Check-Point防火墙测试方案.doc

1、 Check Point 防火墙测试方案 version 1.0 Check Point安全软件科技有限公司 2016年2月 目录 1 测试方案概述 4 2 测试环境和拓扑结构 5 2.1 功能测试拓扑结构及环境说明 5 2.1.1 功能测试拓扑结构（除Site to Site VPN） 5 2.1.2 功能测试拓扑结构（Site to Site VPN） 6

2、2.2 性能测试拓扑结构结构及环境说明 7 2.2.1 网络/应用性能测试拓扑结构（除Site to Site VPN） 7 2.2.2 VPN性能测试拓扑结构(Site to Site VPN) 8 2.3 当前测试版本 8 2.4 关于Check Point 12200/4800的参数配置 9 3 功能测试 9 3.1 测试环境初始化 9 3.2 物理指标 10 3.3 访问控制 11 3.3.1 测试目标 11 3.3.2 测试用例 12 3.3.3 测试方法 12 3.4 NAT功能 13 3.4.1 测试目标 13 3.4.2 测试用例 14 3.4.3

3、 测试方法 14 3.5 用户认证 15 3.5.1 测试目标 15 3.5.2 测试用例 15 3.5.3 测试方法 16 3.6 应用控制/入侵防御功能测试 18 3.6.1 测试目标 18 3.6.2 测试用例 18 3.6.3 测试方法 19 3.7 防病毒功能测试 21 3.7.1 测试目标 21 3.7.2 测试用例 21 3.7.3 测试方法 21 3.8 WEB过滤功能测试 23 3.8.1 测试目标 23 3.8.2 测试用例 23 3.8.3 测试方法 23 3.9 Message Security功能测试 24 3.9.1 测试目标 2

4、4 3.9.2 测试用例 24 3.9.3 测试方法 24 3.10 Site to Site VPN 25 3.10.1 测试目标 25 3.10.2 测试用例 25 3.10.3 测试方法 25 3.11 Remote Access VPN 27 3.11.1 测试目标 27 3.11.2 测试用例 27 3.11.3 测试方法 28 3.12 SSL VPN 29 3.12.1 测试目标 29 3.12.2 测试用例 29 3.12.3 测试方法 29 3.13 Cluster功能测试 30 3.13.1 测试目标 30 3.13.2 测试用例 30

5、3.13.3 测试方法 31 3.14 权限管理及Management HA 32 3.14.1 测试目标 32 3.14.2 测试用例 32 3.14.3 测试方法 32 3.15 设备状态监控 33 3.15.1 测试目标 33 3.15.2 测试用例 33 3.15.3 测试方法 34 3.16 日志管理 35 3.16.1 测试目标 35 3.16.2 测试用例 35 3.16.3 测试方法 36 3.17 报表管理 37 3.17.1 测试目标 37 3.17.2 测试用例 37 3.17.3 测试方法 37 3.18 备份恢复 38 3.18.1

6、 测试目标 38 3.18.2 测试用例 38 3.18.3 测试方法 38 4 性能测试 39 1 测试方案概述 本方案用于测试Check Point 防火墙。测试方案主要分为两个部分：功能测试和性能测试。 n 功能测试部分用于测试和验证Check Point防火墙可实现的功能，主要包括： ü 访问控制功能 ü NAT功能 ü 用户认证功能 ü VPN功能(S2S,C2S) ü SSL VPN功能 ü IPS功能 ü 网络防病毒功能 ü WEB过滤功能 ü Messages Security功能 ü Cluster功能（HA/AA） ü 权限

7、管理功能 ü 日志管理功能 ü 监控功能 ü 报表功能； ü 备份和恢复； n 性能测试部分用于测试Check Point系列防火墙/VPN/应用层安全的性能指标，测试指标主要包括： ü UDP数据包网络吞吐量 ü Blend Traffic数据包网络吞吐量（和各模块相关） ü 最大并发连接数 ü 每秒新建连接数 由于性能测试部分与测试设备密切相关，因此，在测试方案设计时，我们将功能测试方案和性能测试方案独立设计；以便于在没有性能测试的环境下，仍然可以实现全面的功能测试； 2 测试环境和拓扑结构 2.1 功能测试拓扑结构及环境说明 2.1.1 功能测试拓扑结构（除

