SRX防火墙产品测试相关资料.docx

《SRX防火墙产品测试相关资料.docx》由会员分享，可在线阅读，更多相关《SRX防火墙产品测试相关资料.docx（93页珍藏版）》请在三一办公上搜索。

1、目录1 SRX防火墙产品测试内容1.1 设备清单及版本设备清单设备版本文档版本备注SRX 240H 两台9.6 R1V1.0测试PC 两台XP SP2测试软件：NetIQ5.4TFTP Server/clientTFTPD 32Web Server Easy Web Serverftp serverFileZilla ServerSyslog serverTFTPD 32 1.2 SRX功能测试SRX防火墙的功能测试包括以下几个方面：n 路由模式n 策略（ICMP、TCP、UDP）n 基于策略的长连接n HA工作方式n 主备切换n Session同步n 网管功能测试n SNMP测试n NTP测

2、试n Syslog测试n VPN功能测试n Ipsec VPN remote client测试n Ipsec VPN点对点测试n 路由功能测试n OSPF功能测试1.3 设备可管理测试1.3.1 测试内容设备可管理测试是测试防火墙能否支持常用的管理协议，包括telnet、ssh、http和https；基本的测试方法为在防火墙配置相应的管理服务及管理用户，并在相应的接口或zone上配置是否可以接受管理，通过PC分别用telnet、ssh、http和https方式登录防火墙，从而验证防火墙的可管理功能。1.3.2 测试拓扑图1.3.3 设备配置1、 配置管理用户：set system login

3、user lab uid 2000set system login user lab class super-userset system login user lab authentication plain-text-password2、 配置系统管理服务：（ssh、telnet、http、https）set system services sshset system services telnetset system services web-management http interface ge-0/0/0.0（可以进行的管理接口）set system services web-ma

4、nagement http interface allset system services web-management https system-generated-certificateset system services web-management https interface all3、 配置接口地址set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/244、 配置zone或接口是否可以

5、管理防火墙设备：A、配置zone trust可以管理防火墙：set security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust interfaces ge-0/0/0.0B、配置zone untrust可以管理防火墙，但其中的ge-0/0/8.0只能用telnet和http管理，其他的不允许：set security zones security-zone untrust host-inbound-traffic system-

6、services allset security zones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services httpsset security zones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services ssh1.3.4 测试表格测试号Test-1设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备可管理测试测试目的验证设备可管理

7、功能测试配置见本节的设备配置部分测试步骤：1、 按配置步骤进行配置1、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/242、 在PC：10.1.10.5上分别用ssh、telnet、http、https方式登录防火墙的接口地址：10.1.10.1，并以用户lab登录，如正常则表示防火墙的可管理功能正常3、 在PC：1.1.70.7上分别用ssh、telnet、http、https方式登录防火墙的接口地址：1.1.70.5，并以用户lab登录，由于该接口在untrust zone，并且该接口只允许ssh及https管理，所以该用户只能已telnet和

8、http来管理设备，用telnet和http则不允许访问防火墙。4、 检查命令：检查当前的登录用户：labSRX240H-1 show system users 11:50AM up 2 days, 23 mins, 2 users, load averages: 4.19, 3.75, 3.52USER TTY FROM LOGIN IDLE WHATlab p0 10.1.10.5 10:40AM 1:04 -cli (cli) lab p1 10.1.10.5 11:45AM - -cli (cli) lab jweb2 10.1.10.5 11:47AM 2lab jweb1 10.1

9、.10.5 11:50AM -预期结果：1、 PC：10.1.10.5上分别用ssh、telnet、http、https方式并以lab用户能正常登录防火墙的接口地址：10.1.10.1，并正常进行配置管理2、 在PC：1.1.70.7上只能用ssh、https方式并以lab用户正常登录防火墙的接口地址：1.1.70.5，并正常进行配置管理；其他的telnet和http方式则不允许。测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.4 路由模式测试1.4.1 测试内容路由模式测试是测试防火墙是否支持路由功能，基本的测试方法是在防火墙的内外网口

