防火墙测试方案

1、防火墙测试方案测试项目主要测试项目（必测）NAT/PATSite-to-SiteIPSec/VPNDynamicRemote-AccessIPSec/VPNIPSec/VPN的NA0透Remote-AccessPPTPVPN的穿透ACL和会话数的限制Syslog、SNMP远程管理辅助测试项目（选测）认证功能P2P流量限制测试一、NAT/PAT拓扑图FTP ClientLoadRunnerLoadRunnerPC3测试要求（如防火墙inside接口不够，则使用交换机连接内部三台pc并将内部网络合并为将静态翻译（地址翻译）为将动态翻译（端口翻译）为检查方法及检查项目PC1通过FTP方式从教育网下载

2、数据PC2ffiPC3f用LoadRunner分别模拟500台电脑浏览网页查看设备负载和网络延迟测试二、Site-to-SiteIPSec/VPN拓扑图InsidePC11.1。0.254测试防火墙OutsideCisco ASA 5540Inside测试要求1.ISAKMPE置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.只对和之间互访的流量进行IPSEC的力口密检查方法及检查项目PC俐PC2

3、能否相互PING通，在ASA5540y$测数据是否为加密数据。修改PC2的ip地址为2,使用pc1PINGpc2,在asa5540上检查数据是否为明文。测试三、DynamicRemote-AccessIPSec/VPN拓扑图InsideOutsidePC2测试要求1.ISAKM用己置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.其他地址池1.1.14.防火墙Outside外任何主机都可以与防火墙

4、建立IPSec/VPN连接5.只对PC1和PC2互访的数据加密。检查方法及检查项目PC2修改IP地址为2后是否能与防火墙建立IPSec/VPN连接PC2能否获得正确的DNSPC1和PC2能否相互PING通。检查防火墙Outside接口收到的数据是否为明文测试四、IPSec/VPN的NA倍透拓扑图Inside Outside.254测试防火墙1Cisco ASA5540OutsideInsidePC2OutsideInside测试要求1.ISAKMPE置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSh

5、a2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.CiscoASA5540上允许以下流量进入其内网UDP500AH50ESP51UDP4500UDP10000TCP10000检查方法及检查项目两测试设备是否可以正常建立IPSec/VPN连接PC1和PC2是否可以相互PING通测试五、Remote-AccessPPTPVPN拓扑图InsideOutsidePC2使用 Windows自带的VPNt防火墙建立PC2能否获得止确的DNSPC2?口 PC1能否相互PING通测试六、的穿透PPTR!接拓扑图测试要求认证方式MSCHAP加密方式MPPE地

6、址池1.1.1检查方法及检查项目InsideOutside测试要求测试防火墙配置静态地址翻译，将翻译为测试防火墙配置端口翻译，将翻译为检查方法及检查项目配置静态地址翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。配置端口翻译后，PC和PC否可以用NetMeeting进行语音通话，如果可以正确建立连接，是否存在单向音问题。测试七、ACL和会话数的限制拓扑图InsideOutside测试要求.配置ACL只允许WW流量到防火墙内部的PCI.限制PC1的会话数为5。检查方法及检查项目PC1上建立WW服务，提供一文件下载，PC2用多线程下载软件从PC

7、1下载文件，检查连接数是否被限制在5个。测试八、Syslog、SNMP远程管理检查方法及检查项目是否支持syslog功能是否支持snmp管理（通过snmp能否检测cpu利用率，连接数）是否支持远程管理，通过outside口登陆防火墙进行管理测试九、认证功能拓扑图InsideOutside测试要求1.防火墙上配置认证功能检查方法及检查项目内部主机PC1主动发起HTTP青求连接PC2时，防火墙通过WEBC面方式（其他方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2测试十、P2P流量限制拓扑图PC1测试要求1.防火墙上配置P2P流量限制功能。检查方法及检查项目PC1能否进行BitTo

8、rrent或E-Donkey的下载测试结果主要测试项目（必测）NAT/PAT是否支持NAT?是否支持PAT?设备负载网络延迟Site-to-SiteIPSec/VPN是否支持Site-to-SiteIPSec/VPN?是否支持只对需要数据进行IPSec/VPN加密？DynamicRemote-AccessIPSec/VPN是否支持Remote-AccessIPSec/VPN是否支持DynamicRemote-AccessIPSec/VPN能否获得正确的DNS?IPSec/VPN的NAT穿透是否支持IPSec/VPN的NAT穿透？Remote-AccessPPTPVPN是否Remote-AccessPPTPVPN能否获得正确的DNS?的穿透是否支持NATT的穿透？是否支持PAT下的穿透？ACL和会话数的限制是否支