防火墙测试方案

防火墙测试方案测试项目主要测试项目（必测）NAT/PATSite-to-SiteIPSec/VPNDynamicRemote-AccessIPSec/VPNIPSec/VPN的NAT穿透Remote-AccessPPTPVPNH.323的穿透ACL和会话数的限制Syslog、SNMP、远程管理辅助测试项目（选测）认证功能P2P流量限制测试一、NAT/PAT拓扑图BJENETFTP测试要求(如防火墙inside接口不够，则使用交换机连接内部三台pc并将内部网络合并为192.168.0.0/16)1.将192.168.1.1(pc1)静态翻译（地址翻译）为58.135.192.552.将192.168.2.0-192.168.4.254动态翻译（端口翻译）为58.135.192.56检查方法及检查项目PC1通过FTP方式从教育网下载数据PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页查看设备负载和网络延迟测试二、Site-to-SiteIPSec/VPN拓扑图CiscoASA5540测试防火墙192.168.0.0/24PC1.1.210.0.1.0/2410.0.2.0/24.254.254.1.2PC2OutsideInsideInside测试要求1.ISAKMP配置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC的加密检查方法及检查项目PC1和PC2能否相互PING通，在ASA5540上检测数据是否为加密数据。修改PC2的ip地址为10.0.2.22，使用pc1PINGpc2，在asa5540上检查数据是否为明文。测试三、DynamicRemote-AccessIPSec/VPN拓扑图OutsideInside10.0.2.0/24192.168.1.0/24.1.2.254.254测试防火墙PC1PC2测试要求1.ISAKMP配置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.其他地址池192.168.2.0/24DNS1.1.1.14.防火墙Outside外任何主机都可以与防火墙建立IPSec/VPN连接。5.只对PC1和PC2互访的数据加密。检查方法及检查项目PC2修改IP地址为10.0.2.22后是否能与防火墙建立IPSec/VPN连接。PC2能否获得正确的DNS。PC1和PC2能否相互PING通。检查防火墙Outside接口收到的数据是否为明文。测试四、IPSec/VPN的NAT穿透拓扑图CiscoASA5540测试防火墙1192.168.0.0/24PC1.1.210.0.1.0/2410.0.2.0/24.254.254.1.2PC2OutsideInsideInsideOutside.3172.16.0.0/24.3测试防火墙2OutsideInside测试要求1.ISAKMP配置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.CiscoASA5540上允许以下流量进入其内网UDP500AH50ESP51UDP4500UDP10000TCP10000检查方法及检查项目两测试设备是否可以正常建立IPSec/VPN连接PC1和PC2是否可以相互PING通测试五、Remote-AccessPPTPVPN拓扑图OutsideInside10.0.2.0/24192.168.1.0/24.1.2.254.254测试防火墙PC1PC2测试要求认证方式MSCHAP加密方式MPPE地址池192.168.2.0/24DNS1.1.1.1检查方法及检查项目PC2使用Windows自带的VPN与防火墙建立PPTP连接PC2能否获得正确的DNSPC2和PC1能否相互PING通测试六、H.323的穿透拓扑图OutsideInside10.0.2.0/24192.168.1.0/24.1.2.254.254测试防火墙PC1PC2测试要求1.测试防火墙配置静态地址翻译，将192.168.1.1(PC翻译为192.168.2.12.测试防火墙配置端口翻译，将192.168.1.1(PC翻译为192.168.2.11检查方法及检查项目配置静态地址翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。配置端口翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。测试七、ACL和会话数的限制拓扑图OutsideInside10.0.2.0/24192.168.1.0/24.1.2.254.254测试防火墙PC1PC2测试要求1.配置ACL只允许。2.限制PC1的会话数为5。检查方法及检查项目PC1上建立服务，提供一文件下载，PC2用多线程下载软件从PC1下载文件，检查连接数是否被限制在5个。测试八、Syslog、SNMP、远程管理检查方法及检查项目是否支持syslog功能是否支持snmp管理（通过snmp能否检测cpu利用率，连接数）是否支持远程管理，通过outside口登陆防火墙进行管理测试九、认证功能拓扑图OutsideInside10.0.2.0/24192.168.1.0/24.1.2.254.254测试防火墙PC1PC2测试要求1.防火墙上配置认证功能检查方法及检查项目内部主机PC1主动发起HTTP请求连接PC2时，防火墙通过WEB页面方式（其他方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2。测试十、P2P流量限制拓扑图Intertnet测试防火墙PC1测试要求1.防火墙上配置P2P流量限制功能。检查方法及检查项目PC1能否进行BitTorrent或E-Donkey的下载测试结果主要测试项目（必测）NAT/PAT是否支持NAT是否支持PAT设备负载__________网络延迟__________Site-to-SiteIPSec/VPN是否支持Site-to-SiteIPSec/VPN是否支持只对需要数据进行IPSec/VPN加密DynamicRemote-AccessIPSec/VPN是否支持Remote-AccessIPSec/VPN是否支持DynamicRemote-AccessIPSec/VPN能否获得正确的DNSIPSec/VPN的NAT穿透是否支持IPSec/VPN的NAT穿透Remote-AccessPPTPVPN是否Remote-AccessPPTPVPN能否获得正确的DNSH.323的穿透是否支持NAT下的H.323穿透是否支持PAT下的H.323穿透ACL和会话数的限制是否支持ACL是否支持会话数限制Syslog、SNMP、远程管理是否支持Syslog是否支持SNMP是否支持远程管理远程管理方式WEB命令行其他__________辅助测试项目（选测）认证功能是否支持认证功能认证方式WEB其他__________P2P流量限制是否支持P2P流量限制注释