1、防火墻測(cè)試方案引言防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備，其目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間 建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、 出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。隨著網(wǎng)上黑客活動(dòng)的日益猖獗，越來(lái)越多的上網(wǎng)企業(yè)開(kāi)始重視網(wǎng)絡(luò)安全問(wèn)題。特別是 近兩三年來(lái)，以防火墻為核心的安全產(chǎn)品需求市場(chǎng)迅速成長(zhǎng)起來(lái)，瞬間出現(xiàn)了眾多提 供防火墻產(chǎn)品的廠家，光國(guó)內(nèi)就有幾十家。各種防火墻品種充斥市場(chǎng)，良莠不齊，有 軟件的防火墻，硬件的防火墻，也有軟硬一體化的防火墻；有面向個(gè)人的防火墻，面 向小企業(yè)的低檔防火墻，也有中高檔的防火墻，技術(shù)實(shí)現(xiàn)上有包過(guò)濾的防火墻、應(yīng)用 代理的防火墻，也有

2、狀態(tài)檢測(cè)的防火墻。由于防火墻實(shí)現(xiàn)方式靈活，種類多，而且往 往要與復(fù)雜的網(wǎng)絡(luò)環(huán)境整合在一起使用，因此，對(duì)防火墻進(jìn)行測(cè)試評(píng)估是選購(gòu)防火墻 產(chǎn)品的一個(gè)重要環(huán)節(jié)。評(píng)估測(cè)試防火墻是一個(gè)十分復(fù)雜的工作。一般說(shuō)來(lái)，防火墻的安全和性能是最重 要的指標(biāo)，用戶接口（管理和配置界面）和審計(jì)追蹤次之，然后才是功能上的擴(kuò)展性。 但是安全和性能之間似乎常常構(gòu)成一對(duì)矛盾。在防火墻技術(shù)的發(fā)展方面，業(yè)界一直在 致力于為用戶提供安全性和性能都高的防火墻產(chǎn)品。沿著這一方向，防火墻產(chǎn)品經(jīng)歷 了以軟件實(shí)現(xiàn)為主的代理型防火墻，以硬件實(shí)現(xiàn)為主的包過(guò)濾防火墻，以及兼有包過(guò) 濾型防火墻的高速性特點(diǎn)和代理性防火墻高安全性特點(diǎn)的狀態(tài)檢測(cè)防火墻。另

3、外，為 了使靈活多變，難以掌握的防火墻安全技術(shù)能更有效地被廣大用戶使用，直觀易用的 界面和詳盡明晰的報(bào)表審計(jì)能力被越來(lái)越多的防火墻產(chǎn)品采用，同時(shí)，防火墻產(chǎn)品在 與網(wǎng)絡(luò)應(yīng)用環(huán)境整合的過(guò)程中也在不斷地集成和加入新的網(wǎng)絡(luò)功能。因此，當(dāng)前必須 從安全性、性能、可管理性和輔助功能等方面綜合進(jìn)行評(píng)測(cè)，才能客觀反映一個(gè)防火 墻產(chǎn)品的素質(zhì)。參考資料GB/T 18020-1999信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求GB/T 18019-1999信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求FWPD ： Firewall Product Certification Criteria Version 3.0a測(cè)試項(xiàng)目.測(cè)試項(xiàng)目TRU

4、NK,代理路由，內(nèi)容過(guò)濾，報(bào)警，審包過(guò)濾，NAT,地址綁定，本地訪問(wèn)控制，多播, 計(jì)實(shí)時(shí)監(jiān)控，攻擊，雙機(jī)熱備，性能。用戶實(shí)際網(wǎng)絡(luò)拓?fù)銲法院云澳法庭防火墻總門門AM分交換值班室）S陽(yáng)6S2S1S印6摟接入交換機(jī)”3摟接入定理機(jī)tT櫻播人交換機(jī)4盤接入交換機(jī)M應(yīng)市股外 興（提4£1電布SDHf'M 5T限曲網(wǎng)（法院。網(wǎng)1圖1上圖為用戶實(shí)際網(wǎng)絡(luò)的拓?fù)鋱D，為了更好的測(cè)試防火墻的功能，我們采用了 卜面的簡(jiǎn)略拓?fù)洹?測(cè)試環(huán)境簡(jiǎn)略拓?fù)鋱D管理器113 .測(cè)試前軟件環(huán)境的準(zhǔn)備1 .子網(wǎng)主機(jī)具有 Linux, windows 2008兩種環(huán)境。2 .測(cè)

