某虛擬化防火墻測試報告及廠家答疑

記錄某虛擬防火墻功能測試
記錄廠家對測試報告的解釋
純粹技術(shù)性測試，不涉及到生產(chǎn)和應(yīng)用
公網(wǎng)地址已經(jīng)失效

某廠家虛擬防火測試文檔

1.概述

本次使用某廠家深度安全網(wǎng)關(guān)VSG-4（以下簡稱vFW）部署在vsphere平臺之中，用來測試不同vlan的虛擬機東西向的安全防護功能和南北向的虛擬機訪問外網(wǎng)和端口映射。為了簡化測試，采用傳統(tǒng)的硬件防護墻的部署思路進行，按照防火墻核心基本功能的策略控制和基本防范進行測試，不涉及×××和其他高級安全功能。

2.測試思路-東西向防護

1．vFW作為安全網(wǎng)關(guān)，采用路由模式部署；
2．不同的vlan的虛擬機的網(wǎng)關(guān)指向vFW的物理接口，接口配置網(wǎng)關(guān)，不用配置vlan子接口；
3．vFW使用三個接口，兩個作為不同vlan的網(wǎng)關(guān)，一個作為管理接口；
4．vFW的ge0為管理口，配置172.31.101.8/24,ge1配置172.31.102.1/24,ge2配置172.31.103.1/24；
5．vFW配置三個安全域分別對應(yīng)三個不同安全域，基于安全域做的安全策略為基本元素，測試vFW的東西向防護功能；
6．采用四個虛擬機，vm1,vm2地址配置172.31.102.2-3/24,vm3,vm4地址配置172.31.103.2-3/24，vm2,vm4為linux操作系統(tǒng)，vm1,vm3為windows操作系統(tǒng)。,相同操作系統(tǒng)的虛擬機虛擬機硬件配置完全一樣。
以下為測試模擬圖:

3.測試思路-南北向防護

1．vFW配置外網(wǎng)訪問接口，按照傳統(tǒng)防火墻NAT部署方式進行，模擬vm經(jīng)過vfW訪問外網(wǎng)；
2．采用源NAT轉(zhuǎn)換的方式，進行地址多對一的轉(zhuǎn)換，即多個私網(wǎng)地址對應(yīng)一個外網(wǎng)地址；
3．vm經(jīng)過vFW的策略允許通過后，流量會引導(dǎo)至真實防火墻，再由真實防火墻策略控制訪問外網(wǎng)；
4．采用172.31.205.31作為vFW的外網(wǎng)接口ip地址，下一跳為172.31.205.1，測試模擬圖如下圖所示：

（圖：虛擬防火墻跟真實防火墻對接示意）
5．創(chuàng)建NAT池，指定單個地址172.31.205.32/24,所有vm訪問外網(wǎng)都會被轉(zhuǎn)換，同時創(chuàng)建可以訪問外網(wǎng)的安全策略，并在防火墻上指定缺省路由，下一條為172.31.205.1，大致NAT上網(wǎng)方式如下圖所示：

（圖：南北向外網(wǎng)訪問示意）
6．測試端口映射，采用目的NAT方式，實現(xiàn)端口映射。

4.功能配置

4.1.網(wǎng)絡(luò)管理-接口

配置物理接口，ge0,ge1,ge2,分別配置IP地172.31.101.8/24,172.31.102/24,172.31.103.1/24這三個接口作為內(nèi)網(wǎng)接口，ge3配置ip地址172.31.205.31/24，作為外網(wǎng)接口，,如下圖所示：

（圖：接口配置）
以ge1口配置為例，說明接口配置，如下圖所示;

