某虛擬化防火墻測試報告及廠家答疑
記錄某虛擬防火墻功能測試
記錄廠家對測試報告的解釋
純粹技術性測試�����,不涉及到生產和應用
公網地址已經失效
某廠家虛擬防火測試文檔
1.概述
本次使用某廠家深度安全網關VSG-4(以下簡稱vFW)部署在vsphere平臺之中���,用來測試不同vlan的虛擬機東西向的安全防護功能和南北向的虛擬機訪問外網和端口映射�����。為了簡化測試�����,采用傳統的硬件防護墻的部署思路進行��,按照防火墻核心基本功能的策略控制和基本防范進行測試�����,不涉及×××和其他高級安全功能�。
2.測試思路-東西向防護
1.vFW作為安全網關�����,采用路由模式部署����;
2.不同的vlan的虛擬機的網關指向vFW的物理接口�,接口配置網關�,不用配置vlan子接口�����;
3.vFW使用三個接口��,兩個作為不同vlan的網關����,一個作為管理接口�����;
4.vFW的ge0為管理口����,配置172.31.101.8/24,ge1配置172.31.102.1/24,ge2配置172.31.103.1/24����;
5.vFW配置三個安全域分別對應三個不同安全域���,基于安全域做的安全策略為基本元素����,測試vFW的東西向防護功能���;
6.采用四個虛擬機����,vm1,vm2地址配置172.31.102.2-3/24,vm3,vm4地址配置172.31.103.2-3/24���,vm2,vm4為linux操作系統�����,vm1,vm3為windows操作系統�。,相同操作系統的虛擬機虛擬機硬件配置完全一樣��。
以下為測試模擬圖:
3.測試思路-南北向防護
1.vFW配置外網訪問接口���,按照傳統防火墻NAT部署方式進行��,模擬vm經過vfW訪問外網��;
2.采用源NAT轉換的方式��,進行地址多對一的轉換��,即多個私網地址對應一個外網地址��;
3.vm經過vFW的策略允許通過后�����,流量會引導至真實防火墻�,再由真實防火墻策略控制訪問外網�����;
4.采用172.31.205.31作為vFW的外網接口ip地址�,下一跳為172.31.205.1��,測試模擬圖如下圖所示:
(圖:虛擬防火墻跟真實防火墻對接示意)
5.創建NAT池���,指定單個地址172.31.205.32/24,所有vm訪問外網都會被轉換�����,同時創建可以訪問外網的安全策略��,并在防火墻上指定缺省路由����,下一條為172.31.205.1�,大致NAT上網方式如下圖所示:
(圖:南北向外網訪問示意)
6.測試端口映射����,采用目的NAT方式���,實現端口映射��。
4.功能配置
4.1.網絡管理-接口
配置物理接口�����,ge0,ge1,ge2,分別配置IP地172.31.101.8/24,172.31.102/24,172.31.103.1/24這三個接口作為內網接口����,ge3配置ip地址172.31.205.31/24���,作為外網接口��,,如下圖所示:
(圖:接口配置)
以ge1口配置為例�,說明接口配置�����,如下圖所示;
(圖:ge1口配置)
配置各個安全域���,綁定對應接口�����,以安全域為單位配置安全策略�����,,不開啟域內接口互訪����,如下圖所示:
(圖:安全域配置)
4.2.網絡管理-靜態路由
配置靜態的缺省路由0.0.0.0 0.0.0.0 172.31.205.1����,表示訪問外網路由路徑��,如下圖所示:
(圖:靜態路由)
4.3.網絡管理-NAT-NAT池
配置NAT池�����,使得訪問外網的ip地址經過NAT轉換�����,本次配置單一NAT地址為172.31.205.32�,如下圖所示:
(圖:NAT地址池)
4.4.網絡管理-NAT-源NAT
配置源NAT規則��,決定那些地址需要進行NAT���,規則采用地址池的方式�����,注意����,地址薄等信息配置見本文后面章節,詳細如下圖所示:
(圖:源NAT規則配置)
4.5.網絡管理-NAT-目的NAT
目的NAT,即常說的端口映射���,即將一個私網地址的ip端口轉換到公網ip端口�����,實現特定的外部訪問�,詳細配置如下圖所示:
(圖:目的NAT采用端口映射方式����,映射端口22)
4.6.網絡管理-DHCP服務器-DHCP服務器
在接口ge2上開啟DHCP服務器��,如下圖所示:
(圖:接口開啟DHCP服務器)
4.7.網絡管理-DHCP服務器-服務器
配置相應的DHCP服務器分配的地址和DNS等���,使得ge2接口下的vm3和vm4能夠使用dhcp服務器獲取ip地址��,如下圖所示:
(圖:DHCP列表配置)
4.8.資源管理-地址對象
防火墻策略采用五元組的形式的判斷報文是否符合策略控制�����,其中地址對象是最基本和最重要的的配置�,本次測試的地址對象如下圖所示:
(圖:地址對象)
4.9.資源管理-時間表
配置時間表工作時間����,時間段為9:00-18:00,詳細如下圖所示:
(圖:時間表配置)
5.東西向策略測試
所謂東西向�,指在同一個虛擬化平臺或云環境之中��,不同vm之間的訪問安全控制���。本次測試采用vm的地址和服務應用如下表所示:
安全域
序號 名稱 包含接口 地址段 說明
1 trust_zone_mange ge0 172.31.101.0/24 管理員跳板機所在域
2 trsut_zone_test1 ge1 172.31.102.0/24 vm1,vm2所在安全域
3 trsut_zone_test2 ge2 172.31.103.0/24 vm3,vm4所在安全域
4 WAN ge3 172.31.205.31/24 外網域
地址對象
序號 名稱 內容 說明
1 Netip_vlan102_vm1 172.31.102.2/32 vm1(windows)地址
2 Netp_vlan102_vm2 172.31.102.3/32 vm2(linux)地址
3 Netp_vlan103_vm3 172.31.103.2/32 vm3(windows)地址
4 Netp_vlan103_vm4 172.31.103.3/32 vm4(linux)地址
5 Netip_vlan101_mange 172.31.101.110/32 管理員跳板機地址
6 NetIP_public_1 172.31.205.32/32 模擬公網地址
7 NetGP_VLAN102 172.31.102.0/24 vm1,vm2所在地址段
8 NetGP_VLAN103 172.31.103.0/24 vm3,vm4所在地址段
(表:地址對象)
5.1.管理員跳板機訪問vm1,vm2
新建安全策略�����,使得管理員跳板機172.31.101.110可以訪問vm1,vm2,vm3,vm4,允許所有的應用����,服務協議�����。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務 應用 動作 判定方法
管理員跳板機訪問vm1,vm2 trust_mange Netip_vlan101_mange trsut_zone_test1 any any any permit 1)172.31.101.110可以ping通vm1,vm2
2)172.31.101.110可以ssh登錄vm2
(表:東西向策略1)
(圖:東西向策略1)
?測試結果
① 172.31.101.110可以ping通172.31.102.2����,172.31.102.3
(圖:東西向策略1測試結果1-ping通172.31.102.2)
(圖:東西向策略1測試結果1-ping通172.31.102.3)
② 172.31.101.110可以使用ssh客戶端登錄172.31.102.3
(圖:東西向策略1測試結果-2-ssh登錄172.31.102.3)
?判定
本條策略成功生效����。
5.2.vm1使用ssh客戶端登錄vm4
新建安全策略����,使得vm1(172.31.102.2)可以SSH到vm4(172.31.103.3),但是不能使用其他服務訪問��。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務 應用 動作 判定方法
vm1只能ssh連接到vm4 trsut_zone_test1 Netip_vlan102_vm1 trsut_zone_test2 Netip_vlan103_vm4 ssh any permit 1)vm1可以ssh登錄到vm4
2)vm1不能ping通vm4
(圖:東西向策略2)
?測試結果
① Vm1可以通過ssh客戶端登錄到vm4
(圖:東西向策略2測試結果1-ssh登錄)
② Vm1不能ping通vm4
(圖:東西向策略2-測試結果2-不能ping通172.31.103.3)