5、試環(huán)境 Linux 主機(jī)配置 www , ftp , telnet 服務(wù)，同時(shí)安裝 nmap, http_load , sendudp 等測(cè)試工具；Windows主機(jī)配置ftp , telnet, iis, snmp等服務(wù)，同時(shí)安裝IE, Netscape 等瀏覽器3 .防火墻分區(qū)內(nèi)主機(jī)的網(wǎng)關(guān)都設(shè)為指向所連防火墻當(dāng)前連接接口，ip地址為當(dāng)前網(wǎng)段的1地址。例：當(dāng)前主機(jī)所在網(wǎng)段為,那么它的網(wǎng)關(guān)為 ,即防火墻接入接口的ip地址。4 .防火墻的默認(rèn)路由均指向其通往廣域網(wǎng)的路由器或三層交換機(jī)。5 .在廣域網(wǎng)中采用靜態(tài)路由和動(dòng)態(tài)路由（ rip或ospf）兩種。

6、4 .功能說(shuō)明及規(guī)則設(shè)計(jì)。針對(duì)防火墻各項(xiàng)功能，分別加以說(shuō)明。A包過(guò)濾區(qū)間通信。1 .）單一地址2 .）多地址規(guī)則設(shè)計(jì)：a.方向：區(qū)1 區(qū)2b.操作：允許（拒絕）c.協(xié)議：tcp, udp, icmp和其它協(xié)議號(hào)的協(xié)議。d.審計(jì)：是（否）e.有效時(shí)間段B.地址綁定ip, mac地址綁定。防止地址欺騙。a）單一地址綁定b） 多地址綁定。規(guī)則設(shè)計(jì)：a.方向：區(qū)1 區(qū)2b.操作：允許（或拒絕）C本地訪問(wèn)控制對(duì)管理主機(jī)的訪問(wèn)進(jìn)行控制1 .）單一地址2 .）多地址規(guī)則設(shè)計(jì)：a.操作：1.允許ping , telnet等。2.允許管理D NAT地址，端口的轉(zhuǎn)換。私有 ip轉(zhuǎn)為公網(wǎng)ip。1 .） 一對(duì)一2 .

7、）多對(duì)一3 .）多對(duì)多規(guī)則設(shè)計(jì)：a.方向：區(qū)1區(qū)2.b.操作：拒絕（或允許）c.協(xié)議：tcp, udp, icmp和其它協(xié)議號(hào)的協(xié)議。d.審計(jì)：是（否）E多播解決一對(duì)多的通信。1 .單一多播源，多接收端。2 .多多播源，多接收端。G.TRUNK,代理路由復(fù)用鏈路 ，為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進(jìn)行路由.H.報(bào)警利用郵件，TRAP,蜂鳴等及時(shí)向管理員報(bào)告防火墻的信息.I .審計(jì)審計(jì)防火墻上的訪問(wèn)，及事件信息，防火墻的狀態(tài).J.實(shí)時(shí)監(jiān)控實(shí)時(shí)檢測(cè)防火墻的通訊情況，跟蹤防火墻的運(yùn)行狀況.K攻擊防攻擊。檢測(cè)企圖通過(guò)防火墻實(shí)施攻擊的行為，并報(bào)警，阻斷攻擊。L雙機(jī)熱備設(shè)備冗余。同一網(wǎng)絡(luò)，兩臺(tái)防火墻，一臺(tái)設(shè)為

8、激活狀態(tài)，另一臺(tái)設(shè)為備份狀態(tài)。當(dāng)激活狀態(tài)的防火墻down掉時(shí)，備份防火墻接管。通過(guò)測(cè)試用例來(lái)對(duì)具體的操作進(jìn)行闡述。在所有的規(guī)則制定中考慮范圍內(nèi)取非，范圍的臨界值，中間值情況，時(shí)間的控制等。A.包過(guò)濾測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)ICMP數(shù)據(jù)包的過(guò)濾效果測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1. 0-100 >54 ICMP 允許。（內(nèi)到外）54 >0 ICMP 允許。（外到 DMZ ）-15 >0 I