(圖：ge1口配置）

配置各個安全域，綁定對應(yīng)接口，以安全域為單位配置安全策略，,不開啟域內(nèi)接口互訪，如下圖所示：

（圖：安全域配置）

4.2.網(wǎng)絡(luò)管理-靜態(tài)路由

配置靜態(tài)的缺省路由0.0.0.0 0.0.0.0 172.31.205.1，表示訪問外網(wǎng)路由路徑，如下圖所示：

（圖：靜態(tài)路由）

4.3.網(wǎng)絡(luò)管理-NAT-NAT池

配置NAT池，使得訪問外網(wǎng)的ip地址經(jīng)過NAT轉(zhuǎn)換，本次配置單一NAT地址為172.31.205.32，如下圖所示：

（圖：NAT地址池）

4.4.網(wǎng)絡(luò)管理-NAT-源NAT

配置源NAT規(guī)則，決定那些地址需要進行NAT，規(guī)則采用地址池的方式，注意，地址薄等信息配置見本文后面章節(jié),詳細如下圖所示：

（圖：源NAT規(guī)則配置）

4.5.網(wǎng)絡(luò)管理-NAT-目的NAT

目的NAT,即常說的端口映射，即將一個私網(wǎng)地址的ip端口轉(zhuǎn)換到公網(wǎng)ip端口，實現(xiàn)特定的外部訪問，詳細配置如下圖所示：

(圖：目的NAT采用端口映射方式，映射端口22）

4.6.網(wǎng)絡(luò)管理-DHCP服務(wù)器-DHCP服務(wù)器

在接口ge2上開啟DHCP服務(wù)器，如下圖所示：

（圖：接口開啟DHCP服務(wù)器）

4.7.網(wǎng)絡(luò)管理-DHCP服務(wù)器-服務(wù)器

配置相應(yīng)的DHCP服務(wù)器分配的地址和DNS等，使得ge2接口下的vm3和vm4能夠使用dhcp服務(wù)器獲取ip地址，如下圖所示：

（圖：DHCP列表配置）

4.8.資源管理-地址對象

防火墻策略采用五元組的形式的判斷報文是否符合策略控制，其中地址對象是最基本和最重要的的配置，本次測試的地址對象如下圖所示：

（圖：地址對象）

4.9.資源管理-時間表

配置時間表工作時間，時間段為9：00-18：00,詳細如下圖所示：

（圖：時間表配置）

5.東西向策略測試

所謂東西向，指在同一個虛擬化平臺或云環(huán)境之中，不同vm之間的訪問安全控制。本次測試采用vm的地址和服務(wù)應(yīng)用如下表所示：
安全域
序號 名稱 包含接口 地址段 說明
1 trust_zone_mange ge0 172.31.101.0/24 管理員跳板機所在域
2 trsut_zone_test1 ge1 172.31.102.0/24 vm1,vm2所在安全域
3 trsut_zone_test2 ge2 172.31.103.0/24 vm3,vm4所在安全域
4 WAN ge3 172.31.205.31/24 外網(wǎng)域

地址對象
序號 名稱 內(nèi)容 說明
1 Netip_vlan102_vm1 172.31.102.2/32 vm1(windows)地址
2 Netp_vlan102_vm2 172.31.102.3/32 vm2(linux）地址
3 Netp_vlan103_vm3 172.31.103.2/32 vm3(windows）地址
4 Netp_vlan103_vm4 172.31.103.3/32 vm4(linux）地址
5 Netip_vlan101_mange 172.31.101.110/32 管理員跳板機地址
6 NetIP_public_1 172.31.205.32/32 模擬公網(wǎng)地址
7 NetGP_VLAN102 172.31.102.0/24 vm1,vm2所在地址段
8 NetGP_VLAN103 172.31.103.0/24 vm3,vm4所在地址段

（表：地址對象）

5.1.管理員跳板機訪問vm1,vm2

新建安全策略，使得管理員跳板機172.31.101.110可以訪問vm1,vm2,vm3,vm4,允許所有的應(yīng)用，服務(wù)協(xié)議。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務(wù) 應(yīng)用 動作 判定方法
管理員跳板機訪問vm1,vm2 trust_mange Netip_vlan101_mange trsut_zone_test1 any any any permit 1)172.31.101.110可以ping通vm1,vm2
2）172.31.101.110可以ssh登錄vm2
（表：東西向策略1）

