admin 管理员组文章数量: 887021
2024年3月7日发(作者:linux chmod 文件夹)
测试手册(H3C NGFW)
Copyright © 2015杭州华三通信技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目 录
T01 设备自身安全性 ····································································································· 2
T02 访问控制 ············································································································ 13
T03 NAT功能 ············································································································ 25
T04 日志功能 ············································································································ 32
T05 可靠性 ··············································································································· 37
T06 虚拟化功能 ········································································································· 49
T07 Flood攻击防御功能 ······························································································ 63
T08 特征库升级 ········································································································· 68
T09 IPS攻击防护功能 ································································································· 69
T10 攻击防护响应方式 ································································································ 87
T11 IPS自定义攻击 ···································································································· 95
T12 带宽管理功能 ······································································································ 97
T13 数据过滤功能 ···································································································· 125
T14 文件过滤 ·········································································································· 144
T15 URL分类过滤功能 ······························································································ 147
T16 病毒防御 ·········································································································· 168
T17 链路负载均衡(更详细内容参考链路负载均衡测试手册) ··········································· 185
T18 服务器负载均衡(更详细内容参考服务器负载均衡测试手册) ····································· 187
T19 性能测试 ·········································································································· 187
i
H3C NGFW测试用例
T01 设备自身安全性
T01-01 设备安全登录
测试分组
测试项目
设备自身安全性
设备安全登录
10.1.1.1/2410.1.1.2/24测试拓扑
PCFW
测试目的 支持HTTPS、SSH管理
(1) PC作为SSH Client,FW作为SSH Server;PC作为Web登录的Client,FW作为Web
Server;
(2) 在设备上使能https服务;
(3) 首先在FW上生成本地密钥对;
测试步骤
(4) 在FW上配置用户登录验证方式为scheme;
(5) 在FW上使能ssh server enable,并配置一个用户名为ssh,登录方式为stelnet;
(6) 配置本地用户名ssh,密码123456,服务类型ssh;
(7) 在PC上运行支持SSH的客户端软件(如putty),以用户名ssh,密码123456,登录FW。
FW:
放行接口所在域到local和local到接口所在域的域间策略
SSH配置
public-key local create rsa
public-key local create dsa
line vty 0 63
authentication-mode scheme
参考配置
protocol inbound ssh
ssh user ssh service-type stelnet authentication-type password
local-user ssh
service-type ssh
password simple 123456
authorization-attribute user-role network-admin
ssh server enable
Web配置
2022-04-25
