防火墙测试方案.docx

防火墙测试方案.docx

《防火墙测试方案.docx》由会员分享，可在线阅读，更多相关《防火墙测试方案.docx（14页珍藏版）》请在冰点文库上搜索。

防火墙测试方案

防火墙测试方案

测试项目

主要测试项目（必测）

NAT/PAT

Site-to-SiteIPSec/VPN

DynamicRemote-AccessIPSec/VPN

IPSec/VPN的NAT穿透

Remote-AccessPPTPVPN

H.323的穿透

ACL和会话数的限制

Syslog、SNMP远程管理

辅助测试项目（选测）

认证功能

P2P流量限制

测试一、NAT/PAT

拓扑图

FTPClient

测试要求

（如防火墙inside接口不够，则使用交换机连接内部三台pc并将内部网络

合并为192.168.0.0/16）

1.将192.168.1.1（pc1）静态翻译（地址翻译）为58.135.192.55

2.将192.168.2.0-192.1684254动态翻译（端口翻译）为58.135.192.56

检查方法及检查项目

PC1通过FTP方式从教育网下载数据

PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页

查看设备负载和网络延迟

测试二、Site-to-SiteIPSec/VPN

拓扑图

Inside

测试要求

1/

.254

OutsideInside

1.ISAKMP配置

Authenticastion

Pre-Share

Encryption

AES（256-bit）

Diffie-Hellman

Group2

Hash

Sha

2.IPSec配置

Transform-Set

ah-sha-hmacesp-aes（256-bit）

3.只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC的加密

检查方法及检查项目

PC1和PC2能否相互PING通，在ASA5540k检测数据是否为加密数据。

修改PC2的ip地址为10.0222，使用pciPINGpc2,在asa5540上检

查数据是否为明文。

测试三、DynamicRemote-AccessIPSec/VPN

拓扑图

Inside

Outside

.1

测试防火墙

PC1

100.2

%

PC2

测试要求

1.

ISAKMP配置

Authenticastion

Pre-Share

Encryption

AES（256-bit）

Diffie-Hellman

Group2

Hash

Sha

2.IPSec配置

Transform-Set

ah-sha-hmacesp-aes（256-bit）

3.其他

地址池

192.168.2.0/24

DNS

1.1.1.1

4.防火墙Outside外任何主机都可以与防火墙建立IPSec/VPN连接

5.只对PC1和PC2互访的数据加密。

检查方法及检查项目

PC2修改IP地址为10.0222后是否能与防火墙建立IPSec/VPN连接

PC2能否获得正确的DNS

PC1和PC2能否相互PING通。

检查防火墙Outside接口收到的数据是否为明文。

测试四、IPSec/VPN的NAT穿透

拓扑图

PC1

.254

测试防火墙1

.3

CiscoASA

5540

测试防火墙2PC2

OutsideInside

3.CiscoASA5540上允许以下流量进入其内网

测试要求

1.ISAKMP配置

Authenticastion

Pre-Share

Encryption

AES（256-bit）

Diffie-Hellman

Group2

Hash

Sha

2.IPSec配置

Transform-Set

ah-sha-hmacesp-aes（256-bit）

UDP10000

TCP10000

检查方法及检查项目

两测试设备是否可以正常建立IPSec/VPN连接

PC1和PC2是否可以相互PING通

测试五、Remote-AccessPPTPVPN

拓扑图

I

I

I

I

I

Outside

■254

测试防火墙

.254

%

PC2

Inside

测试要求

认证方式

MSCHAP

加密方式

MPPE

地址池

192.16820/24

DNS

1.1.1.1

检查方法及检查项目

PC2使用Windows自带的VPN与防火墙建立PPTP连接

PC2能否获得正确的DNS

PC2和PC1能否相互PING通

测试六、H.323的穿透

拓扑图

PC1

测试防火墙

■254

10%

PC2

测试要求

1.测试防火墙配置静态地址翻译，将192.168.1.1（PC翻译为192.16821

2.测试防火墙配置端口翻译，将192.168.1.1（PC翻译为192.168.2.11

检查方法及检查项目

配置静态地址翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。

配置端口翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。

测试七、ACL和会话数的限制

拓扑图

测试防火墙

■254

10%

PC2

测试要求

1.配置ACL只允许WW流量到防火墙内部的PC1

2.限制PC1的会话数为5。

检查方法及检查项目

PC1

PC1上建立WW服务，提供一文件下载，PC2用多线程下载软件从

下载文件，检查连接数是否被限制在5个。

测试八、Syslog、SNMP远程管理

检查方法及检查项目

是否支持syslog功能

是否支持snmp管理（通过snmp能否检测cpu利用率，连接数）

是否支持远程管理，通过outside口登陆防火墙进行管理

测试九、认证功能

拓扑图

PC1

测试防火墙

■254

10%

PC2

测试要求

1.防火墙上配置认证功能

检查方法及检查项目

内部主机PC1主动发起HTTP青求连接PC2时，防火墙通过WEB页面方式

（其他方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2

测试十、P2P流量限制

拓扑图

测试要求

1.防火墙上配置P2P流量限制功能

检查方法及检查项目

PC1能否进行BitTorrent或E-Donkey的下载

测试结果

主要测试项目（必测）

NAT/PAT

是否支持NAT

是否支持PAT

设备负载

网络延迟

Site-to-SiteIPSec/VPN

是否支持Site-to-SiteIPSec/VPN

是否支持只对需要数据进行IPSec/VPN加密

DynamicRemote-AccessIPSec/VPN

是否支持Remote-AccessIPSec/VPN

是否支持DynamicRemote-AccessIPSec/VPN

能否获得正确的DNS

IPSec/VPN的NAT穿透

是否支持IPSec/VPN的NAT穿透

Remote-AccessPPTPVPN

是否Remote-AccessPPTPVPN

能否获得正确的DNS

H.323的穿透

是否支持NAT下的H.323穿透

是否支持PAT下的H.323穿透

ACL和会话数的限制

是否支持ACL

是否支持会话数限制

Syslog、SNMP远程管理

是否支持Syslog

是否支持SNMP是否支持远程管理

远程管理方式WEB命令行其他

辅助测试项目（选测）

认证功能

是否支持认证功能

认证方式WEB其他

P2P流量限制

是否支持P2P流量限制

注释