（圖：東西向策略1）
?測試結(jié)果
①　172.31.101.110可以ping通172.31.102.2，172.31.102.3

（圖：東西向策略1測試結(jié)果1-ping通172.31.102.2）

（圖：東西向策略1測試結(jié)果1-ping通172.31.102.3）

②　172.31.101.110可以使用ssh客戶端登錄172.31.102.3

（圖：東西向策略1測試結(jié)果-2-ssh登錄172.31.102.3）
?判定
本條策略成功生效。

5.2.vm1使用ssh客戶端登錄vm4

新建安全策略，使得vm1（172.31.102.2）可以SSH到vm4(172.31.103.3),但是不能使用其他服務(wù)訪問。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務(wù) 應(yīng)用 動作 判定方法
vm1只能ssh連接到vm4 trsut_zone_test1 Netip_vlan102_vm1 trsut_zone_test2 Netip_vlan103_vm4 ssh any permit 1)vm1可以ssh登錄到vm4
2)vm1不能ping通vm4

（圖：東西向策略2）

?測試結(jié)果
①　Vm1可以通過ssh客戶端登錄到vm4

(圖：東西向策略2測試結(jié)果1-ssh登錄）
②　Vm1不能ping通vm4

（圖：東西向策略2-測試結(jié)果2-不能ping通172.31.103.3）
?判定
本條策略成功生效。

5.3.Vm3使用ftp客戶端連接VM2并傳送文件

Vm3（windows）172.31.103.2作為ftp客戶端，vm4（linux）172.31.102.3作為ftp服務(wù)器端，測試FTP服務(wù)情況，新建安全策略，使得vm3可以正常ftp連接到VM4。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務(wù) 應(yīng)用 動作 判定方法
vm3只能ftp到vm1，并傳送文件 trust_zone_tes2 Netip_vlan103_vm3 trsut_zone_test1 Netip_vlan102_vm1 ftp any permit 1)172.31.103.2不能ping通172.31.102.2
2）172.31.103.2可以ftp到172.31.102.2
3)可以正常發(fā)送接受文件

（圖：東西向策略3）

?測試結(jié)果
①　Vm3不能ping通vm1

（圖：東西向策略3-測試結(jié)果1-ping不通）
②　Vm3可以使用ftp客戶端連接到vm1

（圖：東西向策略-3-測試結(jié)果2-FTP登錄成功）
③　Vm3可以使用ftp客戶端上傳文件到vm1

（圖：東西向策略測試3-測試結(jié)果3-FTP上傳文件）

（圖：東西向策略測試3-測試結(jié)果3-FTP下載文件）
?判定
本條策略成功生效。

5.4.結(jié)論

1)vm之間的東西向策略功能正常；
2)支持ftp多通道協(xié)議的策略控制；
3)支持NGFW狀態(tài)檢測機制，即只用單向策略就可以保證后續(xù)報文的雙向訪問。

6.南北向策略測試

南北向策略測試，指的是vm通過vFW可以正常上網(wǎng)，同時能夠配置基本的端口映射。已經(jīng)在物理防火墻上做好了配置，與vFW對接成功。
vFW公網(wǎng)地址172.31.205.32（相對而言），物理防火墻公網(wǎng)地址58.19.180.65，對于需要訪問外網(wǎng)的vm，如vm1,172.31.102.2,首先經(jīng)過vFW的源nat轉(zhuǎn)換為172.31.205.32，再經(jīng)過物理防火墻nat轉(zhuǎn)換為58.19.180.65，然后訪問外網(wǎng)。
對于端口映射，目的nat也是經(jīng)過兩道nat實現(xiàn)。
源NAT,NAT地址池，目的NAT配置如下表所示：
NAT地址池
序號 名稱 地址池列表 說明
1 Natpool_test 172.31.205.32 公網(wǎng)地址池，源NAT轉(zhuǎn)換使用
2 Natpool_vlan102_vm2_tcp22 172.31.102.3 需要進行目的NAT轉(zhuǎn)換使用的地址
源NAT
序號 源地址 目的地址 服務(wù) 接口 轉(zhuǎn)換后地址 說明
1 NetGP_VLAN102 any any ge3 Natpool_test 172.31.102.0/24網(wǎng)段NAT
2 NetGP_VLAN103 any any ge3 Natpool_test 172.31.103.0/24網(wǎng)段NAT

目的NAT
序號 源地址 目的地址 服務(wù) 接口 轉(zhuǎn)換后地址 轉(zhuǎn)換后端口 說明
1 any NetIP_public_1 ssh ge3 Natpool_vlan102_vm2_tcp22 22 將公網(wǎng)地址172.31.0.32轉(zhuǎn)換為172.31.102.2的22端口

