书签分享收藏举报版权申诉 / 151

立即下载

当前位置：首页 > 管理文献 > 管理手册 > SRX防火墙产品测试相关资料3350.docx

SRX防火墙产品测试相关资料3350.docx

上传人：you****now

文档编号：62821748

上传时间：2022-11-22

格式：DOCX

页数：151

大小：1.54MB

( 4.5 )

《SRX防火墙产品测试相关资料3350.docx》由会员分享，可在线阅读，更多相关《SRX防火墙产品测试相关资料3350.docx（151页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录1 SRX防火火墙产品品测试内内容1.1 设备清单及及版本设备清单设备版本文档版本备注SRX 2240HH 两台台9.6 RR1V1.0测试PC 两台XP SPP2测试软件：NettIQ5.4TFTP Serrverr/cllienntTFTPDD 322Web SServver Easy Webb Seerveerftp sservverFileZZillla SerrverrSysloog sservverTFTPDD 322 1.2 SRX功能能测试SRX防火火墙的功功能测试试包括以以下几个个方面：n 路由模式n 策略（ICCMP、TTCP、UUDP）n 基于策略的的长连接接n HA

2、工作方方式n 主备切换n Sessiion同同步n 网管功能测测试n SNMP测测试n NTP测试试n Sysloog测试试n VPN功能能测试n Ipsecc VPPN rremoote cliientt测试n Ipsecc VPPN点对对点测试试n 路由功能测测试n OSPF功功能测试试1.3 设备可管理理测试1.3.1 测试内容设备可管理理测试是是测试防防火墙能能否支持持常用的的管理协协议，包包括teelneet、sssh、hhttpp和htttpss；基本本的测试试方法为为在防火火墙配置置相应的的管理服服务及管管理用户户，并在在相应的的接口或或zonne上配配置是否否可以接接受管理理，

3、通过过PC分分别用ttelnnet、sssh、hhttpp和htttpss方式登登录防火火墙，从从而验证证防火墙墙的可管管理功能能。1.3.2 测试拓扑图图1.3.3 设备配置1、配置管理用用户：set ssysttem loggin useer llab uidd 20000set ssysttem loggin useer llab claass supper-useerset ssysttem loggin useer llab autthennticcatiion plaain-texxt-ppasssworrd2、配置系统管管理服务务：（sssh、ttelnnet、hhttpp、

4、htttpss）set ssysttem serrvicces sshhset ssysttem serrvicces tellnettset ssysttem serrvicces webb-maanaggemeent htttp iinteerfaace ge-0/00/0.0（可可以进行行的管理理接口）set ssysttem serrvicces webb-maanaggemeent htttp iinteerfaace alllset ssysttem serrvicces webb-maanaggemeent htttps sysstemm-geenerrateed-ccertti

5、fiicatteset ssysttem serrvicces webb-maanaggemeent htttps intterffacee alll3、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2444、配置zonne或接接口是否否可以管管理防火火墙设备备：A、配置zzonee trrustt可以管管理防火火墙：s

6、et ssecuuritty zzonees ssecuuritty-zzonee trrustt hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0B、配置zzonee unntruust可可以管理理防火墙墙，但其中中的gee-0/0/88.0只只能用ttelnnet和和htttp管理理，其他的的不允许许：set ssecuuritty zzonees ssecuuritty-zzonee

7、 unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess htttpssset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.0 hosst-iinbooundd-trraf

8、ffic sysstemm-seerviicess sssh1.3.4 测试表格测试号Test-1设备名称Junipper SRXX防火墙墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备可管理理测试测试目的验证设备可可管理功功能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置1、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.77/2442、在PC：110.11.100.5上上分别用用sshh、teelneet、hhttpp、htttpss方式登登录防火火墙的接接口地址址：100.1.10.1，