10、分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置。通过两台PC分别Ping及http访问对方，从而验证防火墙的路由功能。1.4.2 测试拓扑图1.4.3 设备配置1、 配置接口地址set interfaces ge-0/0/0 unit 0 description to-LAN-trustset interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 description to-WAN-untrustset interfac

11、es ge-0/0/8 unit 0 family inet address 1.1.70.5/242、 配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zoneset security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols allset security zones securit

12、y-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust host-inbound-traffic protocols allset security zones security-zone untrust interfaces ge-0/0/8.03、配置策略，允许trust和untrust之间互相通信，并且打开log记录set securi

13、ty policies from-zone trust to-zone untrust policy default-permit match source-address anyset security policies from-zone trust to-zone untrust policy default-permit match destination-address anyset security policies from-zone trust to-zone untrust policy default-permit match application anyset secu

14、rity policies from-zone trust to-zone untrust policy default-permit then permitset security policies from-zone trust to-zone untrust policy default-permit then log session-initset security policies from-zone untrust to-zone trust policy default-permit match source-address anyset security policies fr

15、om-zone untrust to-zone trust policy default-permit match destination-address anyset security policies from-zone untrust to-zone trust policy default-permit match application anyset security policies from-zone untrust to-zone trust policy default-permit then permitset security policies from-zone unt

16、rust to-zone trust policy default-permit then log session-init1.4.4 测试表格测试号Test-2设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备可路由测试测试目的验证设备可路由传输功能测试配置见本节的设备配置部分测试步骤：1、 按配置步骤进行配置2、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/243、 在PC：10.1.10.5上分别ping及用http访问1.1.70.7，并且在1.1.70.7的web server查看访问的源地址是否为

17、：10.1.10.5，如正常则表示trust zone的pc能通过路由正常访问另一个untrust zone。4、 在PC：1.1.70.7上分别ping及用http访问10.1.10.5，并且在10.1.10.5的web server查看访问的源地址是否为：1.1.70.7，如正常则表示untrust zone的pc能通过路由正常访问另一个trust zone。5、 检查命令：A、 查看session连接及log信息：labSRX240H-1 show security flow sessionlabSRX240H-1 show log rtlogdB、 在web server查看客户端的源

18、IP地址是否为对端的PC IP地址：预期结果：1、 PC：10.1.10.5上分别用ping及用http访问1.1.70.7，能正常访问，并且在1.1.70.7的web server查看访问的源地址为：10.1.10.52、 PC：1.1.70.7上分别用ping及用http访问10.1.10.5，能正常访问，并且在10.1.10.5的web server查看访问的源地址为：1.1.70.7测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.5 策略测试1.5.1 测试内容策略测试是测试防火墙支持基于ICMP协议、TCP端口号和UDP端口号等

19、信息进行策略配置，并针对每一条策略进行不同的操作（允许、拒绝等）。基本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置，其中策略至少包括三种策略，基于ICMP，基于TCP端口号和基于UDP端口号。通过网络PC的业务模拟功能进行测试。推荐的测试策略：n ICMPn HTTP（TCP）n TFTP（UDP）1.5.2 测试拓扑图1.5.3 设备配置1、 配置接口地址set interfaces ge-0/0/0 unit 0 description to-LAN-trustset interfaces ge-0/0/0 u

20、nit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 description to-WAN-untrustset interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/242、 配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zoneset security zones security-zone trust host-inbound-traffic system-serv

21、ices allset security zones security-zone trust host-inbound-traffic protocols allset security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust host-inbound-traffic protocols allset

22、 security zones security-zone untrust interfaces ge-0/0/8.03、 配置策略，允许trust和untrust之间互相通信，并且打开log记录A、配置trust至untrust之间测试的应用允许通过set security policies from-zone trust to-zone untrust policy policy-app-test match source-address anyset security policies from-zone trust to-zone untrust policy policy-app-t

