SRX防火墙产品测试内容

目录1SRX防火墙产品测试内容41.1设备清单及版本41.2SRX功能测试41.3设备可管理测试6测试内容6测试拓扑图6设备配置6测试表格71.4路由模式测试91.4.1测试内容9测试拓扑图9设备配置9测试表格101.5策略测试13测试内容13测试拓扑图13招蔬柏设备配置厘腥14沙跪全测试表格吨动15价1.6廊牺静态就NAT言测试先昏17帽介椅测试内容舟销17扰己杯测试拓扑图酱牧17乐伐暂设备配置验音17痰士木测试表格暗汇19清1.7路外基于承rule夕的目的巷NAT桌测试健引23壮俗偷测试内容谣惭23僻誓生测试拓扑图隶暂23题杆棍设备配置驼框23衣攀晒测试表格铁果25挥1.8价议基于接口的誓源延NAT蛇测试鹿船28子肝世测试内容恰肾28亦喘物测试拓扑图役套28篇子陶设备配置刮秘28兔条树测试表格话劝29脆1.9扒哥基于绕Rule匠的源门NAT习测试梯-1汇然31纺新版测试内容康蹄31参1险.9.2样艘测试拓扑图许房31搁啄逃设备配置舱擦31揪湾荒测试表格粗兼32呈1.10杏岗基于损Rule押的源后NAT县测试夸-2每销35配1.10.辛1爽粘测试内容误唇35订1.10.陕2电仍测试拓扑图写舟35纸1.10.字3蚁窜设备配置餐突35勤1.10.杜4夸奥测试表格钢步36值1.11册团HA浙工作方式测辰试界合39愁1.11.毒1慨纷测试内容贤铜39注1.11.饿2咽羊测试拓扑图陕锈40单1.11.价3犁惧设备配置奇宿40居1.11.渔4丸住测试表格权探42虎1.12赌剃基于策略的锦长连接测试青药44炕1.12.页1杜雀测试内容银面44汗1.12.口2认签测试拓扑图爸殊45东1绵.12.3衫怨设备配置蚁彩45铁1.12.盛4果糊测试表格柱吵46曾1.13臭冻SRX工防火墙性能老测试贪像49仓1.13.狸1沈砌测试拓扑图陵膝49瞎1.13.的2深乎普通数据量蠢压力测试不哈49什1.13.辽3秆滋大数据量压猜力测试丽望49码1.13.丛4亡记长连接下的邀普通数据量泉压力测试希系50把1.13.位5穴础设备配置辛惕50季1.13.锣6字低测试表格贸化51混1.14衡抗SRX贩防火墙网管员测试氏冷54恶1.14.血1留汪SNMP浮管理测试涝雾54霉1.14.倾2交骨NTP朵测试副怒57梯1.14.猫3皮站Syslo鬼g做测试言划60飞1.15芹绩SRX剪防火墙钢VPN粉测试鸦盒63域1.15.寨1蝴瓣Ipsec印VPN萄remot声ecli妥ent西测试屠灰63楼1.15.恭2想洪Ipsec援VPN毕点对点定Polic位ybas凡eV期PN事连接测试厕谅64猪1.15.冈3捧择Ipsec循VPN届点对点吓route疲base汤VPN管连接测试危之73客1.16衔产OSPF按路由协议功猜能测试非公81菜1.16.受1肾予测试内容织辅81坐1.16.庄2条骨测试拓扑图南候81筑1.16.昆3缝替设备配置凤针82从1.16.妨4请事测试表格蓬亮82坦1.17短破VRRP萍协议功能测控试摘篇86竿1.17.客1街震测试内容组蛾86设1.17.愚2她册测试拓扑图需下86排1.17.桑3乐朝设备配置孩骑87偷1.17.捉4羊猫测试表格制犹88疾1.18纸弱DHCP粉功能测试占基90游1.18.即1瞒绣测试内容槐管90解1.18.虎2治坑测试拓扑图材尾90种1.18.语3省鸦设备配置悦询91赴1.18.坦4久个测试表格牌问91苹SRX缓防火墙产品殃测试内容柳设备清单及铅版本送设备清单与设备版本虏文档版本苏备注从SRX2州40H两碑台赤9.6R有1法V1.0溉测试PC首两台撤XPSP鱼2闷测试软件：斩NetIQ鸽5.4麦TFTP脚Serve鬼r/cli妈ent姑TFTPD叶32带WebS舱erver志仔E皱asyW映ebSe商rver武ftps箱erver泥FileZ给illa谷推Serve损r召S袖yslog下serv绪er澡TFTPD伶32久SRX条功能测试喷SRX骡防火墙的功帐能测试包括锅以下几个方弯面：路由模式尸策略（IC幕MP、TC威P、UDP指）绸基于策略的慌长连接岗HA工作方摘式主备切换网S浊essio抢n同步重网管功能测拜试榜SNMP测脆试NTP测试豆Syslo客g测试罢VPN功能购测试稿I判p王secV统PNre谋mote市clien扑t邀测试坚I商p暴secV相PN点对点肤测试井路由功能测还试垦OSPF功艳能测试妹设备可管理栏测试测试内容末设备可管理哄测试是测试吧防火墙能否截支持常用的量管理协议，位包括tel量net、s逆sh、ht喘tp和ht娃tps攀；基本的测识试方法为在晚防火墙配置码相应的管理够服务及管理颜用户，并在烤相应的接口赴或zone应上配置是否殃可以接受管畅理，通过P普C分别用t边elnet窝、ssh、梯和瘦s誓方式登录防糕火墙，从而撕验证防火墙馒的可管理功惊能。测试拓扑图设备配置央配置管理用牧户：御sets守ystem另logi比nuse陷rlab称uid短2000套sets初ystem通logi燥nuse历rlab西clas众ssup交er-us碑er轨sets烧ystem汗logi诚nuse机rlab收auth终entic伙ation遍plai坑n-tex穷t-pas狂sword省配置系统管爸理服务：（辫ssh、t款elnet资、翅、棉s）舌sets部ystem竭serv嘴ices就ssh侮sets剥ystem乳serv筒ices参telne毁t恨sets滥ystem秘serv语ices宜web-m佩anage需ment送裤inter衣face凝ge-0/坦0/0.0俗（可以哥进行的铸管理接口）松sets倒ystem皆serv级ices铁web-m仁anage图ment炼翅inter电face掩all要sets牺ystem耍serv疼ices予web-m金anage遭ment柳s策syst倒em-ge痒nerat瞎ed-ce正rtifi烟cate转sets级ystem秘serv清ices拐web-m驾anage沸ment甩s歪inte砖rface嗽all携配置接口地把址叨seti哭nterf弹aces池ge-0/赶0/0u散nit0剃fami剖lyin盛etad比dress受孙10.1.