SRX防火墙产品测试内容.docx

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第97页 共97页目录1SRX防火墙产品测试内容41.1设备清单及版本41.2SRX功能测试41.3设备可管理测试61.3.1测试内容61.3.2测试拓扑图61.3.3设备配置61.3.4测试表格71.4路由模式测试91.4.1测试内容91.4.2测试拓扑图91.4.3设备配置91.4.4测试表格101.5策略测试131.5.1测试内容131.5.2测试拓扑图131.5.3设备配置141.5.4测试表格151.6静态NAT测试171.6.1测试内容171.6.2测试拓扑图171.6.3设备配置171.6.4测试表格191.7基于

2、rule的目的NAT测试231.7.1测试内容231.7.2测试拓扑图231.7.3设备配置231.7.4测试表格251.8基于接口的源NAT测试281.8.1测试内容281.8.2测试拓扑图281.8.3设备配置281.8.4测试表格291.9基于Rule的源NAT测试-1311.9.1测试内容311.9.2测试拓扑图311.9.3设备配置311.9.4测试表格321.10基于Rule的源NAT测试-2351.10.1测试内容351.10.2测试拓扑图351.10.3设备配置351.10.4测试表格361.11HA工作方式测试391.11.1测试内容391.11.2测试拓扑图401.11.3

3、设备配置401.11.4测试表格421.12基于策略的长连接测试441.12.1测试内容441.12.2测试拓扑图451.12.3设备配置451.12.4测试表格461.13SRX防火墙性能测试491.13.1测试拓扑图491.13.2普通数据量压力测试491.13.3大数据量压力测试491.13.4长连接下的普通数据量压力测试501.13.5设备配置501.13.6测试表格511.14SRX防火墙网管测试541.14.1SNMP管理测试541.14.2NTP测试571.14.3Syslog测试601.15SRX防火墙VPN测试631.15.1Ipsec VPN remote client测试

4、631.15.2Ipsec VPN 点对点Policy base VPN连接测试641.15.3Ipsec VPN 点对点route base VPN连接测试731.16OSPF路由协议功能测试811.16.1测试内容811.16.2测试拓扑图811.16.3设备配置821.16.4测试表格821.17VRRP协议功能测试861.17.1测试内容861.17.2测试拓扑图861.17.3设备配置871.17.4测试表格881.18DHCP功能测试901.18.1测试内容901.18.2测试拓扑图901.18.3设备配置911.18.4测试表格911 SRX防火墙产品测试内容1.1 设备清单及版

5、本设备清单设备版本文档版本备注SRX 240H 两台9.6 R1V1.0测试PC 两台XP SP2测试软件：NetIQ5.4TFTP Server/clientTFTPD 32Web Server Easy Web Serverftp serverFileZilla ServerSyslog serverTFTPD 32 1.2 SRX功能测试SRX防火墙的功能测试包括以下几个方面：n 路由模式n 策略（ICMP、TCP、UDP）n 基于策略的长连接n HA工作方式n 主备切换n Session同步n 网管功能测试n SNMP测试n NTP测试n Syslog测试n VPN功能测试n Ipse

6、c VPN remote client测试n Ipsec VPN点对点测试n 路由功能测试n OSPF功能测试1.3 设备可管理测试1.3.1 测试内容设备可管理测试是测试防火墙能否支持常用的管理协议，包括telnet、ssh、http和https；基本的测试方法为在防火墙配置相应的管理服务及管理用户，并在相应的接口或zone上配置是否可以接受管理，通过PC分别用telnet、ssh、http和https方式登录防火墙，从而验证防火墙的可管理功能。1.3.2 测试拓扑图1.3.3 设备配置1、 配置管理用户：set system login user lab uid 2000set syste

7、m login user lab class super-userset system login user lab authentication plain-text-password2、 配置系统管理服务：（ssh、telnet、http、https）set system services sshset system services telnetset system services web-management http interface ge-0/0/0.0（可以进行的管理接口）set system services web-management http interface al

