中国移动防火墙产品测试规范V100.doc

《中国移动防火墙产品测试规范V100.doc》由会员分享，可在线阅读，更多相关《中国移动防火墙产品测试规范V100.doc（43页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流中国移动防火墙产品测试规范V100.精品文档.中国移动通信企业标准QB-B-001-2009中国移动防火墙产品测试规范Test Specification For Firewall Product版本号：1.0.0（送审稿）V1.0-发布2009-3-27实施2009-3-27发布中国移动通信集团公司 发布目录前 言III1范围12规范性引用文件13术语、定义和缩略语14功能测试34.1测试平台34.2网络管理54.3集中管理64.4网络功能测试84.5状态检测94.6应用代理功能测试104.7支持的服务类型测试114.8GTP测试124.9

2、GRE过滤测试144.10多媒体通信协议支持测试144.11网络地址转换154.11.1地址映射测试164.11.2重定向测试164.12用户认证的测试174.12.1静态设置用户174.12.2设置RADIUS Server进行用户认证184.12.3设置Windows NT Domain进行用户认证194.12.4用户安全策略的动态加载204.13可靠性系统测试214.14网络日志和报警功能测试224.14.1网络日志测试224.14.2网络报警测试224.15带宽管理测试234.16VPN测试254.17入侵检测能力测试（可选）254.18内容安全测试（可选）284.19同入侵检测系统协

3、同工作测试（可选）295性能测试305.1吞吐量测试315.2丢包率315.3延迟335.4多连接数情况下的吞吐量测试355.5最大并发连接数及每秒新建连接数的测试365.6背靠背缓存能力375.7有效通过率376安全性测试386.1常用DOS&DDOS的攻击386.1.1定性测试386.1.2定量测试396.2对防火墙内核安全测试396.3对配置信息的监听407编制历史428附录A 安全性测试常用DOS&DDOS的攻击原理42前 言本标准对用作防火墙产品需要测试的内容提出要求，是中国移动进行防火墙产品测试时所需要遵从的纲领性技术文件。本标准主要包括以下几方面内容：防火墙产品功能、设备性能、安

4、全性等测试方法及测试要求。本标准附录A为资料性附录。本标准由中移技200984号印发。本标准由中国移动通信研究院提出，集团公司技术部归口。本标准起草单位：中国移动通信研究院本标准主要起草人：张光海、张焱、何申、唐本亭、张峰、赵丹怀1 范围本规范对中国移动防火墙产品测试提出规定，主要作为中国移动网络系统、计费业务系统、企业信息化系统、研发系统进行防火墙测试和使用过程中的参考性文件，原则上在中国移动内部使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研

5、究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。序号标准编号标准名称发布单位1GB/T 18336-2001信息技术安全技术信息技术安全性评估准则国家标准化管理委员会2GB/T18019-1999信息技术包过滤防火墙安全技术要求国家标准化管理委员会3GB/T 18020-1999信息技术应用级防火墙安全技术要求国家标准化管理委员会4RFC 1242Benchmarking Terminology for Network Interconnection DevicesIETF5RFC 2544Benchmarking Methodology for Network

6、 Interconnect DevicesIETF6RFC 2647Benchmarking Terminology for Firewall PerformanceIETF7Internet-DraftBenchmarking Methodology for Firewall PerformanceIETF3 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：词语解释ACLAcess Control List，访问控制列表AESAdvanced Encryption Standard，先进加密标准AHAuthentication Header，认证报头协议ATMAsynchronous

7、Transmission Mode，异步传输模式Bpsbit per second，每秒比特率CLICommand Line Interpreter，命令行解释程序CMNETChina Mobile Networks，中国移动梦网CPUCentral Processing Unit，中央处理器CVPContent Vectoring Protocol，内容引导协议DESData Encryption Standard，数据加密标准DMZDe-Militarized Zone，非军事区（中立区）DNSDomain Name Server，域名服务器DOSDenial of Service，拒绝服

8、务DRAMDynamic Random Access Memory, 动态随机存取存储器ESPEncapsulating Security Payload，封装安全负载FDDIFiber Distributed Data Interface，光纤分布式数据接口FTPFile Transfer Protocol，文件传输协议GUIGraphical User Interfaces，图形用户接口HTTPHypertext Transfer Protocol，超文本传输协议ICMPInternet Control Messages Protocol，网间控制报文协议IDSInvade Detecti