9、CMP 允許。（DMZ 到內(nèi)）執(zhí)行操作1. 在 0 上 ping 54,在 54 上 ping 0,在0 上 ping 0。并反方向 pingo2. 在 0 上 telnet 54,在 54 上 telnet 0,在0 上 telnet 0。并反方向 ftp , telnet。3 .加載ICMP全通規(guī)則。4 .重復(fù)步驟1r -測(cè)試結(jié)果

10、步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.正向ping成功，反向ping不通，被禁止。2.訪問(wèn)被禁止，規(guī)則不允許。3都可以相互ping通。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)TCP數(shù)據(jù)包的過(guò)濾效果測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1:0->54 telnet 允許。（內(nèi)到外）54->0 telnet 允許。（外到 DMZ ）0->0 telnet 允許。（DMZ 至U 內(nèi)）執(zhí)行操作-1 . 在 192.168。1.1

11、0 上 telnet 192.1682254,在 54 上 telnet 0, 在 0 上 telnet 0,并反向 telnet。2 .在0用nslookup到54上進(jìn)行名字解析或其它的udp服務(wù)。3 .加載telnet全通規(guī)則，重復(fù)步驟1.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.正向成功，反向被禁止2.訪問(wèn)被禁止，沒(méi)有允許 UDP服務(wù)。TCP協(xié)議 的放開(kāi)，對(duì)UDP協(xié)議不發(fā)生影響。3.telnet訪問(wèn)都成功。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP過(guò)濾規(guī)則對(duì)TCP數(shù)據(jù)包的

12、過(guò)濾效果，側(cè)重于實(shí)時(shí)效果測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1. 0->54 telnet 允許。（內(nèi)到外）54- >0 telnet 允許。（外到 DMZ ）0->0 telnet 允許。（DMZ 到內(nèi)）生效時(shí)間：9:00 10:00執(zhí)行操作1 . 在 192.168。1.10 ± telnet 54,在 54 ± telnet 192.168.3

13、.10 , 在 0 上 telnet 0,并反向 telnet。2 .保持上述telnet已建立的連接，并不斷的telnet沒(méi)有建立連接的。3 .在9:59-10:01之間，查看telnet狀態(tài)的反應(yīng)。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.正向telnet成功，反向被禁止。3已建立的telnet連接被斷開(kāi)。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容在IP包過(guò)濾中，由于FTP服務(wù)的特殊性，所以下面幾個(gè)用例主要針對(duì)FTP進(jìn)行測(cè)試。這個(gè)用例主要用來(lái)測(cè)試 FTP建立連接后，防火墻對(duì) 20端口的特殊處理測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1

14、.0 >54 ftp 允許（內(nèi)到外）執(zhí)行操作1. 在 0 上 telnet 54 20。2. 在0上ftp 54 ,進(jìn)行大文件（1G）的數(shù)據(jù)傳輸。3. 在 即 的同時(shí)，在 0 上 telnet 54 20。4. passive進(jìn)彳f ftp文件的傳輸。5. 在 0 上 telnet 54 20測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1,3,5訪問(wèn)被禁止2,4訪問(wèn)成功。備注測(cè)試項(xiàng)目包過(guò)

15、濾測(cè)試日期測(cè)試內(nèi)容IP包過(guò)濾包括ICMR UDP TCP和非（ICMR UDP TCP包的過(guò)濾，UDP±濾行測(cè)試測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定規(guī)則1 :0->54UDP允許。53->0UDP允許。0->0UDP允許生效時(shí)間：9:00 10:00。規(guī)則2:0->54UDP拒絕。執(zhí)行操作1 .在 0,53,

16、0 上啟動(dòng) UDP 的測(cè)試工具 Udp_Server, 在 53 , 0 , 0 上啟動(dòng) Udp_Client 來(lái)分別連 0,53,0 上的服務(wù)程序。2 .保持連接。查看在10:00時(shí)連接的狀態(tài)。3 .保持Client對(duì)Server的主動(dòng)，不間斷的連接去掉時(shí)間限制，重新加載規(guī)則1,在連接重新建立的同時(shí)，加載規(guī)則 2。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.連接成功2.連接被斷開(kāi)。3.連接建立后，馬上又被斷開(kāi)。備注目的：測(cè)試UDP±濾的基本功

