SRX防火墻產(chǎn)品測(cè)試內(nèi)容

目錄1SRX防火墻產(chǎn)品測(cè)試內(nèi)容41.1設(shè)備清單及版本41.2SRX功能測(cè)試41.3設(shè)備可管理測(cè)試6測(cè)試內(nèi)容6測(cè)試拓?fù)鋱D6設(shè)備配置6測(cè)試表格71.4路由模式測(cè)試91.4.1測(cè)試內(nèi)容9測(cè)試拓?fù)鋱D9設(shè)備配置9測(cè)試表格101.5策略測(cè)試13測(cè)試內(nèi)容13測(cè)試拓?fù)鋱D13招蔬柏設(shè)備配置厘腥14沙跪全測(cè)試表格噸動(dòng)15價(jià)1.6廊犧靜態(tài)就NAT言測(cè)試先昏17帽介椅測(cè)試內(nèi)容舟銷17擾己杯測(cè)試拓?fù)鋱D醬牧17樂伐暫設(shè)備配置驗(yàn)音17痰士木測(cè)試表格暗匯19清1.7路外基于承rule夕的目的巷NAT桌測(cè)試健引23壯俗偷測(cè)試內(nèi)容謠慚23僻誓生測(cè)試拓?fù)鋱D隸暫23題桿棍設(shè)備配置駝框23衣攀曬測(cè)試表格鐵果25揮1.8價(jià)議基于接口的誓源延NAT蛇測(cè)試鹿船28子肝世測(cè)試內(nèi)容恰腎28亦喘物測(cè)試拓?fù)鋱D役套28篇子陶設(shè)備配置刮秘28兔條樹測(cè)試表格話勸29脆1.9扒哥基于繞Rule匠的源門NAT習(xí)測(cè)試梯-1匯然31紡新版測(cè)試內(nèi)容康蹄31參1險(xiǎn).9.2樣艘測(cè)試拓?fù)鋱D許房31擱啄逃設(shè)備配置艙擦31揪灣荒測(cè)試表格粗兼32呈1.10杏崗基于損Rule押的源后NAT縣測(cè)試夸-2每銷35配1.10.辛1爽粘測(cè)試內(nèi)容誤唇35訂1.10.陜2電仍測(cè)試拓?fù)鋱D寫舟35紙1.10.字3蟻竄設(shè)備配置餐突35勤1.10.杜4夸奧測(cè)試表格鋼步36值1.11冊(cè)團(tuán)HA浙工作方式測(cè)辰試界合39愁1.11.毒1慨紛測(cè)試內(nèi)容賢銅39注1.11.餓2咽羊測(cè)試拓?fù)鋱D陜銹40單1.11.價(jià)3犁懼設(shè)備配置奇宿40居1.11.漁4丸住測(cè)試表格權(quán)探42虎1.12賭剃基于策略的錦長(zhǎng)連接測(cè)試青藥44炕1.12.頁(yè)1杜雀測(cè)試內(nèi)容銀面44汗1.12.口2認(rèn)簽測(cè)試拓?fù)鋱D爸殊45東1綿.12.3衫怨設(shè)備配置蟻彩45鐵1.12.盛4果糊測(cè)試表格柱吵46曾1.13臭凍SRX工防火墻性能老測(cè)試貪像49倉(cāng)1.13.貍1沈砌測(cè)試拓?fù)鋱D陵膝49瞎1.13.的2深乎普通數(shù)據(jù)量蠢壓力測(cè)試不哈49什1.13.遼3稈滋大數(shù)據(jù)量壓猜力測(cè)試麗望49碼1.13.叢4亡記長(zhǎng)連接下的邀普通數(shù)據(jù)量泉壓力測(cè)試希系50把1.13.位5穴礎(chǔ)設(shè)備配置辛惕50季1.13.鑼6字低測(cè)試表格貿(mào)化51混1.14衡抗SRX販防火墻網(wǎng)管員測(cè)試氏冷54惡1.14.血1留汪SNMP浮管理測(cè)試澇霧54霉1.14.傾2交骨NTP朵測(cè)試副怒57梯1.14.貓3皮站Syslo鬼g做測(cè)試言劃60飛1.15芹績(jī)SRX剪防火墻鋼VPN粉測(cè)試?guó)f盒63域1.15.寨1蝴瓣Ipsec印VPN萄remot聲ecli妥ent西測(cè)試屠灰63樓1.15.恭2想洪Ipsec援VPN畢點(diǎn)對(duì)點(diǎn)定Polic位ybas凡eV期PN事連接測(cè)試廁諒64豬1.15.岡3捧擇Ipsec循VPN屆點(diǎn)對(duì)點(diǎn)嚇route疲base湯VPN管連接測(cè)試危之73客1.16銜產(chǎn)OSPF按路由協(xié)議功猜能測(cè)試非公81菜1.16.受1腎予測(cè)試內(nèi)容織輔81坐1.16.莊2條骨測(cè)試拓?fù)鋱D南候81筑1.16.昆3縫替設(shè)備配置鳳針82從1.16.妨4請(qǐng)事測(cè)試表格蓬亮82坦1.17短破VRRP萍協(xié)議功能測(cè)控試摘篇86竿1.17.客1街震測(cè)試內(nèi)容組蛾86設(shè)1.17.愚2她冊(cè)測(cè)試拓?fù)鋱D需下86排1.17.桑3樂朝設(shè)備配置孩騎87偷1.17.捉4羊貓測(cè)試表格制猶88疾1.18紙弱DHCP粉功能測(cè)試占基90游1.18.即1瞞繡測(cè)試內(nèi)容槐管90解1.18.虎2治坑測(cè)試拓?fù)鋱D材尾90種1.18.語(yǔ)3省鴉設(shè)備配置悅詢91赴1.18.坦4久個(gè)測(cè)試表格牌問91蘋SRX緩防火墻產(chǎn)品殃測(cè)試內(nèi)容柳設(shè)備清單及鉛版本送設(shè)備清單與設(shè)備版本虜文檔版本蘇備注從SRX2州40H兩碑臺(tái)赤9.6R有1法V1.0溉測(cè)試PC首兩臺(tái)撤XPSP魚2悶測(cè)試軟件：斬NetIQ鴿5.4麥TFTP腳Serve鬼r/cli媽ent姑TFTPD葉32帶WebS艙erver志仔E皺asyW映ebSe商rver武ftps箱erver泥FileZ給illa谷推Serve損r召S袖yslog下serv緒er澡TFTPD伶32久SRX條功能測(cè)試噴SRX騾防火墻的功帳能測(cè)試包括鍋以下幾個(gè)方彎面：路由模式尸策略（IC幕MP、TC威P、UDP指）綢基于策略的慌長(zhǎng)連接崗HA工作方摘式主備切換網(wǎng)S濁essio搶n同步重網(wǎng)管功能測(cè)拜試榜SNMP測(cè)脆試NTP測(cè)試豆Syslo客g測(cè)試罷VPN功能購(gòu)測(cè)試稿I判p王secV統(tǒng)PNre謀mote市clien撲t邀測(cè)試堅(jiān)I商p暴secV相PN點(diǎn)對(duì)點(diǎn)膚測(cè)試井路由功能測(cè)還試墾OSPF功艷能測(cè)試妹設(shè)備可管理欄測(cè)試測(cè)試內(nèi)容末設(shè)備可管理哄測(cè)試是測(cè)試吧防火墻能否截支持常用的量管理協(xié)議，位包括tel量net、s逆sh、ht喘tp和ht娃tps攀；基本的測(cè)識(shí)試方法為在晚防火墻配置碼相應(yīng)的管理夠服務(wù)及管理顏用戶，并在烤相應(yīng)的接口赴或zone應(yīng)上配置是否殃可以接受管暢理，通過P普C分別用t邊elnet窩、ssh、梯和瘦s誓方式登錄防糕火墻，從而撕驗(yàn)證防火墻饅的可管理功驚能。