9、on System，入侵检测系统IGMPInternet Group Management Protocol，网际组管理协议IKEInternet Key Exchange，网络密钥交换IMAPInternet Message Access Protocol，因特网消息访问协议IPInternet Protocol，网际协议IPSECIP Security Protocol，因特网安全协议IRCInternet Relay Chatting，因特网在线聊天LANLocal Area Network，局域网LDAPLightweight Directory Access Protocol，轻度目

10、录访问协议MSSMaximum Segment Size，最大段长度NATNetwork Address Translation，网络地址转换NBTNetBIOS over TCP/IP，TCP/IP上的网络基本输入输出系统NCPNetwork Control Protocol，网络控制协议NFSNetwork File System，网络文件系统NIDSNetwork Invade Detection System，网络入侵检测系统NISNetwork Information Services，网络信息服务NIS+Network Information Services+，网络信息服务加NN

11、TPNetwork News Transfer Protocol，网络新闻传输协议NTPNetwork Terminal Protocol，网络终端协议PATPort Address Translate，端口地址映射POPPost Office Protocol，邮局协议PPTPPoint to Point Tunnel Protocol，点到点隧道协议QoSQuality of Service，服务质量OSPFOpen Shortest Path First，开放最短路径优先RADIUSRemote Access Dial-In User Service，远程用户拨号认证RDPReliant

12、 Data Protocol，可靠数据协议RIPRouting Information Protocol，路由信息协议TCPTransfer Control Protocol，传输控制协议TFTPTrivial File Transfer Protocol，普通文件传输协议SHA-1Sample and Hold Amplifier，取样和保持放大器SMTPSimple Message Transfer Protocol，简单邮件传输协议SNMPSimple Network Management Protocol，简单网络管理协议SSHSecure Shell，安全防卫盾SSLSecurity

13、 Socket Layer，加密套接字协议层UDPUser Datagram Protocol，用户数据报协议URLUniform Resource Locator，一致资源定位器VPNVirtual Private Network，虚拟个人网络WANwide area network，广域网UUCPUnix to Unix CopyVLANVirtual Local Area Network，虚拟局域网4 功能测试4.1 测试平台参考实际的防火墙使用环境建立测试平台，分别模拟内部网络（Intranet、trust network）、中立区网络（DMZ）和公共网络（Internet、untru

14、st network）。测试采用以下的拓扑配置：各子网按以下方式分配IP地址：子网名称网络地址Subnet1192.168.1.0/24Subnet2192.168.2.0/24Subnet3192.168.3.0/24Subnet4192.168.4.0/24Subnet5192.168.5.0/24Subnet6192.168.6.0/24注：当FW.a配置为桥接模式时，Subnet3与Subnet4合并为一个Subnet3/4子网，IP地址段是192.168.3.0/24。 其中，可靠性系统测试参考测试拓扑结构图3，其他功能测试及安全性测试参照测试拓扑结构图1与图2。测试拓扑结构图1测试

15、拓扑结构图2测试拓扑结构图 3测试工具清单：1. 以太网交换机一台，具备100M、1000M端口和三层交换功能2. Windows 2000/NT4.0 服务器、Unix服务器（或linux）若干 Windows 2000/NT4.0型号/配置 Unix服务器(或linux)型号/配置3. IXIA或Smartbit 网络测试仪4. Scanner扫描漏洞工具5. Sniffer软件(分析网络通信协议和数据包)4.2 网络管理【测试目标】通过实现主要的防火墙管理功能验证待测系统操作界面的配置能力和可以实现的配置项目，以及对系统的管理功能。该测试主要针对单台防火墙进行的网络管理。【测试项目】1.

16、 用户界面支持2. 多级用户管理3. 基本防火墙管理功能：a) 登录b) 创建网络实体c) 基于用户和组创建策略，基于服务，IP地址和端口创建策略 d) 安装和校验策略4. 远程管理：考察各种不同管理界面的安全配置，包括浏览器界面，命令行界面和专用管理客户端，远程集中管理器。5. 在线升级：系统升级和恢复的方便程度，是否可以完成在线升级，并保证安全。6. 系统配置文件的备份和恢复7. 管理密码丢失恢复：由厂家提供方式8. 故障检测测试：检验产品提供的故障检测工具和方法【测试步骤】步骤测试内容1初始化设置系统2以不同用户等级登录系统3创建安全策略Any, Any, Any, Accept。4校验

