某虚拟化防火墙测试报告及厂家答疑（虚拟防火墙实验结果）

某虚拟化防火墙测试报告及厂家答疑（虚拟防火墙实验结果）

记录某虚拟防火墙功能测试记录厂家对测试报告的解释纯粹技术性测试，不涉及到生产和应用公网地址已经失效

某厂家虚拟防火测试文档

1.概述

本次使用某厂家深度安全网关VSG-4（以下简称vFW）部署在vsphere平台之中，用来测试不同vlan的虚拟机东西向的安全防护功能和南北向的虚拟机访问外网和端口映射。为了简化测试，采用传统的硬件防护墙的部署思路进行，按照防火墙核心基本功能的策略控制和基本防范进行测试，不涉及×××和其他高级安全功能。

2.测试思路-东西向防护

3.测试思路-南北向防护

（图：南北向外网访问示意）6．测试端口映射，采用目的NAT方式，实现端口映射。

4.功能配置

4.1.网络管理-接口

4.2.网络管理-静态路由

4.3.网络管理-NAT-NAT池

4.4.网络管理-NAT-源NAT

4.5.网络管理-NAT-目的NAT

4.6.网络管理-DHCP服务器-DHCP服务器

4.7.网络管理-DHCP服务器-服务器

4.8.资源管理-地址对象

4.9.资源管理-时间表

5.东西向策略测试

所谓东西向，指在同一个虚拟化平台或云环境之中，不同vm之间的访问安全控制。本次测试采用vm的地址和服务应用如下表所示：安全域序号 名称 包含接口 地址段 说明1 trust_zone_mange ge0 172.31.101.0/24 管理员跳板机所在域2 trsut_zone_test1 ge1 172.31.102.0/24 vm1,vm2所在安全域3 trsut_zone_test2 ge2 172.31.103.0/24 vm3,vm4所在安全域4 WAN ge3 172.31.205.31/24 外网域

地址对象序号 名称 内容 说明1 Netip_vlan102_vm1 172.31.102.2/32 vm1(windows)地址2 Netp_vlan102_vm2 172.31.102.3/32 vm2(linux）地址3 Netp_vlan103_vm3 172.31.103.2/32 vm3(windows）地址4 Netp_vlan103_vm4 172.31.103.3/32 vm4(linux）地址5 Netip_vlan101_mange 172.31.101.110/32 管理员跳板机地址6 NetIP_public_1 172.31.205.32/32 模拟公网地址7 NetGP_VLAN102 172.31.102.0/24 vm1,vm2所在地址段8 NetGP_VLAN103 172.31.103.0/24 vm3,vm4所在地址段

（表：地址对象）

5.1.管理员跳板机访问vm1,vm2

新建安全策略，使得管理员跳板机172.31.101.110可以访问vm1,vm2,vm3,vm4,允许所有的应用，服务协议。策略测试目的 源接口 源地址 目的接口 目的地址 服务 应用 动作 判定方法管理员跳板机访问vm1,vm2 trust_mange Netip_vlan101_mange trsut_zone_test1 any any any permit 1)172.31.101.110可以ping通vm1,vm22）172.31.101.110可以ssh登录vm2（表：东西向策略1）

5.2.vm1使用ssh客户端登录vm4

5.3.Vm3使用ftp客户端连接VM2并传送文件

（图：东西向策略3）

5.4.结论

1)vm之间的东西向策略功能正常；2)支持ftp多通道协议的策略控制；3)支持NGFW状态检测机制，即只用单向策略就可以保证后续报文的双向访问。

6.南北向策略测试

南北向策略测试，指的是vm通过vFW可以正常上网，同时能够配置基本的端口映射。已经在物理防火墙上做好了配置，与vFW对接成功。vFW公网地址172.31.205.32（相对而言），物理防火墙公网地址58.19.180.65，对于需要访问外网的vm，如vm1,172.31.102.2,首先经过vFW的源nat转换为172.31.205.32，再经过物理防火墙nat转换为58.19.180.65，然后访问外网。对于端口映射，目的nat也是经过两道nat实现。源NAT,NAT地址池，目的NAT配置如下表所示：NAT地址池序号 名称 地址池列表 说明1 Natpool_test 172.31.205.32 公网地址池，源NAT转换使用2 Natpool_vlan102_vm2_tcp22 172.31.102.3 需要进行目的NAT转换使用的地址源NAT序号 源地址 目的地址 服务 接口 转换后地址 说明1 NetGP_VLAN102 any any ge3 Natpool_test 172.31.102.0/24网段NAT2 NetGP_VLAN103 any any ge3 Natpool_test 172.31.103.0/24网段NAT

