2022年防火墙测试方案 .pdf

《2022年防火墙测试方案 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙测试方案 .pdf（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 防火墙测试方案名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 19 页 - - - - - - - - - 2 一、 引言防火墙是实现网络安全体系的重要设备，其目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。随着网上黑客活动的日益猖獗，越来越多的上网企业开始重视网络安全问题。特别是近两三年来，以防火墙为核心的安全产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光

2、国内就有几十家。各种防火墙品种充斥市场，良莠不齐，有软件的防火墙，硬件的防火墙，也有软硬一体化的防火墙；有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代理的防火墙，也有状态检测的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进行测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的安全和性能是最重要的指标，用户接口（管理和配置界面）和审计追踪次之，然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面，业界一直在致力于为用户

3、提供安全性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外，为了使灵活多变，难以掌握的防火墙安全技术能更有效地被广大用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时，防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此，当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测，才能客观反映一个防火墙产品的素质。参考资料GB/T 18020-1999 信息技术应用级防火墙安全技术要求GB/T

4、 18019-1999 信息技术包过滤防火墙安全技术要求FWPD：Firewall Product Certification Criteria Version 3.0a 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 19 页 - - - - - - - - - 3 测试项目一测试项目包过滤， NAT，地址绑定，本地访问控制，多播，TRUNK, 代理路由 ,内容过滤 ,报警 ,审计实时监控 ,攻击，双机热备,性能。二用户实际网络拓扑图 1 上图为用户实际网络的拓扑图，为

5、了更好的测试防火墙的功能，我们采用了下面的简略拓扑。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 19 页 - - - - - - - - - 4 三测试环境简略拓扑图管理器172.16.1.10 192.168.1.10 192.168.1.251 172.16.1.20 192.168.1.20 192.168.1.11 192.168.1.21 图 2 三测试前软件环境的准备1.子网主机具有Linux ， windows 2008 两种环境。2.测试环境 Linu

6、x 主机配置 www ， ftp， telnet 服务，同时安装 nmap，http_load， sendudp等测试工具； Windows 主机配置 ftp， telnet， iis， snmp 等服务，同时安装IE， Netscape等浏览器3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口，ip 地址为当前网段的 1 地址。例：当前主机所在网段为192.168.1.0，那么它的网关为192.168.1.1，即防火墙接入接口的ip 地址。4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5.在广域网中采用静态路由和动态路由（rip 或 ospf）两种。名师资料总结 - -

7、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 19 页 - - - - - - - - - 5 四.功能说明及规则设计。针对防火墙各项功能，分别加以说明。A包过滤区间通信。1.）单一地址2.）多地址规则设计： a.方向：区 1区 2 b.操作：允许（拒绝）c.协议： tcp，udp，icmp 和其它协议号的协议。d.审计：是（否）e.有效时间段B.地址绑定ip，mac 地址绑定。防止地址欺骗。a)单一地址绑定b)多地址绑定。规则设计： a.方向：区 1区 2 b.操作：允许（或拒绝）C 本

8、地访问控制对管理主机的访问进行控制1 ）单一地址2.）多地址规则设计： a.操作： 1.允许 ping ，telnet 等。2.允许管理D NAT 地址，端口的转换。私有ip 转为公网 ip。1 ）一对一2.）多对一3.）多对多规则设计： a.方向：区 1 区 2. b.操作：拒绝（或允许）c.协议： tcp，udp，icmp 和其它协议号的协议。d.审计：是（否）E 多播解决一对多的通信。1.单一多播源，多接收端。2.多多播源，多接收端。G.TRUNK, 代理路由复用链路,为防火墙单一区域内的子网通信进行路由. H.报警利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息. I .审计审计

9、防火墙上的访问,及事件信息 ,防火墙的状态 . J.实时监控实时检测防火墙的通讯情况,跟踪防火墙的运行状况. K 攻击防攻击。检测企图通过防火墙实施攻击的行为,并报警 ,阻断攻击。L双机热备设备冗余。同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙 down 掉时，备份防火墙接管。通过测试用例来对具体的操作进行阐述。在所有的规则制定中考虑范围内取非，范围的临界值，中间值情况,时间的控制等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 19

10、页 - - - - - - - - - 6 A.包过滤测试项目包过滤测试日期测试内容IP 过滤规则对ICMP数据包的过滤效果测试环境1.路由模式2.Linux ， windows 。规则指定1.192.168.1.10-100192.168.2.254 ICMP 允许。（内到外）192.168.2.254 192.168.3.10 ICMP 允许。（外到 DMZ ）192.168.3.1-15192.168.1.10 ICMP 允许。（DMZ 到内）执行操作1.在 192.168.1.10 上 ping 192.168.2.254，在 192.168.2.254 上 ping 192.168.

