SRX防火墙产品测试相关资料3350.docx

资源ID：62821748 资源大小：1.54MB 全文页数：151页
资源格式： DOCX 下载积分：40金币

快捷下载

会员登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要40金币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

网站客服

侵权投诉

SRX防火墙产品测试相关资料3350.docx

目录1 SRX防火火墙产品品测试内内容1.1 设备清单及及版本设备清单设备版本文档版本备注SRX 2240HH 两台台9.6 RR1V1.0测试PC 两台XP SPP2测试软件：NettIQ5.4TFTP Serrverr/cllienntTFTPDD 322Web SServver Easy Webb Seerveerftp sservverFileZZillla SerrverrSysloog sservverTFTPDD 322 1.2 SRX功能能测试SRX防火火墙的功功能测试试包括以以下几个个方面：n 路由模式n 策略（ICCMP、TTCP、UUDP）n 基于策略的的长连接接n HA工作方方式n 主备切换n Sessiion同同步n 网管功能测测试n SNMP测测试n NTP测试试n Sysloog测试试n VPN功能能测试n Ipsecc VPPN rremoote cliientt测试n Ipsecc VPPN点对对点测试试n 路由功能测测试n OSPF功功能测试试1.3 设备可管理理测试1.3.1 测试内容设备可管理理测试是是测试防防火墙能能否支持持常用的的管理协协议，包包括teelneet、sssh、hhttpp和htttpss；基本本的测试试方法为为在防火火墙配置置相应的的管理服服务及管管理用户户，并在在相应的的接口或或zonne上配配置是否否可以接接受管理理，通过过PC分分别用ttelnnet、sssh、hhttpp和htttpss方式登登录防火火墙，从从而验证证防火墙墙的可管管理功能能。1.3.2 测试拓扑图图1.3.3 设备配置1、配置管理用用户：set ssysttem loggin useer llab uidd 20000set ssysttem loggin useer llab claass supper-useerset ssysttem loggin useer llab autthennticcatiion plaain-texxt-ppasssworrd2、配置系统管管理服务务：（sssh、ttelnnet、hhttpp、htttpss）set ssysttem serrvicces sshhset ssysttem serrvicces tellnettset ssysttem serrvicces webb-maanaggemeent htttp iinteerfaace ge-0/00/0.0（可可以进行行的管理理接口）set ssysttem serrvicces webb-maanaggemeent htttp iinteerfaace alllset ssysttem serrvicces webb-maanaggemeent htttps sysstemm-geenerrateed-ccerttifiicatteset ssysttem serrvicces webb-maanaggemeent htttps intterffacee alll3、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2444、配置zonne或接接口是否否可以管管理防火火墙设备备：A、配置zzonee trrustt可以管管理防火火墙：set ssecuuritty zzonees ssecuuritty-zzonee trrustt hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0B、配置zzonee unntruust可可以管理理防火墙墙，但其中中的gee-0/0/88.0只只能用ttelnnet和和htttp管理理，其他的的不允许许：set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess htttpssset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess sssh1.3.4 测试表格测试号Test-1设备名称Junipper SRXX防火墙墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备可管理理测试测试目的验证设备可可管理功功能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置1、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.77/2442、在PC：110.11.100.5上上分别用用sshh、teelneet、hhttpp、htttpss方式登登录防火火墙的接接口地址址：100.1.10.1，并并以用户户labb登录，如如正常则则表示防防火墙的的可管理理功能正正常3、在PC：11.1.70.7上分别别用sssh、ttelnnet、hhttpp、htttpss方式登登录防火火墙的接接口地址址：1.1.770.55，并以以用户llab登登录，由由于该接接口在uuntrrustt zoone，并并且该接接口只允允许sssh及hhttpps管理理，所以以该用户户只能已已tellnett和htttp来来管理设设备，用用tellnett和htttp则则不允许许访问防防火墙。4、检查命令：检查当前的的登录用用户：labSSRX2240HH-1>> shhow sysstemm usserss 11:500AM upp 2 dayys, 23 minns, 2 uuserrs, loaad aaverragees: 4.119, 3.775, 3.552USER TTTY FRROM LOOGINN IDLLE WWHATTlab p00 100.1.10.5 110:440AMM 11:044 -ccli (clli) lab p11 100.1.10.5 111:445AMM - -ccli (clli) lab jwweb22 100.1.10.5 111:477AM 2lab jwweb11 100.1.10.5 111:500AM -预期结果：1、 PC：100.1.10.5上分分别用sssh、ttelnnet、hhttpp、htttpss方式并并以laab用户户能正常常登录防防火墙的的接口地地址：110.11.100.1，并并正常进进行配置置管理2、在PC：11.1.70.7上只能能用sssh、hhttpps方式式并以llab用用户正常常登录防防火墙的的接口地地址：11.1.70.5，并并正常进进行配置置管理；其他的的tellnett和htttp方方式则不不允许。测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.4 路由模式测测试1.4.1 测试内容路由模式测测试是测测试防火火墙是否否支持路路由功能能，基本本的测试试方法是是在防火火墙的内内外网口口分别连连接网络络PC，并并按拓扑扑图，对对防火墙墙进行相相应的配配置，包包括IPP地址，路路由，策策略，及及其他相相关配置置。