某虚拟化防火墙测试报告及厂家答疑

记录某虚拟防火墙功能测试
记录厂家对测试报告的解释
纯粹技术性测试,不涉及到生产和应用
公网地址已经失效

某厂家虚拟防火测试文档

1.概述

本次使用某厂家深度安全网关VSG-4(以下简称vFW)部署在vsphere平台之中,用来测试不同vlan的虚拟机东西向的安全防护功能和南北向的虚拟机访问外网和端口映射。为了简化测试,采用传统的硬件防护墙的部署思路进行,按照防火墙核心基本功能的策略控制和基本防范进行测试,不涉及×××和其他高级安全功能。

2.测试思路-东西向防护

1.vFW作为安全网关,采用路由模式部署;
2.不同的vlan的虚拟机的网关指向vFW的物理接口,接口配置网关,不用配置vlan子接口;
3.vFW使用三个接口,两个作为不同vlan的网关,一个作为管理接口;
4.vFW的ge0为管理口,配置172.31.101.8/24,ge1配置172.31.102.1/24,ge2配置172.31.103.1/24;
5.vFW配置三个安全域分别对应三个不同安全域,基于安全域做的安全策略为基本元素,测试vFW的东西向防护功能;
6.采用四个虚拟机,vm1,vm2地址配置172.31.102.2-3/24,vm3,vm4地址配置172.31.103.2-3/24,vm2,vm4为linux操作系统,vm1,vm3为windows操作系统。,相同操作系统的虚拟机虚拟机硬件配置完全一样。
以下为测试模拟图:

3.测试思路-南北向防护

1.vFW配置外网访问接口,按照传统防火墙NAT部署方式进行,模拟vm经过vfW访问外网;
2.采用源NAT转换的方式,进行地址多对一的转换,即多个私网地址对应一个外网地址;
3.vm经过vFW的策略允许通过后,流量会引导至真实防火墙,再由真实防火墙策略控制访问外网;
4.采用172.31.205.31作为vFW的外网接口ip地址,下一跳为172.31.205.1,测试模拟图如下图所示:

(图:虚拟防火墙跟真实防火墙对接示意)
5.创建NAT池,指定单个地址172.31.205.32/24,所有vm访问外网都会被转换,同时创建可以访问外网的安全策略,并在防火墙上指定缺省路由,下一条为172.31.205.1,大致NAT上网方式如下图所示:

(图:南北向外网访问示意)
6.测试端口映射,采用目的NAT方式,实现端口映射。

4.功能配置

4.1.网络管理-接口

配置物理接口,ge0,ge1,ge2,分别配置IP地172.31.101.8/24,172.31.102/24,172.31.103.1/24这三个接口作为内网接口,ge3配置ip地址172.31.205.31/24,作为外网接口,,如下图所示:

(图:接口配置)
以ge1口配置为例,说明接口配置,如下图所示;

(图:ge1口配置)

配置各个安全域,绑定对应接口,以安全域为单位配置安全策略,,不开启域内接口互访,如下图所示:

(图:安全域配置)

4.2.网络管理-静态路由

配置静态的缺省路由0.0.0.0 0.0.0.0 172.31.205.1,表示访问外网路由路径,如下图所示:

(图:静态路由)

4.3.网络管理-NAT-NAT池

配置NAT池,使得访问外网的ip地址经过NAT转换,本次配置单一NAT地址为172.31.205.32,如下图所示:

(图:NAT地址池)

4.4.网络管理-NAT-源NAT

配置源NAT规则,决定那些地址需要进行NAT,规则采用地址池的方式,注意,地址薄等信息配置见本文后面章节,详细如下图所示:

(图:源NAT规则配置)

4.5.网络管理-NAT-目的NAT

目的NAT,即常说的端口映射,即将一个私网地址的ip端口转换到公网ip端口,实现特定的外部访问,详细配置如下图所示:

(图:目的NAT采用端口映射方式,映射端口22)

4.6.网络管理-DHCP服务器-DHCP服务器

在接口ge2上开启DHCP服务器,如下图所示:

(图:接口开启DHCP服务器)

4.7.网络管理-DHCP服务器-服务器

配置相应的DHCP服务器分配的地址和DNS等,使得ge2接口下的vm3和vm4能够使用dhcp服务器获取ip地址,如下图所示:

(图:DHCP列表配置)

4.8.资源管理-地址对象

防火墙策略采用五元组的形式的判断报文是否符合策略控制,其中地址对象是最基本和最重要的的配置,本次测试的地址对象如下图所示:

(图:地址对象)

4.9.资源管理-时间表

配置时间表工作时间,时间段为9:00-18:00,详细如下图所示:

(图:时间表配置)

5.东西向策略测试

所谓东西向,指在同一个虚拟化平台或云环境之中,不同vm之间的访问安全控制。本次测试采用vm的地址和服务应用如下表所示:
安全域
序号 名称 包含接口 地址段 说明
1 trust_zone_mange ge0 172.31.101.0/24 管理员跳板机所在域
2 trsut_zone_test1 ge1 172.31.102.0/24 vm1,vm2所在安全域
3 trsut_zone_test2 ge2 172.31.103.0/24 vm3,vm4所在安全域
4 WAN ge3 172.31.205.31/24 外网域

地址对象
序号 名称 内容 说明
1 Netip_vlan102_vm1 172.31.102.2/32 vm1(windows)地址
2 Netp_vlan102_vm2 172.31.102.3/32 vm2(linux)地址
3 Netp_vlan103_vm3 172.31.103.2/32 vm3(windows)地址
4 Netp_vlan103_vm4 172.31.103.3/32 vm4(linux)地址
5 Netip_vlan101_mange 172.31.101.110/32 管理员跳板机地址
6 NetIP_public_1 172.31.205.32/32 模拟公网地址
7 NetGP_VLAN102 172.31.102.0/24 vm1,vm2所在地址段
8 NetGP_VLAN103 172.31.103.0/24 vm3,vm4所在地址段

(表:地址对象)

5.1.管理员跳板机访问vm1,vm2

新建安全策略,使得管理员跳板机172.31.101.110可以访问vm1,vm2,vm3,vm4,允许所有的应用,服务协议。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法
管理员跳板机访问vm1,vm2 trust_mange Netip_vlan101_mange trsut_zone_test1 any any any permit 1)172.31.101.110可以ping通vm1,vm2
2)172.31.101.110可以ssh登录vm2
(表:东西向策略1)

(图:东西向策略1)
测试结果
① 172.31.101.110可以ping通172.31.102.2,172.31.102.3

(图:东西向策略1测试结果1-ping通172.31.102.2)

(图:东西向策略1测试结果1-ping通172.31.102.3)

② 172.31.101.110可以使用ssh客户端登录172.31.102.3

(图:东西向策略1测试结果-2-ssh登录172.31.102.3)
判定
本条策略成功生效。

5.2.vm1使用ssh客户端登录vm4

新建安全策略,使得vm1(172.31.102.2)可以SSH到vm4(172.31.103.3),但是不能使用其他服务访问。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法
vm1只能ssh连接到vm4 trsut_zone_test1 Netip_vlan102_vm1 trsut_zone_test2 Netip_vlan103_vm4 ssh any permit 1)vm1可以ssh登录到vm4
2)vm1不能ping通vm4

(图:东西向策略2)

测试结果
① Vm1可以通过ssh客户端登录到vm4

(图:东西向策略2测试结果1-ssh登录)
② Vm1不能ping通vm4

(图:东西向策略2-测试结果2-不能ping通172.31.103.3)
判定
本条策略成功生效。

5.3.Vm3使用ftp客户端连接VM2并传送文件

Vm3(windows)172.31.103.2作为ftp客户端,vm4(linux)172.31.102.3作为ftp服务器端,测试FTP服务情况,新建安全策略,使得vm3可以正常ftp连接到VM4。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法
vm3只能ftp到vm1,并传送文件 trust_zone_tes2 Netip_vlan103_vm3 trsut_zone_test1 Netip_vlan102_vm1 ftp any permit 1)172.31.103.2不能ping通172.31.102.2
2)172.31.103.2可以ftp到172.31.102.2
3)可以正常发送接受文件

