防火墙测试方案.docx
《防火墙测试方案.docx》由会员分享,可在线阅读,更多相关《防火墙测试方案.docx(10页珍藏版)》请在冰豆网上搜索。
防火墙测试方案
防火墙测试方案
防火墙测试方案
测试项目
主要测试项目(必测)
NAT/PAT
Site-to-SiteIPSec/VPN
DynamicRemote-AccessIPSec/VPN
IPSec/VPN的NAT穿透
Remote-AccessPPTPVPN
的穿透
ACL和会话数的限制
Syslog、SNMP、远程管理
辅助测试项目(选测)
认证功能
P2P流量限制
测试一、NAT/PAT
拓扑图
测试要求
(如防火墙inside接口不够,则使用交换机连接内部三台pc并将内部网络合并为/16)
1.将(pc1)静态翻译(地址翻译)为
2.将-动态翻译(端口翻译)为
检查方法及检查项目
PC1通过FTP方式从教育网下载数据
PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页
查看设备负载和网络延迟
测试二、Site-to-SiteIPSec/VPN
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.只对10.0.1.1和之间互访的流量进行IPSEC的加密
检查方法及检查项目
PC1和PC2能否相互PING通,在ASA5540上检测数据是否为加密数据。
修改PC2的ip地址为10.0.2.22,使用pc1PINGpc2,在asa5540上检查数据是否为明文。
测试三、DynamicRemote-AccessIPSec/VPN
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.其他
地址池
/24
DNS
1.1.1.1
4.防火墙Outside外任何主机都可以与防火墙建立IPSec/VPN连接。
5.只对PC1和PC2互访的数据加密。
检查方法及检查项目
PC2修改IP地址为10.0.2.22后是否能与防火墙建立IPSec/VPN连接。
PC2能否获得正确的DNS。
PC1和PC2能否相互PING通。
检查防火墙Outside接口收到的数据是否为明文。
测试四、IPSec/VPN的NAT穿透
拓扑图
测试要求
1.ISAKMP配置
Authenticastion
Pre-Share
Encryption
AES(256-bit)
Diffie-Hellman
Group2
Hash
Sha
2.IPSec配置
Transform-Set
ah-sha-hmacesp-aes(256-bit)
3.CiscoASA5540上允许以下流量进入其内网
UDP500
AH50
ESP51
UDP4500
UDP10000
TCP10000
检查方法及检查项目
两测试设备是否可以正常建立IPSec/VPN连接
PC1和PC2是否可以相互PING通
测试五、Remote-AccessPPTPVPN
拓扑图
测试要求
认证方式
MSCHAP
加密方式
MPPE
地址池
/24
DNS
1.1.1.1
检查方法及检查项目
PC2使用Windows自带的VPN与防火墙建立PPTP连接
PC2能否获得正确的DNS
PC2和PC1能否相互PING通
测试六、的穿透
拓扑图
测试要求
1.测试防火墙配置静态地址翻译,将(PC翻译为
2.测试防火墙配置端口翻译,将(PC翻译为
检查方法及检查项目
配置静态地址翻译后,PC和PC否可以用NetMeeting进行语音通话,如果可以正确建立连接,是否存在单向音问题。
配置端口翻译后,PC和PC否可以用NetMeeting进行语音通话,如果可以正确建立连接,是否存在单向音问题。
测试七、ACL和会话数的限制
拓扑图
测试要求
1.配置ACL只允许WWW流量到防火墙内部的PC1。
2.限制PC1的会话数为5。
检查方法及检查项目
PC1上建立WWW服务,提供一文件下载,PC2用多线程下载软件从PC1下载文件,检查连接数是否被限制在5个。
测试八、Syslog、SNMP、远程管理
检查方法及检查项目
是否支持syslog功能
是否支持snmp管理(通过snmp能否检测cpu利用率,连接数)
是否支持远程管理,通过outside口登陆防火墙进行管理
测试九、认证功能
拓扑图
测试要求
1.防火墙上配置认证功能
检查方法及检查项目
内部主机PC1主动发起HTTP请求连接PC2时,防火墙通过WEB页面方式(其他方式也可以)对PC1进行认证,认证通过后PC1才可正常访问PC2。
测试十、P2P流量限制
拓扑图
测试要求
1.防火墙上配置P2P流量限制功能。
检查方法及检查项目
PC1能否进行BitTorrent或E-Donkey的下载
测试结果
主要测试项目(必测)
NAT/PAT
是否支持NAT
是否支持PAT
设备负载__________
网络延迟__________
Site-to-SiteIPSec/VPN
是否支持Site-to-SiteIPSec/VPN
是否支持只对需要数据进行IPSec/VPN加密
DynamicRemote-AccessIPSec/VPN
是否支持Remote-AccessIPSec/VPN
是否支持DynamicRemote-AccessIPSec/VPN
能否获得正确的DNS
IPSec/VPN的NAT穿透
是否支持IPSec/VPN的NAT穿透
Remote-AccessPPTPVPN
是否Remote-AccessPPTPVPN
能否获得正确的DNS
的穿透
是否支持NAT下的穿透
是否支持PAT下的穿透
ACL和会话数的限制
是否支持ACL
是否支持会话数限制
Syslog、SNMP、远程管理
是否支持Syslog
是否支持SNMP
是否支持远程管理
远程管理方式WEB命令行其他__________
辅助测试项目(选测)
认证功能
是否支持认证功能
认证方式WEB其他__________
P2P流量限制
是否支持P2P流量限制
注释