用于工控领域的网闸不支持文件传输), 因此在测试网闸的实际交换速率的时候, 可以使用传输文件的方式进行测试, 计算整个文件同步完成后, 所消耗的时间, 根据文件大小计算网闸在实际应用环境中的交换速率, 来确定交换速率是否达到国家标准中交换速率大于1000 Mbps 的要求.2.2.2 硬件切换时间因网闸特殊的硬件结构, 如2.1节所述, 网闸内部具有切换开关, 用来断开内外部安全域的直接相连, 因此硬件开关的切换速度, 切换时所消耗的时间, 关系到网闸的传输性能, 切换时间可以使用如下方法计算.T =C /V 网闸内部结构图如图3所示, 查阅隔离部件内部缓存大小, 设为C , 使用上节计算的交换速率, 设为V ,则切换时间的计算公式为. 这种计算方法在已计算出交换速率的情况下, 通过查阅隔离部件内部缓存大小的方法计算得出隔离开关在整个打开到闭合结束的时间. 但是这种计算方法并不准确, 误差出现在隔离部件内部缓存大小标称不准确和每次进行数据交换时, 向隔离部件内(摆渡区)写入的数据量不可能完全相同. 因此这种计算方式存在的误差较大. 目前国家标准中关于切换时间的性能指标被系统延时取代, 即使用网络安全专用产品的性能指标, 因为该指标包括了硬件切换时间和网闸对数据包的处理所消耗的时间,更能体现网闸的真实延时性能[7,8].外部安全域内部安全域隔离部件B C A 外部主机内部主机摆渡区隔离开关网闸图3 网闸产品内部结构图2019 年 第 28 卷 第 1 期计算机系统应用3 性能测试实验前一章中已经介绍了网闸的性能测试方法, 本章根据上一章介绍的方法对网络安全专用产品中要求的网闸性能进行测试并进行结果分析.以标称值为千兆的网闸产品为例, 分别使用软件和硬件的测试方法进行吞吐量和系统延时测试.3.1 软件方法测试测试拓扑如图1所示, 选择2台千兆性能的测试PC(PC1和PC2), 均安装iPerf 软件. 在PC1上启用iPerf 软件并设置为服务器模式, 在PC2上启用iPerf 软件并设置为客户端模式, 使用六类线将两台PC 直连, 测试PC 机的最大数据包传输速率. 确认两台PC 直连数据包传输速率能够到达1 Gbps, 即能够达到千兆网闸吞吐量的标称值[9,10].测试步骤如下:步骤1. 网闸工作于代理模式, 并配置一条从外到内的单向UDP 全通策略, 使基于UDP 的数据流能够正常通过网闸, 而不被网闸阻断(注: 个别产品需要配置UDP 源和目的端口);步骤2. 对网闸的内部、外部安全域主机(简称内部主机和外部主机)进行与NTP 服务器的校时, 校时结束后, 记录2台主机之间的时间误差, 如图4所示;图4 使用NTP 校时后的网闸内、外部主机时间步骤3. 将网闸串联在PC1和PC2之间, 并使PC1连接网闸内部主机, PC2连接网闸外部主机, 并在网闸的内部、外部主机上开启流量分析软件(如Wireshark 或Tcpdump);步骤4. 在PC1上运行iPerf 服务器指令iperf -s -u -p 5000 -t 30, 使用UDP 协议并开启UDP 的5000端口, 每30秒统计一次流量;步骤5. 在PC2上运行iPerf 客户端指令iperf -c 192.168.0.1 -u -p 5000 -5 -P 1 -l 1518 -b 1000 M, 连接192.168.0.1的服务器, 并以一个线程向服务器的UDP 5000端口发送流量带宽为1000 Mbps, 字节大小为1518 KB 的数据流;步骤6. 重复发送3次, 记录服务器端的统计结果,并求三次的平均值, 如图5.图5 服务器端的测试结果通过以上步骤能够测试出该网闸的吞吐量和系统延时, 在计算系统延时的时候, 需要将内、外部主机上获取的对应的数据包时间差再减去内外网主机之间的时间误差.3.2 硬件方法测试3.2.1 实验步骤测试拓扑如图2所示, 测试步骤如下:步骤1. 网闸工作于代理模式, 并配置一条从外到内的单向UDP 全通策略, 使基于UDP 的数据流能够正常通过网闸, 而不被网闸阻断(注: 个别产品需要配置UDP 源和目的端口);步骤2. 将网闸的内外部主机测试网口与IXIA 直连, 使用IxNetwork 配置IXIA 的测试参数;步骤3. 在IXIA 上选择测试端口, 并配置IP 地址,填入网闸的内外网主机地址作为网关地址;步骤4. 配置流方向, 将IXIA 的数据流打向网闸的代理端口, 选择快速测试中的RFC2544, 吞吐量/延时测试用例, 在用例中进行参数配置, 选择二分法, 使用固定1518字节的UDP 数据包测试吞吐量, 并同时计算延时, 测试三次, 取平均值. 配置界面如图6所示,测试结果如图7所示.由测试结果可以看出, 被测网闸在千兆环境下能够按照线速进行数据包转发, 即千兆速率下未丢包, 但是L2层的统计结果却显示986 Mbps, 小于1000Mbps, 是因为IXIA 在进行发包测试时插入了前导码,且发包时也具有帧间隙, 导致了统计结果略小.