(图:东西向策略3)

测试结果
① Vm3不能ping通vm1

(图:东西向策略3-测试结果1-ping不通)
② Vm3可以使用ftp客户端连接到vm1

(图:东西向策略-3-测试结果2-FTP登录成功)
③ Vm3可以使用ftp客户端上传文件到vm1

(图:东西向策略测试3-测试结果3-FTP上传文件)

(图:东西向策略测试3-测试结果3-FTP下载文件)
判定
本条策略成功生效。

5.4.结论

1)vm之间的东西向策略功能正常;
2)支持ftp多通道协议的策略控制;
3)支持NGFW状态检测机制,即只用单向策略就可以保证后续报文的双向访问。

6.南北向策略测试

南北向策略测试,指的是vm通过vFW可以正常上网,同时能够配置基本的端口映射。已经在物理防火墙上做好了配置,与vFW对接成功。
vFW公网地址172.31.205.32(相对而言),物理防火墙公网地址58.19.180.65,对于需要访问外网的vm,如vm1,172.31.102.2,首先经过vFW的源nat转换为172.31.205.32,再经过物理防火墙nat转换为58.19.180.65,然后访问外网。
对于端口映射,目的nat也是经过两道nat实现。
源NAT,NAT地址池,目的NAT配置如下表所示:
NAT地址池
序号 名称 地址池列表 说明
1 Natpool_test 172.31.205.32 公网地址池,源NAT转换使用
2 Natpool_vlan102_vm2_tcp22 172.31.102.3 需要进行目的NAT转换使用的地址
源NAT
序号 源地址 目的地址 服务 接口 转换后地址 说明
1 NetGP_VLAN102 any any ge3 Natpool_test 172.31.102.0/24网段NAT
2 NetGP_VLAN103 any any ge3 Natpool_test 172.31.103.0/24网段NAT

目的NAT
序号 源地址 目的地址 服务 接口 转换后地址 转换后端口 说明
1 any NetIP_public_1 ssh ge3 Natpool_vlan102_vm2_tcp22 22 将公网地址172.31.0.32转换为172.31.102.2的22端口

6.1.Vm1,vm2,访问外网

新建安全策略,使得所有的vm1,vm2都可以访问外网,允许所有的应用和协议。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法
vm1,vm2都可以访问外网 trsut_zone_test1 NetGP_VLAN102 WAN any any any permit 1)vm1,vm2能够ping通电信dns服务器
2)vm1能够使用浏览器访问网页
3)vm2能够yum下载

(图:南北向策略1)
测试结果
① Vm1能够ping通DNS服务器202.103.24.68

(图:南北向策略测试1-测试结果1-vm1能够ping通DNS)

② Vm2能够ping通DNS服务器202.103.24.68

(图:南北向策略测试1-测试结果2-vm2能够ping通DNS)
③ Vm1能够通过访问www.163.com

(图:南北向策略测试1-测试结果3-vm1能够访问网页)
④ Vm2能够使用yum下载软件包

(图:南北向策略测试1-测试结果4-vm2能够yum下载软件包)

判定
本条策略成功生效。

6.2.源NAT测试

使用工具,检查访问外网的NAT策略是否对vm1,vm2的私网地址进行了源NAT,同时检查是否与物理防火墙对接顺利,同时可以查询到真实的公网ip。
测试方法
(1)查询物理防火墙日志软件,查询是否进行了源NAT,将172.31.101.2转换为172.31.205.32
(2)在vm1上登录ip138,查询是经过多道NAT转换后,是否转换为正确的真实的公网地址。

测试结果
① 在物理防火墙上查询到172.31.0.32的流量记录,说明vm1的地址已经被转换

(图:南北向策略测试2-测试结果1-物理防火墙查询到vFW的源NAT)

