《SRX策略测试兼配置参考_软件测试面试必备》由会员分享,可在线阅读,更多相关《SRX策略测试兼配置参考_软件测试面试必备(4页珍藏版)》请在金锄头文库上搜索。
1、_软件测试面试必备1.1策略测试策略测试1.1.1测试内容测试内容策略测试是测试防火墙支持基于 ICMP 协议、TCP 端口号和 UDP 端口号等信息进行策略配置,并针对每一条策略进行不同的操作(允许、拒绝等) 。基本的测试方法是在防火墙的内外网口分别连接网络PC,并按拓扑图,对防火墙进行相应的配置,包括 IP 地址,路由,策略,及其他相关配置,其中策略至少包括三种策略,基于 ICMP,基于 TCP 端口号和基于 UDP 端口号。通过网络 PC 的业务模拟功能进行测试。推荐的测试策略:ICMPHTTP(TCP)TFTP(UDP)1.1.2测试拓扑图测试拓扑图SRX 240H -1PC - 1P
2、C - 2Ge-0/0/0Ge-0/0/810.1.10.5 Gw: 10.1.10.11.1.70.7 Gw: 1.1.70.510.1.10.1/241.1.70.5/241.1.3设备配置设备配置1、 配置接口地址set interfaces ge-0/0/0 unit 0 description to-LAN-trustset interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 description to-WAN-untrustset interfaces
3、ge-0/0/8 unit 0 family inet address 1.1.70.5/242、 配置 zone 及将接口加到 zone 中,将 ge-0/0/0.0 分配至 trust zone,将 ge-0/0/8.0 分配至 untrust zoneset security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols allset security zones
4、security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust host-inbound-traffic protocols allset security zones security-zone untrust interfaces ge-0/0/8.03、 配置策略,允许 trust 和 untrust 之间互相通信,并且打开 lo
5、g 记录A、配置 trust 至 untrust 之间测试的应用允许通过set security policies from-zone trust to-zone untrust policy policy-app-test match source-address anyset security policies from-zone trust to-zone untrust policy policy-app-test match destination-address anyset security policies from-zone trust to-zone untrust pol
6、icy policy-app-test match application app-test (策略里策略里面引用自定义的面引用自定义的 application 为为 app-test)set security policies from-zone trust to-zone untrust policy policy-app-test then permitset security policies from-zone trust to-zone untrust policy policy-app-test then log session-init/自定义 applciation 为 ap
7、p-testset applications application http protocol tcpset applications application http destination-port httpset applications application-set app-test application httpset applications application-set app-test application junos-icmp-allset applications application-set app-test application junos-tftpB、配
8、置 trust 至 untrust 之间默认的策略为拒绝通过set security policies from-zone trust to-zone untrust policy default-deny match source-address anyset security policies from-zone trust to-zone untrust policy default-deny match destination-address anyset security policies from-zone trust to-zone untrust policy default-
9、deny match application anyset security policies from-zone trust to-zone untrust policy default-deny then denyset security policies from-zone trust to-zone untrust policy default-deny then log session-initC、配置 untrust 至 trust 之间默认的策略为拒绝通过set security policies from-zone untrust to-zone trust policy de
10、fault-deny match source-address anyset security policies from-zone untrust to-zone trust policy default-deny match destination-address anyset security policies from-zone untrust to-zone trust policy default-deny match application anyset security policies from-zone untrust to-zone trust policy defaul
11、t-deny then denyset security policies from-zone untrust to-zone trust policy default-deny then log session-initD、测试完将第一步的策略修改为从允许通过改为拒绝通过:set security policies from-zone trust to-zone untrust policy policy-app-test then deny1.1.4测试表格测试表格测试号Test-3设备名称Juniper SRX 防火墙:SRX240H-1设备软件版本9.6R1测试项目设备策略测试测试目的
12、验证设备的防火墙策略功能测试配置见本节的设备配置部分测试步骤:1、 按配置步骤进行配置2、 配置 2 台测试 PC 在防火墙两端,分别配置地址为:10.1.10.5/24 和 1.1.70.6/243、 在 PC:10.1.10.5 上分别运行 ICMP(ping) 、TCP(http) 、UDP(tftp)应用访问外网服务器1.1.70.6,如正常则表示 trust zone 的 pc 能通过策略正常访问另一个 untrust zone 的服务器。4、 将应用策略修改为拒绝,则 PC:10.1.10.5 上所有应用都不能访问5、 检查命令:A、 查看 session 连接:labSRX240
13、H-1 show security flow session B、 检查是否所有服务都正常允许或拒绝在 permit 的状况下,所有服务均正常允许访问,而在策略为 deny 的情况下,所有服务均拒绝访问。C、 检查 log 信息:labSRX240H-1 show log rtlogdD、 show 结果及配置文件:预期结果:1、 在策略为允许的情况下,PC:10.1.10.5 上分别用 ping、http、TFTP 访问 1.1.70.7,能正常访问2、 在策略为拒绝的情况下,PC:10.1.10.5 上分别用 ping、http、TFTP 访问 1.1.70.7,不能访问相应的业务测试结果:测试结果: 通过 ( ) 失败 ( )测试通过:(签字)测试失败:(签字)失败原因:注释:_软件测试面试必备