測(cè)試拓?fù)鋱D設(shè)備配置央配置管理用牧戶：御sets守ystem另logi比nuse陷rlab稱uid短2000套sets初ystem通logi燥nuse歷rlab西clas眾ssup交er-us碑er軌sets燒ystem汗logi誠(chéng)nuse機(jī)rlab收auth終entic伙ation遍plai坑n-tex窮t-pas狂sword省配置系統(tǒng)管爸理服務(wù)：（辮ssh、t款elnet資、翅、棉s）舌sets部ystem竭serv嘴ices就ssh侮sets剝ystem乳serv筒ices參telne毀t恨sets濫ystem秘serv語(yǔ)ices宜web-m佩anage需ment送褲inter衣face凝ge-0/坦0/0.0俗（可以哥進(jìn)行的鑄管理接口）松sets倒ystem皆serv級(jí)ices鐵web-m仁anage圖ment煉翅inter電face掩all要sets犧ystem耍serv疼ices予web-m金anage遭ment柳s策syst倒em-ge癢nerat瞎ed-ce正rtifi煙cate轉(zhuǎn)sets級(jí)ystem秘serv清ices拐web-m駕anage沸ment甩s歪inte磚rface嗽all攜配置接口地把址叨seti哭nterf彈aces池ge-0/趕0/0u散nit0剃fami剖lyin盛etad比dress受孫10.1.柿10阻.1/24宅seti心nterf記aces團(tuán)ge-0/恐0/8u括nit0扔fami凝lyin筍etad仍dress蝦1.1.瘡70.5/梳24肺配置zon驚e或接口是茶否可以管理嫌防火墻設(shè)備衛(wèi)：繡A米、柱配置zon先etru囑st可以管變理防火墻：蒙sets廚ecuri曠tyzo館ness價(jià)ecuri奪ty-zo扭netr徒ust賣鋒host-杰inbou島nd-tr觸affic蟲syst鮮em-se遵rvice款s錢all辰sets膏ecuri畜tyzo羅ness喂ecuri奧ty-zo抱netr息usti般nterf獅aces器ge-0/條0/欠0錦.0匠B挽、災(zāi)配置朵zone吸untru涂st配可以管理防現(xiàn)火墻堆，飾但其中的隔ge-0/串0/8.0搜只能用睡telne教t詞和死夕管理瑞，幫其他的不允蜓許茅：絞sets燭ecuri李tyzo錯(cuò)ness欲ecuri杯ty-zo愈ne腫un泳trust偽器host-哄inbou右nd-tr艇affic忍syst雨em-se告rvice貍s炎all晶sets放ecuri敵tyzo趴ness尊ecuri冤ty-zo致ne黑un府trust防inte宵rface效sge-盼0/0/走8吃.0ho克st-in川bound慢-traf杏fics請(qǐng)ystem彩-serv侵ices慶收s插sets菜ecuri績(jī)tyzo拉ness裕ecuri等ty-zo制ne記un夏trust殿int滾erfac蹤esge往-0/0/獵8施.0ho蔽st-in擱bound樓-traf辯fics掌ystem上-serv玻ices叼ssh測(cè)試表格編測(cè)試號(hào)為T眨est-1板設(shè)備名稱跑Junip膚erSR誼X防火墻：完SRX24脅0H-1倘設(shè)備軟件版吐本云9.6R1墊測(cè)試項(xiàng)目權(quán)設(shè)備可管理壺測(cè)試峰測(cè)試目的起驗(yàn)證揮設(shè)備可管理宗功能儉測(cè)試配置括見本節(jié)的設(shè)掃備配置部分位測(cè)試步驟拒：捧按配置步驟晚進(jìn)行配置邊配置2臺(tái)測(cè)起試PC在防懼火墻兩端，挨分別配置地處址為：趟10.1.秧10渡.5/24收和躺鄙0.7廚/24伸在PC：泄10.1.攤10騎.5上分別突用ssh、搶telne哥t、htt遷p、htt辛ps方式登繳錄防火墻的番接口地址：悅10.1.題10.1，眾并以用戶l仰ab登錄，晚如正常則表篇示防火墻的關(guān)可管理功能斬正常雜在PC：1旱.1.70米.本7值上分別用s氧sh、te鋒lnet、破、帽s勤方式登錄防乏火墻的接口純地址：1.僅1.70.序5，并以用誠(chéng)戶lab登洲錄，由于該肢接口在un務(wù)trust改zone中，并且該接爬口只允許s霸sh及ht轟tps管理舊，所以該用上戶只能已t納elnet暈和肅來(lái)管理設(shè)備喊，用tel俊net和h蛇ttp則不胸允許訪問防輩火墻?？礄z查命令：炭檢查當(dāng)前的敬登錄用戶：晉lab@S增RX240蓄H-1>繪show燦syst似emus域ers疲襲11:50瑞AM真up哈2day赤s,23揚(yáng)mins垮,2u把sers,傳load式aver汪ages:吉4.19濱,3.7擦5,3.映52眼USER樹T堡TY亂FR微OM蠻討醬旗萄LOGIN覆@ID秩LEWH紀(jì)AT刪lab分p喝0靠聚10.1.保10勢(shì).5探著傍采殘10:咐40AM問1:04偷-cli厭(cli委)草lab悄p背1酬亡10.1.乓10乖.5掘廣合捕展11:靠45AM糕-確-cli濱(cli識(shí))腐lab開j訪web2課算10.1.獎(jiǎng)10錫.5皆對(duì)執(zhí)少淺11:4勁7AM塌2之lab葛j妻web1之豈10.1.要10泥.5盒劇暮墨笑11:5朝0AM附-難預(yù)期結(jié)果宴：翼PC：器10.1.溪10漁.5上分別拴用ssh、務(wù)telne拐t、htt惠p、htt旨ps方式并殲以lab用涼戶能正常登秋錄防火墻的它接口地址：磚10.1.寒10.1，搬并正常進(jìn)行番配置管理筐在PC：1頭.1.70割.拋7榮上只能用s構(gòu)sh、ht欺tps方式馬并以lab告用戶正常登疏錄防火墻的挺接口地址：脖瞧0.5，并院正常進(jìn)行配辟置管理；其劑他的tel的net和h刊ttp方式謊則不允許。就測(cè)試綁結(jié)果賢：聽測(cè)試結(jié)果：笨顏通過(徐些)機(jī)棕依失敗邪(程)橫測(cè)試通過：元(昆簽字長(zhǎng))張測(cè)試失?。好?庫(kù)簽字灶)搏失敗原因：鹿注釋：萌路由模式測(cè)彩試測(cè)試內(nèi)容布路由模式測(cè)博試是測(cè)試防請(qǐng)火墻是否支砍持路由功能結(jié)，基本的測(cè)與試方法是在滿防火墻的內(nèi)重外網(wǎng)口分別盯連接網(wǎng)絡(luò)冶PC碧，并按拓?fù)浣秷D，對(duì)防火尿墻進(jìn)行相應(yīng)側(cè)的配置，包釣括IP區(qū)地址，路由團(tuán)，策略，及花其他相關(guān)配芽置。通過兩資臺(tái)野PC董分別Pin校g嘆及傍訪問泰對(duì)方，從而灶驗(yàn)證防火墻弊的路由功能演。測(cè)試拓?fù)鋱D設(shè)備配置飼配置接口地內(nèi)址導(dǎo)seti齊nterf敞aces旁ge-0/晨0/0u到nit0鉤desc翠ripti仆onto半-LAN-冷trus袍t夫seti挑nterf甚aces括ge-0/蒙0/0u剪nit0樹fami槽lyin畏etad棍dress墳錦10.1.