安全设备测试资料v.doc

1、安全网关设备测试资料目录1测试项目签字单22测试设备及测试环境32.1测试设备清单32.2测试环境清单43基本功能测试53.1设备工作模式53.2动态路由测试83.3安全策略测试93.4NAT功能测试113.5会话数限制测试133.6VLAN功能测试143.7流量监控测试163.8高可用HA测试174扩展功能测试214.1流量管理功能测试215集中网管测试255.1设备状态监控测试255.2日志统计分析测试261 测试项目签字单项目分类验收项目结果1 设备基础1.1 设备电口数量通过 未通过 部分通过1.2 设备光口数量通过 未通过 部分通过1.3 设备支持可选双电源通过 未通过 部分通过1.

2、4 设备支持存储卡通过 未通过 部分通过2 基本功能测试2.1 设备工作模式通过 未通过 部分通过2.2 动态路由测试通过 未通过 部分通过2.3 安全策略测试通过 未通过 部分通过2.4 NAT功能测试通过 未通过 部分通过2.5 会话数限制通过 未通过 部分通过2.6 VLAN功能通过 未通过 部分通过2.7 流量监控通过 未通过 部分通过2.8 高可用性HA测试通过 未通过 部分通过3 扩展功能测试3.1 流量管理功能通过 未通过 部分通过4 集中网管测试4.1 设备状态监控通过 未通过 部分通过4.2 日志统计分析通过 未通过 部分通过测试单位签字 用户单位签字 年 月 日 年 月 日

3、 2 测试设备及测试环境2.1 测试设备清单项目描述设备名称及型号实物图安全产品配置处理器内存Flash网络接口类型及数量规格(W*D*H, mm)操作系统类型及版本体系结构电源管理界面语言类型中文（） 英文（） 其他（）相关配件2.2 测试环境清单名称说明数量 / 单位测试设备测试HA模式下性能及功能2/台单模光模块单模光模块/个多模光模块多模光模块/个单模光纤跳线用于测试设备互联，请确认对端设备接口类型，并准备相应跳线/条多模光纤跳线用于测试设备互联，请确认对端设备接口类型，并准备相应跳线6/条网线RJ45-RJ-45标准网线/条三层交换机用于搭建网络测试环境2/台服务器Windows 2

4、003服务器1 /台PC用于对设备进行测试2/台电源插座请在设备1.5米范围内，提供国标电源插座1 /个上架工具设备如需上机架，请提供螺丝刀工具1/套3 基本功能测试3.1 设备工作模式 路由模式测试：测试项目设备工作模式测试分项目路由模式测试测试原理与目的分析配置设备工作在三层模式下，验证数据能否正常转发。测试拓扑如下：测试过程预期结果1，配置设备接口ip地址及安全域；2，配置允许的安全策略3，从pc1上ping对端pc的地址4，看能否ping通从pc1能够ping对端pc2的地址测试结果与结论通过 不通过 部分通过 备注 透明模式测试：测试项目设备工作模式测试分项目透明模式测试测试原理与目

5、的分析配置设备工作在二层模式下，验证数据能否正常转发。测试拓扑如下：测试过程预期结果1，配置设备接口ip地址及安全域；2，配置允许的安全策略3，从pc1上ping对端pc的地址4，看能否ping通从pc1能够ping对端pc2的地址测试结果与结论通过 不通过 部分通过 备注 混合模式测试：测试项目设备工作模式测试分项目混合模式测试测试原理与目的分析配置设备两个端口工作在二层模式下，这两个端口，再与第三个端口之间，工作在三层模式下，验证数据能否在二层之间、三层之间正常转发。测试拓扑如下：测试过程预期结果1，配置设备接口ip地址及安全域；2，配置允许的安全策略3，从pc1上ping对端pc2的地址

6、4，从pc2上ping对端pc3的地址4，看能否ping通pc1能够ping对端pc2的地址pc2能够ping对端pc3的地址测试结果与结论通过 不通过 部分通过 备注3.2 动态路由测试 OSPF动态路由测试：测试项目动态路由测试测试分项目OSPF动态路由测试测试原理与目的分析验证安全设备对OSPF动态路由协议的支持情况。测试拓扑如下：测试过程预期结果1，在交换机及防火墙上，都开启OSPF动态路由协议2，查看三层交换机及防火墙的路由表项，看是否有OSPF学习到的路由条目1，在防火墙能够看到OSPF路由条目；2，在交换机能够看到OSPF路由条目测试结果与结论通过 不通过 部分通过 备注3.3

7、安全策略测试 基于服务的安全策略测试：测试项目安全策略测试测试分项目基于服务的安全策略测试测试原理与目的分析验证安全设备对安全过滤的支持情况。测试拓扑如下：测试过程预期结果1，在pc2上开启ftp服务器；2，配置允许pc1访问pc2的ftp服务的安全策略3，测试从pc1能否ftp下载4，配置拒绝pc1访问pc2的ftp服务的安全策略5，测试从pc1能否ftp下载1，在策略允许的情况，能够ftp下载；2，在策略拒绝的情况，不能ftp下载测试结果与结论通过 不通过 部分通过 备注 基于时间的安全策略测试：测试项目安全策略测试测试分项目基于时间的安全策略测试测试原理与目的分析验证安全设备的安全过滤策

