防火墙测试验收方案.doc-淘文阁

资源描述

《防火墙测试验收方案.doc》由会员分享，可在线阅读，更多相关《防火墙测试验收方案.doc（20页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、-.-.可修编.防火墙测试方案-.-.可修编.一、引言防火墙是实现网络平安体系的重要设备，其目的是要在部、外部两个网络之间建立一个平安控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出部网络的效劳和访问的审计和控制。随着网上黑客活动的日益猖獗，越来越多的上网企业开场重视网络平安问题。特别是近两三年来，以防火墙为核心的平安产品需求市场迅速成长起来，瞬间出现了众多提供防火墙产品的厂家，光国就有几十家。各种防火墙品种充满市场，良莠不齐，有软件的防火墙，硬件的防火墙，也有软硬一体化的防火墙；有面向个人的防火墙，面向小企业的低档防火墙，也有中高档的防火墙，技术实现上有包过滤的防火墙、应用代

2、理的防火墙，也有状态检测的防火墙。由于防火墙实现方式灵活，种类多，而且往往要与复杂的网络环境整合在一起使用，因此，对防火墙进展测试评估是选购防火墙产品的一个重要环节。评估测试防火墙是一个十分复杂的工作。一般说来，防火墙的平安和性能是最重要的指标，用户接口管理和配置界面和审计追踪次之，然后才是功能上的扩展性。但是平安和性能之间似乎常常构成一对矛盾。在防火墙技术的开展方面，业界一直在致力于为用户提供平安性和性能都高的防火墙产品。沿着这一方向，防火墙产品经历了以软件实现为主的代理型防火墙，以硬件实现为主的包过滤防火墙，以及兼有包过滤型防火墙的高速性特点和代理性防火墙高平安性特点的状态检测防火墙。另外

3、，为了使灵活多变，难以掌握的防火墙平安技术能更有效地被广阔用户使用，直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用，同时，防火墙产品在与网络应用环境整合的过程中也在不断地集成和参加新的网络功能。因此，当前必须从平安性、性能、可管理性和辅助功能等方面综合进展评测，才能客观反映一个防火墙产品的素质。测试的背景和目的在防火墙产品市场上，产品一般分为高、中、低三档。考虑到，高档防火墙普遍是各公司最新或方案推出的产品，证券作为大型的平安产品使用者，使用的防火墙产品以中、高档为主，为了便于横向比拟各公司的产品，在本次测试中将统一以中档防火墙产品作为测评的对象。为了较全面地评估各公司的防火

4、墙产品，本次防火墙产品的测试分成以下几个局部：功能测试、平安防能力测试、性能测试和设备可靠性测试。参考资料GB/T 18020-1999 信息技术应用级防火墙平安技术要求GB/T 18019-1999 信息技术包过滤防火墙平安技术要求FWPD：Firewall Product Certification CriteriaVersion 3.0a测试工程测试工程-.-.可修编.一测试工程包过滤，NAT，地址绑定，本地访问控制，多播，TRUNK,代理路由,容过滤,报警,审计实时监控,攻击，双机热备,性能。二测试环境简单拓扑图10.10.11.1010.10.12.2010.10.11(2).110

5、.10.1.24010.10.3.1010.10.1.110.10.3.1192.168.3.30FW1FW110.10.2.110.10.3.2010.10.2.240192.168.1.30172.1.1.1192.168.1.10172.10.1.10FW2FW2172.10.2.1192.168.2.1FW3FW3172.10.1.1192.168.1.1172.10.1.20172.10.3.1 192.168.3.1192.168.1.20192.168.2.252192.168.3.10192.168.3.20172.10.3.10172.10.3.20192.168.2.251

6、172.10.2.254192.168.2.254192.168.2.253图 1SiSi-.-.可修编.管理器172.16.1.10192.168.1.10192.168.1.251172.16.1.20192.168.1.20192.168.1.11192.168.1.21图 2说明：在括号的 IP 地址，为测试单一防火墙功能时所用的 IP 地址。图 2 仅为测试 TRUNK,代理路由和非 IP 规那么时使用.三测试前软件环境的准备1.子网主机具有 Linux，windows 2000or 98 or NT两种环境。2.测试环境 Linux 主机配置，ftp，telnet 效劳，同时安装