9、并并以用户户labb登录，如如正常则则表示防防火墙的的可管理理功能正正常3、在PC：11.1.70.7上分别别用sssh、ttelnnet、hhttpp、htttpss方式登登录防火火墙的接接口地址址：1.1.770.55，并以以用户llab登登录，由由于该接接口在uuntrrustt zoone，并并且该接接口只允允许sssh及hhttpps管理理，所以以该用户户只能已已tellnett和htttp来来管理设设备，用用tellnett和htttp则则不允许许访问防防火墙。4、检查命令：检查当前的的登录用用户：labSSRX2240HH-1 shhow sysstemm usserss 1

10、1:500AM upp 2 dayys, 23 minns, 2 uuserrs, loaad aaverragees: 4.119, 3.775, 3.552USER TTTY FRROM LOOGINN IDLLE WWHATTlab p00 100.1.10.5 110:440AMM 11:044 -ccli (clli) lab p11 100.1.10.5 111:445AMM - -ccli (clli) lab jwweb22 100.1.10.5 111:477AM 2lab jwweb11 100.1.10.5 111:500AM -预期结果：1、 PC：100.1.10.5

11、上分分别用sssh、ttelnnet、hhttpp、htttpss方式并并以laab用户户能正常常登录防防火墙的的接口地地址：110.11.100.1，并并正常进进行配置置管理2、在PC：11.1.70.7上只能能用sssh、hhttpps方式式并以llab用用户正常常登录防防火墙的的接口地地址：11.1.70.5，并并正常进进行配置置管理；其他的的tellnett和htttp方方式则不不允许。测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.4 路由模式测测试1.4.1 测试内容路由模式测测试是测测试防火火墙是否否支持路路由功能能，

12、基本本的测试试方法是是在防火火墙的内内外网口口分别连连接网络络PC，并并按拓扑扑图，对对防火墙墙进行相相应的配配置，包包括IPP地址，路路由，策策略，及及其他相相关配置置。通过过两台PPC分别别Pinng及hhttpp访问对对方，从从而验证证防火墙墙的路由由功能。1.4.2 测试拓扑图图1.4.3 设备配置1、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ddesccripptioon tto-LLAN-truustset iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100

13、.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ddesccripptioon tto-WWAN-untrrusttset iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置zonne及将将接口加加到zoone中中，将gge-00/0/0.00分配至至truust zoone，将将ge-0/00/8.0分配配至unntruust zooneset ssecuuritty zzonees ssecuuritty-zzonee trrustt

14、 hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trraff

15、fic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.003、配置策策略，允允许trrustt和unntruust之之间互相相通信，并并且打开开logg记录set ssecuuritty ppoliiciees ffromm-zoone truu

16、st to-zonne uuntrrustt pooliccy ddefaaultt-peermiit mmatcch ssourrce-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit mmatcch ddesttinaatioon-aaddrresss annyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddef

17、aaultt-peermiit mmatcch aappllicaatioon aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit tthenn peermiitset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-peermiit tthenn loog ssesssionn-innitset ssecuuritty ppo

18、liiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch ssourrce-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch ddesttinaatioon-aaddrresss annyset ssecuuritty ppoliiciees ffromm-zoone unttrusst

19、tto-zzonee trrustt pooliccy ddefaaultt-peermiit mmatcch aappllicaatioon aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit tthenn peermiitset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-peermiit tthenn loog

20、 ssesssionn-innit1.4.4 测试表格测试号Test-2设备名称Junipper SRXX防火墙墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备可路由由测试测试目的验证设备可可路由传传输功能能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置2、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.77/2443、在PC：110.11.100.5上上分别ppingg及用hhttpp访问11.1.70.7，并且在在1.11.700.7的的webb seerveer查看看访问的的源地址址是否

21、为为：100.1.10.5，如如正常则则表示ttrusst zzonee的pcc能通过过路由正正常访问问另一个个unttrusst zzonee。4、在PC：11.1.70.7上分分别piing及及用htttp访访问100.1.10.5，并且在在10.1.110.55的weeb sservver查查看访问问的源地地址是否否为：11.1.70.7，如正常常则表示示unttrusst zzonee的pcc能通过过路由正正常访问问另一个个truust zonne。5、检查命令：A、查看sesssioon连接接及loog信息息：labSSRX2240HH-1 shhow seccuriity f

