防火墙测试方案Word格式文档下载.docx
- 文档编号:21428936
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:24
- 大小:396.56KB
防火墙测试方案Word格式文档下载.docx
《防火墙测试方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《防火墙测试方案Word格式文档下载.docx(24页珍藏版)》请在冰豆网上搜索。
192.168.1.251
172.16.1.20192.168.1.20
192.168.1.11192.168.1.21
图2
三.测试前软件环境的准备
1.子网主机具有Linux,windows2008两种环境。
2.测试环境Linux主机配置www,ftp,telnet服务,同时安装nmap,http_load,sendudp等测试工具;
Windows主机配置ftp,telnet,iis,snmp等服务,同时安装IE,Netscape等浏览器
3.防火墙分区内主机的网关都设为指向所连防火墙当前连接接口,ip地址为当前网段的1地址。
例:
当前主机所在网段为192.168.1.0,那么它的网关为192.168.1.1,即防火墙接入接口的ip地址。
4.防火墙的默认路由均指向其通往广域网的路由器或三层交换机。
5.在广域网中采用静态路由和动态路由(rip或ospf)两种。
四.功能说明及规则设计。
针对防火墙各项功能,分别加以说明。
A.包过滤――――区间通信。
1.)单一地址
2.)多地址
规则设计:
a.方向:
区1—>
区2
b.操作:
允许(拒绝)
c.协议:
tcp,udp,icmp和其它协议号的协议。
d.审计:
是(否)
e.有效时间段
B.地址绑定――――ip,mac地址绑定。
防止地址欺骗。
a)单一地址绑定
b)多地址绑定。
规则设计:
允许(或拒绝)
C本地访问控制――――对管理主机的访问进行控制
1.)单一地址
a.操作:
1.允许ping,telnet等。
2.允许管理
DNAT――――地址,端口的转换。
私有ip转为公网ip。
1.)一对一
2.)多对一
3.)多对多
区1->
区2.
拒绝(或允许)
E多播――――解决一对多的通信。
1.单一多播源,多接收端。
2.多多播源,多接收端。
G.TRUNK,代理路由――――复用链路,为防火墙单一区域内的子网通信进行路由.
H.报警――――利用邮件,TRAP,蜂鸣等及时向管理员报告防火墙的信息.
I.审计――――审计防火墙上的访问,及事件信息,防火墙的状态.
J.实时监控――――实时检测防火墙的通讯情况,跟踪防火墙的运行状况.
K攻击――――防攻击。
检测企图通过防火墙实施攻击的行为,并报警,阻断攻击。
L.双机热备――――设备冗余。
同一网络,两台防火墙,一台设为激活状态,另一台设为备份状态。
当激活状态的防火墙down掉时,备份防火墙接管。
通过测试用例来对具体的操作进行阐述。
在所有的规则制定中考虑范围内取非,范围的临界值,中间值情况,时间的控制等。
A.包过滤
包过滤
测试日期
测试内容
IP过滤规则对ICMP数据包的过滤效果
测试环境
1.路由模式
2.Linux,windows。
规则指定
1.192.168.1.10-100->
192.168.2.254ICMP允许。
(内到外)
192.168.2.254->
192.168.3.10ICMP允许。
(外到DMZ)
192.168.3.1-15->
192.168.1.10ICMP允许。
(DMZ到内)
执行操作
1.在192.168.1.10上ping192.168.2.254,在192.168.2.254上ping192.168.3.10,在192.168.3.10上ping192.168.1.10。
并反方向ping。
2.在192.168.1.10上telnet192.168.2.254,在192.168.2.254上telnet192.168.3.10,在192.168.3.10上telnet192.168.1.10。
并反方向ftp,telnet。
3.加载ICMP全通规则。
4.重复步骤1
测试结果
步骤
预期结果
实测结果
1.
正向ping成功,反向ping不通,被禁止。
2.