17、能、在規(guī)則有效時(shí)間上的實(shí)時(shí)性、規(guī)則變化時(shí)對(duì)動(dòng)態(tài)連 接表的實(shí)時(shí)刷新性能等說(shuō)明：對(duì)于EIP的測(cè)試，通過(guò)在包過(guò)濾中IP協(xié)議的設(shè)置過(guò)程中同步設(shè)置，用發(fā)包工具對(duì)其進(jìn)行測(cè)試，例如：igmp, ospf包等。B.地址綁定測(cè)試項(xiàng)目IPMAC地址綁定測(cè)試日期測(cè)試內(nèi)容測(cè)試IPMAC綁定的基本功能，以及在 MAC地址匹配而IP地址/、匹配和IP地址匹而MAC地址/、匹配得兩種IP欺騙的情況下防火墻的處理能力測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1. 0-100 = >MAC 04.89.29 進(jìn)行綁定執(zhí)行操作1. 0

18、 上 telnet 54。2. 修改 0 的。地址為 1, telnet 54。3. 在此基石上將 0 的地址改為 00 然后，telnet 54。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2,3訪問(wèn)被禁止，IP或MAC不匹配。備注首先，加載IP全通過(guò)濾規(guī)則測(cè)試項(xiàng)目IPMAC地址綁定測(cè)試日期測(cè)試內(nèi)容在制定IPMAC綁定規(guī)則時(shí)，可以只綁定一個(gè)區(qū)域當(dāng)中的某幾個(gè)主機(jī)的地址，絕大多數(shù)主機(jī)可能不需要綁定，此時(shí)，我們還可以指定防火墻對(duì)那些沒(méi)指定的主機(jī)的綁定過(guò)

19、濾規(guī)則。這個(gè)用例主要用來(lái)測(cè)試防火墻對(duì)綁定規(guī)則之外的主機(jī)的訪問(wèn)的處理能力。測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1. 0= >MAC 04.89.29進(jìn)行綁定，綁定規(guī)則之外的主機(jī)不允許通過(guò)執(zhí)行操作1. 在 0 上 telnet 192.168 2254。2. 在 0 上 telnet 543. 修改規(guī)則，綁定之外的主機(jī)允許通過(guò)。4. 在 0 上 telnet 54測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.訪問(wèn)成功2訪問(wèn)禁

20、止4.訪問(wèn)成功備注首先，加載IP全通過(guò)濾規(guī)則D. NAT測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容這個(gè)用例主要用來(lái)測(cè)試一對(duì)一的同時(shí)對(duì)多個(gè)方向上的轉(zhuǎn)換功能測(cè)試環(huán)境1.路由模式。2. Linux ,Windows規(guī)則指定1. 0->00 (in NAT out)2. 0->00 (in NAT dmz)執(zhí)行操作1. 在 0 上 telnet 542. 在 54 上 telnet 003. 在 54

21、上 telnet 04. 在 0 上 telnet 05. 在 0 上 telnet 00測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功3訪問(wèn)失敗4訪問(wèn)成功5訪問(wèn)成功備注在訪問(wèn)成功的同時(shí)在對(duì)端機(jī)器上用netstat命令看是真實(shí)IP還是轉(zhuǎn)換后的IP地址。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容這個(gè)用例主要在于測(cè)試同時(shí)雙向的NAT轉(zhuǎn)換功能測(cè)試環(huán)境1 .路由模式2 . Linx,windows規(guī)則指定1. 0 >00 (in NAT out)2.

22、 0 >00 (in NAT dmz)3. 0 >00(dmz NAT in )4. 0 >00(dmz NAT out)5. 54->00 (out NAT in )6. 54 >00 ( out NAT dmz )執(zhí)行操作1. 在 0 上 telnet 00 , 00,192.1

23、68.2.254,0。2. 在 54 上 telnet 00,00,0,0。3. 在 0 上 telnet 00,00,54,0。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功3訪問(wèn)成功4訪問(wèn)成功備注服務(wù)都開(kāi)放，同時(shí)用 netstat進(jìn)行查看連接的IP地址。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的基本功能測(cè)試環(huán)境1 .路由模式2 . Linu

