SRX防火墙产品测试内容.docx
《SRX防火墙产品测试内容.docx》由会员分享,可在线阅读,更多相关《SRX防火墙产品测试内容.docx(98页珍藏版)》请在冰点文库上搜索。
SRX防火墙产品测试内容
目录
1SRX防火墙产品测试内容4
1.1设备清单及版本4
1.2SRX功能测试4
1.3设备可管理测试6
1.3.1测试内容6
1.3.2测试拓扑图6
1.3.3设备配置6
1.3.4测试表格7
1.4路由模式测试9
1.4.1测试内容9
1.4.2测试拓扑图9
1.4.3设备配置9
1.4.4测试表格10
1.5策略测试13
1.5.1测试内容13
1.5.2测试拓扑图13
1.5.3设备配置14
1.5.4测试表格15
1.6静态NAT测试17
1.6.1测试内容17
1.6.2测试拓扑图17
1.6.3设备配置17
1.6.4测试表格19
1.7基于rule的目的NAT测试23
1.7.1测试内容23
1.7.2测试拓扑图23
1.7.3设备配置23
1.7.4测试表格25
1.8基于接口的源NAT测试28
1.8.1测试内容28
1.8.2测试拓扑图28
1.8.3设备配置28
1.8.4测试表格29
1.9基于Rule的源NAT测试-131
1.9.1测试内容31
1.9.2测试拓扑图31
1.9.3设备配置31
1.9.4测试表格32
1.10基于Rule的源NAT测试-235
1.10.1测试内容35
1.10.2测试拓扑图35
1.10.3设备配置35
1.10.4测试表格36
1.11HA工作方式测试39
1.11.1测试内容39
1.11.2测试拓扑图40
1.11.3设备配置40
1.11.4测试表格42
1.12基于策略的长连接测试44
1.12.1测试内容44
1.12.2测试拓扑图45
1.12.3设备配置45
1.12.4测试表格46
1.13SRX防火墙性能测试49
1.13.1测试拓扑图49
1.13.2普通数据量压力测试49
1.13.3大数据量压力测试49
1.13.4长连接下的普通数据量压力测试50
1.13.5设备配置50
1.13.6测试表格51
1.14SRX防火墙网管测试54
1.14.1SNMP管理测试54
1.14.2NTP测试57
1.14.3Syslog测试60
1.15SRX防火墙VPN测试63
1.15.1IpsecVPNremoteclient测试63
1.15.2IpsecVPN点对点PolicybaseVPN连接测试64
1.15.3IpsecVPN点对点routebaseVPN连接测试73
1.16OSPF路由协议功能测试81
1.16.1测试内容81
1.16.2测试拓扑图81
1.16.3设备配置82
1.16.4测试表格82
1.17VRRP协议功能测试86
1.17.1测试内容86
1.17.2测试拓扑图86
1.17.3设备配置87
1.17.4测试表格88
1.18DHCP功能测试90
1.18.1测试内容90
1.18.2测试拓扑图90
1.18.3设备配置91
1.18.4测试表格91
1SRX防火墙产品测试内容
1.1设备清单及版本
设备清单
设备版本
文档版本
备注
SRX240H两台
9.6R1
V1.0
测试PC两台
XPSP2
测试软件:
NetIQ
5.4
TFTPServer/client
TFTPD32
WebServer
EasyWebServer
ftpserver
FileZillaServer
Syslogserver
TFTPD32
1.2SRX功能测试
SRX防火墙的功能测试包括以下几个方面:
⏹路由模式
⏹策略(ICMP、TCP、UDP)
⏹基于策略的长连接
⏹HA工作方式
⏹主备切换
⏹Session同步
⏹网管功能测试
⏹SNMP测试
⏹NTP测试
⏹Syslog测试
⏹VPN功能测试
⏹IpsecVPNremoteclient测试
⏹IpsecVPN点对点测试
⏹路由功能测试
⏹OSPF功能测试
1.3设备可管理测试
1.3.1测试内容
设备可管理测试是测试防火墙能否支持常用的管理协议,包括telnet、ssh、http和https;基本的测试方法为在防火墙配置相应的管理服务及管理用户,并在相应的接口或zone上配置是否可以接受管理,通过PC分别用telnet、ssh、http和https方式登录防火墙,从而验证防火墙的可管理功能。
1.3.2测试拓扑图
1.3.3设备配置
1、配置管理用户:
setsystemloginuserlabuid2000
setsystemloginuserlabclasssuper-user
setsystemloginuserlabauthenticationplain-text-password
2、配置系统管理服务:
(ssh、telnet、http、https)
setsystemservicesssh
setsystemservicestelnet
setsystemservicesweb-managementhttpinterfacege-0/0/0.0(可以进行的管理接口)
setsystemservicesweb-managementhttpinterfaceall
setsystemservicesweb-managementhttpssystem-generated-certificate
setsystemservicesweb-managementhttpsinterfaceall
3、配置接口地址
setinterfacesge-0/0/0unit0familyinetaddress10.1.10.1/24
setinterfacesge-0/0/8unit0familyinetaddress1.1.70.5/24
4、配置zone或接口是否可以管理防火墙设备:
A、配置zonetrust可以管理防火墙:
setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0