目的NAT序号 源地址 目的地址 服务 接口 转换后地址 转换后端口 说明1 any NetIP_public_1 ssh ge3 Natpool_vlan102_vm2_tcp22 22 将公网地址172.31.0.32转换为172.31.102.2的22端口

6.1.Vm1,vm2,访问外网

判定本条策略成功生效。

6.2.源NAT测试

使用工具，检查访问外网的NAT策略是否对vm1,vm2的私网地址进行了源NAT，同时检查是否与物理防火墙对接顺利，同时可以查询到真实的公网ip。测试方法(1)查询物理防火墙日志软件，查询是否进行了源NAT，将172.31.101.2转换为172.31.205.32(2)在vm1上登录ip138,查询是经过多道NAT转换后，是否转换为正确的真实的公网地址。

6.3.目的NAT测试

②　使用ssh客户端，登录58.19.180.67，采用22端口可以登录

（图：南北向策略3-测试结果2-登录公网地址的22端口）判定(1)vFW能够实现目的NAT,实现特定的端口映射；(2)在与物理防火墙对接后，可以满足的vm的目的NAT使用需求。

6.4.结论

(1)vFW在虚拟化平台之中，可以按照传统防火墙的配置实现vm的NAT配置需求；(2)在与物理防火墙对接好后，vFW可以做到南北向的vm访问策略控制；

7.vFW深度安全功能测试

NGFW一般除了带有UTM功能之外，还可以做到深度报文监测，还很多高级安全功能。安全功能按照防火墙策略为单位配置，本次测试只是测试南北向，即vm访问外网，端口映射的情况下的深度安全功能。

7.1.应用过滤-过滤qq功能

配置策略，使得vm2可以访问外网，同时在该策略配置应用过滤，测试安全功能。详细的策略不再描述，跟前面一样。安全功能开启应用过滤，过滤qq聊天程序，相关控制内容与判定方法如下所示：

序号 描述 功能配置 判定方法1 控制vm3可以登录qq但是不能正常发送消息，同时记录审计 1.应用-QQ2.相关行为-发送消息3.审计行为-所有4.关键字-所有5.动作-拒绝 1.vm3可以登录qq2.qq不能发送任何消息

7.2.应用过滤-过滤迅雷下载

安全功能开启应用过滤，控制迅雷下载。序号 描述 功能配置 判定方法1 控制vm3可以登录迅雷，但是不能使用下载功能 1.应用-迅雷2.相关行为-下载3.审计行为-所有4.关键字-所有5.动作-拒绝 1.vm3可以开启迅雷2.迅雷不能下载文件

7.3.url过滤-过滤网易

配置安全功能，开启url过滤，将网易163.com加入过滤之中，使得vm3不能访问网易。安全功能url过滤序号 描述 功能配置 判定方法1 控制vm3，除了163.com不能访问之外，其他的网页都能访问 1.URL分类-网易

2.动作-拒绝 1.vm3不能访问163.com2.vm3可以访问sina.com

判定URL过滤，特定网页过滤功能成功生效。

7.4.病毒防护-Syn

9.5.抓包工具

10.结论

鉴于本次测试是处于vsphere平台之中，受制于虚拟化网络限制，vFW的多链路负载均衡和应用缓存功能无法测试，无线安全接口无法测试，资源管理中的大部分特色功能如ip-mac绑定、维信认证、广告推送等都没有进行测试。本次测试在于NGFW标准功能和深入安全防护测试，测试了一般FW无法深度识别应用，无法审计上网行为管控的软肋。同时本次测试重点也着手采用新颖的虚拟化部署方式进行测试，实际证明了vFW的可行性和能够正常对接物理防火墙，但是由于受制于vsphere部署的虚拟化网络制约，暂时不能测试其他虚拟化平台如kvm，NFV如vxlan功能，vmware NSX部署方式。经过测试结论如下：1.vFW具备NGFW功能；2.vFW可以以虚拟化方式部署在vsphere的分布式机之中，能够与物理防火墙对接；3.vFW在虚拟化或云计算环境中实现东西，南北向防护；

=================厂家答疑===============

Vfw测试相关说明

2，扫描攻击

Ip扫描测试结果

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。