7、nmap，_load，sendudp等测试工具；Windows 主机配置 ftp，telnet，iis，snmp 等效劳，同时安装 IE，Netscape等浏览器3.防火墙分区主机的网关都设为指向所连防火墙当前连接接口，ip 地址为当前网段的1 地址。例：当前主机所在网段为 192.168.1.0，那么它的网关为 192.168.1.1，即防火墙接入接口的 ip 地址。4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。5.在广域网中采用静态路由和动态路由rip 或 ospf两种。6.。四.功能说明及规那么设计。-.-.可修编.针对防火墙各项功能，分别加以说明。A.包过滤区间通信。1.

8、单一地址2.多地址规那么设计：a.方向：区 1区 2b.操作：允许拒绝c.协议：tcp，udp，icmp 和其它协议号的协议。d.审计：是否e.有效时间段B.地址绑定ip，mac 地址绑定。防止地址欺骗。a)单一地址绑定b)多地址绑定。规那么设计：a.方向：区 1区 2b.操作：允许或拒绝C 本地访问控制对管理主机的访问进展控制1 单一地址2.多地址规那么设计：a.操作：1.允许 ping，telnet 等。2.允许管理D NAT地址，端口的转换。私有 ip 转为公网 ip。1 一对一2.多对一3.多对多规那么设计：a.方向：区 1区 2.b.操作：拒绝或允许c.协议：tcp，udp，icmp

9、和其它协议号的协议。d.审计：是否E 多播解决一对多的通信。1.单一多播源，多接收端。2.多多播源，多接收端。G.TRUNK,代理路由复用链路,为防火墙单一区域的子网通信进展路由.H.报警利用,TRAP,蜂鸣等及时向管理员报告防火墙的信息.I.审计审计防火墙上的访问,及事件信息,防火墙的状态.J.实时监控实时检测防火墙的通讯情况,跟踪防火墙的运行状况.K 攻击防攻击。检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。L双机热备设备冗余。同一网络，两台防火墙，一台设为激活状态，另一台设为备份状态。当激活状态的防火墙 down 掉时，备份防火墙接收。通过测试用例来对具体的操作进展阐述。在所有的

10、规那么制定中考虑围取非，围的临界值，中间值情况,时间的控制等。A.包过滤-.-.可修编.测试工程测试工程包过滤包过滤测试日期测试日期测试容IP 过滤规那么对 ICMP 数据包的过滤效果测试环境1.路由模式2.Linux，windows。规那么指定1.192.168.1.10-100192.168.2.254ICMP 允许。到外192.168.2.254192.168.3.10ICMP 允许。外到 DMZ192.168.3.1-15192.168.1.10ICMP 允许。DMZ 到执行操作1.在 192.168.1.10 上 ping 192.168.2.254，在 192.168.2.254

11、上 ping 192.168.3.10，在192.168.3.10 上 ping 192.168.1.10。并反方向 ping。2.在 192.168.1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在192.168.3.10 上 telnet 192.168.1.10。并反方向 ftp，telnet。3.加载 ICMP 全通规那么。4.重复步骤 1测试结果步骤预期结果实测结果1.正向 ping 成功，反向 ping 不通，被制止。2.访问被制止，规那么不允许。3都可以相互 ping 通。备注测试工程测试工程包

12、过滤包过滤测试日期测试日期测试容IP 过滤规那么对 TCP 数据包的过滤效果测试环境1.路由模式2.Linux，windows。规那么指定1：192.168.1.10192.168.2.254telnet 允许。到外192.168.2.254192.168.3.10telnet 允许。外到 DMZ192.168.3.10192.168.1.10telnet 允许。DMZ 到-.-.可修编.执行操作1.在 192.168。1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在192.168.3.10 上 telnet