计算机系统应用2019 年 第 28 卷 第 1 期图6 IXIA IxNetwork 参数配置界面图7 测试结果理论上, 通过使用硬件和软件的测试方法均能够测试出网闸的性能参数, 但是通过测试结果分析, 使用硬件测试的结果更能够体现网闸性能的极限值, 且硬件设备配置过程简单, 可以直接得出实验结果, 系统延时不需要进行计算, 但是在不具有昂贵的硬件设备的情况下, 软件测试方法的测试结果同样在合理范围内.3.2.2 统计结果及分析使用硬件测试方法对2款百兆网闸、10款千兆网闸和2款万兆网闸的的吞吐量和系统延时分别进行测试, 测试结果的分布如图8所示.本文基于网络安全专用产品目录中对网闸性能的要求和网络隔离产品国家标准中对网闸性能的要求入手, 设计了基于软件和硬件的性能测试方法, 并使用设计的测试方法对网闸的吞吐量和系统延时进行了测试,证明了测试方法的有效性. 同时, 随机选取了14款网闸, 包括2台百兆性能、2台万兆性能和10台千兆性能的产品, 对其性能进行了测试, 得出了性能的分布情况和网闸的性能瓶颈.4 结语本文基于网络安全专用产品目录中对网闸性能的要求和网络隔离产品国家标准中对网闸性能的要求入手, 设计了基于软件和硬件的性能测试方法, 并使用设计的测试方法对网闸的吞吐量和系统延时进行了测试,证明了测试方法的有效性. 同时, 随机选取了14款网闸, 包括2台百兆性能、2台万兆性能和10台千兆性能的产品, 对其性能进行了测试, 得出了性能的分布情况和网闸的性能瓶颈.>5<55>1<10.85.84 G/0.15 ms97.21 M/1.65 ms2.57.50.510.99 Gpbs/0.60 ms 0.87 Gpbs/3.35 ms0.89 Gpbs/1.95 ms0.99 Gpbs/3.15 ms0.73 Gpbs/5.08 ms万兆网闸百兆网闸0.99 Gpbs/4.35 ms0.62 Gpbs/4.15 ms0.33 Gpbs/8.60 ms0.50 Gpbs/4.00 ms0.11 Gpbs/4.20 ms吞吐量 (Gbps)98.87 M/3.12 ms 4.82 G/1.89 ms系统延时 (m s )图8 14款网闸性能测试结果统计参考文献国家互联网信息办公室. 关于发布《网络关键设备和网络1安全专用产品目录(第一批)》的公告. 2017年第1号.中华人民共和国国家质量监督检验检疫总局, 中国国家标22019 年 第 28 卷 第 1 期计算机系统应用准化管理委员会. GB/T 20279–2015 信息安全技术 网络和终端隔离产品安全技术要求. 北京: 中国标准出版社, 2016.中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GB/T 20277–2015 信息安全技术 网络和终端隔离产品技术评价方法. 北京: 中国标准出版社, 2016.3须文波, 胡晋. MIPS千兆网闸系统实现及其信号完整性设计. 江南大学学报(自然科学版), 2005, 4(4): 419–422. [doi: 10.3969/j.issn.1671-7147.2005.04.022]4寇磊, 周安民, 吴少华. 多用户并发方式的网闸实验系统设计. 四川大学学报(自然科学版), 2008, 45(3): 544–548. [doi: 10.3969/j.issn.0490-6756.2008.03.020]5王锡普, 陈奇. 基于“池”策略的网闸并发连接数提高方法. 6计算机工程, 2011, 37(13): 248–250, 264. [doi: 10.3969/j.issn.1000-3428.2011.13.082]曹旭东, 张实. 基于FPGA的高速网闸交换卡的设计. 科学技术与工程, 2013, 13(22): 6610–6615. [doi: 10.3969/j.issn.1671-1815.2013.22.048]7王樱, 薛滨, 王文奇. 基于LINUX网桥实现隔离网闸技术的应用. 河南科技大学学报: 自然科学版, 2008, 29(5): 26–29.8傅雷扬, 朱军, 饶元. 一种跨网闸数据传输系统的设计与实现. 计算机与数字工程, 2016, 44(10): 1996–2000. [doi: 10.3969/j.issn.1672-9722.2016.10.028]9寇雅楠, 李增智, 王建国, 等. 计算机软件测试研究. 计算机工程与应用, 2002, (10): 103–105. [doi: 10.3321/j.issn:1002-8331.2002.10.034]10计算机系统应用2019 年 第 28 卷 第 1 期。