11、3.10，在192.168.3.10 上 ping 192.168.1.10。并反方向ping。2.在 192.168.1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在192.168.3.10 上 telnet 192.168.1.10。并反方向ftp ，telnet。3.加载 ICMP 全通规则。4.重复步骤 1 测试结果步骤预期结果实测结果1. 正向 ping 成功，反向ping 不通，被禁止。2. 访问被禁止，规则不允许。3 都可以相互ping 通。备注测试项目包过滤测试日期测试内容IP 过滤规则对TC

12、P数据包的过滤效果测试环境1.路由模式2.Linux ， windows 。规则指定1： 192.168.1.10192.168.2.254 telnet 允许。（内到外）192.168.2.254192.168.3.10 telnet 允许。（外到 DMZ ）192.168.3.10192.168.1.10 telnet 允许。（DMZ 到内）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 19 页 - - - - - - - - - 7 执行操作1.在 192.168

13、。1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在 192.168.3.10 上 telnet 192.168.1.10，并反向 telnet。2.在 192.168.1.10 用 nslookup 到 192.168.2.254 上进行名字解析或其它的udp 服务。3.加载 telnet 全通规则，重复步骤1. 测试结果步骤预期结果实测结果1. 正向成功，反向被禁止2. 访问被禁止，没有允许UDP 服务。 TCP 协议的放开，对UDP 协议不发生影响。3. telnet 访问都成功。备注测试项目包过滤测试日

14、期测试内容IP 过滤规则对TCP数据包的过滤效果，侧重于实时效果测试环境1.路由模式2.Linux ， windows 。规则指定1.192.168.1.10192.168.2.254 telnet 允许。 （内到外）192.168.2.254 192.168.3.10 telnet 允许。 （外到 DMZ ）192.168.3.10192.168.1.10 telnet 允许。 （DMZ 到内）生效时间： 9:0010:00 执行操作1.在 192.168。1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在

15、192.168.3.10 上 telnet 192.168.1.10，并反向 telnet。2.保持上述 telnet 已建立的连接，并不断的telnet 没有建立连接的。3.在 9:5910:01 之间，查看telnet 状态的反应。测试结果步骤预期结果实测结果1. 正向 telnet 成功，反向被禁止。3 已建立的 telnet 连接被断开。备注测试项目包过滤测试日期测试内容在 IP 包过滤中， 由于 FTP服务的特殊性， 所以下面几个用例主要针对FTP进行测试。这个用例主要用来测试FTP建立连接后，防火墙对20 端口的特殊处理测试环境1.路由模式2.Linux ， windows 。名师

16、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 19 页 - - - - - - - - - 8 规则指定1.192.168.1.10192.168.2.254 ftp 允许（内到外）执行操作1.在 192.168.1.10 上 telnet 192.168.2.254 20。2.在 192.168.1.10 上 ftp 192.168.2.254，进行大文件（1G）的数据传输。3.在 ftp 的同时，在192.168.1.10 上 telnet 192.168.2.254

17、20。4.passive进行 ftp 文件的传输。5.在 192.168.1.10 上 telnet 192.168.2.254 20 测试结果步骤预期结果实测结果1,3,5 访问被禁止2,4 访问成功。备注测试项目包过滤测试日期测试内容IP 包过滤包括ICMP 、UDP 、TCP和非（ ICMP 、UDP 、TCP ）包的过滤， UDP过滤行测试测试环境1.路由模式2.Linux ， windows 。规则指定规则 1：192.168.1.10192.168.2.254 UDP 允许。192.168.2.253192.168.3.20 UDP 允许。192.168.3.30192.168.1

18、. 30 UDP 允许生效时间： 9:0010:00。 规则 2：192.168.1.10192.168.2.254 UDP 拒绝。执行操作1.在 192.168.1.10， 192.168.2.253， 192.168.3.30 上启动 UDP 的测试工具Udp_Server，在192.168.2.253 ， 192.168.3.20 ， 192.168.1.30上 启 动Udp_Client来 分 别 连192.168.1.10,192.168.2.253,192.168.3.30 上的服务程序。2.保持连接。查看在10:00 时连接的状态。3.保持 Client 对 Server 的主动