?判定
本條策略成功生效�。
5.3.Vm3使用ftp客戶端連接VM2并傳送文件
Vm3(windows)172.31.103.2作為ftp客戶端��,vm4(linux)172.31.102.3作為ftp服務器端����,測試FTP服務情況�����,新建安全策略�,使得vm3可以正常ftp連接到VM4�����。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務 應用 動作 判定方法
vm3只能ftp到vm1��,并傳送文件 trust_zone_tes2 Netip_vlan103_vm3 trsut_zone_test1 Netip_vlan102_vm1 ftp any permit 1)172.31.103.2不能ping通172.31.102.2
2)172.31.103.2可以ftp到172.31.102.2
3)可以正常發送接受文件
(圖:東西向策略3)
?測試結果
① Vm3不能ping通vm1
(圖:東西向策略3-測試結果1-ping不通)
② Vm3可以使用ftp客戶端連接到vm1
(圖:東西向策略-3-測試結果2-FTP登錄成功)
③ Vm3可以使用ftp客戶端上傳文件到vm1
(圖:東西向策略測試3-測試結果3-FTP上傳文件)
(圖:東西向策略測試3-測試結果3-FTP下載文件)
?判定
本條策略成功生效���。
5.4.結論
1)vm之間的東西向策略功能正常����;
2)支持ftp多通道協議的策略控制�����;
3)支持NGFW狀態檢測機制�,即只用單向策略就可以保證后續報文的雙向訪問����。
6.南北向策略測試
南北向策略測試��,指的是vm通過vFW可以正常上網�,同時能夠配置基本的端口映射��。已經在物理防火墻上做好了配置�,與vFW對接成功��。
vFW公網地址172.31.205.32(相對而言)����,物理防火墻公網地址58.19.180.65���,對于需要訪問外網的vm��,如vm1,172.31.102.2,首先經過vFW的源nat轉換為172.31.205.32�,再經過物理防火墻nat轉換為58.19.180.65���,然后訪問外網�����。
對于端口映射��,目的nat也是經過兩道nat實現����。
源NAT,NAT地址池��,目的NAT配置如下表所示:
NAT地址池
序號 名稱 地址池列表 說明
1 Natpool_test 172.31.205.32 公網地址池����,源NAT轉換使用
2 Natpool_vlan102_vm2_tcp22 172.31.102.3 需要進行目的NAT轉換使用的地址
源NAT
序號 源地址 目的地址 服務 接口 轉換后地址 說明
1 NetGP_VLAN102 any any ge3 Natpool_test 172.31.102.0/24網段NAT
2 NetGP_VLAN103 any any ge3 Natpool_test 172.31.103.0/24網段NAT
目的NAT
序號 源地址 目的地址 服務 接口 轉換后地址 轉換后端口 說明
1 any NetIP_public_1 ssh ge3 Natpool_vlan102_vm2_tcp22 22 將公網地址172.31.0.32轉換為172.31.102.2的22端口
6.1.Vm1,vm2,訪問外網
新建安全策略�,使得所有的vm1���,vm2都可以訪問外網���,允許所有的應用和協議����。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務 應用 動作 判定方法
vm1,vm2都可以訪問外網 trsut_zone_test1 NetGP_VLAN102 WAN any any any permit 1)vm1,vm2能夠ping通電信dns服務器
2)vm1能夠使用瀏覽器訪問網頁
3)vm2能夠yum下載
(圖:南北向策略1)
?測試結果
① Vm1能夠ping通DNS服務器202.103.24.68
(圖:南北向策略測試1-測試結果1-vm1能夠ping通DNS)
② Vm2能夠ping通DNS服務器202.103.24.68
(圖:南北向策略測試1-測試結果2-vm2能夠ping通DNS)
③ Vm1能夠通過訪問www.163.com
(圖:南北向策略測試1-測試結果3-vm1能夠訪問網頁)