B、配置zoneuntrust可以管理防火墙,但其中的ge-0/0/8.0只能用telnet和http管理,其他的不允许:
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0host-inbound-trafficsystem-serviceshttps
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0host-inbound-trafficsystem-servicesssh
1.3.4测试表格
测试号
Test-1
设备名称
JuniperSRX防火墙:
SRX240H-1
设备软件版本
9.6R1
测试项目
设备可管理测试
测试目的
验证设备可管理功能
测试配置
见本节的设备配置部分
测试步骤:
1、按配置步骤进行配置
1、配置2台测试PC在防火墙两端,分别配置地址为:
10.1.10.5/24和1.1.70.7/24
2、在PC:
10.1.10.5上分别用ssh、telnet、http、https方式登录防火墙的接口地址:
10.1.10.1,并以用户lab登录,如正常则表示防火墙的可管理功能正常
3、在PC:
1.1.70.7上分别用ssh、telnet、http、https方式登录防火墙的接口地址:
1.1.70.5,并以用户lab登录,由于该接口在untrustzone,并且该接口只允许ssh及https管理,所以该用户只能已telnet和http来管理设备,用telnet和http则不允许访问防火墙。
4、检查命令:
检查当前的登录用户:
lab@SRX240H-1>showsystemusers
11:
50AMup2days,23mins,2users,loadaverages:
4.19,3.75,3.52
USERTTYFROMLOGIN@IDLEWHAT
labp010.1.10.510:
40AM1:
04-cli(cli)
labp110.1.10.511:
45AM--cli(cli)
labjweb210.1.10.511:
47AM2
labjweb110.1.10.511:
50AM-
预期结果:
1、PC:
10.1.10.5上分别用ssh、telnet、http、https方式并以lab用户能正常登录防火墙的接口地址:
10.1.10.1,并正常进行配置管理
2、在PC:
1.1.70.7上只能用ssh、https方式并以lab用户正常登录防火墙的接口地址:
1.1.70.5,并正常进行配置管理;其他的telnet和http方式则不允许。
测试结果:
测试结果:
通过()失败()
测试通过:
(签字)
测试失败:
(签字)
失败原因:
注释:
1.4路由模式测试
1.4.1测试内容
路由模式测试是测试防火墙是否支持路由功能,基本的测试方法是在防火墙的内外网口分别连接网络PC,并按拓扑图,对防火墙进行相应的配置,包括IP地址,路由,策略,及其他相关配置。
通过两台PC分别Ping及http访问对方,从而验证防火墙的路由功能。
1.4.2测试拓扑图
1.4.3设备配置
1、配置接口地址
setinterfacesge-0/0/0unit0descriptionto-LAN-trust
setinterfacesge-0/0/0unit0familyinetaddress10.1.10.1/24
setinterfacesge-0/0/8unit0descriptionto-WAN-untrust
setinterfacesge-0/0/8unit0familyinetaddress1.1.70.5/24
2、配置zone及将接口加到zone中,将ge-0/0/0.0分配至trustzone,将ge-0/0/8.0分配至untrustzone
setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsall
setsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsall
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0
3、配置策略,允许trust和untrust之间互相通信,并且打开log记录
//配置策略允许从trust到untrust的流量
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitthenpermit
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitthenlogsession-init
//配置策略允许从untrust到trust的流量
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchsource-addressany
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchdestination-addressany
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchapplicationany
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitthenpermit
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitthenlogsession-init
1.4.4测试表格
测试号
Test-2
设备名称
JuniperSRX防火墙:
SRX240H-1
设备软件版本
9.6R1
测试项目
设备可路由测试
测试目的
验证设备可路由传输功能
测试配置
见本节的设备配置部分
测试步骤:
1、按配置步骤进行配置
2、配置2台测试PC在防火墙两端,分别配置地址为:
10.1.10.5/24和1.1.70.7/24
3、在PC:
10.1.10.5上分别ping及用http访问1.1.70.7,并且在1.1.70.7的webserver查看访问的源地址是否为:
10.1.10.5,如正常则表示trustzone的pc能通过路由正常访问另一个untrustzone。
4、在PC:
1.1.70.7上分别ping及用http访问10.1.10.5,并且在10.1.10.5的webserver查看访问的源地址是否为:
1.1.70.7,如正常则表示untrustzone的pc能通过路由正常访问另一个trustzone。
5、检查命令:
A、查看session连接及log信息:
lab@SRX240H-1>showsecurityflowsession
lab@SRX240H-1>showlogrtlogd
B、在webserver查看客户端的源IP地址是否为对端的PCIP地址:
预期结果:
1、PC:
10.1.10.5上分别用ping及用http访问1.1.70.7,能正常访问,并且在1.1.70.7的webserver查看访问的源地址为:
10.1.10.5
2、PC:
1.1.70.7上分别用ping及用http访问10.1.10.5,能正常访问,并且在10.1.10.5的webserver查看访问的源地址为:
1.1.70.7
测试结果:
测试结果:
通过()失败()
测试通过:
(签字)
测试失败:
(签字)
失败原因:
注释:
1.5策略测试
1.5.1测试内容
策略测试是测试防火墙支持基于ICMP协议、TCP端口号和UDP端口号等信息进行策略配置,并针对每一条策略进行不同的操作(允许、拒绝等)。
基本的测试方法是在防火墙的内外网口分别连接网络PC,并按拓扑图,对防火墙进行相应的配置,包括IP地址,路由,策略,及其他相关配置,其中策略至少包括三种策略,基于ICMP,基于TCP端口号和基于UDP端口号。
通过网络PC的业务模拟功能进行测试。
推荐的测试策略:
⏹ICMP
⏹HTTP(TCP)
⏹TFTP(UDP)
1.5.2测试拓扑图
1.5.3设备配置
1、配置接口地址
setinterfacesge-0/0/0unit0descriptionto-LAN-trust
setinterfacesge-0/0/0unit0familyinetaddress10.1.10.1/24
setinterfacesge-0/0/8unit0descriptionto-WAN-untrust
setinterfacesge-0/0/8unit0familyinetaddress1.1.70.5/24
2、配置zone及将接口加到zone中,将ge-0/0/0.0分配至trustzone,将ge-0/0/8.0分配至untrustzone
setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsall
setsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesall
setsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsall
setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0
3、配置策略,允许trust和untrust之间互相通信,并且打开log记录
A、配置trust至untrust之间测试的应用允许通过
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-test(策略里面引用自定义的application为app-test)
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermit
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-init
//自定义applciation为app-test
setapplicationsapplicationhttpprotocoltcp
setapplicationsapplicationhttpdestination-porthttp
setapplicationsapplication-setapp-testapplicationhttp
setapplicationsapplication-setapp-testapplicationjunos-icmp-all
setapplicationsapplication-setapp-testapplicationjunos-tftp
B、配置trust至untrust之间默认的策略为拒绝通过
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchsource-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchdestination-addressany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchapplicationany
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denythendeny
setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denythenlogsession-init
C、配置untrust至trust之间默认的策略为拒绝通过
setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchsource-addressany
setsecuritypoliciesfrom-zoneuntrus
升级会员 