8、Site to Site VPN） 测试设备 l DUT（Device Under Test），Check Point 4800/12200 l 交换机，划分为两个VLAN，分别连接DUT的内端口和外端口； l PC1，推荐为Windows 2003 Server，开启FTP/WEB服务，如果需要测试AD集成，证书验证以及邮件安全等功能，需要开启SMTP/POP3, AD,CA,DNS功能； l PC2，推荐为Windows XP，开启WEB功能； l PC3（可选），推荐Windows XP； l Interne接入（可选），如果需要测试WEB过滤，Messages S

9、ecurity等功能，则建议配置Internet接入，以模拟真实的环境； 补充说明 l 该测试拓扑可用于除Site to Site VPN以外的功能测试。 l PC1/PC2/PC3硬件推荐配置： CPU 3.0 G/内存1G/硬盘 40G/百兆网口1个 2.1.2 功能测试拓扑结构（Site to Site VPN） 测试设备 l DUT（Device Under Test），Check Point 12200/4800 l VPN PEER，配合DUT进行S2S VPN 测试的Check Point 12200/4800设备 l PC1，推荐为Windows 200

10、3 Server，开启FTP/WEB服务； l PC2，推荐为Windows XP； 补充说明 l 该测试拓扑用于Site to Site VPN的功能测试。 l PC1/PC2/PC3硬件推荐配置： CPU 3.0 G/内存1G/硬盘 40G/百兆网口1个 l 如果用户购买了Spirent ThreatEX ，也可以采用该设备来进行IPS的功能测试 2.2 性能测试拓扑结构结构及环境说明 2.2.1 网络/应用性能测试拓扑结构（除Site to Site VPN） 上述拓扑结构为双端口DUT性能测试拓扑，如果需要测试多端口性能（如4端口），则需要另外配置一

11、套SmartBit/Avanlache/Reflector测试设备，进行相应端口的测试； 在本拓扑中，Check Point 12200/4800设备采用了分布式的部署方式（即SmartCenter管理服务器和Gateway模块为两台不同的CKP设备）。 测试设备 l DUT（Device Under Test），Check Point 12200/4800 l Spirent Avalanche/Reflector l Spirent SmartBit 2.2.2 VPN性能测试拓扑结构(Site to Site VPN) 上述拓扑结构为Site t

12、o Site VPN测试拓扑结构。需要说明的是，为了保证DUT设备VPN性能测试的准确性，VPN PEER设备的性能必须要高于DUT设备（如果条件许可，Check Point 建议在VPN PEER对端配置VPN加速卡或者采用高于DUT的型号）； 在本拓扑中，Check Point 12200/4800设备采用了分布式的部署方式（即SmartCenter管理服务器和Gateway模块安装在不同的CKP设备上）。 测试设备 l DUT（Device Under Test），Check Point 12200/4800 l Spirent Avalanche/Reflector l Sp

13、irent SmartBit 2.3 当前测试版本 l 当前测试软件版本为Check Point R77.30 版本； l 当前测试硬件平台为Check Point 12200/4800系列硬件平台； 2.4 关于Check Point 12200/4800的参数配置 l Check Point 12200/4800所有模块参数采用缺省配置。 l 本文将进行15个模块的功能测试，建议在进行每个模块的测试前，把12200/4800设备作一次出厂配置恢复。