④ Vm2能夠使用yum下載軟件包
(圖:南北向策略測試1-測試結果4-vm2能夠yum下載軟件包)
?判定
本條策略成功生效��。
6.2.源NAT測試
使用工具���,檢查訪問外網的NAT策略是否對vm1,vm2的私網地址進行了源NAT��,同時檢查是否與物理防火墻對接順利����,同時可以查詢到真實的公網ip�����。
?測試方法
(1)查詢物理防火墻日志軟件����,查詢是否進行了源NAT����,將172.31.101.2轉換為172.31.205.32
(2)在vm1上登錄ip138,查詢是經過多道NAT轉換后���,是否轉換為正確的真實的公網地址��。
?測試結果
① 在物理防火墻上查詢到172.31.0.32的流量記錄����,說明vm1的地址已經被轉換
(圖:南北向策略測試2-測試結果1-物理防火墻查詢到vFW的源NAT)
② 在vm1上登錄ip138.com�����,能否顯示為58.19.180.65的公網地址
(圖:南北向策略測試2-測試結果1-ip138查詢到vm1轉換為正確的公網地址)
?判定
(1)vFW的源NAT功能正常���。
(2)vFW與物理防火墻對接后可以滿足vm的外網訪問���。
6.3.目的NAT測試
在vFW與物理防火墻對接后���,配置正確的策略���,使得實現端口映射功能��,將公網特定的接口轉換為私網特定的接口����。本次新建策略�����,使得vm2(172.31.102.3)的ssh端口22可以由外網58.19.180.67:22進行訪問�。
?策略
測試目的 源接口 源地址 目的接口 目的地址 服務 應用 動作 判定方法
可由公網地址的22端口訪問到vm1的22端口��,采用SSH協議 WAN any trsut_zone_test1 Natpool_vlan102_vm2 ssh any permit 1)在特定虛擬機上可以使用tcping檢測到172.31.205.32的22端口開放
2)可以由58.19.180.67(真實公網地址)使用ssh客戶端訪問
(圖:南北向策略3)
?測試結果
① 使用tcping可以監測到172.31.205.32的22端口開放
(圖:南北向策略測試3-測試結果1-tcping監測到22端口開放)
② 使用ssh客戶端����,登錄58.19.180.67���,采用22端口可以登錄
(圖:南北向策略3-測試結果2-登錄公網地址的22端口)
?判定
(1)vFW能夠實現目的NAT,實現特定的端口映射�����;
(2)在與物理防火墻對接后�,可以滿足的vm的目的NAT使用需求����。
6.4.結論
(1)vFW在虛擬化平臺之中����,可以按照傳統防火墻的配置實現vm的NAT配置需求��;
(2)在與物理防火墻對接好后���,vFW可以做到南北向的vm訪問策略控制����;
7.vFW深度安全功能測試
NGFW一般除了帶有UTM功能之外��,還可以做到深度報文監測����,還很多高級安全功能��。
安全功能按照防火墻策略為單位配置�,本次測試只是測試南北向��,即vm訪問外網����,端口映射的情況下的深度安全功能��。
7.1.應用過濾-過濾qq功能
配置策略���,使得vm2可以訪問外網�,同時在該策略配置應用過濾�����,測試安全功能��。
詳細的策略不再描述���,跟前面一樣����。
?安全功能
開啟應用過濾�����,過濾qq聊天程序���,相關控制內容與判定方法如下所示:
序號 描述 功能配置 判定方法
1 控制vm3可以登錄qq但是不能正常發送消息�����,
同時記錄審計 1.應用-QQ
2.相關行為-發送消息
3.審計行為-所有
4.關鍵字-所有
5.動作-拒絕 1.vm3可以登錄qq
2.qq不能發送任何消息
(圖:應用過濾-過濾qq功能)
?測試結果
① Vm3可以正常登錄qq
(圖:應用過濾測試1-測試結果1-可以正常登錄qq)
② Vm3不能發送消息����,顯示發送拒絕
(圖:應用過濾測試1-測試結果2-qq不能發送消息)
?判定
應用過濾����,qq控制功能成功生效�。
7.2.應用過濾-過濾迅雷下載
?安全功能
開啟應用過濾����,控制迅雷下載�。
序號 描述 功能配置 判定方法
1 控制vm3可以登錄迅雷���,但是不能使用下載功能 1.應用-迅雷
2.相關行為-下載
3.審計行為-所有
4.關鍵字-所有
5.動作-拒絕 1.vm3可以開啟迅雷
2.迅雷不能下載文件