智能变电站网络测试I期工作方案中国电力科学研究院2014年1月目录1范围 (3)2检验依据标准 (3)3试验系统及参试设备 (3)3.1一次系统 (3)3.1.1动模一次系统 (3)3.1.2通信网络及对时 (4)3.2参试设备 (6)4试验项目 (8)4.1交换机延时测试 (8)4.1.1单机延时标记精度测试 (8)4.1.2一级级联延时标记精度测试 (8)4.1.3两级级联延时标记精度测试 (9)4.2模拟故障试验 (10)4.2.1金属性故障 (10)4.2.2永久性故障 (11)4.2.3发展/转换性故障 (11)4.2.4经过渡电阻 (12)4.2.5系统稳定破坏 (13)4.2.6单侧电源方式 (14)4.2.7线路空载合闸充电、解合环及手合带故障线路 (14)4.2.8励磁涌流试验、手合于故障变压器 (14)4.2.9110kV母线充电 (15)4.2.10断路器失灵 (15)4.2.11母联和分段断路器的非全相运行 (16)4.2.12多点同时金属性故障 (16)4.3网络压力测试 (17)4.4设备异常测试 (22)4.5同步异常测试 (24)4.6测控装置性能测试 (26)4.7监控系统测试 (30)5时间安排 (33)1范围本方案根据《智能变电站网络测试实施方案》制定，结合设备研制情况，本期测试采用单网组网方案，其他方案将在参试设备具备条件后进行。