19、，不间断的连接去掉时间限制，重新加载规则1，在连接重新建立的同时，加载规则2。测试结果步骤预期结果实测结果1. 连接成功2. 连接被断开。3. 连接建立后，马上又被断开。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 19 页 - - - - - - - - - 9 备注目的：测试 UDP过滤的基本功能、在规则有效时间上的实时性、规则变化时对动态连接表的实时刷新性能等说明：对于EIP 的测试，通过在包过滤中IP 协议的设置过程中同步设置，用发包工具对其进行测试，例如：ig

20、mp，ospf 包等。B.地址绑定测试项目IPMAC地址绑定测试日期测试内容测试 IPMAC 绑定的基本功能，以及在MAC 地址匹配而IP 地址不匹配和IP 地址匹而 MAC 地址不匹配得两种IP 欺骗的情况下防火墙的处理能力测试环境1.路由模式2.Linux ， windows 。规则指定1.192.168.1.10-100 MAC 00.12.30.34.89.29 进行绑定执行操作1.192.168.1.10 上 telnet 192.168.2.254。2.修改 192.168.1.10 的 IP 地址为 192.168.1.11，telnet 192.168.2.254 。3.在此基

21、础上将192.168.1.20 的地址改为192.168.1.10。然后， telnet 192.168.2.254。测试结果步骤预期结果实测结果1 访问成功2,3 访问被禁止， IP 或 MAC 不匹配。备注首先，加载IP 全通过滤规则测试项目IPMAC地址绑定测试日期测试内容在制定 IPMAC 绑定规则时，可以只绑定一个区域当中的某几个主机的地址，绝大多数主机可能不需要绑定，此时， 我们还可以指定防火墙对那些没指定的主机的绑定过滤规则。这个用例主要用来测试防火墙对绑定规则之外的主机的访问的处理能力。测试环境1.路由模式2.Linux ， windows 。规则指定1 192.168.1.1

22、0MAC 00.12.30.34.89.29 进行绑定 , 绑定规则之外的主机不允许通过名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 19 页 - - - - - - - - - 10 执行操作1.在 192.168.1.10 上 telnet 192.168.2.254。2.在 192.168.1.20 上 telnet 192.168.2.254 3.修改规则，绑定之外的主机允许通过。4.在 192.168.1.20 上 telnet 192.168.2.254 测

23、试结果步骤预期结果实测结果1. 访问成功2 访问禁止4. 访问成功备注首先，加载IP 全通过滤规则DNAT 测试项目NAT 转换测试日期测试内容这个用例主要用来测试一对一的同时对多个方向上的转换功能测试环境1.路由模式。2.Linux ,Windows 规则指定1.192.168.1.10192.168.2.100 (in NA T out) 2.192.168.1.10192.168.3.100 (in NA T dmz) 执行操作1.在 192.168.1.10 上 telnet 192.168.2.254 2.在 192.168.2.254 上 telnet 192.168.2.100

24、3.在 192.168.2.254 上 telnet 192.168.1.10 4.在 192.168.1.10 上 telnet 192.168.3.10 5.在 192.168.3.10 上 telnet 192.168.3.100 测试结果步骤预期结果实测结果1 访问成功2 访问成功3 访问失败4 访问成功5 访问成功备注在访问成功的同时在对端机器上用netstat 命令看是真实IP 还是转换后的IP 地址。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 19 页

25、 - - - - - - - - - 11 测试项目NAT 转换测试日期测试内容这个用例主要在于测试同时双向的NAT 转换功能测试环境1.路由模式2.Linx,windows 规则指定1. 192.168.1.10192.168.2.100 (in NAT out) 2. 192.168.1.10192.168.3.100 (in NAT dmz) 3. 192.168.3.10192.168.1.100 （ dmz NAT in ）4. 192.168.3.10192.168.1.200 （ dmz NAT out ）5. 192.168.2.254192.168.1.200 （ out N

26、AT in ）6. 192.168.2.254192.168.3.200 （out NAT dmz ）执行操作1.在 192.168.1.10 上 telnet 192.168.1.100， 192.168.1.200， 192.168.2.254,192.168.3.10。2.在 192.168.2.254 上 telnet 192.168.2.100,192.168.2.200,192.168.3.10,192.168.1.10 。3.在 192.168.3.10 上 telnet 192.168.3.100,192.168.3.200,192.168.2.254,192.168.1.10