凱10佛.1/24橫seti簡(jiǎn)nterf屆aces瞧ge-0/僅0/趟8繞unit郵0de談scrip瞇tion傅to-居W具AN-萬(wàn)un療trust換seti執(zhí)nterf災(zāi)aces嗓ge-0/縣0/8u桑nit0唐fami戀lyin靈etad書dress缸1.1.返70.5/呀24黑配置zon女e及將接口叛加到zon冒e中，將g贊e-0/0墳/0.0分軟配至tru廁stz遠(yuǎn)one，將弊ge-0/柴0/8.0涂分配至un滋trust銷z酒one竊sets尼ecuri擇tyzo疾ness肥ecuri蟲ty-zo腫netr瞞usth顧ost-i竿nboun勉d-tra未ffic文syste景m-ser冰vices旗all速sets貿(mào)ecuri從tyzo煎ness賄ecuri桑ty-zo侵netr魚usth周ost-i司nboun謀d-tra頓ffic叢proto真cols閥all錦sets技ecuri傳tyzo正ness引ecuri步ty-zo叮netr撲usti斷nterf滋aces筍ge-0/擱0/0.0股sets晝ecuri淚tyzo廈ness猴ecuri風(fēng)ty-zo隸neun細(xì)trust觸host蕩-inbo桑und-t還raffi己csys趕tem-s洞ervic帶esal坐l持sets犬ecuri差tyzo忘ness歪ecuri爪ty-zo根neun喉trust煮host例-inbo踐und-t政raffi誦cpro黨tocol慎sall尋sets事ecuri檢tyzo隊(duì)ness乖ecuri悟ty-zo唇neun寫trust懂inte演rface考sge-芬0/0/8突.0怠3、配置策仿略，允許t誼rust和黃untru陷st之間互庫(kù)相通信，并蔑且打開lo惑g記錄驢sets序ecuri獲typo背licie襪sfro監(jiān)m-zon盆etru避stto炎-zone物untr傘ustp抄olicy迅defa姓ult-p超ermit緒matc帥hsou點(diǎn)rce-a城ddres宰sany份sets述ecuri戒typo蒸licie消sfro逼m-zon罪etru錫stto概-zone塌untr套u(yù)stp硬olicy替defa展ult-p己ermit挨matc屯hdes蘭tinat斧ion-a次ddres賽sany寇sets闖ecuri兇typo制licie巴sfro哈m-zon借etru騙stto脅-zone訊untr馳ustp積olicy拔defa療ult-p撫ermit熔matc披happ躲licat先iona厚ny斯sets香ecuri支typo貴licie回sfro譜m-zon使etru錢stto亡-zone稍u(píng)ntr爹ustp閃olicy惱defa蝕ult-p挨ermit限then參perm彈it紛sets腳ecuri少typo沫licie樣sfro木m-zon筒etru汪stto象-zone底u(yù)ntr身ustp之olicy面defa咬ult-p框ermit肉then尚l(wèi)og章sessi知on-in令it謙sets狀ecuri炊typo已licie傲sfro飄m-zon破eunt班rust棟to-zo劃netr襲ustp挖olicy竟defa黨ult-p曉ermit盆matc酒hsou必rce-a郊ddres筑sany避sets孩ecuri疏typo央licie何sfro桶m-zon稼eunt妄rust層to-zo括netr漁ustp昆olicy轟defa紫ult-p脖ermit號(hào)matc蘇hdes愧tinat姜ion-a勿ddres令sany鄙sets承ecuri肅typo肝licie睡sfro綠m-zon赤eunt錘rust敢to-zo虧netr趕ustp違olicy楚defa械ult-p仰ermit漏matc擴(kuò)happ武licat女iona淡ny梨sets撫ecuri比typo頃licie蒸sfro欲m-zon盈eunt敲rust盈to-zo我netr胳ustp乳olicy乓defa梳ult-p瞞ermit儀then周perm鎖it鳴sets算ecuri明typo冰licie球sfro肅m-zon容eunt贏rust魯to-zo階netr膝ustp誠(chéng)olicy控defa渠ult-p棕ermit成then膀log切sessi磁on-in完it測(cè)試表格容測(cè)試號(hào)脹T益est-2拋設(shè)備名稱唉Junip罪erSR碑X防火墻：揮SRX24郊0H-1丘設(shè)備軟件版資本倦9.6R1駛測(cè)試項(xiàng)目崗設(shè)備可路由管測(cè)試勵(lì)測(cè)試目的弦驗(yàn)證設(shè)備可吉路由傳輸王功能衰測(cè)試配置趴見本節(jié)的設(shè)蘭備配置部分與測(cè)試步驟西：該按配置步驟辯進(jìn)行配置乒配置2臺(tái)測(cè)慣試PC在防自火墻兩端，向分別配置地臘址為：俗10.1.狹10興.5/24驕和端追0.7武/24鉛在PC：扣10.1.恥10荒.5上分別斤ping及慧用幟訪問百籃0.7來(lái)，斧并且在彎汗0.7留的web搶serve跟r查看訪問最的源地址是估否為：10分.1.10票.5，樂如正常則表蠅示襯trust任zone龍的pc能通巖過路由正常渠訪問另一個(gè)峽untru描stzo肥ne。倦在PC：擔(dān)遺0.7扣上分別誤ping及沸用榨訪問和10.1.煩10凝.5安，棄并且在10留.1.10飼.5的we張bser像ver查看鑄訪問的源地孝址是否為：貸駱0.7謠，心如正常則表邊示昂untru歲stzo淹ne的pc減能通過路由榆正常訪問另賤一個(gè)tru禾stzo騎ne。框檢查命令：京查看ses繪sion連特接茅及l(fā)og信環(huán)息訴：雖lab@S桑RX240津H-1>柳show丙secur島ityf扔lo存wses書sion慨lab@S撒RX240孔H-1>斷s戶how綁logr慕tlogd尤在web孫serve者r查看客戶趟端的源IP圣地址是否為垮對(duì)端的PC植IP地址衫：量預(yù)期結(jié)果綁：添PC：駱10.1.逢10饅.5上分別連用港ping及字用嫁訪問模扯0.7促，能正常訪茂問，并且在嫁坡0.7迅的web稠serve問r查看訪問徹的源地址為低：10.1春.10.5凱PC：1車.1.70詞.7潑上分別用系ping及無(wú)用系訪問籠10.1.氣10熔.5，能正粒常訪問，并揮且在10.指1.10.爺5的web孩serv數(shù)er查看訪相問的源地址準(zhǔn)為：駱恐0.7象測(cè)試溫結(jié)果夠：殃測(cè)試結(jié)果：耕魚通過(啦間)聽歇侵失敗般(拼)艙測(cè)試通過：愚(搶簽字箏)扎測(cè)試失?。悍?沙簽字銳)錦失敗原因：欄注釋：策略測(cè)試測(cè)試內(nèi)容吊策略測(cè)試是賤測(cè)試防火墻拆支持基于I遵CMP協(xié)議至、TCP端胞口號(hào)和UD汪P端口號(hào)等編信息進(jìn)行策穴略配置，并燥針對(duì)每一條掀策略進(jìn)行不今同的操作（夸允許、拒絕鄰等）?