本方案重点针对组网方式下设备及网络整体性能进行测试，测试结果用于智能变电站网络方案技术可行性评估，不用于具体制造厂家设备质量评估。

2检验依据标准GB/T 14285-2006 继电保护和安全自动装置技术规程DL/T 478-2001 静态继电保护及安全自动装置通用技术条件GB/T 26864-2011 电力系统继电保护产品动模试验Q/GDW 441-2010 智能变电站继电保护技术规范Q/GDW 智能变电站继电保护检验测试规范（报批稿）Q/GDW 智能变电站继电保护通用技术条件（报批稿）Q/GDW 站域保护控制系统检测规范（报批稿）Q/GDW 427-2010 智能变电站测控单元技术规范智能变电站网络测试实施方案3试验系统及参试设备3.1一次系统3.1.1动模一次系统根据110kV电压等级智能变电站最大配置需求，变电站配置3台3绕组变压器，110kV采用双母线接线方式，6回出线，3回主变进线，1个母联；35kV侧3分段，9回出线；10kV侧3分段，32回出线，6组电容。

网闸测试方案1. 引言本文档旨在提供一种有效的网闸（Firewall）测试方案，以确保网络安全和防护措施的有效性。

网闸作为网络安全的重要组成部分，扮演着监控、过滤和阻止不安全网络流量的角色。

通过进行系统化的测试和评估，可以发现潜在的漏洞和弱点，从而改进和提升网络安全性。

2. 测试目的网闸测试的主要目的是评估网闸实施的安全策略、规则和配置是否满足预期，以及检测和修复潜在漏洞和安全风险。

通过网闸测试，可以确保网闸能够按照设计的预期行为对网络流量进行过滤和阻止。

3. 测试方法为了有效地测试网闸的安全性和防护性能，可以采用以下测试方法：3.1 黑盒测试黑盒测试是指在不考虑内部实现细节的情况下，仅根据输入和输出的需求对系统进行测试。

对于网闸的黑盒测试，可以模拟多种恶意攻击，包括但不限于：端口扫描、DoS（拒绝服务）攻击、SQL注入等。

通过模拟这些攻击，可以评估网闸对于不同类型攻击的防护能力。

3.2 白盒测试白盒测试是指测试人员具有系统内部实现细节的全部或部分信息的情况下进行的测试。

对于网闸的白盒测试，可以深入了解网闸的配置和规则，并通过验证这些配置和规则的正确性来评估网闸的安全性。

白盒测试还可以检查是否存在配置错误、访问控制不当以及其他潜在的弱点。

3.3 性能测试除了安全性测试外，性能测试也是网闸测试的重要一环。

性能测试可以评估网闸的处理能力和资源利用率。

通过模拟真实场景的流量负载，可以测试网闸在高负载情况下的稳定性和性能表现。

4. 测试步骤以下是进行网闸测试的一般步骤：4.1 确定测试需求在开始测试之前，需要明确测试目标和测试需求。

确定要测试的网闸功能、安全策略和性能指标。

4.2 设计测试用例根据测试需求，设计一系列的测试用例，覆盖不同的攻击场景、安全策略和性能要求。

4.3 进行测试按照设计的测试用例，进行测试操作。

记录测试过程中的数据、日志和结果。

4.4 分析测试结果根据测试结果对网闸的安全性、防护能力和性能进行分析。

网闸测试报告
报告编写人：XXX
报告编写日期：XXXX年XX月XX日
一、测试目的
本次网闸测试的主要目的是测试网闸的性能，判断其能否满足用户需求。

二、测试环境
1.硬件环境：
CPU：Intel(R)Core(TM)*******************
内存：16GB
存储：500GB SSD
2.软件环境：
系统：Windows 10 64位操作系统
测试工具：Iperf，Wireshark，Dig，Ping
三、测试结果
1.性能测试：
（1）带宽测试：连接速率为100Mbps，测试5分钟，吞吐率为98Mbps。