27、 。测试结果步骤预期结果实测结果1 访问成功2 访问成功3 访问成功4 访问成功备注服务都开放，同时用netstat 进行查看连接的IP 地址。测试项目NAT 转换测试日期测试内容测试多对一转换时的基本功能测试环境1.路由模式2.Linux ， windows 。规则指定1.192.168.2.254 192.168.1.100 2.192.168.2.253 192.168.1.100 3.以上不提供服务转换。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 19 页

28、- - - - - - - - - 12 执行操作1.在 192.168.2.254，192.168.2.253 上 ping 192.168.1.10 2.在 192.168.2.253，192.168.2.253 上 telnet 192.168.1.10 测试结果步骤预期结果实测结果1 访问成功2 访问成功备注首先，加载IP 全通过滤规则。测试项目NAT 转换测试日期测试内容测试多对一转换时的服务转换功能测试环境1.路由模式2.Linux ， windows 。规则指定1.192.168.2.254 192.168.1.100 提供 telnet 服务。2.192.168.2.253-2

29、54 192.168.1.100 提供 www 服务。 （去除 254 地址。 ）执行操作1.在 192.168.9.254，192.168.2.253 上 telnet 192.168.1.10。2.在 192.168.1.10 上 telnet 192.168.1.100，在 192.168.1.20 上 http：/192.168.1.100 3.在 192.168.2.254 上 telnet 192.168.1.100 ：80 。测试结果步骤预期结果实测结果1. 访问成功2. 访问成功。3. 访问失败。备注首先，加载IP 全通过滤规则。测试项目NAT 转换测试日期测试内容测试多对多转

30、换时的服务转换功能测试环境1.路由模式2.Linux ， windows 。规则指定规则 1: 192.168.2.254，192.168.2.253，192.168.2.252192.168.1.100，192.168.1.200 规则2： 192.168.2.254 23192.168.1.100 23 192.168.2.254 23 192.168.1.200 2323 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 19 页 - - - - - - - - -

31、 13 执行操作1.加载规则 1。2.在 192.168.2.254，192.168.2.253，192.168.2.253 上 telnet 192.168.1.10。3.在规则 1 的基础上，加载规则2。4.在 192.168.1.10，192.168.1.20 上 telnet 192.168.1.100 23；telnet 192.168.1.200 2323 测试结果步骤预期结果实测结果2， 4 访问成功备注首先，加载IP 全通过滤规则测试项目NAT 转换测试日期测试内容测试多对多转换时的FTP 服务转换功能测试环境1.路由模式2.Linux ， windows 。规则指定规则 1:

32、 192.168.2.254，192.168.2.253，192.168.2.252192.168.1.100，192.168.1.200 规则 2： 192.168.2.254192.168.1.100 21 号端口提供ftp 服务。192.168.2.252 192.168.1.200 2121 号端口提供ftp 服务。执行操作1.加载规则 1。2.在 192.168.2.254，192.168.2.253，192.168.2.253 上 telnet 192.168.1.10。3.在规则 1 的基础上加载规则2 4.在 192.168.1.10，192.168.1.20 上 ftp 19

33、2.168.1.100，ftp 192.168.1.200 2121。测试结果步骤预期结果实测结果2,4 访问应该能够成功备注首先，加载IP 全通过滤规则E多播。测试项目多播测试日期测试内容数据的转发（分区方向的控制），组的加入。测试环境1.路由模式2.Linux ， windows 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 19 页 - - - - - - - - - 14 规则指定1.OUT224.1.1.1239.255.255.255 （192.168.

34、1.10GDA ）执行操作1.在 192.168.2.254 上，用 media player 建立一个多播站。播放test.nsc影音文件。2.在 192.168.1.10 上运行 mplayer 2 /192.168.1.254/test.nsc 。测试结果步骤预期结果实测结果2. 正常播放。备注测试项目多播测试日期测试内容分区方向的控制测试环境1.路由模式2.Linux ， windows 。规则指定1.IN 224.1.1.1239.255.255.255 （内网区域内）执行操作1.在 10.10.3.10 上用 media player 建立多播站，播放影音文件test.nsc。2.