14、3 功能测试 3.1 测试环境初始化 测试环境初始化步骤如下： l 了解Check Point的基本原理和相应功能模块（参考“Check Point 12200/4800 产品配置说明” Page2~16）； l 按照2.2.1节拓扑图，连接各测试设备； l 为PC1/PC2/PC3配置相应的IP地址和应用服务； l 初始化12200/4800设备，管理模式选择为Local Management，配置相应端口IP地址及相关参数（参考“Check Point 12200/4800 产品配置说明” Page17~29）； l 定义网络对象，通过SmartDashBoard，定义122

15、00/4800设备自身属性（在初始功能中，建议只激活防火墙和VPN功能），定义PC1,PC2,PC3；（参考“Check Point 12200/4800 产品配置说明” Page30~48） l 定义一条缺省策略，“Any Source”“Any Destination”“Any Service”“Accept”“Log”； l 通过ping/ftp/web应用，测试该测试环境的网络连通性，如果测试成功，进入后续测试环节； 3.2 物理指标及加电测试 物理指标 测试值（理论值） 长/宽/高 设备重量 标配置端口数

16、量 可扩展端口数量 可支持VLAN数量 标配电源数量 可扩展电源数量 功耗/输出功率 运行环境（温度/湿度） 其他补充指标 设备电源状态、风扇状态、设备温度等硬件参数检测： 检测步骤： 在Check Point SmartView Monitor中的System Information里的Hardware sensors查看。 序号 检测内容 设备SN 状态 1 状态灯 实例： 部分物理指标无法进行测试，需要由厂商提供测试值及相关证明文档。

17、 3.3 访问控制 3.3.1 测试目标 通过该测试，以了解Check Point 12200/4800设备的防火墙引擎网络访问控制能力的精细粒度。 3.3.2 测试用例 测试内容 源IP 目标IP 服务 动作 时间 测试结果 R31 基于源IP PC2 Any HTTP/FTP/PING Accept/Drop ALL R32 基于目标IP Any PC1 HTTP/FTP/PING Accept/Drop ALL R33 基于协议 PC2 PC1 HTTP/FTP/P

18、ING Accept/Drop ALL R34 基于时间 PC2 PC1 HTTP/FTP/PING Accept 时间对象 3.3.3 测试方法 在进行该测试以前，只开启防火墙引擎，关闭所有其他功能模块（如：VPN、内容过滤等） R31测试步骤 l 打开SmartDashBoard，确定所有网络对象已经定义完成； l 定义新的Policy Package，单击菜单File / New / New Policy Package Name ，定义为“R31”/选择“Security and Address Translation”； l 在 Security

19、 Rule栏中，按照测试项R31添加一条访问控制规则，“动作”选择为“Accept”； l Install Policy； l 从PC2发起到PC1的FTP/HTTP/PING连接，查看应用是否正常； l 在 Security Rule栏中，按照测试项R1添加一条访问控制规则，“动作”选择为“Drop”； l Install Policy； l 从PC2发起到PC1的FTP/HTTP/PING连接，查看应用是否正常； R32,R33,R34的测试步骤和R1测试步骤类似，本文不再赘述； 补充说明 ü 如果测试结果和理论结果不符合，请查看防火墙全局策略是否和测试策略有冲突，

20、单击菜单“Policy / Global Proerties/ Firewall” 查看隐含策略的配置） ü “时间对象”定义方法菜单Manage/Time/New/Time, 然后，根据需求，定义时间对象 3.4 NAT功能 3.4.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的防火墙引擎的NAT实现能力，包括：动态NAT，静态NAT和端口NAT功能。 3.4.2 测试用例 测试内容 测试要求 测试结果 R41 动态NAT 把PC

21、2动态NAT为防火墙外端口地址 R42 静态NAT 把PC2静态NAT为192.168.1.2 R43 端口NAT 把PC2的80端口NAT为防火墙外端口80 3.4.3 测试方法 在进行该测试以前，只开启防火墙引擎，关闭所有其他功能模块（如：VPN、内容过滤等） R41测试步骤： l 清除PC2的缺省路由，或者改动该缺省路由指向192.168.1.254; l 打开SmartDashboard，清除现有策略（或者重建一个Policy Package）; l 定义一条缺省策略，“Any Source”“Any Destination”“Amy Servi