23、est match destination-address anyset security policies from-zone trust to-zone untrust policy policy-app-test match application app-testset security policies from-zone trust to-zone untrust policy policy-app-test then permitset security policies from-zone trust to-zone untrust policy policy-app-test

24、 then log session-initset applications application http protocol tcpset applications application http destination-port httpset applications application-set app-test application httpset applications application-set app-test application junos-icmp-allset applications application-set app-test applicati

25、on junos-tftpB、配置trust至untrust之间默认的策略为拒绝通过set security policies from-zone trust to-zone untrust policy default-deny match source-address anyset security policies from-zone trust to-zone untrust policy default-deny match destination-address anyset security policies from-zone trust to-zone untrust pol

26、icy default-deny match application anyset security policies from-zone trust to-zone untrust policy default-deny then denyset security policies from-zone trust to-zone untrust policy default-deny then log session-initC、配置untrust至trust之间默认的策略为拒绝通过set security policies from-zone untrust to-zone trust p

27、olicy default-deny match source-address anyset security policies from-zone untrust to-zone trust policy default-deny match destination-address anyset security policies from-zone untrust to-zone trust policy default-deny match application anyset security policies from-zone untrust to-zone trust polic

28、y default-deny then denyset security policies from-zone untrust to-zone trust policy default-deny then log session-initD、测试完将第一步的策略修改为从允许通过改为拒绝通过：set security policies from-zone trust to-zone untrust policy policy-app-test then deny1.5.4 测试表格测试号Test-3设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备策略测试

29、测试目的验证设备的防火墙策略功能测试配置见本节的设备配置部分测试步骤：1、 按配置步骤进行配置2、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.6/243、 在PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问外网服务器1.1.70.6，如正常则表示trust zone的pc能通过策略正常访问另一个untrust zone的服务器。4、 将应用策略修改为拒绝，则PC：10.1.10.5上所有应用都不能访问5、 检查命令：A、 查看session连接：labSRX240H-1 show security

30、 flow session B、 检查是否所有服务都正常允许或拒绝在permit的状况下，所有服务均正常允许访问，而在策略为deny的情况下，所有服务均拒绝访问。C、 检查log信息：labSRX240H-1 show log rtlogdD、 show结果及配置文件： 预期结果：1、 在策略为允许的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，能正常访问2、 在策略为拒绝的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，不能访问相应的业务测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试

31、失败：(签字)失败原因：注释：1.6 静态NAT测试1.6.1 测试内容基于静态NAT功能的要求是：对SRX内网侧的服务器主机地址进行一对一NAT映射，即对于从SRX外网侧进入内网侧的数据流，对目的地址进行NAT。具体的测试需求：n 在SRX防火墙上对PC1的IP地址10.1.10.5进行地址转换，转换后的地址为100.0.0.1。n PC1作为业务服务器端，PC2作为业务客户端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试n PC1作为业务客户端，PC2作为业务服务器端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试1.6

32、.2 测试拓扑图PC-110.1.10.5InternetStatic NAT1.1.70.5PC-21.1.70.710.1.10.1TrustUntrustSRX100.0.0.1Ge-0/0/0Ge-0/0/81.6.3 设备配置1、配置接口IP地址set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/242、配置目的静态目的NATset security nat static rule-set s

33、tatic-nat-1 from zone untrustset security nat static rule-set static-nat-1 rule rule-static-nat-1 match destination-address 100.0.0.1/32set security nat static rule-set static-nat-1 rule rule-static-nat-1 then static-nat prefix 10.1.10.5/323、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至u

34、ntrust zoneset security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols allset security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services

35、 allset security zones security-zone untrust host-inbound-traffic protocols allset security zones security-zone untrust interfaces ge-0/0/8.04、配置icmp、http、tftp应用允许从trust访问untrustset security policies from-zone trust to-zone untrust policy policy-app-test match source-address anyset security policies