22、loow ssesssionnlabSSRX2240HH-1 shhow logg rttloggdB、在web serrverr查看客客户端的的源IPP地址是是否为对对端的PPC IIP地址址：预期结果：1、 PC：100.1.10.5上分分别用ppingg及用hhttpp访问11.1.70.7，能能正常访访问，并并且在11.1.70.7的wweb serrverr查看访访问的源源地址为为：100.1.10.52、 PC：1.1.770.77上分别别用piing及及用htttp访访问100.1.10.5，能能正常访访问，并并且在110.11.100.5的的webb seerveer查看看访

23、问的的源地址址为：11.1.70.7测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.5 策略测试1.5.1 测试内容策略测试是是测试防防火墙支支持基于于ICMMP协议议、TCCP端口口号和UUDP端端口号等等信息进进行策略略配置，并并针对每每一条策策略进行行不同的的操作（允允许、拒拒绝等）。基基本的测测试方法法是在防防火墙的的内外网网口分别别连接网网络PCC，并按按拓扑图图，对防防火墙进进行相应应的配置置，包括括IP地地址，路路由，策策略，及及其他相相关配置置，其中中策略至至少包括括三种策策略，基基于ICCMP，基基于TCCP端口口号

24、和基基于UDDP端口口号。通通过网络络PC的业业务模拟拟功能进进行测试试。推荐的测试试策略：n ICMPn HTTP（TTCP）n TFTP（UUDP）1.5.2 测试拓扑图图1.5.3 设备配置1、配置接口地地址set iinteerfaacess gee-0/0/00 unnit 0 ddesccripptioon tto-LLAN-truustset iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ddesccr

25、ipptioon tto-WWAN-untrrusttset iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置zonne及将将接口加加到zoone中中，将gge-00/0/0.00分配至至truust zoone，将将ge-0/00/8.0分配配至unntruust zooneset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset

26、 ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees sse

27、cuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterffacees gge-00/0/8.003、配置策略，允允许trrustt和unntruust之之间互相相通信，并并且打开开logg记录A、配置ttrusst至uuntrrustt之间测测试的应应用允许许通过set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrus

28、tt pooliccy ppoliicy-appp-teest mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch a

29、pppliccatiion appp-teestset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen ppermmitset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen llog sesssioon-iinittset aappllicaatioons apppliccatiion htttp

30、 pprottocool ttcpset aappllicaatioons apppliccatiion htttp ddesttinaatioon-pportt htttpset aappllicaatioons apppliccatiion-sett appp-ttestt apppliicattionn htttpset aappllicaatioons apppliccatiion-sett appp-ttestt apppliicattionn juunoss-iccmp-alllset aappllicaatioons apppliccatiion-sett appp-ttestt

31、 apppliicattionn juunoss-tfftpB、配置ttrusst至uuntrrustt之间默默认的策策略为拒拒绝通过过set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch desstin

32、natiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny mattch apppliccatiion anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ddefaaultt-deeny theen ddenyyset ssecuuritty ppoliiciees ffromm-zoone truust to-z

33、onne uuntrrustt pooliccy ddefaaultt-deeny theen llog sesssioon-iinittC、配置uuntrrustt至trrustt之间默默认的策策略为拒拒绝通过过set ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrus

34、tt pooliccy ddefaaultt-deeny mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny mattch apppliccatiion anyyset ssecuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny theen ddenyyset s

35、secuuritty ppoliiciees ffromm-zoone unttrusst tto-zzonee trrustt pooliccy ddefaaultt-deeny theen llog sesssioon-iinittD、测试完完将第一步步的策略略修改为为从允许许通过改改为拒绝绝通过：set ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest theen ddenyy1.5.4 测试表格测试号Test-3设备名称Junipper SRXX防火墙