13、 192.168.1.10，并反向 telnet。2.在 192.168.1.10 用 nslookup 到 192.168.2.254 上进展名字解析或其它的 udp 效劳。3.加载 telnet 全通规那么，重复步骤 1.测试结果步骤预期结果实测结果1.正向成功，反向被制止2.访问被制止，没有允许 UDP 效劳。TCP 协议的放开，对 UDP 协议不发生影响。3.telnet 访问都成功。备注测试工程测试工程包过滤包过滤测试日期测试日期测试容IP 过滤规那么对 TCP 数据包的过滤效果，侧重于实时效果测试环境1.路由模式2.Linux，windows。规那么指定1.192.168.1.10

14、192.168.2.254telnet 允许。到外192.168.2.254192.168.3.10telnet 允许。外到 DMZ192.168.3.10192.168.1.10telnet 允许。DMZ 到生效时间：9:0010:00执行操作1.在 192.168。1.10 上 telnet 192.168.2.254，在 192.168.2.254 上 telnet 192.168.3.10，在192.168.3.10 上 telnet 192.168.1.10，并反向 telnet。2.保持上述 telnet 已建立的连接，并不断的 telnet 没有建立连接的。3.在 9:5910:

15、01 之间，查看 telnet 状态的反响。测试结果步骤预期结果实测结果1.正向 telnet 成功，反向被制止。3已建立的 telnet 连接被断开。备注测试工程测试工程包过滤包过滤测试日期测试日期测试容在 IP 包过滤中，由于 FTP 效劳的特殊性，所以下面几个用例主要针对 FTP 进展测试。这个用例主要用来测试 FTP 建立连接后，防火墙对 20 端口的特殊处理测试环境1.路由模式2.Linux，windows。-.-.可修编.规那么指定1.192.168.1.10192.168.2.254ftp 允许到外执行操作1.在 192.168.1.10 上 telnet 192.168.2.2

16、5420。2.在 192.168.1.10 上 ftp 192.168.2.254，进展大文件1G的数据传输。3.在 ftp 的同时，在 192.168.1.10 上 telnet 192.168.2.25420。4.passive 进展 ftp 文件的传输。5.在 192.168.1.10 上 telnet 192.168.2.25420测试结果步骤预期结果实测结果1,3,5访问被制止2,4访问成功。备注测试工程测试工程包过滤包过滤测试日期测试日期测试容IP 包过滤包括 ICMP、UDP、TCP 和非ICMP、UDP、TCP包的过滤，UDP 过滤行测试测试环境1.路由模式2.Linux，wi

17、ndows。规那么指定规那么 1：192.168.1.10192.168.2.254UDP 允许。192.168.2.253192.168.3.20UDP 允许。192.168.3.30192.168.1.30UDP 允许生效时间：9:0010:00。规那么 2：192.168.1.10192.168.2.254UDP 拒绝。执行操作1.在 192.168.1.10，192.168.2.253，192.168.3.30 上启动 UDP 的测试工具 Udp_Server，在 192.168.2.253，192.168.3.20，192.168.1.30 上启动 Udp_Client 来分

18、别连192.168.1.10,192.168.2.253,192.168.3.30 上的效劳程序。2.保持连接。查看在 10:00 时连接的状态。3.保持 Client 对 Server 的主动，不连续的连接去掉时间限制，重新加载规那么 1，在连接重新建立的同时，加载规那么 2。测试结果步骤预期结果实测结果1.连接成功2.连接被断开。3.连接建立后，马上又被断开。-.-.可修编.备注目的：测试 UDP 过滤的根本功能、在规那么有效时间上的实时性、规那么变化时对动态连接表的实时刷新性能等说明：对于 EIP 的测试，通过在包过滤中 IP 协议的设置过程中同步设置，用发包工具对其进展测试，例如：i