17、策略5安装策略6登录系统远程管理7在线升级8系统配置文件的备份和恢复9恢复管理密码：由厂家提供方式10故障检测测试：检验产品提供的故障检测工具和方法【测试结果】测试项目测试结果1. 用户界面支持命令行(CLI)是/否Web界面是/否GUI界面是/否控制台管理是/否其他 2. 多级用户管理：超级管理员是/否策略管理员是/否审计管理员是/否1）登录用户名/口令是/否一次性口令是/否RADIUS是/否Tacacs是/否其他 2）策略创建基于用户创建策略是/否基于组创建策略是/否基于IP地址创建策略是/否基于端口创建策略是/否接口IP/MAC绑定是/否3）安装校验策略支持策略校验是/否3. 远程管理：

18、Web界面支持SSL是/否最大密匙长度_支持SSH是/否版本_专用客户端加密是/否4. 在线升级：系统升级和恢复的方便程度，是否可以完成在线升级，并保证安全。TFTP是/否FTP是/否通过本地文件升级是/否其他方式 5. 系统配置的备份和恢复支持远程备份恢复是/否支持自动备份恢复是/否6. 管理密码丢失恢复：由厂家提供方式7. 故障检测测试：检测工具和方法系统参数监控网络参数监控8. 实时连接监控是否可以察看连接状态是/否是否可以进行流量统计是/否9. VPN管理是否可以配置VPN是/否4.3 集中管理【测试目标】检验是否能够通过统一的集中管理平台实现对同一厂家不同防火墙设备的统一管理。集中管

19、理包含通过集中管理平台同时对多台防火墙的配置管理以及状态监控。集中管理平台对每台防火墙而言应当具备4.2节所定义的全部管理功能。【测试项目】1. 集中用户界面支持2. 集中多级用户管理3. 基本防火墙管理功能（集中）：a) 登录b) 创建网络实体c) 基于用户和组创建策略，基于服务，IP地址和端口创建策略 d) 安装和校验策略4. 集中在线升级：系统升级和恢复的方便程度，是否可以完成在线升级，并保证安全。5. 集中系统配置文件的备份和恢复6. 集中实时连接监控7. 集中VPN管理【测试步骤】步骤测试内容1初始化设置系统2以不同用户等级登录系统3创建安全策略Any, Any, Any, Acce

20、pt。4校验策略5安装策略6通过集中管理平台对多台防火墙进行远程管理7集中在线升级8集中进行系统配置文件的备份和恢复【测试结果】测试项目测试结果1. 集中用户界面支持命令行(CLI)是/否Web界面是/否GUI界面是/否控制台管理是/否其他 2. 集中多级用户管理：超级管理员是/否策略管理员是/否审计管理员是/否3. 基本防火墙管理功能 （集中）：1）登录用户名/口令是/否一次性口令是/否RADIUS是/否Tacacs是/否其他 2）策略创建基于用户创建策略是/否基于组创建策略是/否基于IP地址创建策略是/否基于端口创建策略是/否接口IP/MAC绑定是/否3）安装校验策略支持策略校验是/否4.

21、 集中在线升级TFTP是/否FTP是/否通过本地文件升级是/否其他方式 5. 集中系统配置的备份和恢复支持远程备份恢复是/否支持自动备份恢复是/否6. 集中实时连接监控是否可以察看防火墙连接状态是/否是否可以防火墙进行流量统计是/否7. 集中VPN管理是否可以配置VPN是/否8. 集中管理控制能够通过统一的管理平台对同一厂家的多种防火墙设备进行配置管理是/否能够通过统一的管理平台对同一厂家的多种防火墙设备日志及告警进行集中监控和分析是/否能够通过统一的管理平台对同一厂家的多种防火墙设备工作状态进行实时监控是/否4.4 网络功能测试测试防火墙系统的网络功能，以了解产品与网络的集成性。【测试目标】

22、测试防火墙系统支持的网络功能。【测试项目】1. 路由支持测试：测试该产品支持的路由协议，对路由能力进行相关测试。2. VLAN3. 对其他网络功能的测试4. 物理接口支持测试：测试产品所支持的网络接口。【测试结果】测试项目测试结果路由静态路由是/否RIP1是/否RIP2是/否OSPF是/否其他 网桥模式是否支持网桥模式是/否混合模式是否支持路由和网桥模式同时工作的混合模式是/否是否支持上述模式中同时支持VPN的工作模式是/否网络接口10/100M以太网是/否1000M以太网是/否ATM是/否FDDI是/否其它 4.5 状态检测 状态检测是根据安全策略实施对通过防火墙的数据流进行控制，允许通过或