35、在 10.10.3.20 上运行 mplay2 /10.10.3.10/test.nsc。观看影音文件test.nsc。测试结果步骤预期结果实测结果2. 访问成功，可以正常观看。备注测试项目多播测试日期测试内容与下行流多播路由器的数据交换测试环境1.路由模式2.Linux ，windows 。规则指定1. DMZ 224.1.1.1239.255.255.255 （IN=GDA ）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 19 页 - - - - - - - -

36、- 15 执行操作1.在 10.10.3.10 上用 media player 建立多播站，播放影音文件test.nsc。2.在 10.10.11.10 上运行 mplayer2 /10.10.3.10/test.nsc ，接收影音文件。3.在 192.168.2.254 上运行 mplayer2 /10.10.3.10/test.nsc,影音文件 . 测试结果步骤预期结果实测结果2. 访问成功，接收正常。3. 不能成功 . 备注测试项目多播测试日期测试内容多播树的嫁接（多多播源，多接收端）测试环境1.路由模式2.Linux ， windows 。规则指定1.OUT 224.1.1.1239.

37、255.255.255 （IN=GDA ）2.IN 224.1.1.1239.255.255.255 （OUT=GDA ）执行操作1.在 192.168.2.254，192.168.1.10 上建立多播站。运行影音文件test.nsc。2.在192.168.1.20，先后运行mplayer:2 /1921.168.1.10/test.nsc，mplayer:/192.168.2.254/test.nsc 。3.在192.168.3.10上 运 行mplayer ： /192.168.1.10/test.nsc ， mplayer ：/192.168.2.254/test.nsc 影音文件。4.

38、在 192.168.2.253 上运行 mplayer：/192.168.1.10/test.nsc 影音文件。测试结果步骤预期结果实测结果2,3,4 访问成功，正常播放。备注注:桥模式下 ,多播与之类似 ,防火墙透明 ,与路由情况配置一样,指定区域即可 .不再赘述 . FTRUNK 测试项目TRUNK 测试日期测试内容跨越防火墙 ,完成同一 VLAN 内的通信 . 测试环境1.桥模式2.Linux ， windows 。3.在 两 交 换 机 上 将192.168.1.10,192.168.1.11设 为 同 一VLAN100.将192.168.1.20,192.168.1.21 设为同一V

39、LAN200. 与防火墙 trunk 连接 .类型 802.1q. 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 19 页 - - - - - - - - - 16 规则指定1. 192.168.1.10 192.168.1.11 允许. 协议 :tcp,icmp. 2.。192.168.1.20 192.168.1.21 拒绝协议 .tcp 允许 ,icmp 拒绝 . 执行操作1.在 192.168.1.10 上 ping 192.168.1.11,telnet 1

40、92.168.1.11 2.在 192.168.1.20 上 telnet 192.168.1.21,ping 192.168.1.21 测试结果步骤预期结果实测结果1 访问全部成功。2 Telnet 成功 .ping 不成功 . 备注测试项目TRUNK, 代理路由测试日期测试内容跨越防火墙 ,完成同一 VLAN 内的通信 . 测试环境1.桥模式2.Linux ， windows 。3.将 192.168.1.20 与 192.168.1.21 改 IP 为 192.168.2.20,192.168.2.21. 4.在 两 交 换 机 上 将192.168.1.10,192.168.1.11设

41、 为 同 一VLAN100.将192.168.2.20,192.168.2.21 设为同一 VLAN200. 规则指定1.192.168.1.11-192.168.2.10,192.168.2.11 协议 :所有协议 . 2. 192.168.1.10 192.168.1.11 允许 . 协议 :tcp,icmp. 3. 192.168.1.10 192.168.2.21 拒绝执行操作1.将防火墙内外网卡分别绑定两个IP 地址 192.168.1.1 和 192.168.2. 2.在 192.168.1.11 上 ping ,telnet,ftp,192.168.2.10 和 192.168.

42、2.11. 3.在 192.168.1.10 上 ping telnet 192.168.1.11 4.在 192.168.1.10 上 ping telnet ftp 192.168.2.21. 测试结果步骤预期结果实测结果1 访问全部成功。2 访问成功 . 3 所有操作都拒绝. 备注G内容过滤测试项目内容过滤测试日期测试内容对 SMTP,HTTP,FTP 等应用层进行过滤. 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 19 页 - - - - - - - - -

