【正文】 目 錄1 SRX防火墻產(chǎn)品測試內(nèi)容 設(shè)備清單及版本設(shè)備清單設(shè)備版本文檔版本備注SRX 240H 兩臺 R1測試PC 兩臺XP SP2測試軟件：NetIQTFTP Server/clientTFTPD 32Web Server Easy Web Serverftp serverFileZilla ServerSyslog serverTFTPD 32 SRX功能測試SRX防火墻的功能測試包括以下幾個方面：n 路由模式n 策略（ICMP、TCP、UDP）n 基于策略的長連接n HA工作方式n 主備切換n Session同步n 網(wǎng)管功能測試n SNMP測試n NTP測試n Syslog測試n VPN功能測試n Ipsec VPN remote client測試n Ipsec VPN點對點測試n 路由功能測試n OSPF功能測試 設(shè)備可管理測試 測試內(nèi)容設(shè)備可管理測試是測試防火墻能否支持常用的管理協(xié)議，包括telnet、ssh、和；基本的測試方法為在防火墻配置相應(yīng)的管理服務(wù)及管理用戶，并在相應(yīng)的接口或zone上配置是否可以接受管理，通過PC分別用telnet、ssh、和方式登錄防火墻，從而驗證防火墻的可管理功能。 測試拓撲圖 設(shè)備配置 配置管理用戶：set system login user lab uid 2000set system login user lab class superuserset system login user lab authentication plaintextpassword 配置系統(tǒng)管理服務(wù)：（ssh、telnet、）set system services sshset system services telnetset system services webmanagement interface ge0/0/（可以進行的管理接口）set system services webmanagement interface allset system services webmanagement systemgeneratedcertificateset system services webmanagement interface all 配置接口地址set interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 family inet address 配置zone或接口是否可以管理防火墻設(shè)備：A、配置zone trust可以管理防火墻：set security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust interfaces ge0/0/B、配置zone untrust可以管理防火墻，但其中的ge0/0/，其他的不允許：set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust interfaces ge0/0/ hostinboundtraffic systemservices set security zones securityzone untrust interfaces ge0/0/ hostinboundtraffic systemservices ssh 測試表格測試號Test1設(shè)備名稱Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測試項目設(shè)備可管理測試測試目的驗證設(shè)備可管理功能測試配置見本節(jié)的設(shè)備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻兩端，分別配置地址為： 在PC：、telnet、方式登錄防火墻的接口地址：，并以用戶lab登錄，如正常則表示防火墻的可管理功能正常 在PC：、telnet、方式登錄防火墻的接口地址：，并以用戶lab登錄，由于該接口在untrust zone，并且該接口只允許ssh及管理，所以該用戶只能已telnet和來管理設(shè)備，用telnet和則不允許訪問防火墻。 檢查命令：檢查當(dāng)前的登錄用戶：lab@SRX240H1 show system users 11:50AM up 2 days, 23 mins, 2 users, load averages: , , USER TTY FROM LOGIN@ IDLE WHATlab p0 10:40AM 1:04 cli (cli) lab p1 11:45AM cli (cli) lab jweb2 11:47AM 2lab jweb1 11:50AM 預(yù)期結(jié)果： PC：、telnet、方式并以lab用戶能正常登錄防火墻的接口地址：，并正常進行配置管理 在PC：、方式并以lab用戶正常登錄防火墻的接口地址：，并正常進行配置管理；其他的telnet和方式則不允許。測試結(jié)果：測試結(jié)果： 通過 ( ) 失敗 ( )測試通過：(簽字)測試失?。?簽字)失敗原因：注釋： 路由模式測試 測試內(nèi)容路由模式測試是測試防火墻是否支持路由功能，基本的測試方法是在防火墻的內(nèi)外網(wǎng)口分別連接網(wǎng)絡(luò)PC，并按拓撲圖，對防火墻進行相應(yīng)的配置，包括IP地址，路由，策略，及其他相關(guān)配置。通過兩臺PC分別Ping及訪問對方，從而驗證防火墻的路由功能。 