6.1.Vm1,vm2,訪問外網(wǎng)

新建安全策略，使得所有的vm1，vm2都可以訪問外網(wǎng)，允許所有的應(yīng)用和協(xié)議。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務(wù) 應(yīng)用 動作 判定方法
vm1,vm2都可以訪問外網(wǎng) trsut_zone_test1 NetGP_VLAN102 WAN any any any permit 1)vm1,vm2能夠ping通電信dns服務(wù)器
2）vm1能夠使用瀏覽器訪問網(wǎng)頁
3）vm2能夠yum下載

（圖：南北向策略1）
?測試結(jié)果
①　Vm1能夠ping通DNS服務(wù)器202.103.24.68

（圖：南北向策略測試1-測試結(jié)果1-vm1能夠ping通DNS）

②　Vm2能夠ping通DNS服務(wù)器202.103.24.68

（圖：南北向策略測試1-測試結(jié)果2-vm2能夠ping通DNS）
③　Vm1能夠通過訪問www.163.com

（圖：南北向策略測試1-測試結(jié)果3-vm1能夠訪問網(wǎng)頁）
④　Vm2能夠使用yum下載軟件包

（圖：南北向策略測試1-測試結(jié)果4-vm2能夠yum下載軟件包）

?判定
本條策略成功生效。

6.2.源NAT測試

使用工具，檢查訪問外網(wǎng)的NAT策略是否對vm1,vm2的私網(wǎng)地址進行了源NAT，同時檢查是否與物理防火墻對接順利，同時可以查詢到真實的公網(wǎng)ip。
?測試方法
(1)查詢物理防火墻日志軟件，查詢是否進行了源NAT，將172.31.101.2轉(zhuǎn)換為172.31.205.32
(2)在vm1上登錄ip138,查詢是經(jīng)過多道NAT轉(zhuǎn)換后，是否轉(zhuǎn)換為正確的真實的公網(wǎng)地址。

?測試結(jié)果
①　在物理防火墻上查詢到172.31.0.32的流量記錄，說明vm1的地址已經(jīng)被轉(zhuǎn)換

（圖：南北向策略測試2-測試結(jié)果1-物理防火墻查詢到vFW的源NAT）

②　在vm1上登錄ip138.com，能否顯示為58.19.180.65的公網(wǎng)地址

（圖：南北向策略測試2-測試結(jié)果1-ip138查詢到vm1轉(zhuǎn)換為正確的公網(wǎng)地址）
?判定
(1)vFW的源NAT功能正常。
(2)vFW與物理防火墻對接后可以滿足vm的外網(wǎng)訪問。

6.3.目的NAT測試

在vFW與物理防火墻對接后，配置正確的策略，使得實現(xiàn)端口映射功能，將公網(wǎng)特定的接口轉(zhuǎn)換為私網(wǎng)特定的接口。本次新建策略，使得vm2（172.31.102.3）的ssh端口22可以由外網(wǎng)58.19.180.67：22進行訪問。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務(wù) 應(yīng)用 動作 判定方法
可由公網(wǎng)地址的22端口訪問到vm1的22端口，采用SSH協(xié)議 WAN any trsut_zone_test1 Natpool_vlan102_vm2 ssh any permit 1)在特定虛擬機上可以使用tcping檢測到172.31.205.32的22端口開放
2）可以由58.19.180.67（真實公網(wǎng)地址）使用ssh客戶端訪問

（圖：南北向策略3）
?測試結(jié)果
①　使用tcping可以監(jiān)測到172.31.205.32的22端口開放

（圖：南北向策略測試3-測試結(jié)果1-tcping監(jiān)測到22端口開放）

②　使用ssh客戶端，登錄58.19.180.67，采用22端口可以登錄

（圖：南北向策略3-測試結(jié)果2-登錄公網(wǎng)地址的22端口）
?判定
(1)vFW能夠?qū)崿F(xiàn)目的NAT,實現(xiàn)特定的端口映射；
(2)在與物理防火墻對接后，可以滿足的vm的目的NAT使用需求。

