【正文】 目 錄1 SRX防火墻產品測試內容 4 設備清單及版本 4 SRX功能測試 4 設備可管理測試 6 測試內容 6 測試拓撲圖 6 設備配置 6 測試表格 7 路由模式測試 9 測試內容 9 測試拓撲圖 9 設備配置 9 測試表格 10 策略測試 13 測試內容 13 測試拓撲圖 13 設備配置 14 測試表格 15 靜態(tài)NAT測試 17 測試內容 17 測試拓撲圖 17 設備配置 17 測試表格 19 基于rule的目的NAT測試 23 測試內容 23 測試拓撲圖 23 設備配置 23 測試表格 25 基于接口的源NAT測試 28 測試內容 28 測試拓撲圖 28 設備配置 28 測試表格 29 基于Rule的源NAT測試1 31 測試內容 31 測試拓撲圖 31 設備配置 31 測試表格 32 基于Rule的源NAT測試2 35 測試內容 35 測試拓撲圖 35 設備配置 35 測試表格 36 HA工作方式測試 39 測試內容 39 測試拓撲圖 40 設備配置 40 測試表格 42 基于策略的長連接測試 44 測試內容 44 測試拓撲圖 45 設備配置 45 測試表格 46 SRX防火墻性能測試 49 測試拓撲圖 49 普通數(shù)據(jù)量壓力測試 49 大數(shù)據(jù)量壓力測試 49 長連接下的普通數(shù)據(jù)量壓力測試 50 設備配置 50 測試表格 51 SRX防火墻網管測試 54 SNMP管理測試 54 NTP測試 57 Syslog測試 60 SRX防火墻VPN測試 63 Ipsec VPN remote client測試 63 Ipsec VPN 點對點Policy base VPN連接測試 64 Ipsec VPN 點對點route base VPN連接測試 73 OSPF路由協(xié)議功能測試 81 測試內容 81 測試拓撲圖 81 設備配置 82 測試表格 82 VRRP協(xié)議功能測試 86 測試內容 86 測試拓撲圖 86 設備配置 87 測試表格 88 DHCP功能測試 90 測試內容 90 測試拓撲圖 90 設備配置 91 測試表格 911 SRX防火墻產品測試內容 設備清單及版本設備清單設備版本文檔版本備注SRX 240H 兩臺 R1測試PC 兩臺XP SP2測試軟件：NetIQTFTP Server/clientTFTPD 32Web Server Easy Web Serverftp serverFileZilla ServerSyslog serverTFTPD 32 SRX功能測試SRX防火墻的功能測試包括以下幾個方面：n 路由模式n 策略（ICMP、TCP、UDP）n 基于策略的長連接n HA工作方式n 主備切換n Session同步n 網管功能測試n SNMP測試n NTP測試n Syslog測試n VPN功能測試n Ipsec VPN remote client測試n Ipsec VPN點對點測試n 路由功能測試n OSPF功能測試 設備可管理測試 測試內容設備可管理測試是測試防火墻能否支持常用的管理協(xié)議，包括telnet、ssh、和；基本的測試方法為在防火墻配置相應的管理服務及管理用戶，并在相應的接口或zone上配置是否可以接受管理，通過PC分別用telnet、ssh、和方式登錄防火墻，從而驗證防火墻的可管理功能。 測試拓撲圖 設備配置 配置管理用戶：set system login user lab uid 2000set system login user lab class superuserset system login user lab authentication plaintextpassword 配置系統(tǒng)管理服務：（ssh、telnet、）set system services sshset system services telnetset system services webmanagement interface ge0/0/（可以進行的管理接口）set system services webmanagement interface allset system services webmanagement systemgeneratedcertificateset system services webmanagement interface all 配置接口地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置zone或接口是否可以管理防火墻設備：A、配置zone trust可以管理防火墻：set security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust interfaces ge0/0/B、配置zone untrust可以管理防火墻，但其中的ge0/0/，其他的不允許：set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust interfaces ge0/0/ hostinboundtraffic systemservices set security zones securityzone untrust interfaces ge0/0/ hostinboundtraffic systemservices ssh 測試表格測試號Test1設備名稱Juniper SRX防火墻：SRX240H1設備軟件版本測試項目設備可管理測試測試目的驗證設備可管理功能測試配置見本節(jié)的設備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻兩端，分別配置地址為： 在PC：、telnet、方式登錄防火墻的接口地址：，并以用戶lab登錄，如正常則表示防火墻的可管理功能正常 在PC：、telnet、方式登錄防火墻的接口地址：，并以用戶lab登錄，由于該接口在untrust zone，并且該接口只允許ssh及管理，所以該用戶只能已telnet和來管理設備，用telnet和則不允許訪問防火墻。 檢查命令：檢查當前的登錄用戶：lab@SRX240H1 show system users 11:50AM up 2 days, 23 mins, 2 users, load averages: , , USER TTY FROM LOGIN@ IDLE WHATlab p0 10:40AM 1:04 cli (cli) lab p1 11:45AM cli (cli) lab jweb2 11:47AM 2lab jweb1 11:50AM 預期結果： PC：、telnet、方式并以lab用戶能正常登錄防火墻的接口地址：，并正常進行配置管理 在PC：、方式并以lab用戶正常登錄防火墻的接口地址：，并正常進行配置管理；其他的telnet和方式則不允許。測試結果：測試結果： 通過 ( ) 失敗 ( )測試通過：(簽字)測試失敗：(簽字)失敗原因：注釋： 路由模式測試 測試內容路由模式測試是測試防火墻是否支持路由功能，基本的測試方法是在防火墻的內外網口分別連接網絡PC，并按拓撲圖，對防火墻進行相應的配置，包括IP地址，路由，策略，及其他相關配置。通過兩臺PC分別Ping及訪問對方，從而驗證防火墻的路由功能。 測試拓撲圖 設備配置 配置接口地址set interfaces ge0/0/0 unit 0 description toLANtrustset interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 description toWANuntrustset interfaces ge0/0/8 unit 0 family inet address 配置zone及將接口加到zone中，將ge0/0/ zone，將ge0/0/ zoneset security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust hostinboundtraffic protocols allset security zones securityzone trust interfaces ge0/0/set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust hostinboundtraffic protocols allset security zones securityzone untrust interfaces ge0/0/配置策略，允許trust和untrust之間互相通信，并且打開log記錄set security policies fromzone trust tozone untrust policy defaultpermit match sourceaddress anyset security policies fromzone trust tozone untrust policy defaultpermit match destinationaddress anyset security policies fromzone trust tozone untrust policy defaultpermit match application anyset security policies fromzone trust tozone untrust policy defaultpermit then permitset security policies fromzone trust tozone untrust policy defaultpermit then log sessioninitset security policies fromzone untrust tozone trust policy defaultpermit match sourceaddress anyset security policies fromzone untrust tozone trust policy defaultpermit match destinationaddress anyset security policies fromzone untrust tozone trust policy defaultpermit match application anyset security policies fromzone untrust tozone trust policy defaultpermit then permitset security policies fromzone untrust tozone trust policy defaultpermit then log sessioninit 測試表格測試號Test2設備名稱Juniper SRX防火墻：SRX240H1設備軟件版本測試項目設備可路由測試測試目的驗證設備可路由傳輸功能測試配置見本節(jié)的設備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻兩端，分別配置地址為： 在PC：， server查看訪問的源地址是否為：，如正常則表示trust zone的pc能通過路由正常訪問另一個untrust zone。 在PC：， server查看訪