23、采取相应措施。防火墙系统的安全规则，每一条策略都包括条件域、动作域和选项域，当有IP包进入时，系统在安全策略中从第一个策略开始查起，如果符合，然后执行该策略指示的动作，状态检测技术针对协议，抽取连接的状态信息，并建立状态连接表。当没有一条合适的策略时，系统的默认动作是拦截。【测试目标】测试防火墙的状态检测机制是否正常，防火墙系统的安全规则的构成要素的是否清晰、详细，安全策略能够是否得以可靠执行。状态连接表是否可以正常建立，并具备安全性和可靠性。【测试项目】1. 条件域完整性：源地址/地址掩码/端口、目的地址/地址掩码/端口、传输协议、地址绑定。2. 选项域完整性：时间选项、日志记录选项、告警选

24、项、是否启用、其他选项3. 动作域完整性：允许、禁止或拒绝（响应方式）、认证4. 规则生效检测：按源地址，目标地址，协议建立安全规则，确认数据包按照安全规则得到处理。5. TCP连接建立检测：确认完整的TCP连接构成完成，状态连接表的建立。6. UDP虚连接建立检测：确认UDP状态连接表的建立。7. ICMP虚连接建立检测：确认ICMP状态连接表的建立。8. 检查防火墙的连接状态判断是否生效【测试步骤】步骤测试内容1根据条件域建立源地址/掩码为（_._._._/_）, 目的地址/掩码为（_._._._/_）, 协议为_的安全策略。2根据选项域，选择日志选项、报警选项和_选项。3动作项选择Dro

25、p。4用包发生器产生符合步骤1的数据包，观察日志，如数据包被拒绝，则安全策略生效。5重复1、2步骤，动作项选择Reject。6用包发生器产生符合步骤1的数据包，观察日志，如数据包被拒绝，并返回信息，则安全策略生效。7重复1、2步骤，动作项选择Accept。8用包发生器产生符合步骤1的数据包，观察日志，如数据包通过防火墙，则安全策略生效。9建立完整TCP连接10检查防火墙状态表是否已经记录此条连接的状态表条目，如存在则清除该条目11检测刚才已经建立的TCP连接能否进行正常的数据通信【测试结果】安全策略构成测试结果条件域源地址/掩码是/否源端口是/否目的地址/掩码是/否目的端口是/否传输协议是/否

26、其他 选项域日志是/否时间是/否告警是/否其他 动作域允许是/否阻止（Drop）是/否拒绝（Reject）是/否其他 有效性规则是否生效是/否状态表有效性检测结果状态表有效性安全规则有效是/否TCP连接建立有效性是/否UDP虚连接建立有效性是/否ICMP连接建立检测是/否数据连接的状态判断已经生效是/否4.6 应用代理功能测试检测防火墙对应用代理功能的支持情况。防火墙可以通过一种代理（Proxy）技术参与到一个TCP连接的全过程，控制合法数据和应用程序命令能从一个网络传入另一个网络。【测试目标】测试系统是否提供内置支持的应用级代理协议及与相应的工作模式的配合。【测试项目】1. POP3应用代理

27、测试2. SMTP应用代理测试3. ICMP应用代理测试4. HTTP应用代理测试5. FTP应用代理测试6. Telnet应用代理测试【测试结果】应用代理路由模式地址转换模式POP3SMTPICMPHTTPFTPTelnet其他4.7 支持的服务类型测试【测试目标】本测试项目测试防火墙系统所能支持的服务类型，支持的类型多少影响了网络设备同其它系统的兼容性，重点考察对移动目前业务网络系统及将来需要扩展的业务协议支持能力。【测试步骤】步骤测试内容1检查防火墙管理界面或控制台中是否支持对相关协议（如下）的预置定义【测试项目及结果】预定义协议测试结果Daytime是/否Discard是/否DNS是/

