标准规范下载简介
Q/GDW 10940-2018 防火墙测试要求.pdf简介:
"Q/GDW 10940-2018 防火墙测试要求.pdf" 是一份由中国电力科学研究院制定的关于电力行业防火墙技术标准的测试规定。这份文档详细规定了电力系统中使用的防火墙产品的技术性能、安全功能、测试方法和评估标准。它旨在保证电力系统的网络安全,提升防火墙产品的质量和可靠性,防止未经授权的访问和数据泄露,确保电力系统的稳定运行。这份标准可能包括防火墙的性能测试、安全策略、容错能力、数据加密、访问控制等方面的要求,是电力行业防火墙选型、安装和维护的重要参考依据。
Q/GDW 10940-2018 防火墙测试要求.pdf部分内容预览:
可用的测试工具包括但不限于:可模拟内外网的服务器和客户端终端;可对被测设备实施扫描的漏 洞扫描器;生成网络背景流量的专用网络性能测试仪。只要有利于科学、公正、可重复地得到防火墙的 测试结果,可采取多种测试工具和测试方法对系统进行测试。
包过滤的测试方法与预期结果如下: a) 测试方法: 1) 检查防火墙的缺省安全策略: 2) 配置基予MAC地址的包过滤策略,产生相应的网络会话: 3) 配置基于源IP地址、目的IP地址的包过滤策略,产生相应的网络会话; 4 配置基于源端口、目的端口的包过滤策略,产生相应的网络会话: 5) 配置基于协议类型的包过滤策略,产生相应的网络会话: 6) 配置基于时间的包过滤策略,产生相应的网络会话; 配置用户自定义的包过滤策略,过滤条件是2)~6)过滤条件的部分或全部组合,产生相 应的网络会话: 8 配置一条策略,在规定时间内不产生匹配该策略的访问。 b) 预期结果:测试结果符合5.2.2的要求
状态检测的测试方法与预期结果如下: a) 测试方法: 1)配置启动防火墙状态检测模块: 2 配置包过滤策略T∕CAMET 01001-2019 市域快轨交通技术规范,允许特定条件的网络会话通过防火墙: 3 产生满足该特定条件的一个完整的网络会话: 4)产生满足该特定条件的网络会话中的不是第一个连接请求SYN包的一个或多个数据包。 b 预期结果:测试结果符合5.2.3的要求。
NAT的测试方法与预期结果如下: a)测试方法: 1)为内部网络用户访问外部网络主机分别设置“多对一”和“多对多”SNAT,检查内部网络 中的主机能否通过防火墙访问外部网络中的主机: 2)为外部网络用户访问DMZ服务器设置“一对多"DNAT,检查外部网络的主机能否通过防火墙 访问DM亿的服务器: 3)在内部网络、外部网络和DMZ内部署协议分析仪,检验数据包在经过防火墙NAT功能前后的 源地址、目的地址和包头信息,来验证防火墙地址转换功能的有效性。 b)预期结果:测试结果符合5.2.4的要求。
D/GDW109402018
D/GDW109402018
流量统计的测试方法与预期结果如下: a)测试方法: 1)配置防火墙流量统计策略,产生相应的网络流量: 2)检查防火墙能否进行流量统计,并如何输出统计结果。 b)预期结果:测试结果符合5.2.5的要求。
3.5公司统一监控系统
公司统一监控系统支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙Syslog日志外发的相关功能,将Syslog日志发往指定的日志服务器,在日志服 务器上进行抓包: 2) 配置防火墙基于安全增强的SNMP的监控功能:使用SNMP监控工具(可使用厂家自带监控工 具)进行监控;抓包进行分析。 b)预期结果:测试结果符合5.2.6的要求。