19、gmp，ospf 包等。B.地址绑定测试工程测试工程IPMACIPMAC 地址绑定地址绑定测试日期测试日期测试容测试 IPMAC 绑定的根本功能，以及在 MAC 地址匹配而 IP 地址不匹配和 IP 地址匹而MAC 地址不匹配得两种 IP 欺骗的情况下防火墙的处理能力测试环境1.路由模式2.Linux，windows。规那么指定1.192.168.1.10-100MAC 00.12.30.34.89.29 进展绑定执行操作1.192.168.1.10 上 telnet 192.168.2.254。2.修改 192.168.1.10 的 IP 地址为 192.168.1.11，telnet 19

20、2.168.2.254。3.在此根底上将 192.168.1.20 的地址改为 192.168.1.10。然后，telnet 192.168.2.254。测试结果步骤预期结果实测结果1访问成功2,3访问被制止，IP 或 MAC 不匹配。备注首先，加载 IP 全通过滤规那么测试工程测试工程IPMACIPMAC 地址绑定地址绑定测试日期测试日期测试容在制定 IPMAC 绑定规那么时，可以只绑定一个区域当中的某几个主机的地址，绝大多数主机可能不需要绑定，此时，我们还可以指定防火墙对那些没指定的主机的绑定过滤规那么。这个用例主要用来测试防火墙对绑定规那么之外的主机的访问的处理能力。测试环境1.路由模式

21、2.Linux，windows。规那么指定1 192.168.1.10MAC 00.12.30.34.89.29 进展绑定,绑定规那么之外的主机不允许通过-.-.可修编.执行操作1.在 192.168.1.10 上 telnet 192.168.2.254。2.在 192.168.1.20 上 telnet 192.168.2.2543.修改规那么，绑定之外的主机允许通过。4.在 192.168.1.20 上 telnet 192.168.2.254测试结果步骤预期结果实测结果1.访问成功2访问制止4.访问成功备注首先，加载 IP 全通过滤规那么D.NAT测试工程测试工程NATNAT 转换转换

22、测试日期测试日期测试容这个用例主要用来测试一对一的同时对多个方向上的转换功能测试环境1.路由模式。2.Linux,Windows规那么指定1.192.168.1.10192.168.2.100(in NAT out)2.192.168.1.10192.168.3.100(in NAT dmz)执行操作1.在 192.168.1.10 上 telnet192.168.2.2542.在 192.168.2.254 上 telnet 192.168.2.1003.在 192.168.2.254 上 telnet 192.168.1.104.在 192.168.1.10 上 telnet192.168

23、.3.105.在 192.168.3.10 上 telnet 192.168.3.100测试结果步骤预期结果实测结果1访问成功2访问成功3访问失败4访问成功5访问成功备注在访问成功的同时在对端机器上用 netstat 命令看是真实 IP 还是转换后的 IP 地址。-.-.可修编.测试工程测试工程NATNAT 转换转换测试日期测试日期测试容这个用例主要在于测试同时双向的 NAT 转换功能测试环境1.路由模式2.Linx,windows规那么指定1.192.168.1.10192.168.2.100(in NAT out)2.192.168.1.10192.168.3.100(in NAT dmz

24、)3.192.168.3.10192.168.1.100dmz NAT in4.192.168.3.10192.168.1.200dmz NAT out5.192.168.2.254192.168.1.200 out NAT in6.192.168.2.254192.168.3.200 out NAT dmz执行操作1.在 192.168.1.10 上 telnet 192.168.1.100，192.168.1.200，192.168.2.254,192.168.3.10。2.在 192.168.2.254 上 telnet 192.168.2.100,192.168.2.200,192.1

25、68.3.10,192.168.1.10。3.在 192.168.3.10 上 telnet 192.168.3.100,192.168.3.200,192.168.2.254,192.168.1.10。测试结果步骤预期结果实测结果1访问成功2访问成功3访问成功4访问成功备注效劳都开放，同时用 netstat 进展查看连接的 IP 地址。测试工程测试工程NATNAT 转换转换测试日期测试日期测试容测试多对一转换时的根本功能测试环境1.路由模式2.Linux，windows。规那么指定1.192.168.2.254192.168.1.1002.192.168.2.253192.168.1.100

26、3.以上不提供效劳转换。-.-.可修编.执行操作1.在 192.168.2.254，192.168.2.253 上 ping 192.168.1.102.在 192.168.2.253，192.168.2.253 上 telnet 192.168.1.10测试结果步骤预期结果实测结果1访问成功2访问成功备注首先，加载 IP 全通过滤规那么。测试工程测试工程NATNAT 转换转换测试日期测试日期测试容测试多对一转换时的效劳转换功能测试环境1.路由模式2.Linux，windows。规那么指定1.192.168.2.254192.168.1.100提供 telnet 效劳。2.192.168.2.