6.4.結(jié)論

(1)vFW在虛擬化平臺之中，可以按照傳統(tǒng)防火墻的配置實現(xiàn)vm的NAT配置需求；
(2)在與物理防火墻對接好后，vFW可以做到南北向的vm訪問策略控制；

7.vFW深度安全功能測試

NGFW一般除了帶有UTM功能之外，還可以做到深度報文監(jiān)測，還很多高級安全功能。
安全功能按照防火墻策略為單位配置，本次測試只是測試南北向，即vm訪問外網(wǎng)，端口映射的情況下的深度安全功能。

7.1.應(yīng)用過濾-過濾qq功能

配置策略，使得vm2可以訪問外網(wǎng)，同時在該策略配置應(yīng)用過濾，測試安全功能。
詳細的策略不再描述，跟前面一樣。
?安全功能
開啟應(yīng)用過濾，過濾qq聊天程序，相關(guān)控制內(nèi)容與判定方法如下所示：

序號 描述 功能配置 判定方法
1 控制vm3可以登錄qq但是不能正常發(fā)送消息，
同時記錄審計 1.應(yīng)用-QQ
2.相關(guān)行為-發(fā)送消息
3.審計行為-所有
4.關(guān)鍵字-所有
5.動作-拒絕 1.vm3可以登錄qq
2.qq不能發(fā)送任何消息

（圖：應(yīng)用過濾-過濾qq功能）
?測試結(jié)果
①　Vm3可以正常登錄qq

（圖：應(yīng)用過濾測試1-測試結(jié)果1-可以正常登錄qq）

②　Vm3不能發(fā)送消息，顯示發(fā)送拒絕

（圖：應(yīng)用過濾測試1-測試結(jié)果2-qq不能發(fā)送消息）
?判定
應(yīng)用過濾，qq控制功能成功生效。

7.2.應(yīng)用過濾-過濾迅雷下載

?安全功能
開啟應(yīng)用過濾，控制迅雷下載。
序號 描述 功能配置 判定方法
1 控制vm3可以登錄迅雷，但是不能使用下載功能 1.應(yīng)用-迅雷
2.相關(guān)行為-下載
3.審計行為-所有
4.關(guān)鍵字-所有
5.動作-拒絕 1.vm3可以開啟迅雷
2.迅雷不能下載文件

（圖：應(yīng)用過濾-限制迅雷下載）
?測試結(jié)果
①　Vm3能夠開啟迅雷

（圖：應(yīng)用過濾2-測試結(jié)果1-正常開啟迅雷）

②　迅雷不能下載

（圖：應(yīng)用過濾2-測試結(jié)果2-迅雷不能正常下載）
?判定
應(yīng)用過濾，迅雷控制功能成功生效。

7.3.url過濾-過濾網(wǎng)易

配置安全功能，開啟url過濾，將網(wǎng)易www.163.com加入過濾之中，使得vm3不能訪問網(wǎng)易。
?安全功能
url過濾
序號 描述 功能配置 判定方法
1 控制vm3，除了www.163.com不能訪問之外，其他的網(wǎng)頁都能訪問 1.URL分類-網(wǎng)易

2.動作-拒絕 1.vm3不能訪問www.163.com
2.vm3可以訪問www.sina.com

（圖：url過濾配置）
?測試結(jié)果
①　Vm3訪問www.163.com被禁止

（圖：url過濾-測試結(jié)果1-過濾www.163.com）

②　Vm3正常訪問www.baidu.com

（圖：url過濾-測試結(jié)果2-訪問百度正常）

?判定
URL過濾，特定網(wǎng)頁過濾功能成功生效。

7.4.病毒防護-http

配置病毒防護安全功能，vm3嘗試登錄惡意網(wǎng)頁，下載惡意程序，測試該安全功能。
?安全功能

（圖：病毒防護-http）
在不開啟的第三安全軟件，系統(tǒng)自帶防火墻的情況下，vm3訪問惡意網(wǎng)站，下載惡意軟件能有效阻斷。
?測試結(jié)果
①　下載惡意程序，并不能成功運行