访问被禁止,规则不允许。
3
都可以相互ping通。
备注
IP过滤规则对TCP数据包的过滤效果
1:
192.168.1.10->
192.168.2.254telnet允许。
192.168.3.10telnet允许。
192.168.3.10->
192.168.1.10telnet允许。
1.在192.168。
1.10上telnet192.168.2.254,在192.168.2.254上telnet192.168.3.10,在192.168.3.10上telnet192.168.1.10,并反向telnet。
2.在192.168.1.10用nslookup到192.168.2.254上进行名字解析或其它的udp服务。
3.加载telnet全通规则,重复步骤1.
正向成功,反向被禁止
访问被禁止,没有允许UDP服务。
TCP协议的放开,对UDP协议不发生影响。
3.
telnet访问都成功。
IP过滤规则对TCP数据包的过滤效果,侧重于实时效果
1.192.168.1.10->
生效时间:
9:
00-10:
00
2.保持上述telnet已建立的连接,并不断的telnet没有建立连接的。
3.在9:
59-10:
01之间,查看telnet状态的反应。
正向telnet成功,反向被禁止。
已建立的telnet连接被断开。
在IP包过滤中,由于FTP服务的特殊性,所以下面几个用例主要针对FTP进行测试。
这个用例主要用来测试FTP建立连接后,防火墙对20端口的特殊处理
192.168.2.254ftp允许(内到外)
1.在192.168.1.10上telnet192.168.2.25420。
2.在192.168.1.10上ftp192.168.2.254,进行大文件(1G)的数据传输。
3.在ftp的同时,在192.168.1.10上telnet192.168.2.25420。
4.passive进行ftp文件的传输。
5.在192.168.1.10上telnet192.168.2.25420
1,3,5
访问被禁止
2,4
访问成功。
IP包过滤包括ICMP、UDP、TCP和非(ICMP、UDP、TCP)包的过滤,UDP过滤行测试
规则1:
192.168.1.10->
192.168.2.254UDP允许。
192.168.2.253->
192.168.3.20UDP允许。
192.168.3.30->
192.168.1.30UDP允许
00。
〕
规则2:
192.168.2.254UDP拒绝。
1.在192.168.1.10,192.168.2.253,192.168.3.30上启动UDP的测试工具Udp_Server,在192.168.2.253,192.168.3.20,192.168.1.30上启动Udp_Client来分别连192.168.1.10,192.168.2.253,192.168.3.30上的服务程序。
2.保持连接。
查看在10:
00时连接的状态。
3.保持Client对Server的主动,不间断的连接去掉时间限制,重新加载规则1,在连接重新建立的同时,加载规则2。
连接成功
连接被断开。
连接建立后,马上又被断开。
目的:
测试UDP过滤的基本功能、在规则有效时间上的实时性、规则变化时对动态连接表的实时刷新性能等
说明:
对于EIP的测试,通过在包过滤中IP协议的设置过程中同步设置,用发包工具对其进行测试,例如:
igmp,ospf包等。
B.地址绑定
IPMAC地址绑定
测试IPMAC绑定的基本功能,以及在MAC地址匹配而IP地址不匹配和IP地址匹而MAC地址不匹配得两种IP欺骗的情况下防火墙的处理能力
1.192.168.1.10----100=>
MAC00.12.30.34.89.29进行绑定
1.192.168.1.10上telnet192.168.2.254。
2.修改192.168.1.10的IP地址为192.168.1.11,telnet192.168.2.254。
3.在此基础上将192.168.1.20的地址改为192.168.1.10。
然后,telnet192.168.2.254。
1
访问成功
2,3
访问被禁止,IP或MAC不匹配。
首先,加载IP全通过滤规则
在制定IPMAC绑定规则时,可以只绑定一个区域当中的某几个主机的地址,绝大多数主机可能不需要绑定,此时,我们还可以指定防火墙对那些没指定的主机的绑定过滤规则。
这个用例主要用来测试防火墙对绑定规则之外的主机的访问的处理能力。
1.192.168.1.10=>
MAC00.12.30.34.89.29进行绑定,绑定规则之外的主机不允许通过
1.在192.168.1.10上telnet192.168.2.254。
2.在192.168.1.20上telnet192.168.2.254
3.修改规则,绑定之外的主机允许通过。
4.在192.168.1.20上telnet192.168.2.254
2
访问禁止
4.