27、253-254192.168.1.100提供效劳。去除 254 地址。执行操作1.在 192.168.9.254，192.168.2.253 上 telnet 192.168.1.10。2.在 192.168.1.10 上 telnet 192.168.1.100，在 192.168.1.20 上：/192.168.1.1003.在 192.168.2.254 上 telnet 192.168.1.100：80。测试结果步骤预期结果实测结果1.访问成功2.访问成功。3.访问失败。备注首先，加载 IP 全通过滤规那么。测试工程测试工程NATNAT 转换转换测试日期测试日期测试容测试多对多转换时的

28、效劳转换功能测试环境1.路由模式2.Linux，windows。规那么指定规那么 1:192.168.2.254，192.168.2.253，192.168.2.252192.168.1.100，192.168.1.200规那么 2：192.168.2.254 23192.168.1.10023192.168.2.254 23192.168.1.200 2323-.-.可修编.执行操作1.加载规那么 1。2.在 192.168.2.254，192.168.2.253，192.168.2.253 上 telnet 192.168.1.10。3.在规那么 1 的根底上，加载规那么 2。4.在 19

29、2.168.1.10，192.168.1.20 上 telnet 192.168.1.100 23；telnet 192.168.1.200 2323测试结果步骤预期结果实测结果2，4访问成功备注首先，加载 IP 全通过滤规那么测试工程测试工程NATNAT 转换转换测试日期测试日期测试容测试多对多转换时的 FTP 效劳转换功能测试环境1.路由模式2.Linux，windows。规那么指定规那么 1:192.168.2.254，192.168.2.253，192.168.2.252192.168.1.100，192.168.1.200规那么 2：192.168.2.254192.168.1.10

30、021 号端口提供 ftp 效劳。192.168.2.252 192.168.1.2002121 号端口提供 ftp 效劳。执行操作1.加载规那么 1。2.在 192.168.2.254，192.168.2.253，192.168.2.253 上 telnet 192.168.1.10。3.在规那么 1 的根底上加载规那么 24.在 192.168.1.10，192.168.1.20 上 ftp 192.168.1.100，ftp 192.168.1.200 2121。测试结果步骤预期结果实测结果2,4访问应该能够成功备注首先，加载 IP 全通过滤规那么E多播。测试工程测试工程多播多播测试日期

31、测试日期测试容数据的转发分区方向的控制，组的参加。测试环境1.路由模式2.Linux，windows。-.-.可修编.规那么指定1.OUT224.1.1.1239.255.255.255 192.168.1.10GDA执行操作1.在 192.168.2.254 上，用 media player 建立一个多播站。播放 test.nsc 影音文件。2.在 192.168.1.10 上运行 mplayer 2/192.168.1.254/test.nsc。测试结果步骤预期结果实测结果2.正常播放。备注测试工程测试工程多播多播测试日期测试日期测试容分区方向的控制测试环境1.路由模式2.Linux，wi

32、ndows。规那么指定1.IN224.1.1.1239.255.255.255网区域执行操作1.在 10.10.3.10 上用 media player 建立多播站，播放影音文件 test.nsc。2.在 10.10.3.20 上运行 mplay2/10.10.3.10/test.nsc。观看影音文件 test.nsc。测试结果步骤预期结果实测结果2.访问成功，可以正常观看。备注测试工程测试工程多播多播测试日期测试日期测试容与下行流多播路由器的数据交换测试环境1.路由模式2.Linux，windows。规那么指定1.DMZ224.1.1.1239.255.255.255IN=GDA-.-.可修