H3C机密,未经许可不得扩散 第2页, 共197页
ip http enable
ip https enable
H3C NGFW测试用例
local-user web class manage
password simple 123456
service-type http https
authorization-attribute user-role network-admin
预期结果
测试准备
测试说明
用sshv2作为用户名通过SSH密码认证方式登录成功,用web作为用户名进行https登录成功。
防火墙,PC
domain system下需为默认配置
SSH登录过程:
(1) 使用SSH方式登录设备,PC地址为1.1.1.2,FW的gi1/0/0为1.1.1.1,三层可达;
测试结果
2022-04-25
H3C机密,未经许可不得扩散 第3页, 共197页
H3C NGFW测试用例
2022-04-25
H3C机密,未经许可不得扩散 第4页, 共197页
H3C NGFW测试用例
(2) 通过用户名ssh,密码123456,ssh方式能通过认证并得到设备管理权限。
HTTP登录过程:
2022-04-25
H3C机密,未经许可不得扩散 第5页, 共197页
H3C NGFW测试用例
通过用户名web,密码123456,web方式能通过认证并得到登录设备管理页面。
原始记录
T01-02 用户身份认证安全
测试分组
测试项目
设备自身安全性
用户身份认证安全
1.1.1.1/241.1.1.2/243.1.1.2/24Radius Server 1FWA100.1.1.13.1.1.3/24Telnet PC测试拓扑
测试目的 管理员登入身份认证支持AD或Radius方式
(1) 将相关接口加入到Trust域,并配置域间策略,放通local到登录接口所在域、登录接口所在域到local、local到NAS接口所在域和NAS接口所在域到local的域间策略;
测试步骤
(2) FWA防火墙上对于VTY登录用户配置使用Radius进行认证和授权;
(3) PC对FWA防火墙进行Tenlet登录。
FWA:
radius scheme radius
primary authentication 1.1.1.1
参考配置
key authentication simple 123456
domain system
authentication login radius-scheme radius
authorization login radius-scheme radius
accounting none
2022-04-25
H3C机密,未经许可不得扩散 第6页, 共197页
line vty 0 63
H3C NGFW测试用例
authentication-mode scheme
预期结果
测试准备
能够看到PC通过Telnet登录防火墙获得的权限与Radius服务器上配置的用户权限相同。
防火墙,PC,Radius Server
设备与Server需要互通,key需要与Server端配置的共享密钥相同,用户需要在Server端提前配好。
测试说明
测试结果
原始记录
T01-03 角色权限控制
测试分组
测试项目
设备自身安全性
角色权限工作
10.1.1.1/2410.1.1.2/24测试拓扑
PCFW
测试目的 角色分类,角色自定义各模块权限。
(1) 将防火墙的相关端口配置IP地址并加入到安全域trust.,并配置好域间策略。配置好telnet登录策略;
(2) 用户user1登录防火墙后,只能查看命令,但不能进行任何配置;
测试步骤
(3) 用户user2登录防火墙后,拥有所有命令的权限;
(4) 用户user3登录防火墙后,能配置ACL相关的配置,但是接口下的配置不能配置;
(5) 用户user4登录防火墙后,能配置安全域和域间策略相关配置,但是无法配置ACL。
#
local-user user1 class manage
password simple 123456
service-type telnet
authorization-attribute user-role level-0
参考配置
local-user user2 class manage
password simple 123456
service-type telnet
authorization-attribute user-role level-15
2022-04-25
H3C机密,未经许可不得扩散 第7页, 共197页
role name role1
H3C NGFW测试用例
rule 1 permit read write execute feature acl
local-user user3 class manage
password simple 123456
service-type telnet
authorization-attribute user-role role1
role name role2
rule 1 permit read write feature security-zone
local-user user4 class manage
password simple 123456
service-type telnet
authorization-attribute user-role role2
#
(1) 无法配置任何命令。
预期结果
(2) 可以配置所有配置。
(3) 能配置ACL相关配置,但是不能配置接口下的配置。
(4) 能配置安全域和域间策略的相关命令,但是无法配置ACL。
测试准备
测试说明
测试结果
防火墙、PC机
(1) 首先需要创建角色,在角色中创建资源控制策略,例如:vpn、接口、安全域和vlan。
(2) 然后将角色分配给指定用户,实现用户的权限控制。
(1) 用户user1登录防火墙后,只能查看命令,但不能进行任何配置;
2022-04-25
H3C机密,未经许可不得扩散 第8页, 共197页
H3C NGFW测试用例
(2) 用户user2登录防火墙后,拥有所有命令的权限;
2022-04-25
H3C机密,未经许可不得扩散 第9页, 共197页
H3C NGFW测试用例
(3) 用户user3登录防火墙后,能配置ACL相关的配置,但是接口下的配置不能配置;
2022-04-25
H3C机密,未经许可不得扩散 第10页, 共197页
H3C NGFW测试用例
2022-04-25
H3C机密,未经许可不得扩散 第11页, 共197页
H3C NGFW测试用例
(4) 用户user4登录防火墙后,能配置安全域和域间策略相关配置,但是无法配置ACL;
2022-04-25
H3C机密,未经许可不得扩散 第12页, 共197页
H3C NGFW测试用例
原始记录
T02 访问控制
T02-01 基于IPV4源、目的IP地址,时间段,域名的访问控制
测试分组
测试项目
访问控制
基于源、目标IP的访问控制、时间、域名的访问控制
2022-04-25
H3C机密,未经许可不得扩散 第13页, 共197页
H3C NGFW测试用例
Trust
GE
0
/
2
10
.
