測試專案
測試一、nat/pat
拓撲圖測試要求
(如防火牆inside介面不夠,則使用交換機連線內部三颱pc並將內部網路合併為192.168.0.0/16)
1. 將192.168.1.1(pc1)靜態翻譯(位址翻譯)為58.135.192.55
2. 將192.168.2.0-192.168.4.254動態翻譯(埠翻譯)為58.135.192.56
檢查方法及檢查專案
● pc1通過ftp方式從教育網**資料
● pc2和pc3使用loadrunner分別模擬500臺電腦瀏覽網頁
● 檢視裝置負載和網路延遲
測試二、site-to-site ipsec/vpn
拓撲圖測試要求
1. isakmp配置
2. ipsec配置
3. 只對10.0.1.1和10.0.2.2之間互訪的流量進行ipsec的加密
檢查方法及檢查專案
● pc1和pc2能否相互ping通,在asa5540上檢測資料是否為加密資料。
● 修改pc2的ip位址為10.0.2.22,使用pc1 ping pc2,在asa5540上檢查資料是否為明文。
測試三、dynamic remote-access ipsec/vpn
拓撲圖測試要求
1. isakmp配置
2. ipsec配置
3. 其他
4. 防火牆outside外任何主機都可以與防火牆建立ipsec/vpn連線。
5. 只對pc1和pc2互訪的資料加密。
檢查方法及檢查專案
● pc2修改ip位址為10.0.2.22後是否能與防火牆建立ipsec/vpn連線。
● pc2能否獲得正確的dns。
● pc1和pc2能否相互ping通。
● 檢查防火牆outside介面收到的資料是否為明文。
測試四、ipsec/vpn的nat穿透
拓撲圖測試要求
1. isakmp配置
2. ipsec配置
3. cisco asa 5540上允許以下流量進入其內網
檢查方法及檢查專案
● 兩測試裝置是否可以正常建立ipsec/vpn連線
● pc1和pc2是否可以相互ping通
測試五、remote-access pptp vpn
拓撲圖測試要求
檢查方法及檢查專案
● pc2使用windows自帶的vpn與防火牆建立pptp連線
● pc2能否獲得正確的dns
● pc2和pc1能否相互ping通
測試六、h.323的穿透
拓撲圖測試要求
1. 測試防火牆配置靜態位址翻譯,將192.168.1.1(pc翻譯為192.168.2.1
2. 測試防火牆配置埠翻譯,將192.168.1.1(pc翻譯為192.168.2.11
檢查方法及檢查專案
● 配置靜態位址翻譯後,pc和pc否可以用netmeeting進行語音通話,如果可以正確建立連線,是否存在單向音問題。
● 配置埠翻譯後,pc和pc否可以用netmeeting進行語音通話,如果可以正確建立連線,是否存在單向音問題。
測試七、acl和會話數的限制
拓撲圖測試要求
1. 配置acl只允許www流量到防火牆內部的pc1。
2. 限制pc1的會話數為5。
檢查方法及檢查專案
● pc1上建立www服務,提供一檔案**,pc2用多執行緒**軟體從pc1**檔案,檢查連線數是否被限制在5個。
測試八、syslog、snmp、遠端管理
檢查方法及檢查專案
● 是否支援syslog功能
● 是否支援snmp管理(通過snmp能否檢測cpu利用率,連線數)
● 是否支援遠端管理,通過outside口登陸防火牆進行管理
測試九、認證功能
拓撲圖測試要求
1. 防火牆上配置認證功能
檢查方法及檢查專案
● 內部主機pc1主動發起http請求連線pc2時,防火牆通過web頁面方式(其他方式也可以)對pc1進行認證,認證通過後pc1才可正常訪問pc2。
測試十、p2p流量限制
拓撲圖測試要求
1. 防火牆上配置p2p流量限制功能。
檢查方法及檢查專案
● pc1能否進行bittorrent或e-donkey的**
測試結果
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
防火牆配置方案
由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性 可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線...
走進防火牆
前些篇中,我們對集線器 交換機和路由器分別作了詳細的介紹。從本篇開始我們要介紹另乙個重要網路裝置 防火牆。現在無論是企業,還是個人,資訊保安問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業 就邊專業的著名 如yahoo!ebay等著名 都曾經被黑客用原始的dos攻擊方法攻陷過,軟體系統巨人 ...