柿10阻.1/24宅seti心nterf记aces团ge-0/恐0/8u括nit0扔fami凝lyin笋etad仍dress虾1.1.疮70.5/梳24肺配置zon惊e或接口是茶否可以管理嫌防火墙设备卫：绣A米、柱配置zon先etru嘱st可以管变理防火墙：蒙sets厨ecuri旷tyzo馆ness价ecuri夺ty-zo扭netr徒ust卖锋host-杰inbou岛nd-tr触affic虫syst鲜em-se遵rvice款s钱all辰sets膏ecuri畜tyzo罗ness喂ecuri奥ty-zo抱netr息usti般nterf狮aces器ge-0/条0/欠0锦.0匠B挽、灾配置朵zone吸untru涂st配可以管理防现火墙堆，饰但其中的隔ge-0/串0/8.0搜只能用睡telne教t词和死夕管理瑞，帮其他的不允蜓许茅：绞sets烛ecuri李tyzo错ness欲ecuri杯ty-zo愈ne肿un泳trust伪器host-哄inbou右nd-tr艇affic忍syst雨em-se告rvice狸s炎all晶sets放ecuri敌tyzo趴ness尊ecuri冤ty-zo致ne黑un府trust防inte宵rface效sge-盼0/0/走8吃.0ho克st-in川bound慢-traf杏fics请ystem彩-serv侵ices庆收s插sets菜ecuri绩tyzo拉ness裕ecuri等ty-zo制ne记un夏trust殿int滚erfac踪esge往-0/0/猎8施.0ho蔽st-in搁bound楼-traf辩fics掌ystem上-serv玻ices叼ssh测试表格编测试号为T眨est-1板设备名称跑Junip肤erSR谊X防火墙：完SRX24胁0H-1倘设备软件版吐本云9.6R1垫测试项目权设备可管理壶测试峰测试目的起验证挥设备可管理宗功能俭测试配置括见本节的设扫备配置部分位测试步骤拒：捧按配置步骤晚进行配置边配置2台测起试PC在防惧火墙两端，挨分别配置地处址为：趟10.1.秧10渡.5/24收和躺鄙0.7厨/24伸在PC：泄10.1.摊10骑.5上分别突用ssh、抢telne哥t、htt迁p、htt辛ps方式登缴录防火墙的番接口地址：悦10.1.题10.1，众并以用户l仰ab登录，晚如正常则表篇示防火墙的关可管理功能斩正常杂在PC：1旱.1.70米.本7值上分别用s氧sh、te锋lnet、破、帽s勤方式登录防乏火墙的接口纯地址：1.仅1.70.序5，并以用诚户lab登洲录，由于该肢接口在un务trust改zone中，并且该接爬口只允许s霸sh及ht轰tps管理旧，所以该用上户只能已t纳elnet晕和肃来管理设备喊，用tel俊net和h蛇ttp则不胸允许访问防辈火墙。看检查命令：炭检查当前的敬登录用户：晋lab@S增RX240蓄H-1>绘show灿syst似emus域ers疲袭11:50瑞AM真up哈2day赤s,23扬mins垮,2u把sers,传load式aver汪ages:吉4.19滨,3.7擦5,3.映52眼USER树T堡TY乱FR微OM蛮讨酱旗萄LOGIN覆@ID秩LEWH纪AT删lab分p喝0靠聚10.1.保10势.5探著傍采残10:咐40AM问1:04偷-cli厌(cli委)草lab悄p背1酬亡10.1.乓10乖.5掘广合捕展11:靠45AM糕-确-cli滨(cli识)腐lab开j访web2课算10.1.奖10锡.5皆对执少浅11:4劲7AM塌2之lab葛j妻web1之岂10.1.要10泥.5盒剧暮墨笑11:5朝0AM附-难预期结果宴：翼PC：器10.1.溪10渔.5上分别拴用ssh、务telne拐t、htt惠p、htt旨ps方式并歼以lab用凉户能正常登秋录防火墙的它接口地址：砖10.1.寒10.1，搬并正常进行番配置管理筐在PC：1头.1.70割.抛7荣上只能用s构sh、ht欺tps方式马并以lab告用户正常登疏录防火墙的挺接口地址：脖瞧0.5，并院正常进行配辟置管理；其剂他的tel的net和h刊ttp方式谎则不允许。就测试绑结果贤：听测试结果：笨颜通过(徐些)机棕依失败邪(程)横测试通过：元(昆签字长)张测试失败：蔑(库签字灶)搏失败原因：鹿注释：萌路由模式测彩试测试内容布路由模式测博试是测试防请火墙是否支砍持路由功能结，基本的测与试方法是在满防火墙的内重外网口分别盯连接网络冶PC碧，并按拓扑蕉图，对防火尿墙进行相应侧的配置，包钓括IP区地址，路由团，策略，及花其他相关配芽置。通过两资台野PC董分别Pin校g叹及傍访问泰对方，从而灶验证防火墙弊的路由功能演。测试拓扑图设备配置饲配置接口地内址导seti齐nterf敞aces旁ge-0/晨0/0u到nit0钩desc翠ripti仆onto半-LAN-冷trus袍t夫seti挑nterf甚aces括ge-0/蒙0/0u剪nit0树fami槽lyin畏etad棍dress坟锦10.1.凯10佛.1/24横seti简nterf届aces瞧ge-0/仅0/趟8绕unit邮0de谈scrip眯tion傅to-居W具AN-万un疗trust换seti执nterf灾aces嗓ge-0/县0/8u桑nit0唐fami恋lyin灵etad书dress缸1.1.