《防火墙测试方案》由会员分享,可在线阅读,更多相关《防火墙测试方案(16页珍藏版)》请在金锄头文库上搜索。
1、1.1 操作系统1.1.1 多系统备份功能测试子项目多系统备份功能测试原理考察防火墙是否支持多系统备份,多系统的防火墙提供更高的安全性, 使用备份恢复系统可以使防火墙的软件系统更加可靠.测试拓扑测试步骤1. 基于当前系统制作备份系统及B系统;2. 人为修改当前系统(例如升级系统);3. 从备份系统恢复至当前系统并重启动; 4.检查当前系统运行是否正常。预期结果防火墙支持多系统备份测试结果支持口不支持口1.1.2 配置文件导入导出测试子项目配置文件的导入和导出测试原理考察防火墙产品是否支持按模块的功能配置文件导入和导出功能测试拓扑测试步骤1. PC连接防火墙设备将功能模块配置文件导出;2修改当前
2、防火墙配置并保存;3.通过将PC上保存的功能模块配置文件导入至防火墙设备并重启检 查是否可以恢复原来的配置。预期结果支持按模块的功能配置文件导入和导出功能测试结果支持口不支持口1.2 网络适应性1.2.1 IP 地址访问控制测试子项目IP地址访问控制测试原理考察防火墙是否支持IP地址访问控制测试拓扑pciUTMRouterPC2测试步骤1. 如图搭建好测试环境,PC1网关地址为192.168.1.254/24, PC2网关 地址为 192.168.2.254/24;2. 在防火墙上新建地址资源test,地址对象为192.168.1.0/24,将 192.168.1.100/32添加至排除地址;
3、3. 在防火墙上新建安全策略1,源地址引用新建的地址资源test;4. PC1配置地址192.168.1.10/24,测试是否能ping通PC2;5. PC1配置地址192.168.1.100/24,测试是否能ping通PC2。预期结果安全策略支持IP地址访问控制,且支持排除地址。测试结果支持口不支持口1.2.2 端口访问控制测试子项目端口访问控制测试原理考察防火墙是否支持端口访问控制测试拓扑PCIUTNRduterPC2测试步骤1如图搭建好测试环境,PC1网关地址为192.168.1.254/24,PC2 网关地址为 192.168.2.254/24;2. 在防火墙上新建安全策略1,服务资源
4、引用FTP服务;3. PC2搭建FTP及HTTP服务器,PC1访问PC2 FTP及HTTP服务。;预期结果PC1可访问PC2 FTP服务,安全策略支持端口访问控制。测试结果支持口不支持口1.2.3 源 MAC 访问控制测试子项目源MAC访问控制测试原理考察防火墙是否支持源MAC访问控制测试拓扑PCIUTMRautarPC2测试步骤1. 如图搭建好测试环境,PC1网关地址为192.168.1.254/24, PC2网关 地址为 192.168.2.254/24;2. 在防火墙上新建安全策略,源MAC设置为PC1的主机MAC地址;3. PC1配置地址192.168.1.10/24,测试是否能pin
5、g通PC2;4. PC2配置地址192.168.2.10/24,测试是否能ping通PC1。预期结果安全策略支持源MAC访问控制测试结果支持口不支持口1.2.4 静态地址转换测试子项目支持静态地址转换测试原理考察防火墙是否支持静态地址转换测试拓扑192.测试步骤1. 配置防火墙采用路由模式,将EthO与Eth1配置为路由式,并在PC2 侧启用源地址转换,将PC1段地址转换为防火墙接口地址;2. 配置相应的安全策略规则允许PC1到PC2的通讯;3. PC1访问PC2,PC2抓包,看访问的源地址。预期结果防火墙正确转换源地址,支持静态地址转换测试结果支持口不支持1.2.5 动态地址转换测试子项目支
6、持动态地址转换测试原理考察防火墙是否支持动态地址转换测试拓扑测试步骤预期结果测试结果l_.-L-4._-j.-_4._-L_41|I-t4:.j. 1* 1. 配置防火墙采用路由模式,将EthO与Eth1配置为路由式,并在PC2 侧启用源地址转换,将PC1段地址转换为防火墙地址范围 192.168.1.10-192.168.1.20;2. 配置相应的安全策略规则允许PC1到PC2的通讯;3. PC1访问PC2,PC2抓包,看访问的源地址。防火墙正确转换源地址,支持动态地址转换支持口不支持1.2.6 策略路由测试子项目基于应用、URL、文件类型的策略路由测试原理考察防火墙产品是否支持基于应用、U
7、RL、文件类型的策略路由功能I-i-.i-l 1e1BBe1lBBIB1tI-j - + - - - 4- - t -4. -+ - -r. - i - j- - - -i4_卜丄&一J 一卜二丰卜1.两台服务器配置同样ip不同应用的服务,防火墙配置基于应用的策略路由;2.测试pc分别使用应用程序访问服务器;3.检查防火墙是否支持基于应用的策略路由;4.两台服务器配置同样ip不同URL的服务,防火墙配置基于URL测试步骤的策略路由;5.测试pc分别访问不同URL服务;6.检查防火墙是否支持基于URL的策略路由;7.两台服务器配置同样ip不同文件类型的服务,防火墙配置基于文件类型的策略路由;8.