8、lset system services web-management https system-generated-certificateset system services web-management https interface all3、 配置接口地址set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/244、 配置zone或接口是否可以管理防火墙设备：A、配置zone trust可以管理

9、防火墙：set security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust interfaces ge-0/0/0.0B、配置zone untrust可以管理防火墙，但其中的ge-0/0/8.0只能用telnet和http管理，其他的不允许：set security zones security-zone untrust host-inbound-traffic system-services allset security z

10、ones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services httpsset security zones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services ssh1.3.4 测试表格测试号Test-1设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备可管理测试测试目的验证设备可管理功能测试配置见本节的设备配置部分测试步骤：1、 按配

11、置步骤进行配置1、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/242、 在PC：10.1.10.5上分别用ssh、telnet、http、https方式登录防火墙的接口地址：10.1.10.1，并以用户lab登录，如正常则表示防火墙的可管理功能正常3、 在PC：1.1.70.7上分别用ssh、telnet、http、https方式登录防火墙的接口地址：1.1.70.5，并以用户lab登录，由于该接口在untrust zone，并且该接口只允许ssh及https管理，所以该用户只能已telnet和http来管理设备，用telnet和http则不允许

12、访问防火墙。4、 检查命令：检查当前的登录用户：labSRX240H-1 show system users 11:50AM up 2 days, 23 mins, 2 users, load averages: 4.19, 3.75, 3.52USER TTY FROM LOGIN IDLE WHATlab p0 10.1.10.5 10:40AM 1:04 -cli (cli) lab p1 10.1.10.5 11:45AM - -cli (cli) lab jweb2 10.1.10.5 11:47AM 2lab jweb1 10.1.10.5 11:50AM -预期结果：1、 PC：

13、10.1.10.5上分别用ssh、telnet、http、https方式并以lab用户能正常登录防火墙的接口地址：10.1.10.1，并正常进行配置管理2、 在PC：1.1.70.7上只能用ssh、https方式并以lab用户正常登录防火墙的接口地址：1.1.70.5，并正常进行配置管理；其他的telnet和http方式则不允许。测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.4 路由模式测试1.4.1 测试内容路由模式测试是测试防火墙是否支持路由功能，基本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置

14、，包括IP地址，路由，策略，及其他相关配置。通过两台PC分别Ping及http访问对方，从而验证防火墙的路由功能。1.4.2 测试拓扑图1.4.3 设备配置1、 配置接口地址set interfaces ge-0/0/0 unit 0 description to-LAN-trustset interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 description to-WAN-untrustset interfaces ge-0/0/8 unit 0 family

15、inet address 1.1.70.5/242、 配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zoneset security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols allset security zones security-zone trust interfaces ge

16、-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust host-inbound-traffic protocols allset security zones security-zone untrust interfaces ge-0/0/8.03、配置策略，允许trust和untrust之间互相通信，并且打开log记录set security policies from-zone trus

17、t to-zone untrust policy default-permit match source-address anyset security policies from-zone trust to-zone untrust policy default-permit match destination-address anyset security policies from-zone trust to-zone untrust policy default-permit match application anyset security policies from-zone tr

18、ust to-zone untrust policy default-permit then permitset security policies from-zone trust to-zone untrust policy default-permit then log session-initset security policies from-zone untrust to-zone trust policy default-permit match source-address anyset security policies from-zone untrust to-zone tr

19、ust policy default-permit match destination-address anyset security policies from-zone untrust to-zone trust policy default-permit match application anyset security policies from-zone untrust to-zone trust policy default-permit then permitset security policies from-zone untrust to-zone trust policy

20、default-permit then log session-init1.4.4 测试表格测试号Test-2设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备可路由测试测试目的验证设备可路由传输功能测试配置见本节的设备配置部分测试步骤：1、 按配置步骤进行配置2、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/243、 在PC：10.1.10.5上分别ping及用http访问1.1.70.7，并且在1.1.70.7的web server查看访问的源地址是否为：10.1.10.5，如正常则表示trust zon

