1、防火墻測試方案主要測試項(xiàng)目（必測）NAT/PATSite-to-SiteIPSec/VPNDynamic Remote-Access IPSec/VPNIPSec/VPN的 NAT穿透Remote-Access PPTPVPNH.323的穿透ACL和會話數(shù)的限制Syslog、SNMP遠(yuǎn)程管理輔助測試項(xiàng)目（選測）認(rèn)證功能P2P流量限制測試一、NAT/PAT拓?fù)鋱D測試項(xiàng)目FTP ClientLoadR unnerLoadR unnerPC3測試要求In sideOutsideIn side101619（如防火墻in side接口不夠，則使用交換機(jī)連接內(nèi)部三臺pc并將內(nèi)部網(wǎng)絡(luò)合并為 192.168.

2、0.0/16）1.將 （pc1）靜態(tài)翻譯（地址翻譯）為 52.將 -192.1684254 動 態(tài)翻譯 （端口 翻譯）為6檢查方法及檢查項(xiàng)目PC1通過FTP方式從教育網(wǎng)下載數(shù)據(jù)PC2和PC3使用LoadRunner分別模擬500臺電腦瀏覽網(wǎng)頁查看設(shè)備負(fù)載和網(wǎng)絡(luò)延遲測試二、Site-to-Site IPSec/VPN拓?fù)鋱D測試要求1.ISAKMP配置Authe nticasti onPre-ShareEn crypti onAES(256-bit)Diffie-Hellma nGroup 2HashSha

3、2. IPSec 配置Tran sform-Setah-sha-hmac esp-aes(256-bit)3.只對和之間互訪的流量進(jìn)行IPSEC的加密.1PC1測試防火墻2410Cisco ASA5540.2PC2檢查方法及檢查項(xiàng)目PC1和PC2能否相互PING通，在ASA5540k檢測數(shù)據(jù)是否為加密數(shù) 據(jù)。修改PC2的ip地址為10.0222，使用pci PINGpc2,在asa5540上檢 查數(shù)據(jù)是否為明文。測試三、Dynamic Remote-Access IPSec/VPN拓?fù)鋱D測試要求1. ISAKMP配置Authe nticasti onPre-Sh

4、areEn crypti onAES(256-bit)Diffie-Hellma nGroup 2HashSha2. IPSec 配置Tran sform-Setah-sha-hmac esp-aes(256-bit)3.其他地址池/24DNS..2.254.2PC2OutsideInside4.防火墻Outside外任何主機(jī)都可以與防火墻建立IPSec/VPN連接5.只對PC1和PC2互訪的數(shù)據(jù)加密。檢查方法及檢查項(xiàng)目PC2修改IP地址為2后是否能與防火墻建立IPSec/VPN連接。PC2能否獲得正確的DNSPC1和 PC

5、2能否相互 PING通。檢查防火墻Outside接口收到的數(shù)據(jù)是否為明文。測試四、IPSec/VPN的NAT穿透拓?fù)鋱D測試要求1. ISAKMP配置Authe nticasti onPre-ShareEn crypti onAES(256-bit)Diffie-Hellma nGroup 2HashSha2. IPSec 配置Tran sform-Setah-sha-hmac esp-aes(256-bit)3. Cisco ASA5540上允許以下流量進(jìn)入其內(nèi)網(wǎng)UDP500PC1OutsideInside測試防火墻1Cisco ASA5540OutsideInside測試防火墻2In sid

6、e:Outside19216測試防火墻81嗎410.02AH 50ESP51UDP4500UDP10000TCP10000檢查方法及檢查項(xiàng)目兩測試設(shè)備是否可以正常建立IPSec/VPN連接PC1和 PC2是否可以相互PING通測試五、Remote-Access PPTPVPN測試要求認(rèn)證方式MSCHAP加密方式MPPE地址池192.16820/24DNS檢查方法及檢查項(xiàng)目PC2使用 Windows自帶的VPN與防火墻建立 PPTP連接PC2能否獲得正確的DNS拓?fù)鋱DPC1.254.254PC2拓?fù)鋱DIn sideOutside.254.254PC119101024292PC2PC

7、2和PC1能否相互PING通測試六、H.323的穿透拓?fù)鋱D測試要求1.測試防火墻配置靜態(tài)地址翻譯，將(PC翻譯為2.測試防火墻配置端口翻譯，將(PC翻譯為1檢查方法及檢查項(xiàng)目配置靜態(tài)地址翻譯后，PC和PC否可以用NetMeeting進(jìn)行語音通話，如果可以正確建立連接，是否存在單向音問題。配置端口翻譯后，PC和PC否可以用NetMeeting進(jìn)行語音通話，如果 可以正確建立連接，是否存在單向音問題。測試七、ACL和會話數(shù)的限制In sideOutside拓?fù)鋱D.254.254測試防火墻1024%.02測試要求

8、1.配置ACL只允許WW流量到防火墻內(nèi)部的PCI2.限制PC1的會話數(shù)為5檢查方法及檢查項(xiàng)目PC1上建立WWW務(wù)，提供一文件下載，PC2用多線程下載軟件從 PC1 下載文件，檢查連接數(shù)是否被限制在 5個(gè)。測試八、Syslog、SNMP遠(yuǎn)程管理檢查方法及檢查項(xiàng)目是否支持syslog功能是否支持snmp管理（通過snmp能否檢測cpu利用率，連接數(shù)）是否支持遠(yuǎn)程管理，通過outside 口登陸防火墻進(jìn)行管理測試九、認(rèn)證功能PC1PC2In sideOutside10242 29 92 2 - - O O - - O O - -測試要求1.防火墻上配置認(rèn)證功能檢查方法及檢查項(xiàng)目內(nèi)部主機(jī)PC1主動發(fā)起

9、HTTP青求連接PC2時(shí)，防火墻通過 WEB頁面方 式（其他方式也可以）對PC1進(jìn)行認(rèn)證，認(rèn)證通過后PC1才可正常訪問PC2測試十、P2P流量限制拓?fù)鋱D測試要求1.防火墻上配置P2P流量限制功能檢查方法及檢查項(xiàng)目PC1能否進(jìn)行BitTorrent 或E-Don key的下載PC1.254.254測試防火墻PC1In tert net測試 防火墻測試結(jié)果主要測試項(xiàng)目（必測）NAT/PAT是否支持NAT是否支持PAT設(shè)備負(fù)載網(wǎng)絡(luò)延遲Site-to-SiteIPSec/VPN是否支持 Site-to-SiteIPSec/VPN是否支持只對需要數(shù)據(jù)進(jìn)行IPSec/VPN加密Dynamic Remote-Access IPSec/VPN是否支持 Remote-Access IPSec/VPN是否支持 Dynamic Remote-Access IPSec/VPN能否獲得正確的DNSIPSec/VPN的 NAT穿透是否支持IPSec/VPN的NAT穿透Remote-Access PPTPVPN是否 Remote-Access PPTPVPN能否獲得正確的DNSH.323的穿透是否支持NAT下的H.323穿透是否支