② 在vm1上登录ip138.com,能否显示为58.19.180.65的公网地址

(图:南北向策略测试2-测试结果1-ip138查询到vm1转换为正确的公网地址)
判定
(1)vFW的源NAT功能正常。
(2)vFW与物理防火墙对接后可以满足vm的外网访问。

6.3.目的NAT测试

在vFW与物理防火墙对接后,配置正确的策略,使得实现端口映射功能,将公网特定的接口转换为私网特定的接口。本次新建策略,使得vm2(172.31.102.3)的ssh端口22可以由外网58.19.180.67:22进行访问。
策略
测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法
可由公网地址的22端口访问到vm1的22端口,采用SSH协议 WAN any trsut_zone_test1 Natpool_vlan102_vm2 ssh any permit 1)在特定虚拟机上可以使用tcping检测到172.31.205.32的22端口开放
2)可以由58.19.180.67(真实公网地址)使用ssh客户端访问

(图:南北向策略3)
测试结果
① 使用tcping可以监测到172.31.205.32的22端口开放

(图:南北向策略测试3-测试结果1-tcping监测到22端口开放)

② 使用ssh客户端,登录58.19.180.67,采用22端口可以登录

(图:南北向策略3-测试结果2-登录公网地址的22端口)
判定
(1)vFW能够实现目的NAT,实现特定的端口映射;
(2)在与物理防火墙对接后,可以满足的vm的目的NAT使用需求。

6.4.结论

(1)vFW在虚拟化平台之中,可以按照传统防火墙的配置实现vm的NAT配置需求;
(2)在与物理防火墙对接好后,vFW可以做到南北向的vm访问策略控制;

7.vFW深度安全功能测试

NGFW一般除了带有UTM功能之外,还可以做到深度报文监测,还很多高级安全功能。
安全功能按照防火墙策略为单位配置,本次测试只是测试南北向,即vm访问外网,端口映射的情况下的深度安全功能。

7.1.应用过滤-过滤qq功能

配置策略,使得vm2可以访问外网,同时在该策略配置应用过滤,测试安全功能。
详细的策略不再描述,跟前面一样。
安全功能
开启应用过滤,过滤qq聊天程序,相关控制内容与判定方法如下所示:

序号 描述 功能配置 判定方法
1 控制vm3可以登录qq但是不能正常发送消息,
同时记录审计 1.应用-QQ
2.相关行为-发送消息
3.审计行为-所有
4.关键字-所有
5.动作-拒绝 1.vm3可以登录qq
2.qq不能发送任何消息


(图:应用过滤-过滤qq功能)
测试结果
① Vm3可以正常登录qq

(图:应用过滤测试1-测试结果1-可以正常登录qq)

② Vm3不能发送消息,显示发送拒绝

(图:应用过滤测试1-测试结果2-qq不能发送消息)
判定
应用过滤,qq控制功能成功生效。

7.2.应用过滤-过滤迅雷下载

安全功能
开启应用过滤,控制迅雷下载。
序号 描述 功能配置 判定方法
1 控制vm3可以登录迅雷,但是不能使用下载功能 1.应用-迅雷
2.相关行为-下载
3.审计行为-所有
4.关键字-所有
5.动作-拒绝 1.vm3可以开启迅雷
2.迅雷不能下载文件

(图:应用过滤-限制迅雷下载)
测试结果
① Vm3能够开启迅雷

(图:应用过滤2-测试结果1-正常开启迅雷)

② 迅雷不能下载

(图:应用过滤2-测试结果2-迅雷不能正常下载)
判定
应用过滤,迅雷控制功能成功生效。

7.3.url过滤-过滤网易

配置安全功能,开启url过滤,将网易www.163.com加入过滤之中,使得vm3不能访问网易。
安全功能
url过滤
序号 描述 功能配置 判定方法
1 控制vm3,除了www.163.com不能访问之外,其他的网页都能访问 1.URL分类-网易