返70.5/呀24黑配置zon女e及将接口叛加到zon冒e中，将g赞e-0/0坟/0.0分软配至tru厕stz远one，将弊ge-0/柴0/8.0涂分配至un滋trust销z酒one窃sets尼ecuri择tyzo疾ness肥ecuri虫ty-zo肿netr瞒usth顾ost-i竿nboun勉d-tra未ffic文syste景m-ser冰vices旗all速sets贸ecuri从tyzo煎ness贿ecuri桑ty-zo侵netr鱼usth周ost-i司nboun谋d-tra顿ffic丛proto真cols阀all锦sets技ecuri传tyzo正ness引ecuri步ty-zo叮netr扑usti断nterf滋aces笋ge-0/搁0/0.0股sets昼ecuri泪tyzo厦ness猴ecuri风ty-zo隶neun细trust触host荡-inbo桑und-t还raffi己csys赶tem-s洞ervic带esal坐l持sets犬ecuri差tyzo忘ness歪ecuri爪ty-zo根neun喉trust煮host例-inbo践und-t政raffi诵cpro党tocol慎sall寻sets事ecuri检tyzo队ness乖ecuri悟ty-zo唇neun写trust懂inte演rface考sge-芬0/0/8突.0怠3、配置策仿略，允许t谊rust和黄untru陷st之间互库相通信，并蔑且打开lo惑g记录驴sets序ecuri获typo背licie袜sfro监m-zon盆etru避stto炎-zone物untr伞ustp抄olicy迅defa姓ult-p超ermit绪matc帅hsou点rce-a城ddres宰sany份sets述ecuri戒typo蒸licie消sfro逼m-zon罪etru锡stto概-zone塌untr套ustp硬olicy替defa展ult-p己ermit挨matc屯hdes兰tinat斧ion-a次ddres赛sany寇sets闯ecuri凶typo制licie巴sfro哈m-zon借etru骗stto胁-zone讯untr驰ustp积olicy拔defa疗ult-p抚ermit熔matc披happ躲licat先iona厚ny斯sets香ecuri支typo贵licie回sfro谱m-zon使etru钱stto亡-zone稍untr爹ustp闪olicy恼defa蚀ult-p挨ermit限then参perm弹it纷sets脚ecuri少typo沫licie样sfro木m-zon筒etru汪stto象-zone底untr身ustp之olicy面defa咬ult-p框ermit肉then尚log章sessi知on-in令it谦sets状ecuri炊typo已licie傲sfro飘m-zon破eunt班rust栋to-zo划netr袭ustp挖olicy竟defa党ult-p晓ermit盆matc酒hsou必rce-a郊ddres筑sany避sets孩ecuri疏typo央licie何sfro桶m-zon稼eunt妄rust层to-zo括netr渔ustp昆olicy轰defa紫ult-p脖ermit号matc苏hdes愧tinat姜ion-a勿ddres令sany鄙sets承ecuri肃typo肝licie睡sfro绿m-zon赤eunt锤rust敢to-zo亏netr赶ustp违olicy楚defa械ult-p仰ermit漏matc扩happ武licat女iona淡ny梨sets抚ecuri比typo顷licie蒸sfro欲m-zon盈eunt敲rust盈to-zo我netr胳ustp乳olicy乓defa梳ult-p瞒ermit仪then周perm锁it鸣sets算ecuri明typo冰licie球sfro肃m-zon容eunt赢rust鲁to-zo阶netr膝ustp诚olicy控defa渠ult-p棕ermit成then膀log切sessi磁on-in完it测试表格容测试号胀T益est-2抛设备名称唉Junip罪erSR碑X防火墙：挥SRX24郊0H-1丘设备软件版资本倦9.6R1驶测试项目岗设备可路由管测试励测试目的弦验证设备可吉路由传输王功能衰测试配置趴见本节的设兰备配置部分与测试步骤西：该按配置步骤辩进行配置乒配置2台测惯试PC在防自火墙两端，向分别配置地腊址为：俗10.1.狭10兴.5/24骄和端追0.7武/24铅在PC：扣10.1.耻10荒.5上分别斤ping及慧用帜访问百篮0.7来，斧并且在弯汗0.7留的web抢serve跟r查看访问最的源地址是估否为：10分.1.10票.5，乐如正常则表蝇示衬trust任zone龙的pc能通岩过路由正常渠访问另一个峡untru描stzo肥ne。倦在PC：担遗0.7扣上分别误ping及沸用榨访问和10.1.烦10凝.5安，弃并且在10留.1.10饲.5的we张bser像ver查看铸访问的源地孝址是否为：贷骆0.7谣，心如正常则表边示昂untru岁stzo淹ne的pc减能通过路由榆正常访问另贱一个tru禾stzo骑ne。框检查命令：京查看ses绘sion连特接茅及log信环息诉：虽lab@S桑RX240津H-1>柳show丙secur岛ityf扔lo存wses书sion慨lab@S撒RX240孔H-1>断s户how绑logr慕tlogd尤在web孙serve者r查看客户趟端的源IP圣地址是否为垮对端的PC植IP地址衫：量预期结果绑：添PC：骆10.1.逢10馒.5上分别连用港ping及字用嫁访问模扯0.7促，能正常访茂问，并且在嫁坡0.7迅的web稠serve问r查看访问彻的源地址为低：10.1春.10.5凯PC：1车.1.70词.7泼上分别用系ping及无用系访问笼10.1.气10熔.5，能正粒常访问，并挥且在10.指1.10.爷5的web孩serv数er查看访相问的源地址准为：骆恐0.7象测试温结果够：殃测试结果：耕鱼通过(啦间)听歇侵失败般(拼)舱测试通过：愚(抢签字筝)扎测试失败：范(沙签字锐)锦失败原因：栏注释：策略测试测试内容吊策略测试是贱测试防火墙拆支持基于I遵CMP协议至、TCP端胞口号和UD汪P端口号等编信息进行策穴略配置，并燥针对每一条掀策略进行不今同的操作（夸允许、拒绝邻等）。基本匪的测试方法线是在防火墙细的内外网口衫分别连接网盖络亿PC运，并按拓扑妖图，对防火吼墙进行相应跪的配置，包寒括IP地址很，路由，策协略，及其他架相关配置，宾其中策略至馆少包括三种雾策略，基于丰ICMP，牙基于TCP拾端口号和基病于UDP端涉口号。通过钳网络末PC葡的业务模拟植功能进行测姐试。浪推荐的测试层策略：ICMP乐剂（TCP）仰TFTP（残UDP）测试拓扑图设备配置洒配置接口地终址冰seti逢nterf呼aces币ge-0/视0/0u回nit0俯desc它ripti尾onto愉-LAN-榜trust搭seti姨nterf睛aces岭ge-0/射0/0u肝nit0稀fami途lyin嗓etad板dress擦纱10.1.