33、编.执行操作1.在 10.10.3.10 上用 media player 建立多播站，播放影音文件 test.nsc。2.在 10.10.11.10 上运行 mplayer2/10.10.3.10/test.nsc，接收影音文件。3.在 192.168.2.254 上运行 mplayer2/10.10.3.10/test.nsc,影音文件.测试结果步骤预期结果实测结果2.访问成功，接收正常。3.不能成功.备注测试工程测试工程多播多播测试日期测试日期测试容多播树的嫁接多多播源，多接收端测试环境1.路由模式2.Linux，windows。规那么指定1.OUT224.1.1.1239.255.255

34、.255IN=GDA2.IN224.1.1.1239.255.255.255OUT=GDA执行操作1.在 192.168.2.254，192.168.1.10 上建立多播站。运行影音文件 test.nsc。2.在192.168.1.20，先后运行mplayer:2/1921.168.1.10/test.nsc，mplayer:/192.168.2.254/test.nsc。3.在192.168.3.10上运行mplayer：/192.168.1.10/test.nsc，mplayer：/192.168.2.254/test.nsc 影音文件。4.在 192.168.2.253 上运行 mp

35、layer：/192.168.1.10/test.nsc 影音文件。测试结果步骤预期结果实测结果2,3,4访问成功，正常播放。备注注:桥模式下,多播与之类似,防火墙透明,与路由情况配置一样,指定区域即可.不再赘述.FVPNG.TRUNK测试工程测试工程TRUNKTRUNK测试日期测试日期-.-.可修编.测试容跨越防火墙,完成同一 VLAN 的通信.测试环境1.桥模式2.Linux，windows。3.在两交换机上将192.168.1.10,192.168.1.11设为同一VLAN100.将192.168.1.20,192.168.1.21 设为同一 VLAN200.与防火墙

36、trunk 连接.类型 802.1q.规那么指定1.192.168.1.10 192.168.1.11 允许.协议:tcp,icmp.2.。192.168.1.20 192.168.1.21 拒绝协议.tcp 允许,icmp 拒绝.执行操作1.在 192.168.1.10 上 ping 192.168.1.11,telnet 192.168.1.112.在 192.168.1.20 上 telnet 192.168.1.21,ping 192.168.1.21测试结果步骤预期结果实测结果1访问全部成功。2Telnet 成功.ping 不成功.备注测试工程测试工程TRUNK,TRUNK,代理路由

37、代理路由测试日期测试日期测试容跨越防火墙,完成同一 VLAN 的通信.测试环境1.桥模式2.Linux，windows。3.将 192.168.1.20 与 192.168.1.21 改 IP 为 192.168.2.20,192.168.2.21.4.在两交换机上将192.168.1.10,192.168.1.11设为同一VLAN100.将192.168.2.20,192.168.2.21 设为同一 VLAN200.规那么指定1.192.168.1.11-192.168.2.10,192.168.2.11 协议:所有协议.2.192.168.1.10 192.168.1.1

38、1 允许.协议:tcp,icmp.3.192.168.1.10 192.168.2.21 拒绝执行操作1.将防火墙外网卡分别绑定两个 IP 地址 192.168.1.1 和 192.168.2.2.在 192.168.1.11 上 ping,telnet,ftp,192.168.2.10 和 192.168.2.11.3.在 192.168.1.10 上 ping telnet 192.168.1.114.在 192.168.1.10 上 ping telnet ftp 192.168.2.21.测试结果步骤预期结果实测结果1访问全部成功。2访问成功.3所有操作都拒绝.-.-.可修编.备注G.