2.动作-拒绝 1.vm3不能访问www.163.com
2.vm3可以访问www.sina.com


(图:url过滤配置)
测试结果
① Vm3访问www.163.com被禁止

(图:url过滤-测试结果1-过滤www.163.com)

② Vm3正常访问www.baidu.com

(图:url过滤-测试结果2-访问百度正常)

判定
URL过滤,特定网页过滤功能成功生效。

7.4.病毒防护-http

配置病毒防护安全功能,vm3尝试登录恶意网页,下载恶意程序,测试该安全功能。
安全功能

(图:病毒防护-http)
在不开启的第三安全软件,系统自带防火墙的情况下,vm3访问恶意网站,下载恶意软件能有效阻断。
测试结果
① 下载恶意程序,并不能成功运行

(图:病毒防护-http测试结果-恶意程序不能随意运行)

判定
病毒防护功能,http防护生效。

7.5.病毒防护-FTP

Vm3做为FTP客户端,VM1作为服务器端,上传恶意文件文件给服务器,检测FTP防护功能。
在记事本中复制粘贴以下字符串:
(略)
另存为eicar.com文件。
EICAR文件模拟病毒文件来验证反病毒功能。EICAR文件是欧洲反计算机病毒协会为测试反病毒功能提供的文件,让用户在不使用真正病毒的情况下来测试反病毒功能。
安全功能
在开启ftp防护的情况下,病毒文件应能被vFW阻断,并有记录日志。
测试结果
① 病毒文件不能通过ftp上传

(图:病毒防护-FTP-测试结果1-病毒文件不能通过上传)
② 病毒文件会被vFW阻断,同时记录日志

(图:病毒防护-FTP-测试结果-2-病毒文件被阻断并记录日志)
判断病毒防护ftp安全功能生效

7.6.应用过滤-按照关键字过滤微信信息

安全功能
配置关键字列表,添加关键字,并应用策略,配置的关键字如下图所示:

(图:关键字列表)
测试结果
微信电脑版可以发送一般的消息,无论是否包含关键字都可以发送。

(图:微信关键字过滤)
判定
关键字过滤控制功能没有起作用。

7.7.结论

vFW可以实现以策略为元素的深度安全功能防护;
vFW具备NGFW的基本深度安全功能。
vFW关键字过滤功能没有实现。

8.vFW安全防护测试

vFW开启所有的安全防护功能包括:
1.防arp***;
2.***防护;
3.flood***防护;
配置所有的安全防护功能子项,并将所有接口和vm的ip开启保护。
在vm1(172.31.102.2)上安装科来分析软件,使用包回放功能,回放典型***包报文,查询vFW日志,检测安全防护功能是否正常。
8.1.arp***
测试包回放

(图:arp***包回放)

测试结果

(图:arp***日志)
判定
在arp功能完全开启的情况下,vFW能够处理相关***。

8.2.异常包***

***包回放

(图:ip分片异常包***回放)
测试结果


(图:异常包***日志)
判定
在安全防护功能完全开启的情况下,vFW能够处理相关异常包***。

8.3.扫描***

***包回放

(图:扫描探测***包回放)

测试结果

(图:扫描***日志)
判定
vFW没有识别到相应扫描***并归类

8.4.flood***

***包回放

(图:flood***包回放)
测试结果

(图:flood***日志)

判定
vFW没有识别到相应flood***并归类

8.5.IPS***

***包回放

(图:ips***包回放)

测试结果
(IPS安全日志)
判定
vFW识别到相应的ips***并归类

8.6.结论

在升级病毒库,ips特征库后,vFW能够做到ips防护;
vFW能够具有一定的安全防护能力,可以针对底层的的***做出有效控制;
vFW不能够具体识别到***类型与特征,大部分识别为异常包***。

9.其他功能测试

9.1.服务质量管理

可以针对出口网络的网关进行ping,测定出口网络的稳定性,详细如下图所示:

(图:服务质量管理)