乖10央.1/24聋seti峡nterf稠aces受ge-0/弄0/抢8族unit页0谷descr膝iptio拆nto-卖W贤AN-墙un伏trust肯seti寒nterf折aces允ge-0/展0/8u燥nit0董fami郑lyin吓etad柜dress辜1.1.牵70.5/碰24脑配置zon鞋e及将接口静加到zon被e中，将g手e-0/0袭/0.0分打配至tru连stz研one，将或ge-0/液0/8.0毅分配至un险trust缠zon仿e冶sets掩ecuri愿tyzo所ness败ecuri泡ty-zo洋netr档usth传ost-i单nboun奶d-tra贞ffic蹲syste醉m-ser葬vices仙all两sets调ecuri清ty搭zone喘ssec柿urity无-zone语trus脊thos连t-inb袜ound-阔traff薪icpr榜otoco扬lsal穴l练sets懂ecuri惯tyzo绩ness还ecuri戚ty-zo壳netr礼usti痰nterf滤aces吊ge-0/茧0/0.0消sets式ecuri革tyzo责ness津ecuri承ty-zo喉neun衡trust覆host宫-inbo豪und-t诚raffi乳csys抽tem-s叮ervic器esal松l北sets坛ecuri验tyzo限ness键ecuri名ty-zo硬neun乡trust杏host摘-inbo旬und-t碗raffi富cpro兔tocol晃sall奇sets显ecuri里tyzo共ness鹅ecuri斩ty-zo衬neun划trust察inte载rface尿sge-短0/0/8梳.0呢配置策略，延允许tru校st和un莲trust搁之间互相通紫信，并且打国开log记星录尿A、配置t嫂rust至双untru自st之间测统试的应用允机许通过语sets像ecuri项typo貌licie粒sfro巨m-zon币etru闯stto急-zone庆untr置ustp己olicy够poli象cy-ap欲p-tes越tmat玩chso发urce-欠addre助ssan毙y爱sets淡ecuri俱typo晚licie鲜sfro夕m-zon绩etru宁stto番-zone慨untr斥ustp胜olicy夸poli围cy-ap盏p-tes笨tmat乌chde斥st隔inati记on-ad爸dress细any哈sets伤ecuri勺typo笼licie坑sfro谷m-zon慢etru蓄stto伪-zone祸untr靠ustp臭olicy豆poli番cy-ap处p-tes担tmat篮chap左plica卷tion酱app-t联est底sets龙ecuri丰typo挑licie攻sfro贼m-zon黑etru践stto含-zone毫untr魔ustp猜olic肝ypol熔icy-a鸣pp-te陷stth兄en侍permi罪t笋sets废ecuri抹typo音licie煎sfro早m-zon校etru氧stto臂-zone蛇untr淹ustp惩olicy园poli悄cy-ap只p-tes在tthe签nlog滤sess届ion-i点nit斜seta钉pplic忠ation踩sapp菌licat微ionh医ttpp瓜rotoc童oltc金p雀seta辱pplic飘ation贱sapp辩licat办ionh萄ttpd积estin凉ation她-port禽柏seta臭pplic芝ation梦sapp唱licat宽ion-s拒etap悦p-tes剪tapp怀licat鞠ion荐菊酱seta耀pplic软ation胜sapp弊licat乐ion-s燥etap灵p芒-test政appl壤icati容onju苦nos-i唐cmp-a弓ll渐seta比pplic吃ation播sapp训licat征ion-s基etap聚p-tes锋tapp贩licat内ionj榴unos-央tftp羊B、配置t耽rust至梅untru友st之间默语认的策略为爽拒绝通过筛sets维ecuri悔typo赏licie捡sfro坦m-zon宰etru饰stto棒-zone末untr尚ustp虚olicy炊defa厘ult-独deny拜matc拢hsou猪rce-a乌ddres监sany狮sets奋ecuri塌typo祖licie党sfro果m-z遍onet盲rust后to-zo膊neun却trust扑poli挣cyde晓fault爸-注deny登matc笨hdes护tinat你ion-a幸ddres客sany赌sets甲ecuri立typo资licie哨sfro盆m-zon雁etru龟stto效-zo斑neun膏trust委poli惨cyde巩fault孟-刮deny谎matc后happ仅licat艺iona瞧ny仁sets乎ecuri退typo齐licie辰sfro丧m-zon瓦etru战stto缠-zo奴neun那trust抗poli胃cyde皂fault花-摄deny愉then沃秃deny宁sets逆ecuri玩typo纤licie旋sfro猫m-zon啄etru佛stto寇-zo福neun耀trust隙poli方cyde亚fault类-血deny穷then检log械sessi趴on-in踩it贿C社、配置un专trust估至trus盈t之间默认粱的策略为拒增绝通过纤sets传ecuri麦typo收licie侄sfro刷m-zon达eunt雪rust探to-zo祖netr夏ustp络olicy坡defa巩ult-d劝enym误atch六sourc拨e-add陡ress敲any此sets萌ecuri易typo凳licie疮sfro鬼m-zon导eunt磁rust零to-zo含netr型ustp死olicy损defa乞ult-d端enym珠atch束desti蹄natio俭n-add铅ress拌any共sets燃ecuri堡typo贤licie凤sf拥rom-z冷oneu白ntrus碰tto-丹zone固trust炼poli姜cyde遵fault就-deny途matc悄happ同licat合iona径ny虏sets城ecuri趣typo玉licie牵sfro编m-zon钉eunt鼓rust颗to-zo察netr辜ustp傍olicy状defa年ult-d弦enyt窑hend孕eny途sets支ecuri耕typo货licie耳sfro后m-zon荐eunt睬rust效to-zo惹netr郑ustp胀olicy董defa介ult-d咬enyt颜henl旋ogse缺ssion表-init宁D、娱测试完恩将厅第一步的分策略修改锈为舍从允许通过警改为拒绝通渠过：去sets此ecuri仆typo跨licie堪sfro粉m-zon蛇etru狸stto延-zone县untr形ustp午olicy爽poli锦cy-ap茅p-tes历tthe券nden她y测试表格翅测试号多T络est-3妇设备名称饿Junip童erSR架X防火墙：全SRX24狸0H-1阶设备软件版哨本义9.6R1淋测试项目曾设备字策略温测试饲测试目的断验证设备份的防火墙策需略桑功能肯测试配置埋见本节的设版备配置部分尺测试步骤滥：浙按配置步骤屿进行配置助配置2台测张试PC在防巷火墙两端，筹分别配置地夹址为：侦10.1.疏10丧.5/24副和1.1.及70.6/唤24射在PC：声10.1.福10女.5上分别损运行ICM尿P（pin哭g）、TC兴P（htt歼p）、UD袋P（tft您p）应用访汇问外网服务流器1.1.解70.6，赞如正常则表奏示升trust星zone喂的pc能通妥过策略正常稼访问另一个屠untru蛾stzo脸ne的服务号器。绍将应用策略仪修改为拒绝金，则阻PC：检10.1.刮10全.5蓝上所有应用塞都不能访问愧检查命令：殊查看ses槐sion连经接：币lab@S幼RX240拿H-1>坝show司secur真ityf处lo陈wses泼sion漠检查是否所润有服务都正共常允许或拒束绝泻在perm尺it的状况存下，所有服海务均正常允番许访问，而末在策略为d冤eny的情工况下，所有絮服务均拒绝梯访问。码检查log讨信息恋：携lab@S汪RX240彻H-1>抗show喂log顿rtlog再d灵show结散果及配置文瓶件：覆妈著预期结果嫁：新在策略为允具许的情况下树，违PC：秤10.1.搅10款.5上分别付用测ping钻、喇银、TFTP片访问躬献0.7律，能正常访监问乒在策略为拒桑绝的情况下喝，退PC：愿10.1.针10蜓.5上分别富用慰ping、舒、规TFTP访屯问兄越0.7畏，不能访问面相应的业务胸测试计结果在：选测试结果：标铜通过(双闻)祝饰逐失败惑(导)隶测试通过：灯(瓶签字陷)至测试失败：将(章签字炎)唉失败原因：素注释：职静态尝NAT测试测试内容机基于静态惊NAT功能燥的要求是：妙对情SRX露内污网侧的陵服务器和主机地址进罩行一对一N慢AT映射，萝即对于从喘SRX端外网侧进入固内网侧的数梳据流，对押目的午地址进行N滚AT。具体显的测试需求芝：脖在邀SRX霞防火墙上对压PC蝶－1的IP殿地址搭10.1.须10芬.5犯进行地址转歌换，转换后京的地址为炎100.0在.0酷.1。帅PC渡－1作为穷业务服务器跨端，莲PC醒－2作为述业务客户惨端进行抛业务除测试泄，包括IC立MP（pi画ng）、T汗CP（ht之tp）、U翼DP（TF俭TP）测试澡PC－1作棚为业务客户贝端，PC－艰2作为业务协服务器端进党行业务测试卷，包括IC竞MP（pi修ng）、T卧CP（ht违tp）、U结DP（TF您TP）测试测试拓扑图PC-1PC-1.5InternetStaticNATPC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置乳1、配置接渗口IP地址扫seti耽nterf部aces关ge-0/莫0/0u狠nit0不fami沸lyin铸etad宋dress随俘10柱.1.10检.1/24根seti租nterf轮aces士ge-0/肿0/8u趋nit0限fami泼lyin罪etad本dress显1.1.胸70.5/烘24季2、配置目剧的静态目的远NAT桶sets浊ecuri纳tyna删tsta冠ticr染ule-s侨etst寺atic-状nat-1暴from才zone励untr趁ust筐sets贞ecuri味tyna戏tsta扮ticr继ule-s泡etst促atic-厉nat-1鼻rule踏rule板-stat立ic-na犁t-1m骆atch蛛desti响natio冒n-add禽ress霸100.0奉.0.绪1/32夺sets文ecuri锐tyna鉴tsta脚ticr奴ule-s殖etst软atic-掘nat-1航rule术rule廉-stat兰ic-na钱t-1t送hens漂tatic钉-nat首prefi隔x徒10.1.效10趟.5/32爹3、防配置zon咐e及将接口制加到zon撤e中，将g娇e-0/0冰/0.0分礼配至tru订stz感one，将共ge-0/跪0/8.0仓分配至un软trust籍zon袍e茄sets咳ecuri星tyzo宁ness微ecuri队ty-zo剩netr拼usth摊ost-i书nboun杨d-tra复ffic宇syste徒m-ser祖vices题all拍sets绢ecuri弯tyzo敏ness颤ecuri眉ty-zo家netr稀usth质ost-i蚂nboun修d-tra般ffic醒proto剩cols颈all晌sets选ecuri精tyzo织ness资ecuri楼ty-zo米netr拉usti煮nterf贱aces唇ge-0/赢0/0.0凳sets逆ecuri税tyzo合ness映ecuri机ty-zo捐neun肿trust贺host兴-inbo抖und-t菠raffi逢csys蔬tem-s镜ervic扑esal巧l勒sets觉ecuri众tyzo粮ness吸ecuri伍ty-zo匙neun俱trust灵host本-inbo卸und-t堤raffi枣cpro奋tocol歼sall卫sets哭ecuri替tyzo缸ness灾ecuri专ty-zo帖neun晌trust掀inte混rface纸sge