；痉说臏y(cè)試方法線是在防火墻細(xì)的內(nèi)外網(wǎng)口衫分別連接網(wǎng)蓋絡(luò)億PC運(yùn)，并按拓?fù)溲龍D，對(duì)防火吼墻進(jìn)行相應(yīng)跪的配置，包寒括IP地址很，路由，策協(xié)略，及其他架相關(guān)配置，賓其中策略至館少包括三種霧策略，基于豐ICMP，牙基于TCP拾端口號(hào)和基病于UDP端涉口號(hào)。通過鉗網(wǎng)絡(luò)末PC葡的業(yè)務(wù)模擬植功能進(jìn)行測(cè)姐試。浪推薦的測(cè)試層策略：ICMP樂劑（TCP）仰TFTP（殘UDP）測(cè)試拓?fù)鋱D設(shè)備配置灑配置接口地終址冰seti逢nterf呼aces幣ge-0/視0/0u回nit0俯desc它ripti尾onto愉-LAN-榜trust搭seti姨nterf睛aces嶺ge-0/射0/0u肝nit0稀fami途lyin嗓etad板dress擦紗10.1.乖10央.1/24聾seti峽nterf稠aces受ge-0/弄0/搶8族unit頁(yè)0谷descr膝iptio拆nto-賣W賢AN-墻un伏trust肯seti寒nterf折aces允ge-0/展0/8u燥nit0董fami鄭lyin嚇etad柜dress辜1.1.牽70.5/碰24腦配置zon鞋e及將接口靜加到zon被e中，將g手e-0/0襲/0.0分打配至tru連stz研one，將或ge-0/液0/8.0毅分配至un險(xiǎn)trust纏zon仿e冶sets掩ecuri愿tyzo所ness敗ecuri泡ty-zo洋netr檔usth傳ost-i單nboun奶d-tra貞ffic蹲syste醉m-ser葬vices仙all兩sets調(diào)ecuri清ty搭zone喘ssec柿urity無(wú)-zone語(yǔ)trus脊thos連t-inb襪ound-闊traff薪icpr榜otoco揚(yáng)lsal穴l練sets懂ecuri慣tyzo績(jī)ness還ecuri戚ty-zo殼netr禮usti痰nterf濾aces吊ge-0/繭0/0.0消sets式ecuri革tyzo責(zé)ness津ecuri承ty-zo喉neun衡trust覆host宮-inbo豪und-t誠(chéng)raffi乳csys抽tem-s叮ervic器esal松l北sets壇ecuri驗(yàn)tyzo限ness鍵ecuri名ty-zo硬neun鄉(xiāng)trust杏host摘-inbo旬und-t碗raffi富cpro兔tocol晃sall奇sets顯ecuri里tyzo共ness鵝ecuri斬ty-zo襯neun劃trust察inte載rface尿sge-短0/0/8梳.0呢配置策略，延允許tru校st和un蓮trust擱之間互相通紫信，并且打國(guó)開log記星錄尿A、配置t嫂rust至雙untru自st之間測(cè)統(tǒng)試的應(yīng)用允機(jī)許通過語(yǔ)sets像ecuri項(xiàng)typo貌licie粒sfro巨m-zon幣etru闖stto急-zone慶untr置ustp己olicy夠poli象cy-ap欲p-tes越tmat玩chso發(fā)urce-欠addre助ssan斃y愛sets淡ecuri俱typo晚licie鮮sfro夕m-zon績(jī)etru寧stto番-zone慨untr斥ustp勝olicy夸poli圍cy-ap盞p-tes笨tmat烏chde斥st隔inati記on-ad爸dress細(xì)any哈sets傷ecuri勺typo籠licie坑sfro谷m-zon慢etru蓄stto偽-zone禍untr靠ustp臭olicy豆poli番cy-ap處p-tes擔(dān)tmat籃chap左plica卷tion醬app-t聯(lián)est底sets龍ecuri豐typo挑licie攻sfro賊m-zon黑etru踐stto含-zone毫untr魔ustp猜olic肝ypol熔icy-a鳴pp-te陷stth兄en侍permi罪t筍sets廢ecuri抹typo音licie煎sfro早m-zon校etru氧stto臂-zone蛇untr淹ustp懲olicy園poli悄cy-ap只p-tes在tthe簽nlog濾sess屆ion-i點(diǎn)nit斜seta釘pplic忠ation踩sapp菌licat微ionh醫(yī)ttpp瓜rotoc童oltc金p雀seta辱pplic飄ation賤sapp辯licat辦ionh萄ttpd積estin涼ation她-port禽柏seta臭pplic芝ation夢(mèng)sapp唱licat寬ion-s拒etap悅p-tes剪tapp懷licat鞠ion薦菊醬seta耀pplic軟ation勝sapp弊licat樂ion-s燥etap靈p芒-test政appl壤icati容onju苦nos-i唐cmp-a弓ll漸seta比pplic吃ation播sapp訓(xùn)licat征ion-s基etap聚p-tes鋒tapp販licat內(nèi)ionj榴unos-央tftp羊B、配置t耽rust至梅untru友st之間默語(yǔ)認(rèn)的策略為爽拒絕通過篩sets維ecuri悔typo賞licie撿sfro坦m-zon宰etru飾stto棒-zone末untr尚ustp虛olicy炊defa厘ult-獨(dú)deny拜matc攏hsou豬rce-a烏ddres監(jiān)sany獅sets奮ecuri塌typo祖licie黨sfro果m-z遍onet盲rust后to-zo膊neun卻trust撲poli掙cyde曉fault爸-注deny登matc笨hdes護(hù)tinat你ion-a幸ddres客sany賭sets甲ecuri立typo資licie哨sfro盆m-zon雁etru龜stto效-zo斑neun膏trust委poli慘cyde鞏fault孟-刮deny謊matc后happ僅licat藝iona瞧ny仁sets乎ecuri退typo齊licie辰sfro喪m-zon瓦etru戰(zhàn)stto纏-zo奴neun那trust抗poli胃cyde皂fault花-攝deny愉then沃禿deny寧sets逆ecuri玩typo纖licie旋sfro貓m-zon啄etru佛stto寇-zo福neun耀trust隙poli方cyde亞fault類-血deny窮then檢log械sessi趴on-in踩it賄C社、配置un專trust估至trus盈t之間默認(rèn)粱的策略為拒增絕通過纖sets傳ecuri麥typo收l(shuí)icie侄sfro刷m-zon達(dá)eunt雪rust探to-zo祖netr夏ustp絡(luò)olicy坡defa鞏ult-d勸enym誤atch六sourc撥e-add陡ress敲any此sets萌ecuri易typo凳licie瘡sfro鬼m-zon導(dǎo)eunt磁rust零to-zo含netr型ustp死olicy損defa乞ult-d端enym珠atch束desti蹄natio儉n-add鉛ress拌any共sets燃ecuri堡typo賢licie鳳sf擁rom-z冷oneu白ntrus碰tto-丹zone固trust煉poli姜cyde遵fault就-deny途matc悄happ同licat合iona徑ny虜sets城ecuri趣typo玉licie牽sfro編m-zon釘eunt鼓rust顆to-zo察netr辜ustp傍olicy狀defa年ult-d弦enyt窯hend孕eny途sets支ecuri耕typo貨licie耳sfro后m-zon薦eunt睬rust效to-zo惹netr鄭ustp脹olicy董defa介ult-d咬enyt顏henl旋ogse缺ssion表-init寧D、娛測(cè)試完恩將廳第一步的分策略修改銹為舍從允許通過警改為拒絕通渠過：去sets此ecuri仆typo跨licie堪sfro粉m-zon蛇etru貍stto延-zone縣untr形ustp午olicy爽poli錦cy-ap茅p-tes歷tthe券nden她y測(cè)試表格翅測(cè)試號(hào)多T絡(luò)est-3婦設(shè)備名稱餓Junip童erSR架X防火墻：全SRX24貍0H-1階設(shè)備軟件版哨本義9.6R1淋測(cè)試項(xiàng)目曾設(shè)備字策略溫測(cè)試飼測(cè)試目的斷驗(yàn)證設(shè)備份的防火墻策需略桑功能肯測(cè)試配置埋見本節(jié)的設(shè)版?zhèn)渑渲貌糠殖邷y(cè)試步驟濫：浙按配置步驟嶼進(jìn)行配置助配置2臺(tái)測(cè)張?jiān)嘝C在防巷火墻兩端，籌分別配置地夾址為：偵10.1.疏10喪.5/24副和1.1.及70.6/喚24射在PC：聲10.1.福10女.5上分別損運(yùn)行ICM尿P（pin哭g）、TC興P（htt殲p）、UD袋P（tft您p）應(yīng)用訪匯問外網(wǎng)服務(wù)流器1.1.解70.6，贊如正常則表奏示升trust星zone喂的pc能通妥過策略正常稼訪問另一個(gè)屠untru蛾stzo臉ne的服務(wù)號(hào)器。紹將應(yīng)用策略儀修改為拒絕金，則阻PC：檢10.1.刮10全.5藍(lán)上所有應(yīng)用塞都不能訪問愧檢查命令：殊查看ses槐sion連經(jīng)接：幣lab@S幼R(shí)X240拿H-1>壩show司secur真ityf處lo陳wses潑sion漠檢查是否所潤(rùn)有服務(wù)都正共常允許或拒束絕瀉在perm尺it的狀況存下，所有服海務(wù)均正常允番許訪問，而末在策略為d冤eny的情工況下，所有絮服務(wù)均拒絕梯訪問。碼檢查log討信息戀：攜lab@S汪RX240徹H-1>抗show喂log頓rtlog再d靈show結(jié)散果及配置文瓶件：覆媽著預(yù)期結(jié)果嫁：新在策略為允具許的情況下樹，違PC：秤10.1.攪10款.5上分別付用測(cè)ping鉆、喇銀、TFTP片訪問躬獻(xiàn)0.7律，能正常訪監(jiān)問乒在策略為拒桑絕的情況下喝，退PC：愿10.1.針10蜓.5上分別富用慰ping、舒、規(guī)TFTP訪屯問兄越0.7畏，不能訪問面相應(yīng)的業(yè)務(wù)胸測(cè)試計(jì)結(jié)果在：選測(cè)試結(jié)果：標(biāo)銅通過(雙聞)祝飾逐失敗惑(導(dǎo))隸測(cè)試通過：燈(瓶簽字陷)至測(cè)試失?。簩?章簽字炎)唉失敗原因：素注釋：職靜態(tài)嘗NAT測(cè)試測(cè)試內(nèi)容機(jī)基于靜態(tài)驚NAT功能燥的要求是：妙對(duì)情SRX露內(nèi)污網(wǎng)側(cè)的陵服務(wù)器和主機(jī)地址進(jìn)罩行一對(duì)一N慢AT映射，蘿即對(duì)于從喘SRX端外網(wǎng)側(cè)進(jìn)入固內(nèi)網(wǎng)側(cè)的數(shù)梳據(jù)流，對(duì)押目的午地址進(jìn)行N滾AT。具體顯的測(cè)試需求芝：脖在邀SRX霞防火墻上對(duì)壓PC蝶－1的IP殿地址搭10.1.須10芬.5犯進(jìn)行地址轉(zhuǎn)歌換，轉(zhuǎn)換后京的地址為炎100.0在.0酷.1。帥PC渡－1作為窮業(yè)務(wù)服務(wù)器跨端，蓮PC醒－2作為述業(yè)務(wù)客戶慘端進(jìn)行拋業(yè)務(wù)除測(cè)試泄，包括IC立MP（pi畫ng）、T汗CP（ht之tp）、U翼DP（TF儉TP）測(cè)試澡PC－1作棚為業(yè)務(wù)客戶貝端，PC－艱2作為業(yè)務(wù)協(xié)服務(wù)器端進(jìn)黨行業(yè)務(wù)測(cè)試卷，包括IC競(jìng)MP（pi修ng）、T臥CP（ht違tp）、U結(jié)DP（TF您TP）測(cè)試測(cè)試拓?fù)鋱DPC-1PC-1.5InternetStaticNATPC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8設(shè)備配置乳1、配置接滲口IP地址掃seti耽nterf部aces關(guān)ge-0/莫0/0u狠nit0不fami沸l(wèi)yin鑄etad宋dress隨俘10柱.1.10檢.1/24根seti租nterf輪aces士ge-0/腫0/8u趨nit0限fami潑lyin罪etad本dress顯1.1.胸70.5/烘24季2、配置目劇的靜態(tài)目的遠(yuǎn)NAT桶sets濁ecuri納tyna刪tsta冠ticr染ule-s僑etst寺atic-狀nat-1暴from才zone勵(lì)untr趁ust筐sets貞ecuri味tyna戲tsta扮ticr繼ule-s泡etst促atic-厲nat-1鼻rule踏rule板-stat立ic-na犁t-1m駱atch蛛desti響natio冒n-add禽ress霸100.0奉.0.緒1/32奪sets文ecuri銳tyna鑒tsta腳ticr奴ule-s殖etst軟atic-掘nat-1航rule術(shù)rule廉-stat蘭ic-na錢t-1t送hens漂tatic釘-nat首prefi隔x徒10.1.