（圖：病毒防護-http測試結(jié)果-惡意程序不能隨意運行）

?判定
病毒防護功能，http防護生效。

7.5.病毒防護-FTP

Vm3做為FTP客戶端，VM1作為服務(wù)器端，上傳惡意文件文件給服務(wù)器，檢測FTP防護功能。
在記事本中復(fù)制粘貼以下字符串：
（略）
另存為eicar.com文件。
EICAR文件模擬病毒文件來驗證反病毒功能。EICAR文件是歐洲反計算機病毒協(xié)會為測試反病毒功能提供的文件，讓用戶在不使用真正病毒的情況下來測試反病毒功能。
?安全功能
在開啟ftp防護的情況下，病毒文件應(yīng)能被vFW阻斷，并有記錄日志。
?測試結(jié)果
①　病毒文件不能通過ftp上傳

（圖：病毒防護-FTP-測試結(jié)果1-病毒文件不能通過上傳）
②　病毒文件會被vFW阻斷，同時記錄日志

（圖：病毒防護-FTP-測試結(jié)果-2-病毒文件被阻斷并記錄日志）
?判斷病毒防護ftp安全功能生效

7.6.應(yīng)用過濾-按照關(guān)鍵字過濾微信信息

?安全功能
配置關(guān)鍵字列表，添加關(guān)鍵字，并應(yīng)用策略，配置的關(guān)鍵字如下圖所示：

（圖：關(guān)鍵字列表）
?測試結(jié)果
微信電腦版可以發(fā)送一般的消息，無論是否包含關(guān)鍵字都可以發(fā)送。

（圖：微信關(guān)鍵字過濾）
?判定
關(guān)鍵字過濾控制功能沒有起作用。

7.7.結(jié)論

vFW可以實現(xiàn)以策略為元素的深度安全功能防護；
vFW具備NGFW的基本深度安全功能。
vFW關(guān)鍵字過濾功能沒有實現(xiàn)。

8.vFW安全防護測試

vFW開啟所有的安全防護功能包括：
1.防arp***；
2.***防護；
3.flood***防護；
配置所有的安全防護功能子項，并將所有接口和vm的ip開啟保護。
在vm1(172.31.102.2)上安裝科來分析軟件，使用包回放功能，回放典型***包報文，查詢vFW日志，檢測安全防護功能是否正常。
8.1.arp***
?測試包回放

（圖：arp***包回放）

?測試結(jié)果

（圖：arp***日志）
?判定
在arp功能完全開啟的情況下，vFW能夠處理相關(guān)***。

8.2.異常包***

?***包回放

（圖：ip分片異常包***回放）
?測試結(jié)果

（圖：異常包***日志）
?判定
在安全防護功能完全開啟的情況下，vFW能夠處理相關(guān)異常包***。

8.3.掃描***

?***包回放

（圖：掃描探測***包回放）

?測試結(jié)果

（圖：掃描***日志）
?判定
vFW沒有識別到相應(yīng)掃描***并歸類

8.4.flood***

?***包回放

（圖：flood***包回放）
?測試結(jié)果

(圖：flood***日志）

?判定
vFW沒有識別到相應(yīng)flood***并歸類

8.5.IPS***

?***包回放

（圖：ips***包回放）
?

?測試結(jié)果
（IPS安全日志）
?判定
vFW識別到相應(yīng)的ips***并歸類

8.6.結(jié)論

在升級病毒庫，ips特征庫后，vFW能夠做到ips防護；
vFW能夠具有一定的安全防護能力，可以針對底層的的***做出有效控制；
vFW不能夠具體識別到***類型與特征，大部分識別為異常包***。

9.其他功能測試

9.1.服務(wù)質(zhì)量管理

可以針對出口網(wǎng)絡(luò)的網(wǎng)關(guān)進行ping，測定出口網(wǎng)絡(luò)的穩(wěn)定性，詳細如下圖所示：

（圖：服務(wù)質(zhì)量管理）

9.2.流量管理

測試vFW對應(yīng)接口，單個ip的帶寬及流量控制管理功能。
?功能配置
線路設(shè)置，配置ge3接口外網(wǎng)訪問限速，上行，下行都限制為1Mb/s，如下圖所示：

（圖：線路設(shè)置）
在完成線路設(shè)置后，vFW自動生成流量控制策略，如下圖所示：

（圖：流量控制策略）
vFW可以精細化控制每個ip帶寬，配置每個ip為200kb/S,如下所示：

（圖：每個ip控制流量）
?測試方法
Vm1訪問外網(wǎng)，開啟下載，查看下載速率；
在vFW上查看實時速率。
?測試結(jié)果
①　Vm1平均下載速率，11.7KB/S,轉(zhuǎn)換為帶寬將近為200kb/s