22、ce”“Accept”“Log”； l 在“网络对象”栏中，选择PC2, 鼠标右键/Edit/NAT/选择“Add Automatic NAT rules”/选择“Hide behind Gateway”；（参考“Check Point 12200/4800 产品配置说明” Page 67）； l Install Policy； l 从PC2发起到PC1的HTTP/FTP/PING 测试，查看应用是否正常； R42和R43的测试步骤和R41测试步骤类似。（NAT配置，请参考“Check Point 12200/4800 产品配置说明” Page 66~69）；

23、 3.5 用户认证 3.5.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的防火墙引擎基于认证的网络访问控制能力。 Check Point 12200/4800设备具有业界最丰富的基于认证的网络访问控制功能。部分认证功能的配置和实现已经超出本测试文档的描述范围，对于该部分的具体配置方法，还需要参考Check Point Firewall and SmartDefense Administrator Guide或者请求厂商认证工程师支持。 3.5.2 测试用例 测试内容 源IP 目标IP 服务 测试结果 R51 User 认证 U

24、ser@PC2 Any HTTP/TELNET/PING R52 Client 认证 User@PC2 Any HTTP/TELNET/PING R53 Session 认证 User@PC2 Any HTTP/TELNET/PING R54 Microsoft AD 用户认证集成 User@PC2 Any HTTP/TELNET/PING R55 Radius 用户认证集成 User@PC2 Any HTTP/TELNET/PING R56 Microsoft AD 用户SSO User@PC2 Any HTTP

25、/TELNET/PING 注： n Microsoft AD集成和Radius认证集成，将以Client认证作为验证； n Check Point具有业界最为强大的认证功能，可以针对每个connection，session，IP进行验证； n Check Point 支持广泛的外部数据库，可以和广泛的LDAP， Microsoft AD，Radius等外部用户数据库集成； n Check Point可以和Microsoft AD结合，实现SSO (Single Sign ON)，当用户登录Microsft AD 域后，就将具有访问Internet的权限，防火墙不再需要客户端再次输

26、入用户名/密码。 SSO需要购买User Authority 模块，该模块不是12200/4800的标准配置模块； 鉴于认证测试较为繁复，考虑到测试周期，一般建议进行两种认证测试，即： u R52 ，Client 认证的Partial 认证模式； u R54 ，Microsoft AD用户认证集成； 3.5.3 测试方法 R52测试步骤： l 恢复PC2的缺省路由，或者改动该缺省路由指向192.168.1.1; l 打开SmartDashboard，清除现有策略（或者重建一个Policy Package）; l 建立内部用户数据库；（参考“Check Point 122

27、00/4800 产品配置说明” Page 75）；假设定义的用户名为test1，用户组名为group1； l 添加一条新规则rule1，允许PC2访问防火墙的认证端口TCP 900/259; 规则为“Any Source”“Gateway”“TCP900/259”“Accept”“Log”； l 添加一条新规则rule2（rule2位于rule1之下），在“source”定义为“Group1@Any”。方法，“鼠标右键”单击该规则的“source栏”/ 选择“Add User Access”/选择Group1； l 在新规则的“service栏”中，选择需要认证的服务，如“http/ft

28、p/telnet/ping”等； l 在新规则的“Action栏”中，“鼠标右键”单击该规则的“Action栏”/ 选择“Client Auth”；；；“鼠标右键”单击”Cient Auth”/选择“Edit Properties”/选择”Partially Automotically Auth”；；；在同一界面中,选择“Limits”标签/配置”“Authorization Timeout”和“Number Of Session Allowed”。配置好的规则类似如下： l Install Policy； l 从PC2发起到PC1的HTTP连接，查看是否跳出认证界面框，测试认证是否

