防火墻測(cè)試方案

1、防火墻測(cè)試方案測(cè)試項(xiàng)目主要測(cè)試項(xiàng)目（必測(cè)）NAT/PATSite-to-SiteIPSec/VPNDynamicRemote-AccessIPSec/VPNIPSec/VPN的NA0透Remote-AccessPPTPVPN的穿透ACL和會(huì)話數(shù)的限制Syslog、SNMP遠(yuǎn)程管理輔助測(cè)試項(xiàng)目（選測(cè)）認(rèn)證功能P2P流量限制測(cè)試一、NAT/PAT拓?fù)鋱DFTP ClientLoadRunnerLoadRunnerPC3測(cè)試要求（如防火墻inside接口不夠，則使用交換機(jī)連接內(nèi)部三臺(tái)pc并將內(nèi)部網(wǎng)絡(luò)合并為將靜態(tài)翻譯（地址翻譯）為將動(dòng)態(tài)翻譯（端口翻譯）為檢查方法及檢查項(xiàng)目PC1通過(guò)FTP方式從教育網(wǎng)下載

2、數(shù)據(jù)PC2ffiPC3f用LoadRunner分別模擬500臺(tái)電腦瀏覽網(wǎng)頁(yè)查看設(shè)備負(fù)載和網(wǎng)絡(luò)延遲測(cè)試二、Site-to-SiteIPSec/VPN拓?fù)鋱DInsidePC11.1。0.254測(cè)試防火墻OutsideCisco ASA 5540Inside測(cè)試要求1.ISAKMPE置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.只對(duì)和之間互訪的流量進(jìn)行IPSEC的力口密檢查方法及檢查項(xiàng)目PC俐PC2

3、能否相互PING通，在ASA5540y$測(cè)數(shù)據(jù)是否為加密數(shù)據(jù)。修改PC2的ip地址為2,使用pc1PINGpc2,在asa5540上檢查數(shù)據(jù)是否為明文。測(cè)試三、DynamicRemote-AccessIPSec/VPN拓?fù)鋱DInsideOutsidePC2測(cè)試要求1.ISAKM用己置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSha2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.其他地址池1.1.14.防火墻Outside外任何主機(jī)都可以與防火墻

4、建立IPSec/VPN連接5.只對(duì)PC1和PC2互訪的數(shù)據(jù)加密。檢查方法及檢查項(xiàng)目PC2修改IP地址為2后是否能與防火墻建立IPSec/VPN連接PC2能否獲得正確的DNSPC1和PC2能否相互PING通。檢查防火墻Outside接口收到的數(shù)據(jù)是否為明文測(cè)試四、IPSec/VPN的NA倍透拓?fù)鋱DInside Outside.254測(cè)試防火墻1Cisco ASA5540OutsideInsidePC2OutsideInside測(cè)試要求1.ISAKMPE置AuthenticastionPre-ShareEncryptionAES(256-bit)Diffie-HellmanGroup2HashSh

5、a2.IPSec配置Transform-Setah-sha-hmacesp-aes(256-bit)3.CiscoASA5540上允許以下流量進(jìn)入其內(nèi)網(wǎng)UDP500AH50ESP51UDP4500UDP10000TCP10000檢查方法及檢查項(xiàng)目?jī)蓽y(cè)試設(shè)備是否可以正常建立IPSec/VPN連接PC1和PC2是否可以相互PING通測(cè)試五、Remote-AccessPPTPVPN拓?fù)鋱DInsideOutsidePC2使用 Windows自帶的VPNt防火墻建立PC2能否獲得止確的DNSPC2?口 PC1能否相互PING通測(cè)試六、的穿透PPTR!接拓?fù)鋱D測(cè)試要求認(rèn)證方式MSCHAP加密方式MPPE地

6、址池1.1.1檢查方法及檢查項(xiàng)目InsideOutside測(cè)試要求測(cè)試防火墻配置靜態(tài)地址翻譯，將翻譯為測(cè)試防火墻配置端口翻譯，將翻譯為檢查方法及檢查項(xiàng)目配置靜態(tài)地址翻譯后，PC和PC否可以用NetMeeting進(jìn)行語(yǔ)音通話，如果可以正確建立連接，是否存在單向音問(wèn)題。配置端口翻譯后，PC和PC否可以用NetMeeting進(jìn)行語(yǔ)音通話，如果可以正確建立連接，是否存在單向音問(wèn)題。測(cè)試七、ACL和會(huì)話數(shù)的限制拓?fù)鋱DInsideOutside測(cè)試要求.配置ACL只允許WW流量到防火墻內(nèi)部的PCI.限制PC1的會(huì)話數(shù)為5。檢查方法及檢查項(xiàng)目PC1上建立WW服務(wù)，提供一文件下載，PC2用多線程下載軟件從PC

7、1下載文件，檢查連接數(shù)是否被限制在5個(gè)。測(cè)試八、Syslog、SNMP遠(yuǎn)程管理檢查方法及檢查項(xiàng)目是否支持syslog功能是否支持snmp管理（通過(guò)snmp能否檢測(cè)cpu利用率，連接數(shù)）是否支持遠(yuǎn)程管理，通過(guò)outside口登陸防火墻進(jìn)行管理測(cè)試九、認(rèn)證功能拓?fù)鋱DInsideOutside測(cè)試要求1.防火墻上配置認(rèn)證功能檢查方法及檢查項(xiàng)目?jī)?nèi)部主機(jī)PC1主動(dòng)發(fā)起HTTP青求連接PC2時(shí)，防火墻通過(guò)WEBC面方式（其他方式也可以）對(duì)PC1進(jìn)行認(rèn)證，認(rèn)證通過(guò)后PC1才可正常訪問(wèn)PC2測(cè)試十、P2P流量限制拓?fù)鋱DPC1測(cè)試要求1.防火墻上配置P2P流量限制功能。檢查方法及檢查項(xiàng)目PC1能否進(jìn)行BitTo

8、rrent或E-Donkey的下載測(cè)試結(jié)果主要測(cè)試項(xiàng)目（必測(cè)）NAT/PAT是否支持NAT?是否支持PAT?設(shè)備負(fù)載網(wǎng)絡(luò)延遲Site-to-SiteIPSec/VPN是否支持Site-to-SiteIPSec/VPN?是否支持只對(duì)需要數(shù)據(jù)進(jìn)行IPSec/VPN加密？DynamicRemote-AccessIPSec/VPN是否支持Remote-AccessIPSec/VPN是否支持DynamicRemote-AccessIPSec/VPN能否獲得正確的DNS?IPSec/VPN的NAT穿透是否支持IPSec/VPN的NAT穿透？Remote-AccessPPTPVPN是否Remote-AccessPPTPVPN能否獲得正確的DNS?的穿透是否支持NATT的穿透？是否支持PAT下的穿透？ACL和會(huì)話數(shù)的限制是否支