8、略，能否与时间相结合。测试拓扑如下：测试过程预期结果1，在pc2上开启ftp服务器；2，配置允许pc1访问pc2的ftp服务的安全策略，并添加一个时间段3，在时间段内的时间点，测试从pc1能否ftp下载4，在时间段外的时间点，测试从pc1能否ftp下载1，在允许时间内情况，能够ftp下载；2，在允许时间外情况，不能ftp下载测试结果与结论通过 不通过 部分通过 备注3.4 NAT功能测试 源NAT转换测试：测试项目NAT功能测试测试分项目源NAT转换测试测试原理与目的分析验证安全设备对源NAT上网的支持情况。测试拓扑如下：测试过程预期结果1，在设备上开启源NAT地址转换，并开启日志记录；2，配

9、置允许pc1访问pc2的安全策略3，测试从pc1能否ping通pc24，查看NAT日志信息，是否完成源NAT转换5，分别按照转换到单一ip、地址池方式，进行测试1，pc1能ping通pc2；2，在NAT日志中，可看到源NAT日志测试结果与结论通过 不通过 部分通过 备注 目的NAT转换测试：测试项目NAT功能测试测试分项目目的NAT转换测试测试原理与目的分析验证安全设备对源NAT上网的支持情况。测试拓扑如下：测试过程预期结果1， 在pc2上开启ftp服务器，映射到0的888端口，并开启日志记录1，pc1、pc3能从0地址下载；2，配置允许对0的8

10、88端口进行ftp访问安全策略3，测试从pc1、pc3能否到0地址ftp下载4，查看NAT日志信息，是否完成目的NAT转换2，NAT日志中，可看到目的NAT日志测试结果与结论通过 不通过 部分通过 备注3.5 会话数限制测试 基于时间的会话数限制：测试项目会话数限制测试测试分项目基于时间的会话数限制测试测试原理与目的分析验证是否可以实现，根据日常工作的网络是否繁忙时间，而对同一用户，可以允许发起的会话数不同。测试拓扑如下：测试过程预期结果1，对pc1进行会话数限制，并且在两个时间段，限制的会话数不同；2，测试在这两个时间段内，pc1能发起的最大会话数，是否与各自时间段内设置的数

11、值相一致；1，可以实现不同时间段内，限制pc1的最大会话数，能够设置成不同数值。测试结果与结论通过 不通过 部分通过 备注 基于服务的会话数限制：测试项目会话数限制测试测试分项目基于服务的会话数限制测试测试原理与目的分析验证是否可以实现，根据不同的应用类型，而对同一用户，可以允许设置相应的会话数限制。测试拓扑如下：测试过程预期结果1，分别设置对tcp协议、udp协议的最大session数量；2，针对这两种协议，验证会话数能否与服务协议相关联；1，会话数能否与服务协议相关联，实现针对不同的服务，而设置相应的数值测试结果与结论通过 不通过 部分通过 备注3.6 VLAN功能测试 Vlan子接口测试

12、：测试项目VLAN功能测试测试分项目Vlan子接口测试测试原理与目的分析验证是否支持vlan子接口，从而判断能否满足对多种应用环境的部署需求。测试拓扑如下：测试过程预期结果1， 在设备上，创建vlan子接口vlan100，vlan200；2， 在交换机上采用trunk与设备互联，vlan100接pc2，vlan200接pc33， 配置相应的运行访问安全策略4，测试pc2、pc3能否ping通pc11，pc2、pc3能够ping通pc1。测试结果与结论通过 不通过 部分通过 备注 透明trunk安全过滤测试：测试项目VLAN功能测试测试分项目透明trunk安全过滤测试测试原理与目的分析验证设备是

13、否支持透明部署在trunk模式的交换机互联的线路上，从而判断能否满足对多种应用环境的部署需求。测试拓扑如下：测试过程预期结果1，把设备透明串接在两台交换机之间，并采用trunk模式连接；2，在每个交换机下面，分别创建vlan100，vlan2003，测试pc1和pc2、pc3和pc4之间能否互相ping通4， 测试pc1和pc4之间，能否互相ping通1，pc1和pc2、pc3和pc4之间能够互相ping通。2，pc1和pc4之间，不能互相ping通测试结果与结论通过 不通过 部分通过 备注3.7 流量监控测试 流量监控测试：测试项目流量监控测试测试分项目流量监控测试测试原理与目的分析验证设备

14、是否支持接口流量统计、应用流量统计、会话数统计、每ip流量带宽统计及应用统计等。测试拓扑如下：测试过程预期结果1，在设备上，开启各项统计功能；2，pc1访问互联网络，观察接口流量统计、应用流量统计、会话数统计、每ip流量带宽统计及应用统计等情况1，能够观察到各统计信息测试结果与结论通过 不通过 部分通过 备注3.8 高可用HA测试 路由模式主备模式1测试：测试项目高可用HA测试测试分项目路由模式主备测试测试原理与目的分析验证设备是否支持HA功能，能否同步会话，配置文件等，从而实现主备切换时，原有的连接保持不会中断，解决网络中单点故障问题等。测试拓扑如下：测试过程预期结果1， 配置两台设备工作在