29、成功； l PC2认证成功后，发起FTP/TELNET/PING等连接，查看是否应用是否正常使用； R54测试步骤： R54测试步骤和R52类似唯一不同的是，R52采用了Check Point内部数据库作认证，而R54将采用外部数据库（Microsoft AD）作认证；此时，Check Point把Microsoft AD作为一个外部LDAP服务器来处理； 以下，将描述Check Point 12200/4800（SmartCenter NGX R65M）和Microsoft AD（Windows2000/2003）的应用集成。 n 确定12200/4800和AD Server通

30、信正常，本例中，AD Server 为PC1(192.168.1.100/24)； n 在SmartDashboard中定义HOST ,名字ADSERVER1, IP地址 192.168.1.100；（参考“Check Point 12200/4800 产品配置说明” Page 38）； n 菜单“Manage”/ “Servers and OPSEC Applications”/ “New”/ “LDAP Account Unit”/在该栏目中，作如下定义： u “General” 标签，在“Name”栏输入名字，如：”LDAPserver1”， 选中“User Managemen

31、t”， 在“Profile”栏选择“Microsoft AD”； u “Server”标签， 单击“Add”，弹出窗口/ 输入信息：HOST 选择 ADSERVER1, PORT 389, LOGIN输入AD服务器的administrator DN, PASSWORD 输入密码； u “Object Managemnet”，单击“Fetch Branch”， 确定12200/4800能够获取AD服务器的相应Brach； n 菜单“Manage”/ “Users and Administrators” / “ New”/ LDAP Group/ 在“Name”栏输入LDAP 组名字，在Ac

32、count 栏选择刚才定义的Account Unit（即，LDAPserver1）；完成LDAP 组定义； n 后续操作，和R52测试方式相同； 3.6 应用控制/入侵防御功能测试 3.6.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的应用智能引擎和WEB智能引擎的应用程序控制能力和入侵防御能力。 Check Point 12200/4800具有12200/4800产品业界最全面的入侵检测性能和功能。越是全面的测试工具，将能够更加体现Check Point 12200/4800强大的防御能力。因此，如果测

33、试环境允许，应该尽量采用专业的测试工具（如：Spirent ThreatEx，Karalon Traffic IQ，ISS Internet Scanner等） 3.6.2 测试用例 测试方法 测试结果 R61, P2P/IM应用控制 BT 在PC2启用BT，查看SmartDefense是否阻止该应用 eMule 在PC2启用eMule，查看SmartDefense是否阻止该应用 MSN 在PC2启用MSN，查看SmartDefense是否阻止该应用 QQ 在PC2启用QQ，查看SmartDefense是否阻止该应用 Skype 在PC2启

34、用Skype，查看SmartDefense是否阻止该应用 R62, 入侵防御测试 扫描类攻击 DOS类攻击 FTP应用攻击 MAIL应用攻击 DNS应用攻击 VOIP应用攻击 SNMP应用攻击 MS CIFS应用攻击 WEB应用攻击 协议符合性保护 欺骗攻击保护 其他攻击类型 R63, SmartDefense规则库升级 规则库升级 测试规则库升级过程是否造成网络连接中端 3.6.3 测试方法 攻击测试和测试环境、测试环境密切相关，可根据应用环境选择相

35、应的攻击工具。 ü 如果用户购买了Spirent ThreatEx设备，可以通过该设备来进行测试； ü 也可以采用Check Point也提供了IPS的测试工具，进行IPS功能的测试； R61测试步骤： n 清空原有安全规则（或重建Policy Package）； n 配置Security Rule为“Any Source”“Any Destination”“Amy Service”“Accept”“Log”； n 在SmartDashboard/ SmartDefense/ Application Intelligence/ Peer to Peer (Instant Me