-蜂0/0/8上.0唇4、配置i设cmp、h救ttp、t柜ftp应用使允许从tr乒ust访问诉untru昌st拍sets跪ecuri雨typo谢licie扒sfro塘m-zon致etru巩stto矮-zone强untr胀ustp究olicy石poli洽cy-ap貌p-tes茂tmat绢chso耀urce-热addre焰ssan岁y抛sets卸ecuri驼typo肚licie口sfro情m-zon廊etru凶stto搬-zone鸟untr轰ustp是olicy结poli欺cy-ap亏p-tes沾tmat位chde弃stina鸦tion-盒addre应ssan月y诊sets测ecu帝rity功polic夜iesf炸rom-z摸onet除rust立to-zo邻neun规trust味poli选cypo妙licy-尿app-t盛estm杏atch百appli弹catio欣napp阵-test啦sets匹ecuri吸typo患licie欧sfro田m-zon阔etru港stto挺-zone左untr愤ustp拣olicy托poli屋cy-ap谷p-tes棍tthe保n慕permi减t膝sets轮ecuri体typo厚licie砍sfro蜻m-zon影etru摧stto观-zone造untr抛ustp锤olicy科poli密cy-ap普p-tes巨tthe矛nlog功sess省ion-i辆nit食seta临pplic删ation玻sapp暖licat闲ionh浮ttpp瞧rotoc庆oltc回p蚀seta瞒pplic皆ation践sapp诸licat装ionh焰ttpd筋estin手ation邮-port储未seta遗pplic草ation键sapp倾licat辟ion-s跳etap洪p-tes雾tapp劫licat冬ion步计乐seta血pplic岭ation闸sapp凭licat扎ion-s品etap饱p-tes乒tapp湿licat怖ionj咳unos-阁icmp架-all卖seta怕pplic姓ation傻sapp漆licat用ion-s草etap享p-tes雅tapp扇licat遗ionj印unos-圾tftp矿5、配置允纯许untr但ustz醒one访问挥trust垂zone徐的服务器瑞10.1.制10骄.5威sets秧ecuri沫tyzo家ness折ecuri储ty-zo剩netr寄usta贯ddres眯s-boo楚kadd戚ress酬stati牙c-nat止-pc-1给纷10.1.德10吼.5/32刊sets衬ecuri渣typo虽licie雪sfro说m-zon寄eunt筋rust溉to-zo许netr蔑ustp切olicy惕perm旨it-st皮atic-港natm筒atch询sourc擦e-add毙ress校any撑sets袜ecuri发typo勤licie磁sfro够m-zon俩eunt语rust希to-zo深netr衔ustp践olicy咐perm仅it-st啄atic-沾natm互atch贺desti锋natio嫁n-add蛇ress班stati守c-nat左-pc-1拦sets码ecuri至typo怠licie扎sfro障m-zon崖eunt视rust河to-zo饶netr郊ustp导olicy捎perm产it-st哀atic-肠natm引atch漆appli监catio急nany保sets督ecuri纲typo导licie倘sfro阁m-zon踩eunt驰rust保to-zo头netr避ustp伟olicy序perm万it-st他atic-毛natt曾henp睬ermit属sets绒ecuri掩typo平licie或sfro搜m-zon第eunt岩rust睁to-zo翅netr湿ustp嫂olicy卧perm远it-st闹atic-自natt尝henl迷ogse腰ssion骑-init症sets祥ecuri闹typo跑licie荡sfro爬m-zon孔eunt丢rust桌to-zo饼netr遗ustp键olicy贺defa论ult-d桶enym轻atch阵sourc鸣e-add糠ress文any戒sets轻ecuri大typo取licie烂sfro搜m-zon挣eunt木rust惧to-zo蚀netr语ustp并olicy汗defa钩ult-d灰enym育atch饲desti拆natio织n-add诸ress锯any扒sets赌ecuri手typo勇licie股sfro稼m-zon裳eunt之rust陶to-zo觉netr拔ustp构olicy际defa屋ult-d镰enym拣atch月appli查catio消nany弄sets苏ecuri驾typo好licie府sfro临m-zon蝇eunt铁rust秧to-zo机netr疏ustp干olicy我defa爽ult-d季enyt常hend绘eny叙sets殿ecuri熔typo类licie选sfro扯m-zon引eunt刊rust阔to-zo俭netr鉴ustp部olicy碗defa岂ult-d渣enyt骗henl闹ogse下ssion乳-init测试表格忙测试号浩T仁est-4好设备名称没Junip缴erSR据X防火墙：穿SRX24境0H-1债设备软件版禾本思9.6R1朱测试项目训设备伏静态NAT粪测试睛测试目的懂验证设备络的防火墙静投态NAT史功能唉测试配置虹见本节的设图备配置部分竹测试步骤舟：修按配置步骤去进行配置下配置2台测虽试PC在防饰火墙两端，百分别配置地乔址为：赴10.1.拜10总.5/24子和伤末0.7吐/24请在槽外网鸭PC：1管.1.70扭.7慨上分别宅运行ICM冒P（pin随g）、TC少P（htt多p）、UD陷P（tft档p）应用访柴问NAT外币网地址10弊织.1，赖如正常则表识示伴untru果stzo选ne的pc那能通过NA暗T正常访问知通过NAT弦对外提供服旧务的服务器湾。痛在县内网迎PC：挎10.1.好10还.5拳上分别炮运行ICM得P（pin典g）、TC蝴P（htt哗p）、UD鹊P（tft解p）应用访贱问外网服务印器地址够奸0.7登，杨如正常则表甜示宰trust薄zone哭的pc能通魔过NAT正衣常访问外网腹服务器，并脚且在外网服贡务器上能看恩到蚁访问的源地蹄址为：10土服.1熟检查命令：肺A、查看s顶essio伯n连接：令lab@S双RX240捏H-1>通show炊secur悬ityf现lo眯wses善sion扎B、检查是臂否所有服务暴都正常允许绩或拒绝很从内网访问阴外网：揪从外网访问耐内网：亲C、检查l剃og信息：辨lab@S消RX240甲H-1>接show错log寺rtlog已d象D、sho拨w结果及配垒置文件：醒梁滑筑预期结果迷：矛在刷静态NAT文的情况下，束内网刃PC：撤10.1.彻10妖.5上分别盖用奏ping、心、董TFTP访喜问盯外网PC：壮困0.萌7堤，能正常访爱问诉，并且在肢锁0.7南上看到源地池址为NAT众后的地址：兔100.0源.0.1槽在静态NA诱T的情况下坑，外网PC李：驴葛0.7蔬上分别用怠ping、抹、赌TFTP访炉问内网鱼PC：榨10.1.财10腊.5胳对外的NA移T地址：1轧00.0.桐0.1，能初正常访问，皮并且在即10.1.坛1.10.砌7澡上看到源地广址为NAT伸后的地址：茄100.0里.0.1页测试辣结果使：嫩测试结果：艘棵通过(蛇敢)牧躺尘失败著(屯)咐测试通过：哄(哈签字浸)梢测试失败：赵(能签字艺)市失败原因：属注释：掌基于rul隆e的目的N冶AT测试测试内容娇基于rul击e的飞目的NAT皇功能的要求乳是：对SR户X内网侧的追服务器主机除地址进行一脸对一NAT折映射，即对炒于从SRX少外网侧进入负内网侧的数决据流，对目馅的地址进行适NAT策；NAT地冻址池可以为可1到多个，享用于分别对猎应内网1到勒多个服务器建。曲具体的测试拢需求：英在SRX防析火墙上对P培C顾-1、PC捎-3哄的IP地址建10.1.光10始.5、10告.1.10接.6翅进行地址转挪换，转换后撤的地址蝇分别启为100.柿熊、100.组变。柜PC－1而、PC-3昆作为业务服芝务器端，P傲C－2作为泳业务客户端雀进行业务测葱试，包括I醉CMP（p亦ing）、偷TCP（h圾ttp）、查UDP（T什FTP）测路试峡PC－1友、PC-3西作为业务客桐户端，PC硬－2作为业因务服务器端顷进行业务测桐试，包括I毫CMP（p椅ing）、栽TCP（h疯ttp）、堡UDP（T朽FTP）测僵试测试拓扑图PC-1PC-1、3.5、6InternetDestinationNATPC-.1TrustUntrustSRX、2Ge-0/0/0Ge-0/0/8设备配置筋1、配置接殖口IP地址共seti督nterf次aces液ge-0/兆0/0u劈nit0对fami着lyin奥etad餐dress尚验10.1.毫10掩.1/24赠seti司nterf柄aces早ge-0/退0/8u趁nit0舟fami散lyin挺etad勉dress叼1.1.个70.5/右24悼2舒、配置基于顾rule的敲目的NAT霞se秘tsec紧urity炊nat帅desti纯natio糟npoo激lser标ver-5躬addr挤ess于10.1.倍10折.5/32锈sets谣ecuri槐tyna塑tdes活tinat羊ionp蔽ools烦erver么-化6疯addr今ess都10.1.移10开.贵6炎/32戚sets页ecuri疤tyna半tdes姥tinat荐ionr堵ule-s雹etdn绑at-1炼from视zone吸untru音st锣sets肚ecuri面tyna耳tdes叼tinat裳ion项rule-洒setd虎nat-1铃rule色rule克-dnat期-乡1赤matc霉hdes皱tinat勾ion-a休ddres竭s100企.0.0.绸1/32夏sets腰ecuri克tyna属tdes依tinat串ionr混ule-s筹etdn玩at-1嫌rule霸rule-熊dnat-丰1the近ndes事tinat钳ion-n屡atpo查olse导rver-革5杆sets港ecuri露tyna橡tdes租tinat五ion弄rule-盛setd率nat-1偶rule锤rule姓-dnat谈-变2女mat逢chde凡stina吸tion-度addre蔬ss10贤兴.例2泉/32寸sets签ecuri医tyna圆tdes稳tin股ation钉讽rule-付setd韵nat-1汉rule山rule北-dnat彼-理2都then数dest步inati扁on-na安tpoo逼lser殃v启er-含6生3、惩配置zon岸e及将接口乌加到zon润e中，将g央e-0/0踪/0.0分觉配至tru泉stz疼one，将亩ge-0/纤0/8.0症分配至un难trust勉zon五e屯sets舱ecuri障tyzo秤ness救ecuri询ty-zo歉netr纹usth毙ost-i馆nboun竞d-tra鬼ffic情syste印m-ser顺vices葬all尊sets手ecuri歼tyzo乡ness风ecuri洋t遣y-zon什etru识stho萄st-in哨bound零-traf描ficp绪rotoc厘olsa泡ll坐sets拌ecuri叶tyzo葛ness受ecuri皇ty-zo达netr此usti训nterf因aces尿ge-0/绍0/0.0写sets徒ecuri跃tyzo遗ness链ecuri多ty-zo孝neun邪trust晃host速-inbo足und-t文raffi英csys恋tem-s愈ervic察esal蒜l确sets粱ecuri质tyzo稼ness犹ecuri腰ty-zo亭neun隆trust纹host伴-inbo配und-t满raffi厉cpro捡tocol域sall叮sets评ecuri劳tyzo荐ness蹦ecuri毅ty-zo袋neun滚trust繁inte鸟rface持sge-弦0/0/8言.0很4、配置i匆cmp、h言ttp、t跟ftp应用始允许从tr枣ust访问忌untru融st铃sets僵ecuri级typo高licie铅sfro呼m-zon舍etru满stto线-zone丽untr志ustp途olicy蹄poli华cy-ap答p-tes跨tmat挨chso绢urce-妥addre刮ssan财y飞sets铸ecuri滩typo五licie泳sfro肃m-zon伞etru订stto无-zone闷untr销ustp主olicy央poli裙cy-ap诵p-tes走tmat棚chde克stina潮tion-忠addre某ssan叶y协sets称ecu鸭rity仙polic转iesf蛇rom-z静onet愿rust旨to-zo数neun百trust丙poli呈cypo街licy-燃app-t颗estm平atch浙appli丑catio口napp腊-test灾sets崖ecuri恭typo撇licie肾sfro舱m-zon双etru赌stto办-zone刘untr却ustp汤olicy字poli拉cy-ap跨p-tes同tthe线n老permi宪t防sets律ecuri爱typo辞licie辛sfro鼠m-zon讲etru际stto旗-zone双untr铜ustp佣olicy夸poli编cy-ap朋p-tes屑tthe尤nlog裕sess元ion-i蚕nit架seta补pplic民ation他sapp石licat解ionh已ttpp逢rotoc悲oltc致p五seta婚pplic蛋ation瓜sapp聋licat礼ionh乏ttpd劲estin彼ation提-port景狠seta灭pplic间ation战sapp码licat多ion-s租etap弹p-tes助tapp伙licat映ion魄字爆seta怒pplic良ation慕sapp眼licat寒ion-s望etap评p-tes晒tapp夺licat馋ionj狐unos-斯icmp梯-all表seta烟pplic摸ation休sapp槐licat泄ion-s旬etap混p-tes雹tapp暂licat恶ionj葱unos-光tftp踪5、配置允愚许untr符ustz狂one访问牺trust碗zone营的服务器饺10.1.生10樱.5歉、10.1虽.10.6快sets丧ecuri取tyzo怕ness绣ecuri骑ty-zo店netr点usta续ddres据s-boo输kadd结ress壳dnat-到pc-1泛10.1.面10优.5/32唯sets渣ecuri略tyzo玉ness鉴ecuri贫ty-zo掘netr眠usta育ddres倚s-躲book喘addre答ss忘dnat-贴pc-2餐10.1.杏10摧.6/32咬sets鸣ecuri拐tyzo总ness岭ecuri主ty-zo注netr宅usta室ddres凡s-boo姻kadd箱ress-懒setd监nat-p唐cadd认ress筹dnat-这pc-1故sets勿ecuri常tyzo属ness方ecuri英ty-zo虑netr依usta霸ddres肚s-boo延kadd峰ress-咸setd贱nat-p烛cadd跳ress尝dnat-源pc-2胶sets温ecuri岸typo智licie莲sfro独m-zon未eunt延rust豆to-zo即net戒rust聋polic伯yper赔mit-d脸nat差matc翼hsou衰rce-a龟ddres李sany续sets把ecuri屡typo吸licie播sfro缝m-zon嫂eunt付rust叨to-zo龙ne武trus郊tpol耗icyp灰ermit远-dnat性m刘atch篇desti圈natio挂n-add冈ress毙dnat-刻pc乌sets兔ecuri退typo给licie库sfro阵m-zon豆eunt病rust斗to-zo衫netr零ustp咬olicy里perm寇it-dn叨at纸matc割happ中licat蓄ion府any执sets绢ecuri挨typo疼licie渴sfro名m-zon棚eunt掏rust怜to-zo滔ne馆trus肃tpol膨icyp另ermit裳-dnat溜then畜perm统it密sets召ecuri嘱typo惯licie阶sfro旨m-zon南eunt眠rust肢to-zo胸ne浙trus搏tpol挪icyp叉ermit数-dnat炼then申腿logs栋essio招n-ini碎t测试表格烘测试号蛙T倡est-4培设备名称吴Junip梁erSR盛X防火墙：哗SRX24受0H-1转设备软件版案本剪9.6R1咏测试项目筹设备幕基于钟rule木的爪目的NAT甚测试任测试目的鸦验证设备溜的防火墙凭基于rul愉e的俯目的NAT域功能附测试配置远见本节的设醋备配置部分宁测试步骤扁：龟按配置步骤秃进行配置桂配置2台测兴试PC在防霸火墙现内网侧专，考1慕台测试PC顾在防火墙局外网侧，宣分别配置地黎址为：户10.1.简10荷.5枯、6愈/24和泼骨0.7付/24畅在运外网座PC：1序.1.70态.7瞧上分别朝运行ICM浓P（pin旦g）、TC售P（htt汉p）、UD霸P（tft疗p）应用访屯问NAT外夺网地址10逢篇.1狂、省100.0白.0.柔2救，恰如正常则表婆示冰untru模stzo棉ne的pc孟能通过NA辜T正常访问太通过NAT伪对外提供服寨务的服务器毯。施检查命令：舞查看ses若sion连挤接：裙lab@S肃RX240纯H-1>累show诸secur展ityf砍lo胶wses柱sion拾检查目的N侵ATPo添ol：助lab@S撤RX240括H-1>渡show剩secur陆ityn传atde槐stina推tion允pool缓all粮检查是否所赶有服务都正践常允许或拒阅绝呼从外网展士0.7待访问内网妻NAT迈后IP地址羞：100.内卧、100.其尼：忧检查log秘信息：便lab@S突RX240亩H-1>暑show豆log灵rtlog晶d垄show结震果及配置文坟件：席孝妇咱预期结果复：羞在亿目的牌NAT的情毕况下，外网壁PC：1.乓1.70.通6布上分别用利ping、知、某TFTP访圈问内网早PC：长10.1.疤10基.5喇、6许对外的NA掩T地址：1盈00.0.追0.1陈、2摊，能正常访啄问，并且在追10.1.他1.10.收5策、6令上看到源地鄙址为NAT街后的地址：朋100.0狮.0.1称测试翻结果赖：否测试结果：该四通过(毫寿)