D.NAT
NAT转换
这个用例主要用来测试一对一的同时对多个方向上的转换功能
1.路由模式。
2.Linux,Windows
192.168.2.100(inNATout)
2.192.168.1.10->
192.168.3.100(inNATdmz)
1.在192.168.1.10上telnet192.168.2.254
2.在192.168.2.254上telnet192.168.2.100
3.在192.168.2.254上telnet192.168.1.10
4.在192.168.1.10上telnet192.168.3.10
5.在192.168.3.10上telnet192.168.3.100
访问失败
4
5
在访问成功的同时在对端机器上用netstat命令看是真实IP还是转换后的IP地址。
这个用例主要在于测试同时双向的NAT转换功能
2.Linx,windows
1.192.168.1.10->
2.192.168.1.10->
3.192.168.3.10->
192.168.1.100(dmzNATin)
4.192.168.3.10->
192.168.1.200(dmzNATout)
5.192.168.2.254->
192.168.1.200(outNATin)
6.192.168.2.254->
192.168.3.200(outNATdmz)
1.在192.168.1.10上telnet192.168.1.100,192.168.1.200,192.168.2.254,192.168.3.10。
2.在192.168.2.254上telnet192.168.2.100,192.168.2.200,192.168.3.10,192.168.1.10。
3.在192.168.3.10上telnet192.168.3.100,192.168.3.200,192.168.2.254,192.168.1.10。
服务都开放,同时用netstat进行查看连接的IP地址。
测试多对一转换时的基本功能
1.192.168.2.254->
192.168.1.100
2.192.168.2.253->
3.以上不提供服务转换。
1.在192.168.2.254,192.168.2.253上ping192.168.1.10
2.在192.168.2.253,192.168.2.253上telnet192.168.1.10
首先,加载IP全通过滤规则。
测试多对一转换时的服务转换功能
192.168.1.100提供telnet服务。
2.192.168.2.253---254->
192.168.1.100提供www服务。
(去除254地址。
)
1.在192.168.9.254,192.168.2.253上telnet192.168.1.10。
2.在192.168.1.10上telnet192.168.1.100,在192.168.1.20上http:
//192.168.1.100
3.在192.168.2.254上telnet192.168.1.100:
80。
访问失败。
测试多对多转换时的服务转换功能
规则1:
192.168.2.254,192.168.2.253,192.168.2.252->
192.168.1.100,192.168.1.200
192.168.2.25423->
192.168.1.10023192.168.2.25423->
192.168.1.2002323
1.加载规则1。
2.在192.168.2.254,192.168.2.253,192.168.2.253上telnet192.168.1.10。
3.在规则1的基础上,加载规则2。
4.在192.168.1.10,192.168.1.20上telnet192.168.1.10023;
telnet192.168.1.2002323
2,4
测试多对多转换时的FTP服务转换功能
192.168.2.254->
192.168.1.10021号端口提供ftp服务。
192.168.2.252->
192.168.1.2002121号端口提供ftp服务。
3.在规则1的基础上加载规则2
4.在192.168.1.10,192.168.1.20上ftp192.168.1.100,ftp192.168.1.2002121。
访问应该能够成功
E.多播。
多播
数据的转发(分区方向的控制),组的加入。
1.OUT->
224.1.1.1-239.255.255.255(192.168.1.10=>
GDA)
1.在192.168.2.254上,用mediaplayer建立一个多播站。
播放test.nsc影音文件。
2.在192.168.1.10上运行mplayer2//192.168.1.254/test.nsc。
正常播放。
分区方向的控制
1.IN->
224.1.1.1-239.255.255.255(内网区域内)
1.在10.10.3.10上用mediaplayer建立多播站,播放影音文件test.nsc。
2.在10.10.3.20上运行mplay2//10.10.3.10/test.nsc。
观看影音文件test.nsc。
访问成功,可以正常观看。
与下行流多播路由器的数据交换
1.DMZ->
224.1.1.1-239.255.255.255(IN=>
1.在10.10.3.10上用med
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 测试 方案