36、ssengers)，激活相关控制选项； n Install Policy n 在PC2发起IM和P2P应用，测试12200/4800对这些应用的拦截效果； R62测试步骤： n 清空原有安全规则（或重建Policy Package）； n 配置Security Rule为“Any Source”“Any Destination”“Amy Service”“Accept”“Log”； n 启用SmartDefense所有检测项； n Install Policy n 进行攻击测试； n 统计测试结果； R63 测试步骤： n 基于R62的规则库； n SmartD

37、ashboard/SmartDefense/Download Updates 选择Online Update或者Manual Update n 在升级过程开始后，进行R62的模拟攻击测试，确认IPS引擎正常工作； 3.7 防病毒功能测试 3.7.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的网络防病毒引擎对病毒的检测能力。 3.7.2 测试用例 测试内容 测试方法 测试结果 R71 基于IP的检查策略 基于IP地址的防病毒检查策略

38、 R72 基于数据流向的策略 基于数据流（如：outgoing/incoming）的防病毒检查策略 R73 病毒检测白名单 通过Exception定义不需要检测的客户端 R74 HTTP病毒检测1 检测通过HTTP协议传输的病毒（非压缩文件） HTTP病毒检测2 检测通过HTTP协议传输的病毒（压缩文件） R75 邮件病毒检测1 检测通过邮件传输的病毒（非压缩文件） 邮件病毒检测2 检测通过邮件传输的病毒（压缩文件） R76 FTP病毒检测1 检测通过FTP协议传输的病毒（非压缩文件） FTP病毒检测2 检测通过FTP协议传

39、输的病毒（压缩文件） R77 文件类型过滤1 针对特定文件类型的过滤（不改文件扩展名） 文件类型过滤2 针对特定文件类型的过滤（修改文件扩展名） R78 附件大小控制 针对附件大小进行控制 R79 报警信息定制 定制报警信息 R70 病毒库升级1 测试病毒库升级方法（自动），确认升级过程中，防病毒功能是否停止工作 病毒库升级2 测试病毒库升级方法（手动），确认升级过程中，防病毒功能是否停止工作 3.7.3 测试方法 防病毒功能测试方法比较简单，本文不再赘述。测试前准备如下： n 为了避免干扰，在测试防病毒功能时，关闭webfil

40、ter和Message Security功能； n 清空原有安全规则（或重建Policy Package）； n 配置Security Rule为“Any Source”“Any Destination”“Amy Service”“Accept”“Log”； n Install Policy n 从PC2发起网络连接，进行相关功能测试； 补充说明 另外，有几点需要注意： n 测试样本文件为eicar，eicar下载地址为：http://www.eicar.org/anti_virus_test_file.htm n R77测试中，可以手动改变文件扩展名，看12200/480

41、0能否过滤该文件（12200/4800根据文件特征码而不是文件扩展名识别文件类型，因此，是可以过滤更改扩展名后的文件）； n R70测试中，需要注意防病毒升级过程，是否会造成网络连接中端 n 如果需要测试实际的病毒样本，请注意一定要在封闭环境中进行测试，以避免造成病毒在企业网的扩散（实际病毒样本的采集由客户实施，Check Point公司原则上不提供实际病毒样本） 3.8 WEB过滤功能测试 3.8.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的WEB过滤引擎的安全检测能力。 3

42、8.2 测试用例 测试项目 源地址 测试结果 基于内置数据库 黑客类，测试访问黑客网站是否被过滤 成人类，测试访问成人类网站是否被过滤 Web邮件，测试访问WEB邮件是否被过滤 基于URL/IP白名单 测试URL白名单 基于URL/IP黑名单 测试URL黑名单 基于主机白名单 测试主机白名单（白名单主机将不受URL过滤控制） 报警信息定制 定制报警信息 规则库升级 （手动/自动） 规则库升级过程中，是否造成网络连接中端 3.8.3 测试方法 防病毒功能测试方法比较简单，本文不再赘述。测试前准备如下 n 为了避免干扰，在