(圖:應用過濾-限制迅雷下載)
?測試結果
① Vm3能夠開啟迅雷
(圖:應用過濾2-測試結果1-正常開啟迅雷)
② 迅雷不能下載
(圖:應用過濾2-測試結果2-迅雷不能正常下載)
?判定
應用過濾��,迅雷控制功能成功生效����。
7.3.url過濾-過濾網易
配置安全功能�����,開啟url過濾�,將網易www.163.com加入過濾之中��,使得vm3不能訪問網易���。
?安全功能
url過濾
序號 描述 功能配置 判定方法
1 控制vm3�����,除了www.163.com不能訪問之外��,其他的網頁都能訪問 1.URL分類-網易
2.動作-拒絕 1.vm3不能訪問www.163.com
2.vm3可以訪問www.sina.com
(圖:url過濾配置)
?測試結果
① Vm3訪問www.163.com被禁止
(圖:url過濾-測試結果1-過濾www.163.com)
② Vm3正常訪問www.baidu.com
(圖:url過濾-測試結果2-訪問百度正常)
?判定
URL過濾��,特定網頁過濾功能成功生效�����。
7.4.病毒防護-http
配置病毒防護安全功能����,vm3嘗試登錄惡意網頁�,下載惡意程序����,測試該安全功能�����。
?安全功能
(圖:病毒防護-http)
在不開啟的第三安全軟件����,系統自帶防火墻的情況下����,vm3訪問惡意網站����,下載惡意軟件能有效阻斷��。
?測試結果
① 下載惡意程序�����,并不能成功運行
(圖:病毒防護-http測試結果-惡意程序不能隨意運行)
?判定
病毒防護功能���,http防護生效�。
7.5.病毒防護-FTP
Vm3做為FTP客戶端��,VM1作為服務器端�����,上傳惡意文件文件給服務器���,檢測FTP防護功能�。
在記事本中復制粘貼以下字符串:
(略)
另存為eicar.com文件�����。
EICAR文件模擬病毒文件來驗證反病毒功能��。EICAR文件是歐洲反計算機病毒協會為測試反病毒功能提供的文件����,讓用戶在不使用真正病毒的情況下來測試反病毒功能�。
?安全功能
在開啟ftp防護的情況下��,病毒文件應能被vFW阻斷��,并有記錄日志�。
?測試結果
① 病毒文件不能通過ftp上傳
(圖:病毒防護-FTP-測試結果1-病毒文件不能通過上傳)
② 病毒文件會被vFW阻斷�,同時記錄日志
(圖:病毒防護-FTP-測試結果-2-病毒文件被阻斷并記錄日志)
?判斷病毒防護ftp安全功能生效
7.6.應用過濾-按照關鍵字過濾微信信息
?安全功能
配置關鍵字列表�����,添加關鍵字����,并應用策略����,配置的關鍵字如下圖所示:
(圖:關鍵字列表)
?測試結果
微信電腦版可以發送一般的消息�,無論是否包含關鍵字都可以發送��。
(圖:微信關鍵字過濾)
?判定
關鍵字過濾控制功能沒有起作用�。
7.7.結論
vFW可以實現以策略為元素的深度安全功能防護�����;
vFW具備NGFW的基本深度安全功能���。
vFW關鍵字過濾功能沒有實現�����。
8.vFW安全防護測試
vFW開啟所有的安全防護功能包括:
1.防arp***�;
2.***防護�;
3.flood***防護���;
配置所有的安全防護功能子項�����,并將所有接口和vm的ip開啟保護����。
在vm1(172.31.102.2)上安裝科來分析軟件�����,使用包回放功能��,回放典型***包報文���,查詢vFW日志�,檢測安全防護功能是否正常��。
8.1.arp***
?測試包回放
(圖:arp***包回放)
?測試結果
(圖:arp***日志)
?判定
在arp功能完全開啟的情況下�����,vFW能夠處理相關***��。
8.2.異常包***
?***包回放
(圖:ip分片異常包***回放)
?測試結果
(圖:異常包***日志)
?判定
在安全防護功能完全開啟的情況下�����,vFW能夠處理相關異常包***����。
8.3.掃描***
?***包回放
(圖:掃描探測***包回放)
?測試結果
(圖:掃描***日志)
?判定
vFW沒有識別到相應掃描***并歸類
8.4.flood***
?***包回放
(圖:flood***包回放)
?測試結果
(圖:flood***日志)
?判定
vFW沒有識別到相應flood***并歸類
8.5.IPS***
?***包回放
(圖:ips***包回放)
?