測試拓撲圖 設(shè)備配置 配置接口地址set interfaces ge0/0/0 unit 0 description toLANtrustset interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 description toWANuntrustset interfaces ge0/0/8 unit 0 family inet address 配置zone及將接口加到zone中，將ge0/0/ zone，將ge0/0/ zoneset security zones securityzone trust hostinboundtraffic systemservices allset security zones securityzone trust hostinboundtraffic protocols allset security zones securityzone trust interfaces ge0/0/set security zones securityzone untrust hostinboundtraffic systemservices allset security zones securityzone untrust hostinboundtraffic protocols allset security zones securityzone untrust interfaces ge0/0/配置策略，允許trust和untrust之間互相通信，并且打開log記錄set security policies fromzone trust tozone untrust policy defaultpermit match sourceaddress anyset security policies fromzone trust tozone untrust policy defaultpermit match destinationaddress anyset security policies fromzone trust tozone untrust policy defaultpermit match application anyset security policies fromzone trust tozone untrust policy defaultpermit then permitset security policies fromzone trust tozone untrust policy defaultpermit then log sessioninitset security policies fromzone untrust tozone trust policy defaultpermit match sourceaddress anyset security policies fromzone untrust tozone trust policy defaultpermit match destinationaddress anyset security policies fromzone untrust tozone trust policy defaultpermit match application anyset security policies fromzone untrust tozone trust policy defaultpermit then permitset security policies fromzone untrust tozone trust policy defaultpermit then log sessioninit 測試表格測試號Test2設(shè)備名稱Juniper SRX防火墻：SRX240H1設(shè)備軟件版本測試項目設(shè)備可路由測試測試目的驗證設(shè)備可路由傳輸功能測試配置見本節(jié)的設(shè)備配置部分測試步驟： 按配置步驟進行配置 配置2臺測試PC在防火墻兩端，分別配置地址為： 在PC：， server查看訪問的源地址是否為：，如正常則表示trust zone的pc能通過路由正常訪問另一個untrust zone。 在PC：， server查看訪問的源地址是否為：，如正常則表示untrust zone的pc能通過路由正常訪問另一個trust zone。 檢查命令：A、 查看session連接及l(fā)og信息：lab@SRX240H1 show security flow sessionlab@SRX240H1 show log rtlogdB、 在web server查看客戶端的源IP地址是否為對端的PC IP地址：預(yù)期結(jié)果： PC：，能正常訪問， server查看訪問的源地址為： PC：，能正常訪問， server查看訪問的源地址為：測試結(jié)果：測試結(jié)果： 通過 ( ) 失敗 ( )測試通過：(簽字)測試失?。?簽字)失敗原因：注釋： 策略測試 測試內(nèi)容策略測試是測試防火墻支持基于ICMP協(xié)議、TCP端口號和UDP端口號等信息進行策略配置，并針對每一條策略進行不同的操作（允許、拒絕等）?；镜臏y試方法是在防火墻的內(nèi)外網(wǎng)口分別連接網(wǎng)絡(luò)PC，并按拓撲圖，對防火墻進行相應(yīng)的配置，包括IP地址，路由，策略，及其他相關(guān)配置，其中策略至少包括三種策略，基于ICMP，基于TCP端口號和基于UDP端口號。通過網(wǎng)絡(luò)PC的業(yè)務(wù)模擬功能進行測試。推薦的測試策略：n ICMPn HTTP（TCP）n TFTP（UDP） 測試拓撲圖 設(shè)備配置 配置接口地址set interfaces ge0/0/0 unit 0 description toLANtrustset interfaces ge0/0/0 unit 0 family inet address set interfaces ge0/0/8 unit 0 description toWANuntrustset interfaces ge0/0/8 unit 0 family inet add