21、e的pc能通过路由正常访问另一个untrust zone。4、 在PC：1.1.70.7上分别ping及用http访问10.1.10.5，并且在10.1.10.5的web server查看访问的源地址是否为：1.1.70.7，如正常则表示untrust zone的pc能通过路由正常访问另一个trust zone。5、 检查命令：A、 查看session连接及log信息：labSRX240H-1 show security flow sessionlabSRX240H-1 show log rtlogdB、 在web server查看客户端的源IP地址是否为对端的PC IP地址：预期结果：1、

22、PC：10.1.10.5上分别用ping及用http访问1.1.70.7，能正常访问，并且在1.1.70.7的web server查看访问的源地址为：10.1.10.52、 PC：1.1.70.7上分别用ping及用http访问10.1.10.5，能正常访问，并且在10.1.10.5的web server查看访问的源地址为：1.1.70.7测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.5 策略测试1.5.1 测试内容策略测试是测试防火墙支持基于ICMP协议、TCP端口号和UDP端口号等信息进行策略配置，并针对每一条策略进行不同的操作（允

23、许、拒绝等）。基本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置，其中策略至少包括三种策略，基于ICMP，基于TCP端口号和基于UDP端口号。通过网络PC的业务模拟功能进行测试。推荐的测试策略：n ICMPn HTTP（TCP）n TFTP（UDP）1.5.2 测试拓扑图1.5.3 设备配置1、 配置接口地址set interfaces ge-0/0/0 unit 0 description to-LAN-trustset interfaces ge-0/0/0 unit 0 family inet address

24、10.1.10.1/24set interfaces ge-0/0/8 unit 0 description to-WAN-untrustset interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/242、 配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zoneset security zones security-zone trust host-inbound-traffic system-services allset security zones

25、 security-zone trust host-inbound-traffic protocols allset security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust host-inbound-traffic protocols allset security zones security-z

26、one untrust interfaces ge-0/0/8.03、 配置策略，允许trust和untrust之间互相通信，并且打开log记录A、配置trust至untrust之间测试的应用允许通过set security policies from-zone trust to-zone untrust policy policy-app-test match source-address anyset security policies from-zone trust to-zone untrust policy policy-app-test match destination-addr

27、ess anyset security policies from-zone trust to-zone untrust policy policy-app-test match application app-testset security policies from-zone trust to-zone untrust policy policy-app-test then permitset security policies from-zone trust to-zone untrust policy policy-app-test then log session-initset

28、applications application http protocol tcpset applications application http destination-port httpset applications application-set app-test application httpset applications application-set app-test application junos-icmp-allset applications application-set app-test application junos-tftpB、配置trust至unt

29、rust之间默认的策略为拒绝通过set security policies from-zone trust to-zone untrust policy default-deny match source-address anyset security policies from-zone trust to-zone untrust policy default-deny match destination-address anyset security policies from-zone trust to-zone untrust policy default-deny match app

30、lication anyset security policies from-zone trust to-zone untrust policy default-deny then denyset security policies from-zone trust to-zone untrust policy default-deny then log session-initC、配置untrust至trust之间默认的策略为拒绝通过set security policies from-zone untrust to-zone trust policy default-deny match s

31、ource-address anyset security policies from-zone untrust to-zone trust policy default-deny match destination-address anyset security policies from-zone untrust to-zone trust policy default-deny match application anyset security policies from-zone untrust to-zone trust policy default-deny then denyse

32、t security policies from-zone untrust to-zone trust policy default-deny then log session-initD、测试完将第一步的策略修改为从允许通过改为拒绝通过：set security policies from-zone trust to-zone untrust policy policy-app-test then deny1.5.4 测试表格测试号Test-3设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备策略测试测试目的验证设备的防火墙策略功能测试配置见本节的设备

33、配置部分测试步骤：1、 按配置步骤进行配置2、 配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.6/243、 在PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问外网服务器1.1.70.6，如正常则表示trust zone的pc能通过策略正常访问另一个untrust zone的服务器。4、 将应用策略修改为拒绝，则PC：10.1.10.5上所有应用都不能访问5、 检查命令：A、 查看session连接：labSRX240H-1 show security flow session B、 检查是否所有服务都

