防火墙测试方案Word文档下载推荐.docx

1、P2P流量限制测试一、NAT/PAT拓扑图FTP Client测试要求（如防火墙in side接口不够，则使用交换机连接内部三台 pc并将内部网络合并为 192.168.0.0/16）1.将 192.168.1.1（pc1） 静态翻译（地址翻译）为 58.135.192.552.将 192.168.2.0-192.1684254 动态翻译（端口翻译）为 58.135.192.56检查方法及检查项目PC1通过FTP方式从教育网下载数据PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页查看设备负载和网络延迟测试二、Site-to-Site IPSec/VPNInside1/.254

2、Outside Inside1. ISAKMP配置Authe nticasti onPre-ShareEn crypti onAES（256-bit）Diffie-Hellma nGroup 2HashSha2. IPSec 配置Tran sform-Setah-sha-hmac esp-aes（256-bit）3.只对10.0.1.1和10.0.2.2 之间互访的流量进行IPSEC的加密PC1和PC2能否相互PING通，在ASA5540k检测数据是否为加密数据。修改PC2的ip地址为10.0222，使用pci PINGpc2,在asa5540上检查数据是否为明文。测试三、Dynamic Re

3、mote-Access IPSec/VPNOutside.1测试防火墙PC1100.2%PC21.ISAKMP配置3.其他地址池192.168.2.0/24DNS1.1.1.14.防火墙Outside外任何主机都可以与防火墙建立 IPSec/VPN连接5.只对PC1 和 PC2互访的数据加密。PC2修改IP地址为10.0222后是否能与防火墙建立IPSec/VPN连接PC2能否获得正确的DNSPC1和 PC2能否相互 PING通。检查防火墙Outside接口收到的数据是否为明文。测试四、IPSec/VPN的NAT穿透测试防火墙1.3Cisco ASA5540测试防火墙2 PC23. Cisco

4、 ASA 5540上允许以下流量进入其内网UDP 10000TCP 10000两测试设备是否可以正常建立IPSec/VPN连接PC1和 PC2是否可以相互PING通测试五、Remote-Access PPTP VPNI254认证方式MSCHAP加密方式MPPE192.16820/24PC2使用 Windows自带的VPN与防火墙建立 PPTP连接PC2和PC1能否相互PING通测试六、H.323的穿透10%1.测试防火墙配置静态地址翻译， 将192.168.1.1（PC翻译为192.168212.测试防火墙配置端口翻译，将 192.168.1.1（PC翻译为192.168.2.11配置静态地址

5、翻译后，PC和PC否可以用NetMeeting进行语音通话，如 果可以正确建立连接，是否存在单向音问题。配置端口翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可 以正确建立连接，是否存在单向音问题。测试七、ACL和会话数的限制1.配置ACL只允许WW流量到防火墙内部的PC12.限制PC1的会话数为5。PC1上建立 WW服务，提供一文件下载，PC2用多线程下载软件从下载文件，检查连接数是否被限制在 5个。测试八、Syslog、SNMP远程管理是否支持syslog功能是否支持snmp管理（通过snmp能否检测cpu利用率，连接数）是否支持远程管理，通过outside 口登陆防火墙

6、进行管理测试九、认证功能1.防火墙上配置认证功能内部主机PC1主动发起HTTP青求连接PC2时，防火墙通过 WEB页面方式（其他方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2测试十、P2P流量限制1.防火墙上配置P2P流量限制功能PC1能否进行BitTorrent 或E-Donkey的下载测试结果是否支持NAT是否支持PAT设备负载网络延迟是否支持 Site-to-Site IPSec/VPN是否支持只对需要数据进行 IPSec/VPN加密是否支持 Remote-Access IPSec/VPN是否支持 Dynamic Remote-Access IPSec/VPN能否获得正确的DNSIPSec/VPN 的 NAT穿透是否支持IPSec/VPN的NAT穿透是否 Remote-Access PPTP VPN是否支持NAT下的H.323穿透是否支持PAT下的H.323穿透是否支持ACL是否支持会话数限制是否支持Syslog是否支持SNMP 是否支持远程管理远程管理方式WEB 命令行 其他 是否支持认证功能认证方式WEB 其他 是否支持P2P流量限制注释