效10趟.5/32爹3、防配置zon咐e及將接口制加到zon撤e中，將g嬌e-0/0冰/0.0分禮配至tru訂stz感one，將共ge-0/跪0/8.0倉(cāng)分配至un軟trust籍zon袍e茄sets咳ecuri星tyzo寧ness微ecuri隊(duì)ty-zo剩netr拼usth攤ost-i書nboun楊d-tra復(fù)ffic宇syste徒m-ser祖vices題all拍sets絹ecuri彎tyzo敏ness顫ecuri眉ty-zo家netr稀usth質(zhì)ost-i螞nboun修d-tra般ffic醒proto剩cols頸all晌sets選ecuri精tyzo織ness資ecuri樓ty-zo米netr拉usti煮nterf賤aces唇ge-0/贏0/0.0凳sets逆ecuri稅tyzo合ness映ecuri機(jī)ty-zo捐neun腫trust賀host興-inbo抖und-t菠raffi逢csys蔬tem-s鏡ervic撲esal巧l勒sets覺ecuri眾tyzo糧ness吸ecuri伍ty-zo匙neun俱trust靈host本-inbo卸und-t堤raffi棗cpro奮tocol殲sall衛(wèi)sets哭ecuri替tyzo缸ness災(zāi)ecuri專ty-zo帖neun晌trust掀inte混rface紙sge-蜂0/0/8上.0唇4、配置i設(shè)cmp、h救ttp、t柜ftp應(yīng)用使允許從tr乒ust訪問訴untru昌st拍sets跪ecuri雨typo謝licie扒sfro塘m-zon致etru鞏stto矮-zone強(qiáng)untr脹ustp究olicy石poli洽cy-ap貌p-tes茂tmat絹chso耀urce-熱addre焰ssan歲y拋sets卸ecuri駝typo肚licie口sfro情m-zon廊etru兇stto搬-zone鳥untr轟ustp是olicy結(jié)poli欺cy-ap虧p-tes沾tmat位chde棄stina鴉tion-盒addre應(yīng)ssan月y診sets測(cè)ecu帝rity功polic夜iesf炸rom-z摸onet除rust立to-zo鄰neun規(guī)trust味poli選cypo妙licy-尿app-t盛estm杏atch百appli彈catio欣napp陣-test啦sets匹ecuri吸typo患licie歐sfro田m-zon闊etru港stto挺-zone左untr憤ustp揀olicy托poli屋cy-ap谷p-tes棍tthe保n慕permi減t膝sets輪ecuri體typo厚licie砍sfro蜻m-zon影etru摧stto觀-zone造untr拋ustp錘olicy科poli密cy-ap普p-tes巨tthe矛nlog功sess省ion-i輛nit食seta臨pplic刪ation玻sapp暖licat閑ionh浮ttpp瞧rotoc慶oltc回p蝕seta瞞pplic皆ation踐sapp諸licat裝ionh焰ttpd筋estin手ation郵-port儲(chǔ)未seta遺pplic草ation鍵sapp傾licat辟ion-s跳etap洪p-tes霧tapp劫licat冬ion步計(jì)樂seta血pplic嶺ation閘sapp憑licat扎ion-s品etap飽p-tes乒tapp濕licat怖ionj咳unos-閣icmp架-all賣seta怕pplic姓ation傻sapp漆licat用ion-s草etap享p-tes雅tapp扇licat遺ionj印unos-圾tftp礦5、配置允純?cè)Suntr但ustz醒one訪問揮trust垂zone徐的服務(wù)器瑞10.1.制10驕.5威sets秧ecuri沫tyzo家ness折ecuri儲(chǔ)ty-zo剩netr寄usta貫ddres瞇s-boo楚kadd戚ress酬stati牙c-nat止-pc-1給紛10.1.德10吼.5/32刊sets襯ecuri渣typo雖licie雪sfro說(shuō)m-zon寄eunt筋rust溉to-zo許netr蔑ustp切olicy惕perm旨it-st皮atic-港natm筒atch詢sourc擦e-add斃ress校any撐sets襪ecuri發(fā)typo勤licie磁sfro夠m-zon倆eunt語(yǔ)rust希to-zo深netr銜ustp踐olicy咐perm僅it-st啄atic-沾natm互atch賀desti鋒natio嫁n-add蛇ress班stati守c-nat左-pc-1攔sets碼ecuri至typo怠licie扎sfro障m-zon崖eunt視r(shí)ust河to-zo饒netr郊ustp導(dǎo)olicy捎perm產(chǎn)it-st哀atic-腸natm引atch漆appli監(jiān)catio急nany保sets督ecuri綱typo導(dǎo)licie倘sfro閣m-zon踩eunt馳rust保to-zo頭netr避ustp偉olicy序perm萬(wàn)it-st他atic-毛natt曾henp睬ermit屬sets絨ecuri掩typo平licie或sfro搜m-zon第eunt巖rust睜to-zo翅netr濕ustp嫂olicy臥perm遠(yuǎn)it-st鬧atic-自natt嘗henl迷ogse腰ssion騎-init癥sets祥ecuri鬧typo跑licie蕩sfro爬m(xù)-zon孔eunt丟rust桌to-zo餅netr遺ustp鍵olicy賀defa論ult-d桶enym輕atch陣sourc鳴e-add糠ress文any戒sets輕ecuri大typo取licie爛sfro搜m-zon掙eunt木rust懼to-zo蝕netr語(yǔ)ustp并olicy汗defa鉤ult-d灰enym育atch飼desti拆natio織n-add諸ress鋸any扒sets賭ecuri手typo勇licie股sfro稼m-zon裳eunt之rust陶to-zo覺netr拔ustp構(gòu)olicy際defa屋ult-d鐮enym揀atch月appli查catio消nany弄sets蘇ecuri駕typo好licie府sfro臨m-zon蠅eunt鐵rust秧to-zo機(jī)netr疏ustp干olicy我defa爽ult-d季enyt常hend繪eny敘sets殿ecuri熔typo類licie選sfro扯m-zon引eunt刊rust闊to-zo儉netr鑒ustp部olicy碗defa豈ult-d渣enyt騙henl鬧ogse下ssion乳-init測(cè)試表格忙測(cè)試號(hào)浩T仁est-4好設(shè)備名稱沒Junip繳erSR據(jù)X防火墻：穿SRX24境0H-1債設(shè)備軟件版禾本思9.6R1朱測(cè)試項(xiàng)目訓(xùn)設(shè)備伏靜態(tài)NAT糞測(cè)試睛測(cè)試目的懂驗(yàn)證設(shè)備絡(luò)的防火墻靜投態(tài)NAT史功能唉測(cè)試配置虹見本節(jié)的設(shè)圖備配置部分竹測(cè)試步驟舟：修按配置步驟去進(jìn)行配置下配置2臺(tái)測(cè)雖試PC在防飾火墻兩端，百分別配置地喬址為：赴10.1.拜10總.5/24子和傷末0.7吐/24請(qǐng)?jiān)诓弁饩W(wǎng)鴨PC：1管.1.70扭.7慨上分別宅運(yùn)行ICM冒P（pin隨g）、TC少P（htt多p）、UD陷P（tft檔p）應(yīng)用訪柴問NAT外幣網(wǎng)地址10弊織.1，賴如正常則表識(shí)示伴untru果stzo選ne的pc那能通過NA暗T正常訪問知通過NAT弦對(duì)外提供服舊務(wù)的服務(wù)器灣。痛在縣內(nèi)網(wǎng)迎PC：挎10.1.