《网络安全系统测试报告》由会员分享,可在线阅读,更多相关《网络安全系统测试报告(47页珍藏版)》请在金锄头文库上搜索。
1、网络安全系统测试报告网络安全系统测 试 报 告测试地点:中国XXX研究院测试单位:目 录一、功能测试21.1网络地址转换测试21.2端口映射测试41.3 IP地址和MAC地址绑定测试61.4 基于用户名称过滤的测试81.5 IP包过滤测试101.6 带宽管理测试121.7 日志记录测试151.8 http代理测试171.9 FTP代理测试191.9 SMTP代理测试211.10 POP3代理测试231.11 SNMP测试251.12 SSL功能测试281.13 SSH功能测试30二、配置规则测试312.1外网用户访问SSN区主机211.167.236.2312.2 外网用户访问SSN区主机21
2、1.167.236.3322.3 外网用户访问SSN区主机211.167.236.4332.4 外网用户访问SSN区主机211.167.236.39342.5 外网用户访问SSN区主机211.167.236.60352.6 SSN区主机211.167.236.2访问外网362.7 SSN区主机211.167.236.3访问外网372.8 SSN区主机211.167.236.4访问外网382.9 SSN区主机211.167.236.39访问外网392.10 SSN区主机211.167.236.60访问外网402.11内网用户访问SSN区主机211.167.236.2402.12 内网用户访问SS
3、N区主机211.167.236.3412.13内网用户访问SSN区主机211.167.236.4422.15 内网用户访问SSN区主机211.167.236.39432.15 内网用户访问SSN区主机211.167.236.60442.16 内网用户访问外网45三、攻击测试463.1 防火墙与IDS联动功能463.2 端口扫描测试48一、功能测试1.1网络地址转换测试 测试号:测试项目网络地址翻译测试测试内容测试防火墙系统是否具有网络地址翻译的功能。NAT在IP层通过地址转换提供IP复用功能,解决IP地址不足问题。当内部用户需用对外访问时,防火墙系统将会代理用户访问,并将结果透明的返回用户,相
4、当于一个IP层代理。本测试用于测试防火墙是否具有NAT功能。测试环境我们根据实际应用进行测试,示意图如下: 网络接口设备名接口地址标记eth0211.167.236.57外部接口eth1211167.236.58SSN接口eth2192.168.1.200内部接口eth0:1211.167.236.61反向地址映射接口eth0:2211.167.236.62反向地址映射接口测试环境:笔记本一台(192.168.3.102)测试步骤1. 通过超级终端配置好各接口的IP地址、路由、接口属性。2. 通过一次性口令认证,认证管理员的身份。3. 打开IE在URL中输入HTTP:/192.168.1.20
5、0:10000。4. 选择地址转换,设置为以下规则。 6、选择NAT生效。7、在内部网络的WIN xp工作站(192网段)上利用进行web访问;测试结果预测结果实测结果NAT生效内部工作站可以进行web访问测试通过测试人员测试日期备注1.2端口映射测试 测试号:测试项目服务器端口映射的测试测试内容测试防火墙系统是否具有服务器端口映射的测试的功能。提供Internet上用户从注册IP到内部保留IP的访问途径,可以将防火墙的注册IP的任一TCP/UDP端口映射到内部不同的保留IP的确端口上,即注册IP的一TCP/UDP端口对应内部保留IP的一TCP/UDP端口。测试环境我们根据实际网络环境进行测试
6、,示意图如下:网络接口设备名接口地址标记eth0211.167.236.57外部接口eth1211.167.236.8SSN接口eth2192.168.1.200内部接口eth0:1211.167.236.61反向地址映射接口eth0:2211.167.236.62反向地址映射接口测试环境:笔记本一台(192.168.3.102),内网服务器一台(192.168.1.14) 测试步骤1. 通过一次性口令认证,认证管理员的身份。2. 打开IE在URL中输入HTTP:/192.168.1.200:10000。3. 选择地址转换-反向地址转换-反向端口映射,。作如下规则:4.选择NAT生效。5、在防