NTP支持的测试方法与预期结果如下: a)测试方法: 1)配置防火墙的时间同步功能,配置指定的NTP时间源进行认证;进行时间同步,检查防火 墙的时间是否自动被设置为时间源提供的时间(可选用本地主机时间和网络时间源); 2)检查防火墙是否具备时间源的认证功能。 b)预期结果:测试结果符合5.2.7的要求。
测试方法: 1)查看防火墙本地和远程管理是否必须通过口令鉴别,且口令复杂度及使用周期可配置,口 令是否加密存储于配置文件中; 查看防火墙本地和远程管理是否支持双因子身份鉴别,并对授权管理员设置两种或两种以 上组合的鉴别技术进行身份鉴别: 3 查看防火墙是否确保管理员进行操作之前,对管理员、主机和用户等进行唯一的身份识别: 4 在登录过程中输入错误口令,达到防火墙设定的最大失败次数(如5次)后,查看防火墙 是否能够终止可信主机或用户建立会话的过程,并对该失败用户做禁止访问处理; 5) 查看防火墙是否可通过指定主机IP的方式对防火墙进行远程管理,过协议分析仪查看防火 墙的管理信息是否安全; 检查防火墙的管理权限划分,是否做到权限分离,是否可对每一个规定的授权管理员、可 信主机、主机和用户提供一套唯一的为执行安全策略所必需的安全属性; 查着防火墙的管理方式,是否支持本地管理和远程管理方式,并进行验证;检查防火墙是 否具有独立的管理接口;是否能够关闭业务接口上的管理服务: 8 查看防火墙是否支持在线和离线两种升级方式,并在安全策略开启的情况下进行在线和离 线升级,升级成功后查看安全策略是否仍然有效,查看审计日志是否记录升级操作; 是否文持加 式是否可以关团
Q/GDW109402018
10)查看防火墙的安全管理参数,如页面超时时间、最大登录重试次数、登陆失败阻断间隔等 验证管理员是否能够设置或修改上述参数: 11)查看防火墙授权管理员是否可添加、修改、查询安全策略: 12)查看授权管理员能否根据策略分组,对具备特定条件的策略进行分组: 13)查看授权管理员是否具备管理审计日志的功能: 14)查看授权管理员能否监控防火墙状态和网络数据流状态。 预期结果:测试结果符合5.2.8的要求。
6.3.8IP/MAC绑定
IP/MAC地址绑定的测试方法与预期结果如下: a)测试方法: 1)为防火墙设置IP/MAC地址绑定策略: 2)使用自动绑定或手工绑定功能将内部网络中主机的IP与MAC地址绑定: 3)分别产生正确IP/MAC绑定的会话和盗用IP的会话,检查绑定的有效性 b)预期结果:测试结果符合5.2.9的要求。
a) 测试方法: 根据目标地址参数及出接口配置防火墙静态路由表项,产生相应的网络会话,检查策略路 由的有效性: 2) 两台防火墙均启用动态路由协议OSPF,配置相关参数及邻居信息,相互发布对端路由,检 查防火墙上的区域、邻居等信息是否正确,检查路由学习是否成功: 3 在防火墙上配置RIP相关功能参数的配置,建立邻居,发布路由,检查防火墙获得路由信 息的周期及路由信息是否正确: 4 检查防火墙是否能够根据数据包源IP地址、目的IP地址、网络入接口、传输层接口或数据 包负载内容等参数来设置路由策略; 5) 根据源目标地址、下一跳接口、协议和端口或应用类型等参数配置防火墙策略路由: 6) 产生相应的网络会话,检查策略路由的有效性; 7 在不同的外网链路上产生较大负荷的流量,检查是否能够根据负载情况进行自动选择最优 线路。 b)预期结果:测试结果符合5.2.10的要求。
双机热备的测试方法与预期结果如下: 测试方法: 1) 使用两台防火墙建立双机热备系统(主备模式),使用穴余的心跳线,连续产生正常的网 络会话: 2) 内网测试机长时间ping外部网络测试机,切断主防火墙电源,检查备防火墙是否能够及时 发现故障并接管主防火墙进行工作: 3) 内网测试机长时间ping外部网络测试机,拔掉主防火墙内部网络、外部网络或DMZ相连的 任意网线,检查备防火墙是否能够及时发现故障并接管主防火墙进行工作:
Q/GDW109402018
4)路由模式下,两台防火墙上均配置VRRP,配置双主模式双机热备系统; 5)检查透明模式下,防火墙是否支持STP协议: 6 检查双机热备系统是否支持会话状态的同步,自动或手动进行会话状态同步: 7 检查双机热备系统是否支持配置的同步,自动或手动进行系统、策略的配置同步: 8)将余的心跳线断开,查看双机热备系统是否正常工作,保证网络正常运行。 预期结果:测试结果符合5.2.11的要求。
6.3.11网络适应性
网络适应性的测试方法与预期结果如下: a)测试方法: 1)配置防火墙全部业务接口为路由模式,每个接口上均配置不同网段IP地址,将防火墙接 入测试环境,检查防火墙两端不同网段的主机是否可以相互访问: 2) 配置防火墙全部接口为透明接口,在防火墙两端使用相同网段的主机进行相互访问; 配置防火墙部分接口为路由转发接口、部分接口为透明接口,在防火墙两端分别使用不同 网段的主机通过路由接口进行相互访问,使用相同网段的主机通过透明接口进行相互访问; 4 配置防火墙接口为trunk模式,并配置允许经过的VLANID,接入交换机,使VLANID 相同和不同的数据同时经过防火墙。 b)预期结果:测试结果符合5.2.12的要求
6.3.12深度包检测
会话维持的测试方法与预期结果如下: a)测试方法: 1)在防火墙上配置HTTP或FTP协议的会话维持,打开web页面或FTP,停止任何引起传输的操 作; 2)在未超过设定时间和超过设定时间两个时段,检查防火墙的连接状态。 b)预期结果:测试结果符合5.2.14的要求。
6.3.14动态开放端口
动态开放端口的测试方法与预期结果如下: 测试方法: 1)设置防火墙动态开放端口策略以支持以下应用: 2)内部网络主机通过FTP(包括主动模式和被动模式)访问外部网络,检查防火墙是否能及 时打开FTP数据连接所使用的动态端口,网络会话是否连接正常:
GB 51173-2016 煤炭工业露天矿疏干排水设计规范Q/GDW109402018
3 使用支持H.323协议的视频工具(如NetMeeting)在内部网络和外部网络中的用户发起视 频会议,检查防火墙是否能及时打开所使用的动态端口,视频会议是否正常进行: 4)内部网络主机访问外部网络SQL服务器,检查防火墙是否支持SQL*NET数据库协议。 b)预期结果:测试结果符合5.2.15的要求。
6.3.15连接数控制
连接数控制的测试方法与预期结果如下: a)测试方法: 1)配置单个IP的最大并发会话数; 2)从内部网络指定主机向外部网络服务器、或者从外部网络向DMZ区服务器发起大量TCP连接, 使得单个IP连接数超过设定的限制值。 b)预期结果,测试结果符合5.2.16的要求
协同联动的测试方法与预期结果如下: a)测试方法: 1)配置防火墙联动策略,并设定认证方式: 2 外部网络主机向内部网络主机主机发起策略定义为阻断的攻击,检查防火墙是否能及时接 收IDS报警,并拦截该攻击: 3)大量发起策略定义为阻断的攻击,测试防火墙是否因联动而造成拒绝服务。 b)预期结果:测试结果符合5.2.17的要求
用户鉴别的测试方法与预期结果如下: a 测试方法: 1)在防火墙本地添加用户、用户组; 2)配置第三方鉴别服务器GB 50010-2002 混凝土结构设计规范 条文说明,在防火墙上配置用第三方鉴别服务器: 3)配置基于本地鉴别、第三方鉴别服务器的用户访问控制。 b)预期结果:测试结果符合5.2.18的要求。
6. 3. 18 带宽管理