15、HA主备模式下，并配置主设备为抢占方式；2， pc1到pc2做ping、ftp下载、telnet等操作3， 分别断开主设备的上下线路，做主备切换测试，验证在完成主备切换过程中，看原来的session是否需要重新建连4， 恢复断开的主设备线路，设备进行抢占，验证在抢占的过程中，看原来的session是否需要重新建连1，能够顺利完成主备切换，且切换过程中，原有的ping、ftp下载、telnet连接会话，会保持不会中断。测试结果与结论通过 不通过 部分通过 备注 路由模式主备模式2测试：测试项目高可用HA测试测试分项目路由模式主备测试测试原理与目的分析验证设备是否支持HA功能，能否同步会话，配置文

16、件等，从而实现主备切换时，原有的连接保持不会中断，解决网络中单点故障问题等。测试拓扑如下：测试过程预期结果5， 配置两台设备工作在HA主备模式下，并配置主设备为抢占方式；6， pc1到pc2做ping、ftp下载、telnet等操作7， 分别断开主设备的上下线路，做主备切换测试，验证在完成主备切换过程中，看原来的session是否需要重新建连1，能够顺利完成主备切换，且切换过程中，原有的ping、ftp下载、telnet连接会话，会保持不会中断。8， 恢复断开的主设备线路，设备进行抢占，验证在抢占的过程中，看原来的session是否需要重新建连测试结果与结论通过 不通过 部分通过 透明模式主备

17、测试：测试项目高可用HA测试测试分项目透明模式主备测试测试原理与目的分析验证设备是否支持HA功能，能否同步会话，配置文件等，从而实现主备切换时，原有的连接保持不会中断，解决网络中单点故障问题等。测试拓扑如下：测试过程预期结果9， 配置两台设备工作在HA主备模式下，并配置主设备为抢占方式；10， pc1到pc2做ping、ftp下载、telnet等操作11， 分别断开主设备的上下线路，做主备切换测试，验证在完成主备切换过程中，看原来的session是否需要重新建连1，能够顺利完成主备切换，且切换过程中，原有的ping、ftp下载、telnet连接会话，会保持不会中断。12， 恢复断开的主设备线路

18、，设备进行抢占，验证在抢占的过程中，看原来的session是否需要重新建连测试结果与结论通过 不通过 部分通过 4 扩展功能测试4.1 流量管理功能测试 基于IP流量管理：测试项目流量管理功能测试测试分项目基于IP流量管理测试测试原理与目的分析验证每ip的上下行带宽限制，并判断是否支持根据出口拥塞程度动态调整每IP的上下行带宽限制，以确保网络出口的正常应用。测试拓扑如下：测试过程预期结果1，在pc2上开启ftp服务器；2，配置对pc1的流量上下行带宽限制3，测试从pc1到pc2，ftp上传下载的速率，是否与限制带宽一致4，进一步调整配置，在出口带宽空闲的情况下，能否动态调整对pc1的带宽限制5

19、，测试pc1限制的带宽大小，能否随出口利用率动态调整1，pc1上传下载速率，与限制带宽一致；2，可以实现每ip限制带宽的动态调整测试结果与结论通过 不通过 部分通过 备注 IP限流，指定目的流量例外：测试项目流量管理功能测试测试分项目IP限流，指定目的流量例外测试测试原理与目的分析验证对每ip的上下行带宽限制的情况下，却可以对指定的某些目的地址的流量，设置例外，不受ip带宽限制影响，以确保安全设备流量管理功能部署的灵活性，实用性。测试拓扑如下：测试过程预期结果1，在pc2、pc3上开启ftp服务器；2，配置对pc1的流量上下行带宽限制，并设置到pc3的流量例外3，测试从pc1到pc2，ftp上

20、传下载的速率，是否与限制带宽一致1，pc1到pc2的上传下载速率，与限制带宽一致；2，pc1到pc3的上传下载速度，不受对pc1限制带宽的影响4，测试从pc1到pc3，ftp上传下载的速率，是否受到限制带宽的影响测试结果与结论通过 不通过 部分通过 备注 基于每IP内部流量管理：测试项目流量管理功能测试测试分项目基于每IP内部流量管理测试原理与目的分析验证在对每ip进行上下行带宽限制的情况下，能否针对每个ip的流量的不同应用，分别进行带宽保证或者流量限制，如：保证http流量，限制p2p下载等。测试拓扑如下：测试过程预期结果1，限制pc1的上下行带宽为512k；1， 配置对pc1的http带宽保证、p2p流量下载3，测试在p2p下载的同时，打开www页面，是否顺畅1，在pc1的流量占满的情况下，仍然可以顺畅的打开www页面测试结果与结论通过 不通过 部分通过 备注 基于应用的流量管理：测试项目流量管理功能测试测试分项目基于应用的流量管理测试原理与目的分析根据网络上各种应用的重要性不同，对关键应用进行带宽保证，对非带宽应