好10還.5拳上分別炮運(yùn)行ICM得P（pin典g）、TC蝴P（htt嘩p）、UD鵲P（tft解p）應(yīng)用訪賤問外網(wǎng)服務(wù)印器地址夠奸0.7登，楊如正常則表甜示宰trust薄zone哭的pc能通魔過NAT正衣常訪問外網(wǎng)腹服務(wù)器，并腳且在外網(wǎng)服貢務(wù)器上能看恩到蟻訪問的源地蹄址為：10土服.1熟檢查命令：肺A、查看s頂essio伯n連接：令lab@S雙RX240捏H-1>通show炊secur懸ityf現(xiàn)lo瞇wses善sion扎B、檢查是臂否所有服務(wù)暴都正常允許績(jī)或拒絕很從內(nèi)網(wǎng)訪問陰外網(wǎng)：揪從外網(wǎng)訪問耐內(nèi)網(wǎng)：親C、檢查l剃og信息：辨lab@S消RX240甲H-1>接show錯(cuò)log寺rtlog已d象D、sho撥w結(jié)果及配壘置文件：醒梁滑筑預(yù)期結(jié)果迷：矛在刷靜態(tài)NAT文的情況下，束內(nèi)網(wǎng)刃PC：撤10.1.徹10妖.5上分別蓋用奏ping、心、董TFTP訪喜問盯外網(wǎng)PC：壯困0.萌7堤，能正常訪愛問訴，并且在肢鎖0.7南上看到源地池址為NAT眾后的地址：兔100.0源.0.1槽在靜態(tài)NA誘T的情況下坑，外網(wǎng)PC李：驢葛0.7蔬上分別用怠ping、抹、賭TFTP訪爐問內(nèi)網(wǎng)魚PC：榨10.1.財(cái)10臘.5胳對(duì)外的NA移T地址：1軋00.0.桐0.1，能初正常訪問，皮并且在即10.1.壇1.10.砌7澡上看到源地廣址為NAT伸后的地址：茄100.0里.0.1頁(yè)測(cè)試?yán)苯Y(jié)果使：嫩測(cè)試結(jié)果：艘棵通過(蛇敢)牧躺塵失敗著(屯)咐測(cè)試通過：哄(哈簽字浸)梢測(cè)試失敗：趙(能簽字藝)市失敗原因：屬注釋：掌基于rul隆e的目的N冶AT測(cè)試測(cè)試內(nèi)容嬌基于rul擊e的飛目的NAT皇功能的要求乳是：對(duì)SR戶X內(nèi)網(wǎng)側(cè)的追服務(wù)器主機(jī)除地址進(jìn)行一臉對(duì)一NAT折映射，即對(duì)炒于從SRX少外網(wǎng)側(cè)進(jìn)入負(fù)內(nèi)網(wǎng)側(cè)的數(shù)決據(jù)流，對(duì)目餡的地址進(jìn)行適NAT策；NAT地凍址池可以為可1到多個(gè)，享用于分別對(duì)獵應(yīng)內(nèi)網(wǎng)1到勒多個(gè)服務(wù)器建。曲具體的測(cè)試攏需求：英在SRX防析火墻上對(duì)P培C顧-1、PC捎-3哄的IP地址建10.1.光10始.5、10告.1.10接.6翅進(jìn)行地址轉(zhuǎn)挪換，轉(zhuǎn)換后撤的地址蠅分別啟為100.柿熊、100.組變。柜PC－1而、PC-3昆作為業(yè)務(wù)服芝務(wù)器端，P傲C－2作為泳業(yè)務(wù)客戶端雀進(jìn)行業(yè)務(wù)測(cè)蔥試，包括I醉CMP（p亦ing）、偷TCP（h圾ttp）、查UDP（T什FTP）測(cè)路試峽PC－1友、PC-3西作為業(yè)務(wù)客桐戶端，PC硬－2作為業(yè)因務(wù)服務(wù)器端頃進(jìn)行業(yè)務(wù)測(cè)桐試，包括I毫CMP（p椅ing）、栽TCP（h瘋ttp）、堡UDP（T朽FTP）測(cè)僵試測(cè)試拓?fù)鋱DPC-1PC-1、3.5、6InternetDestinationNATPC-.1TrustUntrustSRX、2Ge-0/0/0Ge-0/0/8設(shè)備配置筋1、配置接殖口IP地址共seti督nterf次aces液ge-0/兆0/0u劈nit0對(duì)fami著lyin奧etad餐dress尚驗(yàn)10.1.毫10掩.1/24贈(zèng)seti司nterf柄aces早ge-0/退0/8u趁nit0舟fami散lyin挺etad勉dress叼1.1.個(gè)70.5/右24悼2舒、配置基于顧rule的敲目的NAT霞se秘tsec緊urity炊nat帥desti純natio糟npoo激lser標(biāo)ver-5躬addr擠ess于10.1.倍10折.5/32銹sets謠ecuri槐tyna塑tdes活tinat羊ionp蔽ools煩erver么-化6瘋addr今ess都10.1.移10開.貴6炎/32戚sets頁(yè)ecuri疤tyna半tdes姥tinat薦ionr堵ule-s雹etdn綁at-1煉from視zone吸untru音st鑼sets肚ecuri面tyna耳tdes叼tinat裳ion項(xiàng)rule-灑setd虎nat-1鈴rule色rule克-dnat期-鄉(xiāng)1赤matc霉hdes皺tinat勾ion-a休ddres竭s100企.0.0.綢1/32夏sets腰ecuri克tyna屬tdes依tinat串ionr混ule-s籌etdn玩at-1嫌rule霸rule-熊dnat-豐1the近ndes事tinat鉗ion-n屢atpo查olse導(dǎo)rver-革5桿sets港ecuri露tyna橡tdes租tinat五ion弄rule-盛setd率nat-1偶rule錘rule姓-dnat談-變2女mat逢chde凡stina吸tion-度addre蔬ss10賢興.例2泉/32寸sets簽ecuri醫(yī)tyna圓tdes穩(wěn)tin股ation釘諷rule-付setd韻nat-1漢rule山rule北-dnat彼-理2都then數(shù)dest步inati扁on-na安tpoo逼lser殃v啟er-含6生3、懲配置zon岸e及將接口烏加到zon潤(rùn)e中，將g央e-0/0蹤/0.0分覺配至tru泉stz疼one，將畝ge-0/纖0/8.0癥分配至un難trust勉zon五e(cuò)屯sets艙ecuri障tyzo秤ness救ecuri詢ty-zo歉netr紋usth斃ost-i館nboun競(jìng)d-tra鬼ffic情syste印m-ser順vices葬all尊sets手ecuri殲tyzo鄉(xiāng)ness風(fēng)ecuri洋t遣y-zon什etru識(shí)stho萄st-in哨bound零-traf描ficp緒rotoc厘olsa泡ll坐sets拌ecuri葉tyzo葛ness受ecuri皇ty-zo達(dá)netr此usti訓(xùn)nterf因aces尿ge-0/紹0/0.0寫sets徒ecuri躍tyzo遺ness鏈ecuri多ty-zo孝neun邪trust晃host速-inbo足und-t文raffi英csys戀tem-s愈ervic察esal蒜l確sets粱ecuri質(zhì)tyzo稼ness猶ecuri腰ty-zo亭neun隆trust紋host伴-inbo配und-t滿raffi厲cpro撿tocol域sall叮sets評(píng)ecuri勞tyzo薦ness蹦ecuri毅ty-zo袋neun滾trust繁inte鳥rface持sge-弦0/0/8言.0很4、配置i匆cmp、h言ttp、t跟ftp應(yīng)用始允許從tr棗ust訪問忌untru融st鈴sets僵ecuri級(jí)typo高licie鉛sfro呼m-zon舍etru滿stto線-zone麗untr志ustp途olicy蹄poli華cy-ap答p-tes跨tmat挨chso絹urce-妥addre刮ssan財(cái)y飛sets鑄ecuri灘typo五licie泳sfro肅m-zon傘etru訂stto無(wú)-zone悶untr銷ustp主olicy央poli裙cy-ap誦p-tes走tmat棚chde克stina潮tion-忠addre某ssan葉y協(xié)sets稱ecu鴨rity仙polic轉(zhuǎn)iesf蛇rom-z靜onet愿rust旨to-zo數(shù)neun百trust丙poli呈cypo街licy-燃app-t顆estm平atch浙appli丑catio口napp臘-test災(zāi)sets崖ecuri恭typo撇licie腎sfro艙m-zon雙etru賭stto辦-zone劉untr卻ustp湯olicy字poli拉cy-ap跨p-tes同tthe線n老permi憲t防sets律ecuri愛typo辭licie辛sfro鼠m-zon講etru際stto旗-zone雙untr銅ustp傭olicy夸poli編cy-ap朋p-tes屑tthe尤nlog裕sess元ion-i蠶nit架seta補(bǔ)pplic民ation他sapp石licat解ionh已ttpp逢rotoc悲oltc致p五seta婚pplic蛋ation瓜sapp聾licat禮ionh乏ttpd勁estin彼ation提-port景狠seta滅pplic間ation戰(zhàn)sapp碼licat多ion-s租etap彈p-tes助tapp伙licat映ion魄字爆seta怒pplic良ation慕sapp眼licat寒ion-s望etap評(píng)p-tes曬tapp奪licat饞ionj狐unos-斯icmp梯-all表seta煙pplic摸ation休sapp槐licat泄ion-s旬etap混p-tes雹tapp暫licat惡ionj蔥unos-光tftp蹤5、配置允愚許untr符ustz狂one訪問犧trust碗zone營(yíng)的服務(wù)器餃10.1.生10櫻.5歉、10.1雖.10.6快sets喪ecuri取tyzo怕ness繡ecuri騎ty-zo店netr點(diǎn)usta續(xù)ddres據(jù)s-boo輸kadd結(jié)ress殼dnat-到pc-1泛10.1.面10優(yōu).5/32唯sets渣ecuri略tyzo玉ness鑒ecuri貧ty-zo掘netr眠usta育ddres倚s-躲book喘addre答ss忘dnat-貼pc-2餐10.1.杏10摧.6/32咬sets鳴ecuri拐tyzo總ness嶺ecuri主ty-zo注netr宅usta室ddres凡s-boo姻kadd箱ress-懶setd監(jiān)nat-p唐cadd認(rèn)ress籌dnat-這pc-1故sets勿ecuri常tyzo屬ness方ecuri英ty-zo慮netr依usta霸ddres肚s-boo延kadd峰ress-咸setd賤nat-p燭cadd跳ress嘗dnat-源pc-2膠sets溫ecuri岸typo智licie蓮sfro獨(dú)m-zon未eunt延rust豆to-zo即net戒rust聾polic伯yper賠mit-d臉nat差matc翼hsou衰rce-a龜ddres李sany續(xù)sets把ecuri屢typo吸licie播sfro縫m-zon嫂eunt付rust叨to-zo龍ne武trus郊tpol耗icyp灰ermit遠(yuǎn)-dnat性m劉atch篇desti圈natio掛n-add岡ress斃dnat-刻pc烏sets兔ecuri退typo給licie庫(kù)sfro陣m-zon豆eunt病rust斗to-zo衫netr零ustp咬olicy里perm寇it-dn叨at紙matc割happ中l(wèi)icat蓄ion府a(chǎn)ny執(zhí)sets絹ecuri挨typo疼licie渴sfro名m-zon棚eunt掏rust憐to-zo滔ne館trus肅tpol膨icyp另ermit裳-dnat溜then畜perm統(tǒng)it密sets召ecuri囑typo慣licie階sfro旨m-zon南eunt眠rust肢to-zo胸ne浙trus搏tpol挪icyp叉ermit數(shù)-dnat煉then申腿logs棟essio招n-ini碎t測(cè)試表格烘測(cè)試號(hào)蛙T倡est-4培設(shè)備名稱吳Junip梁erSR盛X防火墻：嘩SRX24受0H-1轉(zhuǎn)設(shè)備軟件版案本剪9.6R1詠測(cè)試項(xiàng)目籌設(shè)備幕基于鐘rule木的爪目的NAT甚測(cè)試任測(cè)試目的鴉驗(yàn)證設(shè)備溜的防火墻憑基于rul愉e的俯目的NAT域功能附測(cè)試配置遠(yuǎn)見本節(jié)的設(shè)醋備配置部分寧測(cè)試步驟扁：龜按配置步驟禿進(jìn)行配置桂配置2臺(tái)測(cè)興試PC在防霸火墻現(xiàn)內(nèi)網(wǎng)側(cè)專，考1慕臺(tái)測(cè)試PC顧在防火墻局外網(wǎng)側(cè)，宣分別配置地黎址為：戶10.1.簡(jiǎn)10荷.5枯、6愈/24和潑骨0.7付/24暢在運(yùn)外網(wǎng)座PC：1序.1.70態(tài).7瞧上分別朝運(yùn)行ICM濃P（pin旦g）、TC售P（htt漢p）、UD霸P（tft療p）應(yīng)用訪屯問NAT外奪網(wǎng)地址10逢篇.1狂、省100.0白.0.柔2救，恰如正常則表婆示冰untru模stzo棉ne的pc孟能通過NA辜T正常訪問太通過NAT偽對(duì)外提供服寨務(wù)的服務(wù)器毯。施檢查命令：舞查看ses若sion連擠接：裙lab@S肅RX240純H-1>累show諸secur展ityf砍lo膠wses柱sion拾檢查目的N侵ATPo添ol：助lab@S撤RX240括H-1>渡show剩secur陸ityn傳atde槐stina推tion允pool緩all糧檢查是否所趕有服務(wù)都正踐常允許或拒閱絕呼從外網(wǎng)展士0.7待訪問內(nèi)網(wǎng)妻NAT邁后IP地址羞：100.內(nèi)臥、100.其尼：憂檢查log秘信息：便lab@S突RX240畝H-1>暑show豆log靈rtlog晶d壟show結(jié)震果及配置文墳件：席孝婦咱預(yù)期結(jié)果復(fù)：羞在億目的牌NAT的情畢況下，外網(wǎng)壁PC：1.乓1.70.通6布上分別用利ping、知、某TFTP訪圈問內(nèi)網(wǎng)早PC：長(zhǎng)10.1.疤10基.5喇、6許對(duì)外的NA掩T地址：1盈00.0.追0.1陳、2攤，能正常訪啄問，并且在追10.1.他1.10.收5策、6令上看到源地鄙址為NAT街后的地址：朋100.0獅.0.1稱測(cè)試翻結(jié)果賴：否測(cè)試結(jié)果：該四通過(毫壽)