9.2.流量管理

测试vFW对应接口,单个ip的带宽及流量控制管理功能。
功能配置
线路设置,配置ge3接口外网访问限速,上行,下行都限制为1Mb/s,如下图所示:

(图:线路设置)
在完成线路设置后,vFW自动生成流量控制策略,如下图所示:

(图:流量控制策略)
vFW可以精细化控制每个ip带宽,配置每个ip为200kb/S,如下所示:

(图:每个ip控制流量)
测试方法
Vm1访问外网,开启下载,查看下载速率;
在vFW上查看实时速率。
测试结果
① Vm1平均下载速率,11.7KB/S,转换为带宽将近为200kb/s

(图:流量管理测试-平均下载)
② vFW上查看实时速率

(图:流量监控-实施速率小于200kb/s)
判断
vFW能够根据每个ip限制带宽。

9.3.会话监控

vFW能够监控到当前连接的所有会话,如下图所示:

(图:会话监控功能)

9.4.Tcp Syn

vFW拥有TCP SYN功能,实现探测指定主机的tcp协议端口,如下所示:

(图:tcp syn功能)

9.5.抓包工具

vFW除了可以实现常规抓包之外,还支持抓去特定应用的包。
测试抓取172.31.102.2的qq应用的所有报文,如下所示:

(图:抓取QQ应用报文)

vFW抓取的包可以通过回放分析

(图:抓包回放)

10.结论

鉴于本次测试是处于vsphere平台之中,受制于虚拟化网络限制,vFW的多链路负载均衡和应用缓存功能无法测试,无线安全接口无法测试,资源管理中的大部分特色功能如ip-mac绑定、维信认证、广告推送等都没有进行测试。
本次测试在于NGFW标准功能和深入安全防护测试,测试了一般FW无法深度识别应用,无法审计上网行为管控的软肋。同时本次测试重点也着手采用新颖的虚拟化部署方式进行测试,实际证明了vFW的可行性和能够正常对接物理防火墙,但是由于受制于vsphere部署的虚拟化网络制约,暂时不能测试其他虚拟化平台如kvm,NFV如vxlan功能,vmware NSX部署方式。
经过测试结论如下:
1.vFW具备NGFW功能;
2.vFW可以以虚拟化方式部署在vsphere的分布式机之中,能够与物理防火墙对接;
3.vFW在虚拟化或云计算环境中实现东西,南北向防护;

=================厂家答疑===============

Vfw测试相关说明

1,应用过滤,按照关键字过滤微信信息

原测试结果:
关键字过滤控制功能没有起作用
说明:
微信加密是使用自己的加密方式,不是简单的使用https。当前不支持微信解密。

2,扫描***

原测试结果:
vfw没有识别到相应扫描***并归类
说明:
测试中是用的是包回放工具,数据包的目的ip是192.168.10.103,目的mac是00.23.54.cb.ab.0d。而测试中vfw的接口ip和mac和数据包中的不一样,也就不再属于对接口的扫描***。
测试建议:
扫描***分为端口扫描和IP扫描,常用的***软件可以使用x-scan和IP scanner。这两个软件都是傻瓜式的,可以很方便的使用。
Vfw配置:

x-scan:配置ip范围后,点击确定,然后在工具栏点击开始。

端口扫描测试结果

Ip scanner:配置ip范围后,直接开始扫描。注意ip范围需要设置大一点。

Ip扫描测试结果

3,flood***
原测试结果:
vfw没有识别到相应的flood***并归类
说明:
测试中是用的是包回放工具,数据包的目的ip是192.168.10.103,目的mac是00.23.54.cb.ab.0d。测试人员测试的时候应该是没有修改vfw对应接口的ip和mac,导致不能识别。
测试建议:
Vfw配置:

可以使用IPOP软件,模拟发送flood***。
Ipop:注意目的ip和目的mac的地址要和相应的vfw接口保持一致。

Flood测试结果

转载于:https://blog.51cto.com/11555417/2118860

你可能感兴趣的:(某虚拟化防火墙测试报告及厂家答疑)