36、墙：SRRX2440H-1设备软件版版本9.6R11测试项目设备策略测测试测试目的验证设备的的防火墙墙策略功功能测试配置见本节的设设备配置置部分测试步骤：1、按配置步骤骤进行配配置2、配置2台测测试PCC在防火火墙两端端，分别别配置地地址为：10.1.110.55/244和1.1.770.66/2443、在PC：110.11.100.5上上分别运运行ICCMP（ppingg）、TTCP（hhttpp）、UUDP（ttftpp）应用用访问外外网服务务器1.1.770.66，如正正常则表表示trrustt zoone的的pc能能通过策策略正常常访问另另一个uuntrrustt zoone的的

37、服务器器。4、将应用策略略修改为为拒绝，则则PC：10.1.110.55上所有有应用都都不能访访问5、检查命令：A、查看sesssioon连接接：labSSRX2240HH-1 shhow seccuriity floow ssesssionn B、检查是否所所有服务务都正常常允许或或拒绝在permmit的的状况下下，所有有服务均均正常允允许访问问，而在在策略为为denny的情情况下，所所有服务务均拒绝绝访问。C、检查logg信息：labSSRX2240HH-1 shhow logg rttloggdD、 show结结果及配配置文件件：预期结果：1、在策略为允允许的情情况下，PC

38、：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，能正常访问2、在策略为拒拒绝的情情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，不能访问相应的业务测试结果：测试结果：通通过 ( ) 失失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.6 静态NATT测试1.6.1 测试内容基于静态NNAT功功能的要要求是：对SRRX内网侧的的服务器器主机地地址进行行一对一一NATT映射，即即对于从从SRXX外网侧侧进入内内网侧的的数据流流，对目目的地址址进行NNAT。具具体的测测试需求求：n 在SRX防防火墙上上对P

39、CC1的的IP地地址100.1.10.5进行行地址转转换，转转换后的的地址为为1000.0.0.11。n PC1作作为业务务服务器器端，PCC2作作为业务务客户端端进行业业务测试试，包括括ICMMP（ppingg）、TTCP（hhttpp）、UUDP（TTFTPP）测试试n PC1作作为业务务客户端端，PCC2作作为业务务服务器器端进行行业务测测试，包包括ICCMP（ppingg）、TTCP（hhttpp）、UUDP（TTFTPP）测试试1.6.2 测试拓扑图图PC-110.1.10.5InternetStatic NAT1.1.70.5PC-21.1.70.710.1.10.1TrustUn

40、trustSRX100.0.0.1Ge-0/0/0Ge-0/0/81.6.3 设备配置1、配置接接口IPP地址set iinteerfaacess gee-0/0/00 unnit 0 ffamiily ineet aaddrresss 100.1.10.1/224set iinteerfaacess gee-0/0/88 unnit 0 ffamiily ineet aaddrresss 1.1.770.55/2442、配置目目的静态态目的NNATset ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 ffromm zoone unt

41、trusstset ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 rrulee ruule-staaticc-naat-11 maatchh deestiinattionn-adddreess 1000.0.0.11/322set ssecuuritty nnat staaticc ruule-sett sttatiic-nnat-1 rrulee ruule-staaticc-naat-11 thhen staaticc-naat ppreffix 10.1.110.55/3223、配置zzonee及将接接口加到到zonne中，将将

42、ge-0/00/0.0分配配至trrustt zzonee，将gge-00/0/8.00分配至至unttrusst zonneset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset ssecuuritty zzonees ssecuuritty-zzo

43、nee trrustt innterrfacces ge-0/00/0.0set ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic sysstemm-seerviicess alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust hosst-iinbooundd-trrafffic prootoccolss alllset ssecuuritty zzonees ssecuuritty-zzonee unntruust intterff

44、acees gge-00/0/8.004、配置iicmpp、htttp、ttftpp应用允允许从ttrusst访问问unttrusstset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch souurcee-adddreess anyyset ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ppoliicy-appp-teest mattch desstinnatiion-adddresss aanyset ssecuuritty ppoliiciees ffromm-zoone t

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

40 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: SRX 防火墙产品测试相关资料 3350

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：SRX防火墙产品测试相关资料3350.docx
链接地址：https://www.taowenge.com/p-62821748.html