28、否Echo是/否Exec是/否Finger是/否FTP是/否FTP data是/否Gopher是/否Http是/否Https是/否ICMP是/否IGMP是/否IKE是/否IMAP是/否IPsec是/否IRC是/否Kerberos是/否LDAP是/否NBT是/否NCP是/否Netmeeting是/否NFS是/否NNTP是/否NTP是/否OICQ是/否OSPF是/否PC Anywhere是/否POP2是/否POP3是/否PPTP是/否Radius是/否Redirect是/否RIP是/否SHELL是/否SIP是/否SMTP是/否SNMP是/否Syslog是/否Tacacs是/否Tacacs+是/否T

29、elnet是/否Tftp是/否Time是/否Traceroute是/否UUCP是/否X11是/否对未提供的协议是否可以定义有哪些协议自定义支持测试结果支持协议定义TCP任意是/否UDP任意是/否其他_4.8 GTP测试【测试目的】检验防火墙应用在GPRS系统中对GTP报文的处理功能。【测试项目】APN过滤、IMSI前缀、RAI前缀和MSISDN过滤。【测试步骤】步骤测试内容1配置一个GTP策略，添加APN过滤规则：过滤掉APN为.mnc123.mcc463，选择模式为MS的报文。将GTP策略应用在TRUST和UNTRUST域间入方向上。2SGSN构造消息IE APN为.mnc123.mcc46

30、4的Create PDP Context Request报文发给GGSN，观察现象。3GGSN可以收到SGSN发送的Create PDP Context Request 消息报文。（规则不命中，缺省通过）。4SGSN构造消息IE APN为.mnc123.mcc463，选择模式为NET或VER的Create PDP Context Request报文发给GGSN，观察现象。5GGSN可以收到SGSN发送的Create PDP Context Request 消息报文。（规则不命中，缺省通过）。6SGSN构造消息IE APN为.mnc123.mcc463，选择模式为MS的Create PDP Co

31、ntext Request报文发给GGSN，观察现象。7GGSN收不到SGSN发送的Create PDP Context Request 消息报文。（规则命中，丢弃）。8RAI前缀过滤和IMSI前缀过滤，配置相同，这里只以IMSI为例。配置一个GTP策略，添加IMSI前缀过滤规则：过滤掉所有IMSI前缀为12342的报文。将GTP策略应用在TRUST和UNTRUST域间入方向上。6SGSN构造消息IE IMSI前缀为12342的Create PDP Context Request报文发给GGSN，观察现象。7GGSN收不到SGSN发送的Create PDP Context Request 消息

32、报文。（规则命中，丢弃）。8SGSN构造消息IE IMSI前缀为12343的Create PDP Context Request报文发给GGSN，观察现象。9GGSN可以收到SGSN发送的Create PDP Context Request 消息报文。（规则不命中，缺省通过）。10配置一个GTP策略，添加MSISDN过滤规则：过滤掉所有MSISDN8613901000301的报文。将GTP策略应用在TRUST和UNTRUST域间入方向上。6SGSN构造消息IE MSISDN为8613901000301的Create PDP Context Request报文发给GGSN，观察现象。7GGSN收

33、不到SGSN发送的Create PDP Context Request 消息报文。（规则命中，丢弃）。8SGSN构造消息IE MSISDN为8613901000302的Create PDP Context Request报文发给GGSN，观察现象。9GGSN可以收到SGSN发送的Create PDP Context Request 消息报文。（规则不命中，缺省通过）。【测试结果】测试项目测试结果是否支持APN过滤是/否是否支持IMSI前缀过滤是/否是否支持RAI前缀过滤是/否是否支持MSISDN过滤是/否4.9 GRE过滤测试【测试目标】GRE协议（RFC 1701）的主要用途有两个：企业内部

34、协议封装和私有地址封装。本次测试的需要检测防火墙对GRE协议中内容的分析和过滤能力。【测试步骤】步骤测试内容1使防火墙置于某条GRE链路中间。2打开防火墙GRE过滤功能3设置规则对GRE封装后的数据包进行过滤4正常的GRE数据包可以有效的通过，而匹配规则的数据包被防火墙丢弃【测试结果】测试项目测试结果是否支持建立GRE隧道是/否是否支持解封装或替换GRE包头是/否是否支持对于GRE包内部真实的五元组分析源地址是/否目的地址是/否源端口是/否目的端口是/否协议类型是/否是否可以对于GRE包内部的真实状态进行检测是/否是否支持对于GRE包内部应用层进行过滤是/否4.10 多媒体通信协议支持测试【测

