防火墙测试实施方案项目.docx
《防火墙测试实施方案项目.docx》由会员分享,可在线阅读,更多相关《防火墙测试实施方案项目.docx(11页珍藏版)》请在冰点文库上搜索。
防火墙测试实施方案项目
防火墙测试方案
测试项目
主要测试项目(必测)
NAT/PAT
Site-to-SiteIPSec/VPN
DynamicRemote-AccessIPSec/VPN
IPSec/VPN的NAT穿透
Remote-AccessPPTPVPN
H.323的穿透
ACL和会话数的限制
Syslog、SNMP、远程管理
辅助测试项目(选测)
认证功能
P2P流量限制
测试一、NAT/PAT
拓扑图
测试要求
(如防火墙inside接口不够,则使用交换机连接内部三台pc并将内部网络合并为192.168.0.0/16)
1.将192.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55
2.将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56
检查方法及检查项目
●PC1通过FTP方式从教育网下载数据
●PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页
●查看设备负载和网络延迟
测试二、Site-to-SiteIPSec/VPN
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC的加密
检查方法及检查项目
●PC1和PC2能否相互PING通,在ASA5540上检测数据是否为加密数据。
●修改PC2的ip地址为10.0.2.22,使用pc1PINGpc2,在asa5540上检查数据是否为明文。
测试三、DynamicRemote-AccessIPSec/VPN
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.其他
地址池
192.168.2.0/24
DNS
1.1.1.1
4.防火墙Outside外任何主机都可以与防火墙建立IPSec/VPN连接。
5.只对PC1和PC2互访的数据加密。
检查方法及检查项目
●PC2修改IP地址为10.0.2.22后是否能与防火墙建立IPSec/VPN连接。
●PC2能否获得正确的DNS。
●PC1和PC2能否相互PING通。
●检查防火墙Outside接口收到的数据是否为明文。
测试四、IPSec/VPN的NAT穿透
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.CiscoASA5540上允许以下流量进入其内网
UDP500
AH50
ESP51
UDP4500
UDP10000
TCP10000
检查方法及检查项目
●两测试设备是否可以正常建立IPSec/VPN连接
●PC1和PC2是否可以相互PING通
测试五、Remote-AccessPPTPVPN
拓扑图
测试要求
认证方式
MSCHAP
加密方式
MPPE
地址池
192.168.2.0/24
DNS
1.1.1.1
检查方法及检查项目
●PC2使用Windows自带的VPN与防火墙建立PPTP连接
●PC2能否获得正确的DNS
●PC2和PC1能否相互PING通
测试六、H.323的穿透
拓扑图
测试要求
1.测试防火墙配置静态地址翻译,将192.168.1.1(PC翻译为192.168.2.1
2.测试防火墙配置端口翻译,将192.168.1.1(PC翻译为192.168.2.11
检查方法及检查项目
●配置静态地址翻译后,PC和PC否可以用NetMeeting进行语音通话,如果可以正确建立连接,是否存在单向音问题。
●配置端口翻译后,PC和PC否可以用NetMeeting进行语音通话,如果可以正确建立连接,是否存在单向音问题。
测试七、ACL和会话数的限制
拓扑图
测试要求
1.配置ACL只允许WWW流量到防火墙内部的PC1。
2.限制PC1的会话数为5。
检查方法及检查项目
●PC1上建立WWW服务,提供一文件下载,PC2用多线程下载软件从PC1下载文件,检查连接数是否被限制在5个。
测试八、Syslog、SNMP、远程管理
检查方法及检查项目
●是否支持syslog功能
●是否支持snmp管理(通过snmp能否检测cpu利用率,连接数)
●是否支持远程管理,通过outside口登陆防火墙进行管理
测试九、认证功能
拓扑图
测试要求
1.防火墙上配置认证功能
检查方法及检查项目
●内部主机PC1主动发起HTTP请求连接PC2时,防火墙通过WEB页面方式(其他方式也可以)对PC1进行认证,认证通过后PC1才可正常访问PC2。
测试十、P2P流量限制
拓扑图
测试要求
1.防火墙上配置P2P流量限制功能。
检查方法及检查项目
●PC1能否进行BitTorrent或E-Donkey的下载
测试结果
主要测试项目(必测)
NAT/PAT
是否支持NAT☐
是否支持PAT☐
设备负载__________
网络延迟__________
Site-to-SiteIPSec/VPN
是否支持Site-to-SiteIPSec/VPN☐
是否支持只对需要数据进行IPSec/VPN加密☐
DynamicRemote-AccessIPSec/VPN
是否支持Remote-AccessIPSec/VPN☐
是否支持DynamicRemote-AccessIPSec/VPN☐
能否获得正确的DNS☐
IPSec/VPN的NAT穿透
是否支持IPSec/VPN的NAT穿透☐
Remote-AccessPPTPVPN
是否Remote-AccessPPTPVPN☐
能否获得正确的DNS☐
H.323的穿透
是否支持NAT下的H.323穿透☐
是否支持PAT下的H.323穿透☐
ACL和会话数的限制
是否支持ACL☐
是否支持会话数限制☐
Syslog、SNMP、远程管理
是否支持Syslog☐
是否支持SNMP☐
是否支持远程管理☐
远程管理方式WEB☐命令行☐其他__________
辅助测试项目(选测)
认证功能
是否支持认证功能☐
认证方式WEB☐其他__________
P2P流量限制
是否支持P2P流量限制☐
注释
升级会员 