（圖：流量管理測試-平均下載）
②　vFW上查看實時速率

（圖：流量監(jiān)控-實施速率小于200kb/s）
?判斷
vFW能夠根據(jù)每個ip限制帶寬。

9.3.會話監(jiān)控

vFW能夠監(jiān)控到當(dāng)前連接的所有會話，如下圖所示：

（圖：會話監(jiān)控功能）

9.4.Tcp Syn

vFW擁有TCP SYN功能，實現(xiàn)探測指定主機的tcp協(xié)議端口，如下所示：

（圖：tcp syn功能）

9.5.抓包工具

vFW除了可以實現(xiàn)常規(guī)抓包之外，還支持抓去特定應(yīng)用的包。
測試抓取172.31.102.2的qq應(yīng)用的所有報文，如下所示：

（圖：抓取QQ應(yīng)用報文）

vFW抓取的包可以通過回放分析

（圖：抓包回放）

10.結(jié)論

鑒于本次測試是處于vsphere平臺之中，受制于虛擬化網(wǎng)絡(luò)限制，vFW的多鏈路負載均衡和應(yīng)用緩存功能無法測試，無線安全接口無法測試，資源管理中的大部分特色功能如ip-mac綁定、維信認證、廣告推送等都沒有進行測試。
本次測試在于NGFW標(biāo)準(zhǔn)功能和深入安全防護測試，測試了一般FW無法深度識別應(yīng)用，無法審計上網(wǎng)行為管控的軟肋。同時本次測試重點也著手采用新穎的虛擬化部署方式進行測試，實際證明了vFW的可行性和能夠正常對接物理防火墻，但是由于受制于vsphere部署的虛擬化網(wǎng)絡(luò)制約，暫時不能測試其他虛擬化平臺如kvm，NFV如vxlan功能，vmware NSX部署方式。
經(jīng)過測試結(jié)論如下：
1.vFW具備NGFW功能；
2.vFW可以以虛擬化方式部署在vsphere的分布式機之中，能夠與物理防火墻對接；
3.vFW在虛擬化或云計算環(huán)境中實現(xiàn)東西，南北向防護；

=================廠家答疑===============

Vfw測試相關(guān)說明

1，應(yīng)用過濾，按照關(guān)鍵字過濾微信信息

原測試結(jié)果：
關(guān)鍵字過濾控制功能沒有起作用
說明：
微信加密是使用自己的加密方式，不是簡單的使用https。當(dāng)前不支持微信解密。

2，掃描***

原測試結(jié)果：
vfw沒有識別到相應(yīng)掃描***并歸類
說明：
測試中是用的是包回放工具，數(shù)據(jù)包的目的ip是192.168.10.103，目的mac是00.23.54.cb.ab.0d。而測試中vfw的接口ip和mac和數(shù)據(jù)包中的不一樣，也就不再屬于對接口的掃描***。
測試建議：
掃描***分為端口掃描和IP掃描，常用的***軟件可以使用x-scan和IP scanner。這兩個軟件都是傻瓜式的，可以很方便的使用。
Vfw配置：

x-scan：配置ip范圍后，點擊確定，然后在工具欄點擊開始。

端口掃描測試結(jié)果

Ip scanner：配置ip范圍后，直接開始掃描。注意ip范圍需要設(shè)置大一點。

Ip掃描測試結(jié)果

3，flood***
原測試結(jié)果：
vfw沒有識別到相應(yīng)的flood***并歸類
說明：
測試中是用的是包回放工具，數(shù)據(jù)包的目的ip是192.168.10.103，目的mac是00.23.54.cb.ab.0d。測試人員測試的時候應(yīng)該是沒有修改vfw對應(yīng)接口的ip和mac，導(dǎo)致不能識別。
測試建議：
Vfw配置：

可以使用IPOP軟件，模擬發(fā)送flood***。
Ipop：注意目的ip和目的mac的地址要和相應(yīng)的vfw接口保持一致。

Flood測試結(jié)果