（2）连接测试：通过Dig命令测试，连接成功率为100%。

2.安全测试：
（1）端口扫描测试：运行Nmap工具，扫描网闸开放的端口，结果显示无开放端口。

（2）防火墙测试：通过Wireshark工具模拟攻击流量，结果显
示网闸成功阻止了攻击。

四、测试结论
本次网闸测试结果表明，该网闸的性能优异，能够满足用户在
网络安全、带宽等方面的需求。

五、测试建议
建议开发人员继续优化该网闸的性能，提高其负载能力和数据
处理能力。

六、附录
测试截图、日志文件等详细信息请见附件。

以上是本次网闸测试报告的全部内容，如有需要请查阅附件。

1. 引言网闸是一种网络设备，用于保护网络中的重要资产免受网络攻击的侵害。

为了确保网闸的可靠性和安全性，需要进行定期的测试。

本文档旨在提供一个完整的网闸测试方案，包括测试目的、测试环境、测试步骤和测试报告。

2. 测试目的网闸测试的主要目的是验证网闸的功能和性能，评估其对网络攻击的防御能力。

具体的测试目标如下： - 验证网闸的基本功能，包括流量过滤、端口封禁、入侵检测等。

- 验证网闸对不同类型网络攻击的防御能力，如DDoS攻击、SQL注入、远程代码执行等。

- 评估网闸的性能，并找出性能瓶颈。

- 跟踪和记录测试过程中的问题，并提供解决方案。

3. 测试环境3.1 网闸配置在测试环境中，需要配置一台网闸设备，并确保其处于正常工作状态。

网闸的配置包括网络拓扑、策略设置等。

3.2 攻击模拟器为了模拟不同类型的网络攻击，需要在测试环境中部署攻击模拟器。

攻击模拟器可以模拟各种攻击类型，如DDoS攻击、网络蠕虫等。

3.3 监控工具监控工具用于监控网闸的性能和异常情况。

在测试环境中，需要配置监控工具，并确保其能够准确地监测网闸的各项指标。

4. 测试步骤4.1 功能测试功能测试旨在验证网闸的基本功能是否正常工作。

测试步骤如下： 1. 配置网闸的基本参数，包括IP地址、子网掩码、网关等。

2. 配置网闸的策略，包括流量过滤规则、端口封禁规则等。

3. 发送不同类型的网络流量到网闸，验证流量过滤、端口封禁等功能是否生效。

4. 验证入侵检测功能，发送恶意流量到网闸，检测网闸能否准确识别和拦截入侵行为。

4.2 性能测试性能测试旨在评估网闸的性能，并找出性能瓶颈。

测试步骤如下： 1. 构建测试场景，包括不同流量负载、并发连接数等。

2. 使用性能测试工具对网闸进行压力测试，记录并分析测试结果。

3. 根据测试结果，评估网闸的性能，并找出性能瓶颈。

4. 提出优化建议，改善网闸的性能。

4.3 安全性测试安全性测试旨在验证网闸对不同类型的网络攻击的防御能力。

利谱网闸性能测试说明针对利谱公司网闸设备，主要在以下三个方面进行了测试，具体测试情况如下：测试环境：测试机1：测试机2：1、文件传输测试1）网闸自身带的文件同步方式内外网文件服务器可将本地指定目录下文件同步到对方服务器指定的目录下的文件夹下。

内外网服务器网卡无论是千兆网卡还是百兆网卡，单文件传输效率都为3-4M/s 。

2）打开文件传输端口和相关协议单文件传输效率，3-4M/s （百兆网卡）， 30M/s千兆网卡。

使用此种方式时网闸没有对文件进行病毒扫描。

备注：在文件传输的测试中，对计算机登录用户密码中有“#”字符不能识别。

反馈给工程师后，他说联系研发人员解决。

网闸自身的文件同步方式中：出现了在单个大文件传输的过程中，文件没有传输完成，但删除源文件后仍然可以传输文件，把掉网线后不传输文件，接上网线后又能自动续传。

2、数据库异构数据库的传输1）网闸自带的数据传输功能oracle 到 sql ：一张表（每条记录8字段），一秒钟能传输10条数据。

（源数据库和目标数据库表结构，主键值必须一样）备注：一开始测试不成功，网闸底层的病毒检测机制造成，联系研发工程师后，修改网闸底层病毒功能，关掉此功能后，才能够正常进行数据传输。