通过过两台PPC分别别Pinng及hhttpp访问对对方，从从而验证证防火墙墙的路由由功能。1.4.2 测试拓扑图图1.4.3 设备配置1、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ddesccripptioon tto-LLAN-truustset iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ddesccripptioon tto-WWAN-untrrusttset iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置zonne及将将接口加加到zoone中中，将gge-00/0/0.00分配至至truust zoone，将将ge-0/00/8.0分配配至unntruust zooneset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.003、配置策策略，允允许trrustt和unntruust之之间互相相通信，并并且打开开logg记录set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit mmatcch ssourrce-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit mmatcch ddesttinaatioon-aaddrresss annyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit mmatcch aappllicaatioon aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit tthenn peermiitset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit tthenn loog ssesssionn-innitset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch ssourrce-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch ddesttinaatioon-aaddrresss annyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch aappllicaatioon aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit tthenn peermiitset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit tthenn loog ssesssionn-innit1.4.4 测试表格测试号Test-2设备名称Junipper SRXX防火墙墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备可路由由测试测试目的验证设备可可路由传传输功能能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置2、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.77/2443、在PC：110.11.100.5上上分别ppingg及用hhttpp访问11.1.70.7，并且在在1.11.700.7的的webb seerveer查看看访问的的源地址址是否为为：100.1.10.5，如如正常则则表示ttrusst zzonee的pcc能通过过路由正正常访问问另一个个unttrusst zzonee。4、在PC：11.1.70.7上分分别piing及及用htttp访访问100.1.10.5，并且在在10.1.110.55的weeb sservver查查看访问问的源地地址是否否为：11.1.70.7，如正常常则表示示unttrusst zzonee的pcc能通过过路由正正常访问问另一个个truust zonne。5、检查命令：A、查看sesssioon连接接及loog信息息：labSSRX2240HH-1>> shhow seccuriity floow ssesssionnlabSSRX2240HH-1>> shhow logg rttloggdB、在web serrverr查看客客户端的的源IPP地址是是否为对对端的PPC IIP地址址：预期结果：1、 PC：100.1.10.5上分分别用ppingg及用hhttpp访问11.1.70.7，能能正常访访问，并并且在11.1.70.7的wweb serrverr查看访访问的源源地址为为：100.1.10.52、 PC：1.1.770.77上分别别用piing及及用htttp访访问100.1.10.5，能能正常访访问，并并且在110.11.100.5的的webb seerveer查看看访问的的源地址址为：11.1.70.7测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.5 策略测试1.5.1 测试内容策略测试是是测试防防火墙支支持基于于ICMMP协议议、TCCP端口口号和UUDP端端口号等等信息进进行策略略配置，并并针对每每一条策策略进行行不同的的操作（允允许、拒拒绝等）。基基本的测测试方法法是在防防火墙的的内外网网口分别别连接网网络PCC，并按按拓扑图图，对防防火墙进进行相应应的配置置，包括括IP地地址，路路由，策策略，及及其他相相关配置置，其中中策略至至少包括括三种策策略，基基于ICCMP，基基于TCCP端口口号和基基于UDDP端口口号。通通过网络络PC的业业务模拟拟功能进进行测试试。推荐的测试试策略：n ICMPn HTTP（TTCP）n TFTP（UUDP）1.5.2 测试拓扑图图1.5.3 设备配置1、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ddesccripptioon tto-LLAN-truustset iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ddesccripptioon tto-WWAN-untrrusttset iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置zonne及将将接口加加到zoone中中，将gge-00/0/0.00分配至至truust zoone，将将ge-0/00/8.0分配配至unntruust zooneset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.003、配置策略，允允许trrustt和unntruust之之间互相相通信，并并且打开开logg记录A、配置ttrusst至uuntrrustt之间测测试的应应用允许许通过set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch apppliccatiion appp-teestset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen ppermmitset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen llog sesssioon-iinittset aappllicaatioons apppliccatiion htttp pprottocool ttcpset aappllicaatioons apppliccatiion htttp ddesttinaatioon-pportt htttpset aappllicaatioons apppliccatiion-sett appp-ttestt apppliicattionn htttpset aappllicaatioons apppliccatiion-sett appp-ttestt apppliicattionn juunoss-iccmp-alllset aappllicaatioons apppliccatiion-sett appp-ttestt apppliicattionn juunoss-tfftpB、配置ttrusst至uuntrrustt之间默默认的策策略为拒拒绝通过过set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch apppliccatiion anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny theen ddenyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny theen llog sesssioon-iinittC、配置uuntrrustt至trrustt之间默默认的策策略为拒拒绝通过过set ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny mattch apppliccatiion anyyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny theen ddenyyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny theen llog sesssioon-iinittD、测试完完将第一步步的策略略修改为为从允许许通过改改为拒绝绝通过：set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen ddenyy1.5.4 测试表格测试号Test-3设备名称Junipper SRXX防火墙墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备策略测测试测试目的验证设备的的防火墙墙策略功功能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置2、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.66/2443、在PC：110.11.100.5上上分别运运行ICCMP（ppingg）、TTCP（hhttpp）、UUDP（ttftpp）应用用访问外外网服务务器1.1.770.66，如正正常则表表示trrustt zoone的的pc能能通过策策略正常常访问另另一个uuntrrustt zoone的的服务器器。4、将应用策略略修改为为拒绝，则则PC：10.1.110.55上所有有应用都都不能访访问5、检查命令：A、查看sesssioon连接接：labSSRX2240HH-1>> shhow seccuriity floow ssesssionn B、检查是否所所有服务务都正常常允许或或拒绝在permmit的的状况下下，所有有服务均均正常允允许访问问，而在在策略为为denny的情情况下，所所有服务务均拒绝绝访问。C、检查logg信息：labSSRX2240HH-1>> shhow logg rttloggdD、 show结结果及配配置文件件：预期结果：1、在策略为允允许的情情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，能正常访问2、在策略为拒拒绝的情情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，不能访问相应的业务测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.6 静态NATT测试1.6.1 测试内容基于静态NNAT功功能的要要求是：对SRRX内网侧的的服务器器主机地地址进行行一对一一NATT映射，即即对于从从SRXX外网侧侧进入内内网侧的的数据流流，对目目的地址址进行NNAT。具具体的测测试需求求：n 在SRX防防火墙上上对PCC1的的IP地地址100.1.10.5进行行地址转转换，转转换后的的地址为为1000.0.0.11。n PC1作作为业务务服务器器端，PCC2作作为业务务客户端端进行业业务测试试，包括括ICMMP（ppingg）、TTCP（hhttpp）、UUDP（TTFTPP）测试试n PC1作作为业务务客户端端，PCC2作作为业务务服务器器端进行行业务测测试，包包括ICCMP（ppingg）、TTCP（hhttpp）、UUDP（TTFTPP）测试试1.6.2 测试拓扑图图PC-110.1.10.5InternetStatic NAT1.1.70.5PC-21.1.70.710.1.10.1TrustUntrustSRX100.0.0.1Ge-0/0/0Ge-0/0/81.6.3 设备配置1、配置接接口IPP地址set iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置目目的静态态目的NNATset ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 ffromm zoone unttrusstset ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 rrulee ruule-staaticc-naat-11 maatchh deestiinattionn-adddreess 1000.0.0.11/322set ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 rrulee ruule-staaticc-naat-11 thhen staaticc-naat ppreffix 10.1.110.55/3223、配置zzonee及将接接口加到到zonne中，将将ge-0/00/0.0分配配至trrustt zzonee，将gge-00/0/8.00分配至至unttrusst zonneset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.004、配置iicmpp、htttp、ttftpp应用允允许从ttrusst访问问unttrusstset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone t

注意事项

本文（SRX防火墙产品测试相关资料3350.docx）为本站会员（you****now）主动上传，淘文阁 - 分享文档赚钱的网站仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知淘文阁 - 分享文档赚钱的网站（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。