防火墙测试专项方案.doc

防火墙测试方案 测试项目 重要测试项目（必测） NAT/PAT Site-to-Site IPSec/VPN Dynamic Remote-Access IPSec/VPN IPSec/VPNNAT穿透 Remote-Access PPTP VPN H.323穿透 ACL和会话数限制 Syslog、SNMP、远程管理 辅助测试项目（选测） 认证功能 P2P流量限制 测试一、NAT/PAT 拓扑图 测试规定 (如防火墙inside接口不够，则使用互换机连接内部三台pc并将内部网络合并为192.168.0.0/16) 1. 将192.168.1.1(pc1)静态翻译（地址翻译）为58.135.192.55 2. 将192.168.2.0-192.168.4.254动态翻译（端口翻译）为58.135.192.56 检查办法及检查项目 l PC1通过FTP方式从教诲网下载数据 l PC2和PC3使用LoadRunner分别模仿500台电脑浏览网页 l 查看设备负载和网络延迟 测试二、Site-to-Site IPSec/VPN 拓扑图 测试规定 1. ISAKMP配备 Authenticastion Pre-Share Encryption AES(256-bit) Diffie-Hellman Group 2 Hash Sha 2. IPSec配备 Transform-Set ah-sha-hmac esp-aes(256-bit) 3. 只对10.0.1.1和10.0.2.2之间互访流量进行IPSEC加密 检查办法及检查项目 l PC1和PC2能否互相PING通，在ASA5540上检测数据与否为加密数据。 l 修改PC2ip地址为10.0.2.22，使用pc1 PING pc2，在asa5540上检查数据与否为明文。 测试三、Dynamic Remote-Access IPSec/VPN 拓扑图 测试规定 1. ISAKMP配备 Authenticastion Pre-Share Encryption AES(256-bit) Diffie-Hellman Group 2 Hash Sha 2. IPSec配备 Transform-Set ah-sha-hmac esp-aes(256-bit) 3. 其她 地址池 192.168.2.0/24 DNS 1.1.1.1 4. 防火墙Outside外任何主机都可以与防火墙建立IPSec/VPN连接。 5. 只对PC1和PC2互访数据加密。 检查办法及检查项目 l PC2修改IP地址为10.0.2.22后与否能与防火墙建立IPSec/VPN连接。 l PC2能否获得对的DNS。 l PC1和PC2能否互相PING通。 l 检查防火墙Outside接口收到数据与否为明文。 测试四、IPSec/VPNNAT穿透 拓扑图 测试规定 1. ISAKMP配备 Authenticastion Pre-Share Encryption AES(256-bit) Diffie-Hellman Group 2 Hash Sha 2. IPSec配备 Transform-Set ah-sha-hmac esp-aes(256-bit) 3. Cisco ASA 5540上容许如下流量进入其内网 UDP 500 AH 50 ESP 51 UDP 4500 UDP 10000 TCP 10000 检查办法及检查项目 l 两测试设备与否可以正常建立IPSec/VPN连接 l PC1和PC2与否可以互相PING通 测试五、Remote-Access PPTP VPN 拓扑图 测试规定 认证方式 MSCHAP 加密方式 MPPE 地址池 192.168.2.0/24 DNS 1.1.1.1 检查办法及检查项目 l PC2使用Windows自带VPN与防火墙建立PPTP连接 l PC2能否获得对的DNS l PC2和PC1能否互相PING通 测试六、H.323穿透 拓扑图 测试规定 1. 测试防火墙配备静态地址翻译，将192.168.1.1(PC翻译为192.168.2.1 2. 测试防火墙配备端口翻译，将192.168.1.1(PC翻译为192.168.2.11 检查办法及检查项目 l 配备静态地址翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以对的建立连接，与否存在单向音问题。 l 配备端口翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以对的建立连接，与否存在单向音问题。 测试七、ACL和会话数限制 拓扑图 测试规定 1. 配备ACL只容许WWW流量到防火墙内部PC1。 2. 限制PC1会话数为5。 检查办法及检查项目 l PC1上建立WWW服务，提供一文献下载，PC2用多线程下载软件从PC1下载文献，检查连接数与否被限制在5个。 测试八、Syslog、SNMP、远程管理 检查办法及检查项目 l 与否支持syslog功能 l 与否支持snmp管理（通过snmp能否检测cpu运用率，连接数） l 与否支持远程管理，通过outside口登陆防火墙进行管理 测试九、认证功能 拓扑图 测试规定 1. 防火墙上配备认证功能 检查办法及检查项目 l 内部主机PC1积极发起HTTP祈求连接PC2时，防火墙通过WEB页面方式（其她方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2。 测试十、P2P流量限制 拓扑图 测试规定 1. 防火墙上配备P2P流量限制功能。 检查办法及检查项目 l PC1能否进行BitTorrent或E-Donkey下载 测试成果 重要测试项目（必测） NAT/PAT 与否支持NAT £ 与否支持PAT £ 设备负载 __________ 网络延迟 __________ Site-to-Site IPSec/VPN 与否支持Site-to-Site IPSec/VPN £ 与否支持只对需要数据进行IPSec/VPN加密 £ Dynamic Remote-Access IPSec/VPN 与否支持Remote-Access IPSec/VPN £ 与否支持Dynamic Remote-Access IPSec/VPN £ 能否获得对的DNS £ IPSec/VPNNAT穿透 与否支持IPSec/VPNNAT穿透 £ Remote-Access PPTP VPN 与否Remote-Access PPTP VPN £ 能否获得对的DNS £ H.323穿透 与否支持NAT下H.323穿透 £ 与否支持PAT下H.323穿透 £ ACL和会话数限制 与否支持ACL £ 与否支持会话数限制 £ Syslog、SNMP、远程管理 与否支持Syslog £ 与否支持SNMP £ 与否支持远程管理 £ 远程管理方式 WEB £ 命令行£ 其她 __________ 辅助测试项目（选测） 认证功能 与否支持认证功能 £ 认证方式 WEB £ 其她__________ P2P流量限制 与否支持P2P流量限制 £ 注释