24、x , windows。規(guī)則指定1. 54- >002. 53- >003. 以上不提供服務(wù)轉(zhuǎn)換。執(zhí)行操作1. 在 192.1682254, 53 上 ping 02. 在 53, 53 上 telnet 0測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)成功2訪問(wèn)成功備注首先，加載IP全通過(guò)濾規(guī)則。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境1 .路由模式2 . Linu

25、x , windows。規(guī)則指定1. 54- >00 提供 telnet 服務(wù)。2. 53-254 - >00 提供 www 服務(wù)。（去除 254 地址。）執(zhí)行操作1. 在 54, 53 上 telnet 0。2. 在 0 上 telnet 00,在 0 上 http： /003. 在 54 上 telnet 192.16

26、8.1.100 : 80 。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1.訪問(wèn)成功2.訪問(wèn)成功。3.訪問(wèn)失敗。備注首先，加載IP全通過(guò)濾規(guī)則。測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定規(guī)則 1: 54, 53, 52 - >00 , 00規(guī)則 2: 54 23->0023 54 23- >002323執(zhí)行

27、操作1.加載規(guī)則1。2. 在 192.1682254, 192.1682253, 53 上 telnet 0。3. 在規(guī)則1的基礎(chǔ)上，加載規(guī)則2。4. 在 0, 0 上 telnet 00 23; telnet 00 2323測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2, 4訪問(wèn)成功備注首先，加載IP全通過(guò)濾規(guī)則測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的 FTP服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定規(guī)則 1: 192.168

28、.2.254, 53, 52 - >00 , 00規(guī)則 2: 54->00 21 號(hào)端口提供 ftp 服務(wù)。 52->00 2121號(hào)端口提供 即服務(wù)。執(zhí)行操作1 .加載規(guī)則1。2 . 在 54, 53, 53 上 telnet 0。3 .在規(guī)則1的基礎(chǔ)上加載規(guī)則 24 . 在 0, 192.1

29、68.1.20 卜 ftp 00 , ftp 00 2121。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2,4訪問(wèn)應(yīng)該能夠成功備注首先，加載IP全通過(guò)濾規(guī)則E.多播。測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容數(shù)據(jù)的轉(zhuǎn)發(fā)（分區(qū)方向的控制），組的加入。測(cè)試環(huán)境1 .路由模式2 . Linux , windows。1.OUT > 55 (0= >GDA )規(guī)則指定執(zhí)行操作1.在54上，用 media player建立一個(gè)多播站。播放test.nsc影首義件。2. 在 192.168.1

30、.10 上運(yùn)行 mplayer 2 54/test.nsc。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2.正常播放。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容分區(qū)方向的控制測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1.IN -> -55(內(nèi)網(wǎng)區(qū)域內(nèi))執(zhí)行操作1.在0上用 media player建立多播站，播放影首義件test.nsc。2.在 0 上運(yùn)行 mplay2 0/test.nsc。觀件 test.nsc。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2.訪問(wèn)成功，可以正常觀

31、看。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容與卜行流多播路由器的數(shù)據(jù)交換測(cè)試環(huán)境1 .路由模式2 .Linux , windows。規(guī)則指定1. DMZ - > -55(IN=>GDA )執(zhí)行操作1 .在0上用 media player建立多播站，播放影首義件test.nsc。2 .在 0 上運(yùn)行 mplayer2 /0/test.nsc ,接收影音義件。3 .在 54 上運(yùn)行 mplayer2 /0/test.nsc,影音義件.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)

32、測(cè)結(jié)果2.訪問(wèn)成功，接收正常。3.不能成功.備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容多播樹(shù)的嫁接（多多播源，多接收端）測(cè)試環(huán)境1 .路由模式2 . Linux , windows。規(guī)則指定1. OUT > 55(IN=>GDA )2. IN - > -55(OUT=>GDA )執(zhí)行操作1 .在54, 0上建立多播站。運(yùn)行影音義件test.nso2 .在 0 , 先后運(yùn)行 mplayer:2 /190/tes