而且在传输的过程中只有源数据库中表的拥有者用户才能传输数据，普通具有查看权限的用户不能传输数据。

2）采用端口映射的方式：oralce开1521，sql开1443端口。

用sql2005自带的数据导入导出功能，使用100M网线。

每秒3万条数据，测试源数据库表中共有88627779条记录（每条记录28个字段）3、远程桌面，网页访问采用端口映射，并打开相应协议即可。

备注：此种方式是双向交互式，安全性是否符合国家保密要求待定。

远程桌面的操作流量：普通用户连接远程桌面消耗100kb/s以下。

连接公务员门户峰值会到达200kb/s，正常在100kb/s一下，观看视频消耗网络资源在2-3Mb/s整体感觉不太稳定，许多问题都是联系网闸开发工程师，现场修改网闸底层软件，边用边修改。

网络卫士安全隔离与信息交换系统
测试方案
2011年9月
第一部分测试环境图1 产品功能测试环境
第二部分测试依据
检测所依据的标准为：国家保密标准BMB16-2004《涉及国家秘密的计算机信息系统安全隔离与信息交换系统产品技术要求》
第三部分产品功能测试3.1配置管理界面测试
3.2 HTTP信息交换功能测试
3.3 SMTP邮件交换功能测试
3.4 POP3邮件交换功能测试
3.5 ORACLE数据库信息交换测试
3.6 SQLSERVER数据库信息交换测试
3.7 FTP信息交换测试
3.8 TELNET信息交换测试
3.9 NULL_TCP信息交换测试
3.10网络连通性服务测试
3.11UDP应用测试
第四部分测试总结。

网闸调试三步曲1物理环境检查当发现网络不连通或资源不可用时，应先检查物理环境，确保应急方案实现的有效性。

检查内容如下：连接主机的网络是否可用、连接主机的电源线是否可用具体处理方法如下：A) 确保电源线正常连接并正常供电。

如果发现异常，拨掉电源线再插上。

如果按此方案操作后还发现电源有异常，请更换电源线。

B) 确保网线正常连接并正常传输数据。

如果发现异常，拨掉网线再插上。

如果按此方法操作后还发现网线有异常，请更换网络连接线。

2连通性检查当发现如果网络管理员没有发现物理环境出现问题，请按如下方法进行连通性检查：A)用PING命令检查内网主机与网闸内端机之间的连通性；B)用PING命令检查外网主机与网闸外端机之间的连通性；C)通过隔离卡状态检查网闸内部的连通性；D)如果前三个步骤检查没问题，说明网闸硬件正常，内外连通正常。

E)如果前两个步骤检查有问题，则重动网闸，然后重复前面的步骤。

F)如果前几个步骤过后还发现网络不能连通，请直接通过技术支持寻求帮助。

3资源存在性检查如果网络管理员没有发现网络连通性有问题，请按如下方法进行资源存在性检查：A)用telnet命令检查用户应用服务是否正常(不要连网闸)，如执行：telnet10.1.1.1 8080，如果出现”Escape […”等字样，则表明应用服务启动正常，大部分HTTP资源还可执行“get //”后按两个回车得到相关的页面信息；B)如果资源不可用，请检查用户应用服务是否正常启动，如果确定有问题请客户先解决该问题；C)如果资源服务正常，请检查网闸配置是否正常；D)通过网闸测试资源的存在性，如果没问题，则表示网闸正常运行；E)如果前几个步骤过后还发现网络不能连通，请直接通过技术支持寻求帮助。

网络方案网闸方案引言在当今互联网高速发展的时代，网络的安全性和稳定性变得尤为重要。

为了保护网络安全和保障网络畅通，组织和企业需要采取一系列措施和技术手段。

其中，网闸方案作为保护和管理企业网络的重要组成部分，被广泛采用。

本文将介绍网络方案中网闸方案的基本概念、功能与架构，并讨论其优缺点以及如何根据实际需求进行选型。

网闸方案的概述网闸（Gateway）是位于不同网络之间的连接点，将两个网络连接起来并进行信息的转发和过滤。

网闸方案是一种网络安全方案，通过设置网闸来实现对网络流量的监控、过滤和控制，并提供不同网络之间的连接和访问控制。

网闸方案的功能1. 网络流量监控与过滤网闸方案可以监控网络流量并识别和过滤不安全或威胁性的流量。

通过对流量的监控和分析，可以及时发现并处理网络攻击、恶意软件和其他安全威胁。

2. 接入控制与身份认证网闸方案可以通过认证机制对网络用户进行身份验证和权限控制，确保只有合法用户能够访问和使用网络资源。

通过合理的接入控制策略，可以防止非授权用户的入侵与滥用。

3. 防火墙功能网闸方案通常集成了防火墙功能，能够识别和阻止恶意流量、网络攻击和入侵尝试。

防火墙可以根据预设的规则对网络流量进行检查和过滤，以提高网络的安全性。

4. 跨网络连接与数据传输通过网闸方案，不同网络之间可以进行跨网络的连接与数据传输。

企业可以利用网闸方案搭建安全的远程办公环境，实现异地办公和业务拓展。

5. VPN（虚拟私人网络）功能网闸方案通常支持VPN功能，可以建立安全的虚拟隧道，保证远程用户和分支机构的网络连接安全和数据传输的保密性。

网闸方案的架构常见的网闸方案一般由硬件设备和软件组成。

硬件设备通常包括网闸设备和交换机，而软件则提供相应的配置和管理功能。

以下是一个典型的网闸方案的架构图：┌───────────┐┌─────────┤ 网闸设备├─────────┐│ └─────┬─────┘ │┌─────────┐ ┌─────┴─────┐ ┌───────┴─────┐│ 内部网络│─────┤ 交换机│─────────────┤ 外部网络│└─────────┘ └───────────┘ └─────────┘网闸方案的优缺点优点：•提供网络安全和管理的基础设施，保护企业网络环境的安全性和稳定性。

安全网检测方案1 试验目的通过试验安全网的耐冲击性能和耐贯穿性能，判定其质量是否符合使用要求。

为现场施工和高空作业人员提供保障，防止意外事故的发生。

2 试验设备2.1 AQW型安全网检测装置；2.2 直径为（500±10）mm，质量为（100±1）kg的钢球；2.3 直径为50 mm，质量为（5±0.2）kg的测试棒；2.4钢卷尺（最小分度值为1mm）。

3 试验依据《安全网》GB 5725-20094 技术要求4.1 安全平（立）网的耐冲击性能4.1.1 测试高度:平网为7m，立网为2m；4.1.2 测试结果:平（立）网的网绳、边绳、系绳不断裂，测试重物不应接触地面。

4.2 密目式安全立网的耐冲击性能4.2.1 测试高度: A级密目网为1.8m，B级密目网为1.2m；4.2.2测试结果:边绳不应破断且网体撕裂形成的孔洞不应大于（200×50）mm。

4.3 密目式安全立网的耐贯穿性能4.3.1 测试高度: A级、B级密目网均为1m；4.3.2测试结果:不应被测试棒贯穿网体或出现测试棒可以通过的撕裂空洞。

5 试验原理利用专用的测试装置，使测试球从规定的高度自由落入测试网，根据其破坏程度来判断安全网的耐冲击性能。

6 试验样品耐冲击试验：规格尺寸为3m×6m的平网或立网，或可以销售、使用或在用的完整密目网。

耐贯穿试验：按长、宽方向沿网边截取（1×1）m试样各一块，试样应有一边为完整网边。

7 试验步骤7.1 将试验样品牢固系在测试框架上；7.2 提升测试吊架，将测试钢球提升到规定高度，使其底面与样品网安装平面间的距离再加上样品网的初始下垂等于试验高度H，然后释放测试钢球使之自由落下，冲击试验样品；7.3 观察样品情况。

8 试验结果的判定按照《安全网》GB5725-2009中第5.1.10、5.2.6及5.2.7条的规定进行试验结果的评定，并记录试验结果。