34、正常允许或拒绝在permit的状况下，所有服务均正常允许访问，而在策略为deny的情况下，所有服务均拒绝访问。C、 检查log信息：labSRX240H-1 show log rtlogdD、 show结果及配置文件： 预期结果：1、 在策略为允许的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，能正常访问2、 在策略为拒绝的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，不能访问相应的业务测试结果：测试结果： 通过 ( ) 失败 ( )测试通过：(签字)测试失败：(签字)失败原因：注释：1.6 静态NAT测试

35、1.6.1 测试内容基于静态NAT功能的要求是：对SRX内网侧的服务器主机地址进行一对一NAT映射，即对于从SRX外网侧进入内网侧的数据流，对目的地址进行NAT。具体的测试需求：n 在SRX防火墙上对PC1的IP地址10.1.10.5进行地址转换，转换后的地址为100.0.0.1。n PC1作为业务服务器端，PC2作为业务客户端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试n PC1作为业务客户端，PC2作为业务服务器端进行业务测试，包括ICMP（ping）、TCP（http）、UDP（TFTP）测试1.6.2 测试拓扑图PC-110.1.10.5Inter

36、netStatic NAT1.1.70.5PC-21.1.70.710.1.10.1TrustUntrustSRX100.0.0.1Ge-0/0/0Ge-0/0/81.6.3 设备配置1、配置接口IP地址set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/242、配置目的静态目的NATset security nat static rule-set static-nat-1 from zone untr

37、ustset security nat static rule-set static-nat-1 rule rule-static-nat-1 match destination-address 100.0.0.1/32set security nat static rule-set static-nat-1 rule rule-static-nat-1 then static-nat prefix 10.1.10.5/323、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zoneset security zo

38、nes security-zone trust host-inbound-traffic system-services allset security zones security-zone trust host-inbound-traffic protocols allset security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust host-inbound-traffic system-services allset security zones sec

39、urity-zone untrust host-inbound-traffic protocols allset security zones security-zone untrust interfaces ge-0/0/8.04、配置icmp、http、tftp应用允许从trust访问untrustset security policies from-zone trust to-zone untrust policy policy-app-test match source-address anyset security policies from-zone trust to-zone u

40、ntrust policy policy-app-test match destination-address anyset security policies from-zone trust to-zone untrust policy policy-app-test match application app-testset security policies from-zone trust to-zone untrust policy policy-app-test then permitset security policies from-zone trust to-zone untr

41、ust policy policy-app-test then log session-initset applications application http protocol tcpset applications application http destination-port httpset applications application-set app-test application httpset applications application-set app-test application junos-icmp-allset applications applicat

42、ion-set app-test application junos-tftp5、配置允许untrust zone访问trust zone的服务器10.1.10.5set security zones security-zone trust address-book address static-nat-pc-1 10.1.10.5/32set security policies from-zone untrust to-zone trust policy permit-static-nat match source-address anyset security policies from-

43、zone untrust to-zone trust policy permit-static-nat match destination-address static-nat-pc-1set security policies from-zone untrust to-zone trust policy permit-static-nat match application anyset security policies from-zone untrust to-zone trust policy permit-static-nat then permitset security poli

44、cies from-zone untrust to-zone trust policy permit-static-nat then log session-initset security policies from-zone untrust to-zone trust policy default-deny match source-address anyset security policies from-zone untrust to-zone trust policy default-deny match destination-address anyset security pol

45、icies from-zone untrust to-zone trust policy default-deny match application anyset security policies from-zone untrust to-zone trust policy default-deny then denyset security policies from-zone untrust to-zone trust policy default-deny then log session-init1.6.4 测试表格测试号Test-4设备名称Juniper SRX防火墙：SRX240H-1设备软件版本9.6R1测试项目设备静态NAT测试测试目的验证设备的防火墙静态NAT