36、 from-zone trust to-zone untrust policy policy-app-test match destination-address anyset security policies from-zone trust to-zone untrust policy policy-app-test match application app-testset security policies from-zone trust to-zone untrust policy policy-app-test then permitset security policies fr

37、om-zone trust to-zone untrust policy policy-app-test then log session-initset applications application http protocol tcpset applications application http destination-port httpset applications application-set app-test application httpset applications application-set app-test application junos-icmp-al

38、lset applications application-set app-test application junos-tftp5、配置允许untrust zone访问trust zone的服务器10.1.10.5set security zones security-zone trust address-book address static-nat-pc-1 10.1.10.5/32set security policies from-zone untrust to-zone trust policy permit-static-nat match source-address anys

39、et security policies from-zone untrust to-zone trust policy permit-static-nat match destination-address static-nat-pc-1set security policies from-zone untrust to-zone trust policy permit-static-nat match application anyset security policies from-zone untrust to-zone trust policy permit-static-nat th

40、en permitset security policies from-zone untrust to-zone trust policy permit-static-nat then log session-initset security policies from-zone untrust to-zone trust policy default-deny match source-address anyset security policies from-zone untrust to-zone trust policy default-deny match destination-a

41、ddress anyset security policies from-zone untrust to-zone trust policy default-deny match application anyset security policies from-zone untrust to-zone trust policy default-deny then denyset security policies from-zone untrust to-zone trust policy default-deny then log session-init1.6.4 测试表格测试号Test

42、-4设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备静态NAT测试测试目的验证设备的防火墙静态NAT功能测试配置见本节的设备配置部分测试步骤：1、 按配置步骤进行配置2、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/243、 在外网PC：1.1.70.7上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问NAT外网地址100.0.0.1，如正常则表示untrust zone的pc能通过NAT正常访问通过NAT对外提供服务的服务器。4、 在内网PC：10.1.10.5上分别运行ICM

43、P（ping）、TCP（http）、UDP（tftp）应用访问外网服务器地址1.1.70.7，如正常则表示trust zone的pc能通过NAT正常访问外网服务器，并且在外网服务器上能看到访问的源地址为：100.0.0.15、 检查命令：A、查看session连接：labSRX240H-1 show security flow sessionB、检查是否所有服务都正常允许或拒绝从内网访问外网：从外网访问内网：C、检查log信息：labSRX240H-1 show log rtlogdD、show结果及配置文件： 预期结果：1、 在静态NAT的情况下，内网PC：10.1.10.5上分别用ping

44、、http、TFTP访问外网PC：1.1.70.7，能正常访问，并且在1.1.70.7上看到源地址为NAT后的地址：100.0.0.12、 在静态NAT的情况下，外网PC：1.1.70.7上分别用ping、http、TFTP访问内网PC：10.1.10.5对外的NAT地址：100.0.0.1，能正常访问，并且在10.1.1.10.7上看到源地址为NAT后的地址：100.0.0.1测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.7 基于rule的目的NAT测试1.7.1 测试内容基于rule的目的NAT功能的要求是：对SRX内网侧的服务器主

45、机地址进行一对一NAT映射，即对于从SRX外网侧进入内网侧的数据流，对目的地址进行NAT；NAT地址池可以为1到多个，用于分别对应内网1到多个服务器。具体的测试需求：n 在SRX防火墙上对PC-1、PC-3的IP地址10.1.10.5、10.1.10.6进行地址转换，转换后的地址分别为100.0.0.1、100.0.0.2。n PC1、PC-3作为业务服务器端，PC2作为业务客户端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试n PC1、PC-3作为业务客户端，PC2作为业务服务器端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试1.7.2 测试拓扑图PC-1、310.1.10.5、6InternetDestination NAT1.1.70.5PC-2