35、试目标】H.323标准是为在网络上实现多媒体业务（实时的语音、视频和数据）而制定的，它规范了多媒体业务的成分、协议以及处理过程。H.323可以实现语音（IP Phone）、视频（可视电话）和数据的融合。由于中国移动主要使用的还是H.323协议，在业务网（VOIP）与OA部署防火墙产品需要支持安全过滤H.323协议所规定的若干逻辑组件（网关、关守、MCU、客户端）之间的通讯流量。需要判断在防火墙工作模式与对H.323协议支持的关系。SIP(Session Initiation Protocol)是 RFC 2543定义的另外一个多媒体通讯协议，它最初由IETF MMUSIC (Multipart

36、y Multimedia Session Control) 工作组提出。SIP通过代理和重定向请求到用户当前位置来支持用户的移动性。由于SIP没有捆绑于任何特定的会议控制协议，因而协议具有普遍重要性，特别适用于电话相关的应用。中国移动考虑到对将来业务的扩展需要使用支持该协议的VOIP与多媒体通讯，要求防火墙支持该协议。554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最

37、大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。【测试项目】1. 防火墙在路由、透明、NAT（动、静态）情况下对H.323(V2)协议的支持。2. 防火墙在路由、透明、NAT（动、静态）情况下对SIP协议的支持3. 测试点对点支持H.323(V2)协议的视频会议与VOIP（NETmeeting）。4. 测试H.323协议中，关守（gatekeeper）、网关（gateway）、MCU、客户端之间的通讯防火墙在3种工作模式下是否具有支持能力（可选）5. 测试点对点支持SI

38、P协议的视频会议与VOIP（WINXP下的MSN）。6. 测试MGCP协议中，媒体网关（MG）【测试步骤】H.323和SIP步骤测试内容1初始化设置系统2以管理员用户等级登录系统3创建网络对象，主机对象_，网络对象_。4创建安全策略Any, H.323（netmeeting）或SIP（MSN）, Any, Accept。5校验策略6安装策略7配置地址转换（动态、静态）8看netmeeting或MSN视频会议是否正常9分别选择工作模式（路由、透明）10看netmeeting或MSN视频会议是否正常RTSP步骤测试内容1配置两个接口，分别模拟内部网络和外部网络。2在域间配置NAT功能。3使能全局的

39、 RTSP ALG功能，使能域间的RTSP检测功能。4内部主机访问外网的RTSP服务正常。【测试结果】多媒体协议路由模式透明模式静态地址转换动态地址转换H.323SIPRTSP4.11 网络地址转换网络地址转换可以解决正式注册IP不足的问题，可以对进入的IP包进行转换，实际应用为地址映射和重定向。防火墙系统的地址转换规则分为地址映射和重定向两种。4.11.1 地址映射测试【测试目标】测试目的在于考察待测系统（防火墙网络地址转换系统）是否具有地址映射的功能(包含端口映射)。主要测试目的是确认产品NAT配置的灵活性和方便性。【测试步骤】步骤测试内容1复位系统，测试环境初始化；2在控制工作站上进入待

40、测防火墙的管理界面，参考图1安装，设置好各快速以太网口的IP地址。3由于待测系统的默认动作是拦截，为了使问题单一和集中，我们把待测防火墙系统设置为可以通过所有IP包，加入安全规则：条件：源地址类型/地址/端口网络/所有/所有目标地址类型/地址/端口网络/所有/所有动作：通过4加入地址转换（NAT）规则1:N N:M PAT 方式 地址采用外网本网段与其他非内网段两种方式。4.11.2 重定向测试【测试目标】测试目的在于考察待测系统（防火墙网络地址转换系统）是否具有重定向（即静态地址映射）的功能。【测试步骤】步骤测试内容1复位系统，测试环境初始化；2在控制工作站上进入待测防火墙的管理界面，参考图1安装，设置好各快速以太网口的IP地址3由于待测系统的默认动作是拦截，为了使问题单一和集中，我们把待测防火墙系统设置为可以通过所有IP包，加入安全规则：条件：源地址类型/地址/端口网络/所有/所有目标地址类型/地址/端口网络/所有/所有动作：通过4加入地址转换（NAT）规则：1:1 【测试结果】测试项目测试结果双向用做转换的外网地址是否绑定外网口网段1：1是/否是/否是/否1：N是/否是/否是/否N:M是/否是/否是/否PAT