33、t.nsc , mplayer:54/test.nsc。3 . 在 0 上運(yùn)行 mplayer : /0/test.nsc , mplayer : /54/test.nsc 影音義件。4 .在 53 上運(yùn)行 mplayer： /0/test.nsc 影音義件。測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2,3,4訪問(wèn)成功，正常播放。備注注:橋模式下，多播與之類似，防火墻透明，與路由情況配置一樣，指定區(qū)域即可.不再贅述.F. TRUNK測(cè)試項(xiàng)目TRUNK測(cè)試日期測(cè)試內(nèi)容跨越防火墻，

34、完成同一 VLAN內(nèi)的通信.測(cè)試環(huán)境1 .橋模式2 . Linux , windows。3 .在兩交換機(jī)上將 0,1 設(shè)為同一 VLAN100.將0,1 設(shè)為同一 VLAN200.與防火墻 trunk 連接.類型 802.1q.規(guī)則指定1. 01 允許. 協(xié)議：tcp,icmp.2.o 01 拒絕 協(xié)議.tcp 允許，icmp 拒絕.執(zhí)行操作1. 在 0 上 ping 1,te

35、lnet 12. 在 0 上 telnet 1,ping 1測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)全部成功。2Telnet成功.ping不成功.備注測(cè)試項(xiàng)目TRUNK,代理路由測(cè)試日期測(cè)試內(nèi)容跨越防火墻，完成同一 VLAN內(nèi)的通信.測(cè)試環(huán)境1 .橋模式2 . Linux , windows。3 . 將 0 與 1 改 IP 為 0,1.4 .在兩交換機(jī)上將 0,1 設(shè)為同一 VLA

36、N100.將0,1 設(shè)為同一 VLAN200.規(guī)則指定.11- 0,1 協(xié)議:所有協(xié)議.2. 01 允許. 協(xié)議:tcp,icmp.3. 01 拒絕執(zhí)行操作1.將防火墻內(nèi)外網(wǎng)卡分別綁定兩個(gè)IP地址和. 在 1 上 ping ,telnet,ftp,0 和 1.3. 在

37、0 上 ping telnet 14. 在 0 ± ping telnet ftp 1.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1訪問(wèn)全部成功。2訪問(wèn)成功.3所有操作都拒絕.備注G.內(nèi)容過(guò)濾測(cè)試項(xiàng)目?jī)?nèi)容過(guò)濾測(cè)試日期測(cè)試內(nèi)容對(duì)SMTP,HIIP,FTP等應(yīng)用層進(jìn)行過(guò)濾.測(cè)試環(huán)境1 .路由，橋.2 . Linux,Windows.規(guī)則指定在包過(guò)濾中添加相應(yīng)的過(guò)濾規(guī)則，其中對(duì)內(nèi)容，主題，附件，命令，都進(jìn)行過(guò)濾.在此僅舉一例.其他/、再贅述.1. 0- 54, HTTP: GET 命令禁止.SMTP

38、:主題病毒禁止.FTP: USER 禁止.執(zhí)行操作1. 在 0 上 54 . GET 貞囿禁止.2.在0發(fā)mail到郵件服務(wù)器54的主題為病毒的郵件.3. 在 172.10.120 上 ftp 54 . user test測(cè)試結(jié)果步驟|預(yù)期結(jié)果實(shí)測(cè)結(jié)果1,2,3訪問(wèn)都不成功。備注H.報(bào)警測(cè)試項(xiàng)目報(bào)警.測(cè)試日期測(cè)試內(nèi)容郵件,trap,蜂鳴等.。測(cè)試環(huán)境1 .路由*II式，橋模式.2 . Linux , windows。規(guī)則指定設(shè)定相應(yīng)的報(bào)警 mail.,trap接收地址.執(zhí)行操作1 . 在裝O OpenView 等可以接收trap信息的主機(jī)上結(jié)束trap.2 .在任意一主機(jī)上設(shè)置mail帳號(hào)為報(bào)警mail帳號(hào)，接收?qǐng)?bào)警mail.3 .當(dāng)進(jìn)行相應(yīng)的報(bào)警操作，防火墻開(kāi)始蜂鳴.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果1,2,3可以完成.備注I.審計(jì)測(cè)試項(xiàng)目W.測(cè)試日期測(cè)試內(nèi)容對(duì)防火墻進(jìn)行事件及訪問(wèn)日志的審計(jì).O測(cè)試環(huán)境1 .路