39、容过滤测试工程测试工程容过滤容过滤测试日期测试日期测试容对 SMTP,FTP 等应用层进展过滤.测试环境1.路由,桥.2.Linux,Windows.规那么指定在包过滤中添加相应的过滤规那么,其中对容,主题,附件,命令,都进展过滤.在此仅举一例.其他不再赘述.1.172.10.1.20-172.10.2.254,:GET 命令制止.SMTP:主题病毒制止.FTP:USER制止.执行操作1.在 172.10.1.20 上 172.10.2.254.GET 页面制止.2.在 172.10.1.20 发 mail 到效劳器 172.10.2.254 的主题为病毒的.3.在 172.10.120 上

40、 ftp 172.10.2.254.user test测试结果步骤预期结果实测结果1,2,3访问都不成功。备注H.报警测试工程测试工程报警报警.测试日期测试日期测试容,trap,蜂鸣等.。测试环境1.路由模式,桥模式.2.Linux，windows。规那么指定设定相应的报警 mail.,trap 接收地址.执行操作1.在装有 OpenView 等可以接收 trap 信息的主机上完毕 trap.2.在任意一台主机上设置 mailXX 为报警 mailXX,接收报警 mail.3.当进展相应的报警操作,防火墙开场蜂鸣.测试结果步骤预期结果实测结果1,2,3可以完成.-.-.可修编.备注I 审计测试

41、工程测试工程审计审计.测试日期测试日期测试容对防火墙进展事件及访问日志的审计.。测试环境1.路由模式,桥模式.2.Linux，windows。规那么指定1 查看全部时间日志,事件类型,事件来源全部.2.设置访问日志,方向,原因,源 IP 地址不作为审计条件.目标 IP 地址:172.10.2.254协议全部.执行操作1.查看.事件日志.2.在 172.10.1.10 上进展 ping,telnet,扫描 172.10.2.254 等操作.测试结果步骤预期结果实测结果1查看到事件日志.2查看到相应的访问日志.备注在测试的过程中,在包过滤中选中,进展审计.就可以直接查看以前进展的操作信息.J.实时

42、监控.测试工程测试工程实施监控实施监控测试日期测试日期测试容进展相应的流量,连接等信息查看.测试环境1.路由模式,桥模式.2.Linux，windows。规那么指定1.数据包捕捉.172.10.1.10-172.10.2.254,协议:tcp,icmp,udp.执行操作1.直接在工具栏中查看相应的流量,连接等信息.2.在 172.10.1.10 上 ping,telnet,sendudp.到 172.10.2.254测试结果步骤预期结果实测结果1查看信息,准确.2.捕捉到数据包.正确分析.K攻击-.-.可修编.测试工程测试工程攻击攻击测试日期测试日期测试容防攻击测试。测试环境3.路由模式4.L

43、inux，windows。规那么指定执行操作4.flooding 攻击syn flooding，udp flooding，ping flooding，pingofdeath 等。5.nmap 扫描，是否误报非正常状态。6.Land 攻击。7.KillWin 攻击。测试结果步骤预期结果实测结果1.FW 正常工作，攻击包被丢弃。2.FW 正常工作，扫描包被丢弃。3FW 正常工作，攻击包被丢弃4.FW 工作正常，攻击包被丢弃。备注被攻击区域不受任何影响。K.双机热备。测试工程测试工程双机热备双机热备测试日期测试日期测试容激活状态的防火墙正常关机或异常掉电，看备份防火墙能否正常启用测试环境1.路由模式

44、2.Linux，windows。规那么指定1.设置 FW2,FW3 状态，Group ID：standby，FW2 ID：1，FW3 ID：2-.-.可修编.执行操作1在 FW2 上加载一些实际的访问控制规那么、NAT 规那么、IPMAC 绑定规那么、认证设置可以沿用在前述用例设定的规那么2在 192.1168.1.10 上 ping 172.10.3.254限制规那么：包过滤，NAT，IPMAC 绑定。在 FW 上截包判断生效的 FW。3让 ping 一直处于建立状态4使当前的 FW2，正常关闭或异常掉电5监视 ping，看在整个过程中，备份防火墙是否能正常启用，上述实时的反响。测试结果步骤预期结果实测结果5.已建立的连接断掉，约 3 秒钟后，备份防火墙启动，连接重新建立。备注1.FW2,FW3 的一样分区的接口设在同一个网段中。2.也可以用脚本写一个不连续的 telnet 连接来测试或其它协议。主要考虑 ping 不连续，效果一致，故用之。

展开阅读全文