43、 17 测试环境1.路由 ,桥. 2.Linux,Windows. 规则指定在包过滤中添加相应的过滤规则,其中对内容 ,主题 ,附件,命令 ,都进行过滤 .在此仅举一例.其他不再赘述 . 1.172.10.1.20-172.10.2.254, HTTP: GET 命令禁止 . SMTP: 主题病毒禁止 . FTP: USER 禁止 . 执行操作1.在 172.10.1.20 上 http:/172.10.2.254 . GET 页面禁止 . 2.在 172.10.1.20 发 mail 到邮件服务器172.10.2.254 的主题为病毒的邮件. 3.在 172.10.120 上 ftp 172

44、.10.2.254 . user test 测试结果步骤预期结果实测结果1,2,3 访问都不成功。备注H报警测试项目报警 . 测试日期测试内容邮件 ,trap,蜂鸣等 .。测试环境1.路由模式 ,桥模式 . 2.Linux ， windows 。规则指定设定相应的报警mail.,trap 接收地址 . 执行操作1.在装有 OpenView 等可以接收trap 信息的主机上结束trap. 2.在任意一台主机上设置mail 帐号为报警mail 帐号 ,接收报警 mail. 3.当进行相应的报警操作,防火墙开始蜂鸣. 测试结果步骤预期结果实测结果1,2,3 可以完成 . 备注I审计测试项目审计 .

45、测试日期测试内容对防火墙进行事件及访问日志的审计.。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 19 页 - - - - - - - - - 18 测试环境1.路由模式 ,桥模式 . 2.Linux ， windows 。规则指定1 查看全部时间日志,事件类型 ,事件来源全部 . 2.设置访问日志 ,方向 ,原因 ,源 IP 地址不作为审计条件.目标IP 地址 :172.10.2.254 协议全部 . 执行操作1.查看 .事件日志 . 2.在 172.10.1.10

46、 上进行 ping,telnet,扫描 172.10.2.254 等操作 . 测试结果步骤预期结果实测结果1 查看到事件日志. 2 查看到相应的访问日志. 备注在测试的过程中,在包过滤中选中,进行审计 .就可以直接查看以前进行的操作信息. J实时监控 . . 测试项目实施监控测试日期测试内容进行相应的流量,连接等信息查看. 测试环境1.路由模式 ,桥模式 . 2.Linux ， windows 。规则指定1.数据包捕捉 . 172.10.1.10-172.10.2.254, 协议 :tcp,icmp,udp. 执行操作1.直接在工具栏中查看相应的流量,连接等信息 . 2.在 172.10.1.

47、10 上 ping ,telnet ,sendudp.到 172.10.2.254 测试结果步骤预期结果实测结果1 查看信息 ,准确 . 2 . 捕捉到数据包 .正确分析 . K攻击测试项目攻击测试日期测试内容防攻击测试。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 19 页 - - - - - - - - - 19 测试环境3.路由模式4.Linux ， windows 。规则指定执行操作4.flooding 攻击（ syn flooding ，udp floodi

48、ng ，ping flooding ，ping of death 等） 。5.nmap 扫描，是否误报（非正常状态）。6.Land 攻击。7.KillWin攻击。测试结果步骤预期结果实测结果1. FW 正常工作，攻击包被丢弃。2. FW 正常工作，扫描包被丢弃。3 FW 正常工作，攻击包被丢弃4. FW 工作正常，攻击包被丢弃。备注被攻击区域不受任何影响。L双机热备。测试项目双机热备测试日期测试内容激活状态的防火墙正常关机或异常掉电，看备份防火墙能否正常启用测试环境1.路由模式2.Linux ，windows 。规则指定1. 设置 FW2,FW3 状态， Group ID ：standby，F

49、W2 ID ：1，FW3 ID ：2 执行操作1在 FW2 上加载一些实际的访问控制规则、NAT 规则、 IPMAC 绑定规则、认证设置（可以沿用在前述用例设定的规则）2在 192.1168.1.10 上 ping 172.10.3.254 限制规则：包过滤，NAT ，IPMAC 绑定。在 FW 上截包判断生效的FW。3让 ping 一直处于建立状态4使当前的FW2，正常关闭或异常掉电5监视 ping，看在整个过程中，备份防火墙是否能正常启用，上述实时链接的反应。测试结果步骤预期结果实测结果5. 已建立的连接断掉，约 3 秒钟后， 备份防火墙启动，连接重新建立。备注1.FW2,FW3 的相同分区的接口设在同一个网段中。2.也可以用脚本写一个不间断的telnet 连接来测试或其它协议。主要考虑ping 不间断，效果一致，故用之。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 19 页 - - - - - - - - -