防火牆測試方案

2022-06-27 20:30:08 字數 2173 閱讀 7899

測試專案

測試一、nat/pat

拓撲圖測試要求

(如防火牆inside介面不夠,則使用交換機連線內部三颱pc並將內部網路合併為192.168.0.0/16)

1. 將192.168.1.1(pc1)靜態翻譯(位址翻譯)為58.135.192.55

2. 將192.168.2.0-192.168.4.254動態翻譯(埠翻譯)為58.135.192.56

檢查方法及檢查專案

● pc1通過ftp方式從教育網**資料

● pc2和pc3使用loadrunner分別模擬500臺電腦瀏覽網頁

● 檢視裝置負載和網路延遲

測試二、site-to-site ipsec/vpn

拓撲圖測試要求

1. isakmp配置

2. ipsec配置

3. 只對10.0.1.1和10.0.2.2之間互訪的流量進行ipsec的加密

檢查方法及檢查專案

● pc1和pc2能否相互ping通,在asa5540上檢測資料是否為加密資料。

● 修改pc2的ip位址為10.0.2.22,使用pc1 ping pc2,在asa5540上檢查資料是否為明文。

測試三、dynamic remote-access ipsec/vpn

拓撲圖測試要求

1. isakmp配置

2. ipsec配置

3. 其他

4. 防火牆outside外任何主機都可以與防火牆建立ipsec/vpn連線。

5. 只對pc1和pc2互訪的資料加密。

檢查方法及檢查專案

● pc2修改ip位址為10.0.2.22後是否能與防火牆建立ipsec/vpn連線。

● pc2能否獲得正確的dns。

● pc1和pc2能否相互ping通。

● 檢查防火牆outside介面收到的資料是否為明文。

測試四、ipsec/vpn的nat穿透

拓撲圖測試要求

1. isakmp配置

2. ipsec配置

3. cisco asa 5540上允許以下流量進入其內網

檢查方法及檢查專案

● 兩測試裝置是否可以正常建立ipsec/vpn連線

● pc1和pc2是否可以相互ping通

測試五、remote-access pptp vpn

拓撲圖測試要求

檢查方法及檢查專案

● pc2使用windows自帶的vpn與防火牆建立pptp連線

● pc2能否獲得正確的dns

● pc2和pc1能否相互ping通

測試六、h.323的穿透

拓撲圖測試要求

1. 測試防火牆配置靜態位址翻譯,將192.168.1.1(pc翻譯為192.168.2.1

2. 測試防火牆配置埠翻譯,將192.168.1.1(pc翻譯為192.168.2.11

檢查方法及檢查專案

● 配置靜態位址翻譯後,pc和pc否可以用netmeeting進行語音通話,如果可以正確建立連線,是否存在單向音問題。

● 配置埠翻譯後,pc和pc否可以用netmeeting進行語音通話,如果可以正確建立連線,是否存在單向音問題。

測試七、acl和會話數的限制

拓撲圖測試要求

1. 配置acl只允許www流量到防火牆內部的pc1。

2. 限制pc1的會話數為5。

檢查方法及檢查專案

● pc1上建立www服務,提供一檔案**,pc2用多執行緒**軟體從pc1**檔案,檢查連線數是否被限制在5個。

測試八、syslog、snmp、遠端管理

檢查方法及檢查專案

● 是否支援syslog功能

● 是否支援snmp管理(通過snmp能否檢測cpu利用率,連線數)

● 是否支援遠端管理,通過outside口登陸防火牆進行管理

測試九、認證功能

拓撲圖測試要求

1. 防火牆上配置認證功能

檢查方法及檢查專案

● 內部主機pc1主動發起http請求連線pc2時,防火牆通過web頁面方式(其他方式也可以)對pc1進行認證,認證通過後pc1才可正常訪問pc2。

測試十、p2p流量限制

拓撲圖測試要求

1. 防火牆上配置p2p流量限制功能。

檢查方法及檢查專案

● pc1能否進行bittorrent或e-donkey的**

測試結果

防火牆方案

2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...

防火牆配置方案

由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...

走進防火牆

前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...