8、测试pc分别访问不同文件类型服务;9.检查防火墙是否支持基于不冋文件类型的策略路由。预期结果防火墙支持基于应用、URL、文件类型的策略路由测试结果支持口不支持口1.3 网络访问控制1.3.1 地址对象测试子项目防火墙地址对象(包括IP、IP段、rangge排除地址等多种类型)测试原理考察防火墙是否支持配置不冋类型的地址对象测试拓扑PC110. LL1Server 1 舍A30 J-1-1右ATPC22O+LL1测试步骤1. 新建地址,命名为address IP段为10.1.1.0 124同时添加rangge 排除地址 10.1.1.20-10.1.1.100;2. 添加安全网关策略允许地址ad
9、dress访问服务器;3. 更改pc1的地址为10.1.1.20;4. 检查防火墙设备是否可添加不同地址类型的地址对象并生效。预期结果防火墙支持包括IP、IP段、rangge排除地址等多种类型的地址对象测试结果支持口不支持口1.3.2 新建连接限制测试子项目新建连接限制测试原理测试拓扑PCIUTWRout arPC2测试步骤1. 按上图搭建测试环境,保证PC1与PC2通信正常;2. 防火墙设备配置新建限制策略,新建数10个;3. PC2使用工具变换源地址向PC1发起每秒连接100个;4. 查看PC2连接建立成功结果;5. 检测安全网关成功建立连接的会话数。预期结果防火墙支持新建连接限制测试结果
10、支持口不支持口1.3.3 并发连接限制测试子项目新建连接限制测试原理考察防火墙是否支持新建连接数限制测试拓扑kJPCIUTNRdutarPC2测试步骤1. 按上图搭建测试环境,保证PC1与PC2通信正常;2. 防火墙设备配置并发限制策略限制,并发数为10个;3. PC2使用工具变换源地址向PC1发起每秒连接100个;4. 查看PC2连接建立成功结果;5. 检测安全网关成功建立连接的会话数。预期结果防火墙支持并发连接限制测试结果支持口不支持口1.3.4 策略命中数统计与查询测试子项目安全策略命中数统计与查询测试原理考察防火墙是否支持安全策略命中数统计与查询测试拓扑EthO测试步骤1. 配置安全网
11、关米用混合模式,将Eth0与Eth1配置为桥模式,并在 桥上配IP地址;将Eth2配置成路由模式,并在接口上配置一个IP 地址;2. 配置两条安全策略规则,分别为允许PC1访问PC3、PC2访问 PC3;3. 分别使用PC1,PC2访问PC3。4. 检查防火墙安全策略是否有命中数统计;5. 条件查询检测防火墙是否可对命中数统计进彳丁查询。预期结果防火墙支持安全策略命中数统计与查询测试结果支持口不支持口1.4 服务器负载均衡1.4.1 服务器负载均衡测试拓扑IP |t|? fhx iw 田上I昭I辕壮 疥斯 ll;EKflI; 2IP.L92 JM.1L09 轉愛:谀.悯工I IB诳厂曲8 *测
12、试步骤预期结果测试结果1. 按上图搭建测试环境,确保客户机与服务器之间访问正常;2. 防火墙上配置服务器负载均衡功能;3. 检测防火墙是否支持服务器负载均衡;4. 更换不同的服务器负载均衡算法检测防火墙是否支持不同算法的 服务器负载均衡。防火墙支持服务器负载均衡功能且支持最少10种以上算法 支持口不支持口测试子项目服务器负载均衡测试原理考察防火墙是否支持服务器负载均衡且支持最少10种算法1.5 DMVPN1.5.1 DMVPN测试子项目DMVPN测试原理考察防火墙是否支持支持DMVPN且支持路由推送功能测试拓扑VRE overGRE分支分支GRE oveGRE7二厂、Igs中心IPsec、分支
13、分支测试步骤1. 搭建测试环境,保证分支与中心节点通信正常;2. 防火墙配置DMVPN隧道并配置路由推送功能,将VPN隧道建立起 来;3. DMVPN隧道建立起来后检测分支之间通信是否正常,路由推送是否 成功。预期结果防火墙支持DMVPN且支持路由推送功能测试结果支持口不支持口1.6 入侵防护1.6.1 入侵防护测试子项目入侵防护功能测试原理考察防火墙是否支持入侵防护功能,可针对不同的源目IP地址、源MAC 地址、服务、时间、安全域等作为匹配条件进行入侵防护测试拓扑攻击源3被攻击料测试步骤1按上图搭建测试环境,保证攻击源与被攻击机通信正常;2. 防火墙配置不同的源目IP地址、源MAC地址、服务、时间、安全 域等作为匹配条件的入侵防护策略;3. 攻击源主机进