43、测试WEB过滤功能时，关闭webfilter和AntiVirus功能； n 清空原有安全规则（或重建Policy Package）； n 配置Security Rule为“Any Source”“Any Destination”“Amy Service”“Accept”“Log”； n Install Policy n 从PC2发起网络连接，进行相关功能测试； 3.9 Message Security功能测试 3.9.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的邮件安全防护能力。 3.9.2 测试用例 测试项目 测试

44、方法 测试结果 R91 基于IP的策略 R92 基于方向的策略 R93 Block List 检测 发送者黑名单 基于域黑名单 发送者白名单 域白名单 基于IP的白名单 R94 Content Based 检测 R95 IP Reputation检测 功能演示，无法测试 R96 Mail Anti-Virus 3.9.3 测试方法 邮件安全功能测试方法比较简单，本文不再赘述。测试前准备如下 n 为了避免干扰，在测试油价安全功能时，关闭webfilter和Antivirus功能

45、 n 清空原有安全规则（或重建Policy Package）； n 配置Security Rule为“Any Source”“Any Destination”“Amy Service”“Accept”“Log”； n 从PC2发起网络连接，进行相关功能测试； 补充说明 ü 如果测试环境中没有SMTP服务器，则主要测试的指标只能针对POP3和IMAP进行，而无法测试基于SMTP的检测（因为目前绝大部分public mail服务器都配置了anti-spam功能） 3.10 Site to Site VPN 3.10.1 测试目标 通过该测试，以评估Check Point

46、12200/4800设备的S2S VPN功能。 3.10.2 测试用例 测试内容 测试方法 测试结果 R101 VPN拓扑 支持的拓扑结构（Start-Hub，Mesh） R102 VPN配置 测试基于Community的VPN配置功能 R103 IKE密钥管理 测试基于内置数字证书的密钥管理 测试基于第三方CA数字证书的密钥管理（如：Micorsoft CA） 测试Preshare密钥管理 R104 加密算法 IKE & IPSEC 配置算法为3DES/MD5 IKE & IPSEC 配置算法为AES256/SHA1 IKE

47、 配置为3DES/MD5， IPSEC配置为NULL/MD5 R105 永久隧道 Permanent Tunnel Community 内所有隧道为 Permanent Tunnel 指定Gateway上隧道为 Permanent Tunnel 指定 Tunnel为Permanent Tunnel R106 隧道管理 Tunnel Share 隧道共享Per Host 模式 隧道共享Per Subnet 模式 隧道共享Per Gateway模式 R107 链路选择 Link Selection 在多出口环境下，动态选择VPN出口链

48、路 3.10.3 测试方法 测试准备 l 按照2.1.2 拓扑图建立测试环境，进行VPN的功能测试。 l Site to Site VPN配置方法已超出本测试方案描述范围，请参考Check Point “Firewall and SmartDefense Administrator Guide”文档 l 由于环境限制，R107可能无法测试 补充说明 ü Permanet Tunnel 和 Tunnel Share的方法 SmartDashboard/VPN/双击Community/Tunnel Management ü Permanet Tunnel 和 Tunnel

49、Share的测试结果，可以通过SmartView Monitor/Tunnels 进行确认； 3.11 Remote Access VPN 3.11.1 测试目标 通过该测试，以评估Check Point 12200/4800设备的Remote Access VPN功能。 3.11.2 测试用例 测试项目 测试内容 测试结果 R111 TCP通信 建立Remote Access VPN，测试通信 UDP通信 建立Remote Access VPN，测试通信 ICM

50、P通信 建立Remote Access VPN，测试通信 R112 SDL登录域 测试Secure Domain Login SecureClient先建立VPN，再登陆AD域 R113 Office 模式 根据用户名分配IP地址，IP和User绑定 测试通过IP POOL进行地址分配 测试通过DHCP 进行地址分配 R114 Office 模式 Split DNS功能 手工定义DNS服务器，实现SPLIT DNS 通过DHCP 分配DNS服务器，实现SPLIT DNS R114 Visitor 模式 测试对Remote Acce