7、火墙上做地址映射后,通过笔记本拨号到263,访问设置的映射地址的www、ftp服务测试结果预测结果实测结果如能成功访问内网的www,ftp,则测试通过。测试通过测试人员测试日期备注1.3 IP地址和MAC地址绑定测试 测试号:测试项目IP地址和MAC地址绑定测试测试内容测试防火墙系统是否具有IP和MAC绑定的功能。防火墙通过IP地址和MAC地址绑定,可以防止IP地址被非法盗用。本测试用于测试防火墙是否具有此项功能。测试环境网络接口设备名接口地址标记eth0211.167.236.57外部接口eth1211.167.236.58SSN接口eth2192.168.1.200内部接口eth0:121
8、1.167.236.61反向地址映射接口eth0:2211.167.236.62反向地址映射接口根据内部网的实际网络拓扑结构,所有客户端都通过路由器4500划分在不同的VLAN中,由于第三层设备存在,不具备实施IP地址与MAC地址绑定的网络环境。测试步骤测试结果预测结果实测结果测试通过测试人员测试日期备注。1.4 基于用户名称过滤的测试 测试号:测试项目用户名称过滤的测试测试内容测试防火墙系统是否具有用户名称过的测试以及用户名和IP绑定的测试。检查防火墙是否具有基于用户名称过滤的功能防火墙通过IP地址和用户名绑定,可以防止IP地址被非法盗用。本测试用于测试防火墙是否具有此项功能。测试环境我们根
9、据实际网络环境进行测试,示意图如下:网络接口设备名接口地址标记eth0211.167.236.57外部接口eth1211.167.236.58SSN接口eth2192.168.1.200内部接口eth0:1211.167.236.61反向地址映射接口eth0:2211.167.236.62反向地址映射接口内网区中配置笔记本一台(192.168.3.102)和 台式机一台(192.168.3.103)。测试步骤1、打开IE在URL中输入HTTP:/192.168.1.200:10000。2、在对象定义中选择用户对象增加用户TEST1,口令为TEST1,IP地址为192.168.3.102,掩码为
10、255.255.255.255。对象增加用户TEST,口令为TEST,IP地址为192.168.3.103,掩码为255.255.255.255。6、在对象定义中选择用户组定义,增加用户组test和test1,分别将TEST和TEST1加入到test和GROUP1中。7、选择访问控制规则,允许test可以访问FTP服务器,test1不可以访问FTP服务器,并且作日志。做好防火墙的其他规则(例如:NAT或者两个网段的路由)8、在安全策略中选择免认证IP为空9、选择规则生效、NAT生效10、从工作站1用TEST登陆访问FTP服务器。11、从工作站2用TEST登陆访问FTP服务器。12、从工作站1用
11、TEST1登陆访问FTP服务器。13、从工作站2用TEST1登陆访问FTP服务器。14、利用防火墙日志查看访问控制的日志。测试结果预测结果实测结果步骤10可以访问到FTP服务器步骤11 不可以访问到FTP服务器步骤12不可以访问到FTP服务器步骤13不可以访问到FTP服务器测试通过测试人员测试日期备注此测试测试了防火墙两个功能,分别为基于用户名过滤和用户名与IP地址绑定。1.5 IP包过滤测试 测试号:测试项目IP包过滤测试内容测试FW3000防火墙系统是否具有IP包过滤的功能。防火墙的功能最主要就是通过IP包过滤体现的。测试环境防火墙的实际运行中已实现此功能。详见规则测试。网络接口设备名接口
12、地址标记eth0211.167.236.57外部接口eth1211.167.236.58SSN接口eth2192.168.1.200内部接口eth0:1211.167.236.61反向地址映射接口eth0:2211.167.236.62反向地址映射接口测试步骤测试结果预测结果实测结果测试通过测试人员测试日期备注1.6 带宽管理测试 测试号:测试项目带宽管理测试内容测试FW3000防火墙系统是否具有带宽管理的功能。为了增加对网络带宽资源的管理和分配,调节对用户网络访问外网的流量管理,尤其是为了保证VPN隧道通信的畅通无阻,有必要建立一套对带宽的管理机制,能够对外出流量进行统一的分配。测试环境我们根据实际应用情况架设了测试平台,测试平台分别模拟了内部网和外部网络,示意图如下:192.168.0.2/24PC-AEth0:192.168.0.1/24 outFW3000Eth1:192.168.133.1/24 inHUB192.168.133.3/24PC-CPC-B192.168.133.2/24网络接口设备名接口地址标记eth0211.167.236.57外部接口eth1211.167.236.58SSN接口eth2192.168.1.200