?測試結果
(IPS安全日志)
?判定
vFW識別到相應的ips***并歸類
8.6.結論
在升級病毒庫����,ips特征庫后���,vFW能夠做到ips防護��;
vFW能夠具有一定的安全防護能力�����,可以針對底層的的***做出有效控制���;
vFW不能夠具體識別到***類型與特征���,大部分識別為異常包***�。
9.其他功能測試
9.1.服務質量管理
可以針對出口網絡的網關進行ping���,測定出口網絡的穩定性����,詳細如下圖所示:
(圖:服務質量管理)
9.2.流量管理
測試vFW對應接口�����,單個ip的帶寬及流量控制管理功能��。
?功能配置
線路設置����,配置ge3接口外網訪問限速�,上行��,下行都限制為1Mb/s���,如下圖所示:
(圖:線路設置)
在完成線路設置后���,vFW自動生成流量控制策略����,如下圖所示:
(圖:流量控制策略)
vFW可以精細化控制每個ip帶寬����,配置每個ip為200kb/S,如下所示:
(圖:每個ip控制流量)
?測試方法
Vm1訪問外網����,開啟下載��,查看下載速率���;
在vFW上查看實時速率�����。
?測試結果
① Vm1平均下載速率����,11.7KB/S,轉換為帶寬將近為200kb/s
(圖:流量管理測試-平均下載)
② vFW上查看實時速率
(圖:流量監控-實施速率小于200kb/s)
?判斷
vFW能夠根據每個ip限制帶寬�。
9.3.會話監控
vFW能夠監控到當前連接的所有會話��,如下圖所示:
(圖:會話監控功能)
9.4.Tcp Syn
vFW擁有TCP SYN功能����,實現探測指定主機的tcp協議端口��,如下所示:
(圖:tcp syn功能)
9.5.抓包工具
vFW除了可以實現常規抓包之外�,還支持抓去特定應用的包���。
測試抓取172.31.102.2的qq應用的所有報文��,如下所示:
(圖:抓取QQ應用報文)
vFW抓取的包可以通過回放分析
(圖:抓包回放)
10.結論
鑒于本次測試是處于vsphere平臺之中��,受制于虛擬化網絡限制��,vFW的多鏈路負載均衡和應用緩存功能無法測試���,無線安全接口無法測試��,資源管理中的大部分特色功能如ip-mac綁定��、維信認證����、廣告推送等都沒有進行測試�。
本次測試在于NGFW標準功能和深入安全防護測試�,測試了一般FW無法深度識別應用���,無法審計上網行為管控的軟肋��。同時本次測試重點也著手采用新穎的虛擬化部署方式進行測試�,實際證明了vFW的可行性和能夠正常對接物理防火墻�,但是由于受制于vsphere部署的虛擬化網絡制約���,暫時不能測試其他虛擬化平臺如kvm����,NFV如vxlan功能��,vmware NSX部署方式�����。
經過測試結論如下:
1.vFW具備NGFW功能����;
2.vFW可以以虛擬化方式部署在vsphere的分布式機之中����,能夠與物理防火墻對接����;
3.vFW在虛擬化或云計算環境中實現東西����,南北向防護�;
=================廠家答疑===============
Vfw測試相關說明
1�����,應用過濾����,按照關鍵字過濾微信信息
原測試結果:
關鍵字過濾控制功能沒有起作用
說明:
微信加密是使用自己的加密方式���,不是簡單的使用https�。當前不支持微信解密�����。
2�����,掃描***
原測試結果:
vfw沒有識別到相應掃描***并歸類
說明:
測試中是用的是包回放工具�����,數據包的目的ip是192.168.10.103�����,目的mac是00.23.54.cb.ab.0d�。而測試中vfw的接口ip和mac和數據包中的不一樣�����,也就不再屬于對接口的掃描***��。
測試建議:
掃描***分為端口掃描和IP掃描���,常用的***軟件可以使用x-scan和IP scanner�����。這兩個軟件都是傻瓜式的�����,可以很方便的使用��。
Vfw配置:
x-scan:配置ip范圍后��,點擊確定����,然后在工具欄點擊開始�。
端口掃描測試結果
Ip scanner:配置ip范圍后����,直接開始掃描����。注意ip范圍需要設置大一點���。
Ip掃描測試結果
3��,flood***
原測試結果:
vfw沒有識別到相應的flood***并歸類
說明:
測試中是用的是包回放工具���,數據包的目的ip是192.168.10.103���,目的mac是00.23.54.cb.ab.0d��。測試人員測試的時候應該是沒有修改vfw對應接口的ip和mac����,導致不能識別���。
測試建議:
Vfw配置:
可以使用IPOP軟件���,模擬發送flood***�����。
Ipop:注意目的ip和目的mac的地址要和相應的vfw接口保持一致��。
Flood測試結果