1
.
1
.
1
/
24
Device
GE
0
/
1
20
.
1
.
1
.
1
/2
4
Untrust
测试拓扑
Host1
10
.
1
.
1
.
12
/2
4
Internet
测试目的 基于源、目标ip的访问控制、时间、域名的访问控制
(1) 创建名为work的时间段,其时间范围为每周工作日的11点到12点;
(2) 配置接口GE0/2、GE0/1的IP地址;
(3) 把GE0/2加入Trust域,GE0/1加入Untrust;
(4) Host1访问Internet中的网络资源,有预期结果1;
(5) 创建ipv4地址对象组s1,在s1中创建地址对象10.10.10.100;
(6) 创建ipv4地址对象组d1,在d1中创建地址对象8.8.8.8;
测试步骤
(7) 创建ipv4对象策略,规则允许源ip为ipv4地址对象组s1,目的地址对象组为d1的报文通过;
(8) 配置Trust域到Untrust域的域间策略,应用对象策略policy1;
(9) Host1ping 8.8.8.8有预期结果2;
(10) 更改ipv4对象策略,使得允许源ip为ipv4地址对象组s1,目的地址对象组为d1的报文在时间段为work时通过,其他时间不能访问8.8.8.8;
(11) Host1在工作日的11:00到12:00再次访问Internet中的网络资源,有预期结果3;
(12) Host1在其他时间段再次访问Internet中的网络资源,有预期结果4。
#
time-range work 11:00 to 12:00 working-day
#
interface GigabitEthernet0/2
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
参考配置
ip address 20.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet0/2
#
security-zone name Untrust
import interface GigabitEthernet0/1
#
2022-04-25
H3C机密,未经许可不得扩散 第14页, 共197页
H3C NGFW测试用例
object-group ip address s1
0 network host address 10.1.1.12
#
object-group ip address d1
0 network host address 8.8.8.8
#
object-policy ip policy1
rule 0 pass source-ip s1 destination-ip d1
rule 1 pass source-ip s1 time-range work
#
zone-pair security source Trust destination Untrust
object-policy apply ip policy1
#
(1) 访问失败;
预期结果
(2) 访问成功;
(3) 访问成功;
(4) 访问失败;
测试准备
测试说明
防火墙、PC机
(1) 预期结果1当按照上述配置完成后,在不加域间策略情况下,得到预期结果;
防火墙上主要配置如下:
测试结果
2022-04-25
H3C机密,未经许可不得扩散 第15页, 共197页
H3C NGFW测试用例
交换机SW2上的主要配置为:
PC的主要配置为:
其中PC访问8.8.8.8(untrust)的结果为:
(2) 预期结果2在调用trust到untrust的域间策略时,可得预期结果2;
防火墙上主要配置为:
2022-04-25
H3C机密,未经许可不得扩散 第16页, 共197页
H3C NGFW测试用例
预期结果为:
(3) 预期结果3和预期结果4:修改object-group策略,在调用trust到untrust的域间策略时,可得预期结果3;
防火墙上主要配置为:
结果只在工作日的11:00到12:00,trust区域才可以访问untrust的8.8.8.8,不在这个时段内,则不能访问,由此可得预期结果4;
2022-04-25
H3C机密,未经许可不得扩散 第17页, 共197页
H3C NGFW测试用例
在调整防火墙的时间至工作的11:30后,trust区域才可以访问untrust的8.8.8.8,由此可得预期结果3
原始记录
T02-02 基于用户身份的识别功能
测试分组
测试项目
访问控制
基于用户身份的识别功能
测试拓扑
测试目的
测试步骤
2022-04-25
基于用户身份的识别功能
(1) 创建名为work的时间段,其时间范围为每周工作日的11点到12点;
H3C机密,未经许可不得扩散 第18页, 共197页
H3C NGFW测试用例
(2) 配置接口GE0/2、GE0/1的ip地址;
(3) 把GE0/2加入Trust域,GE0/1加入Untrust;
(4) 创建usera,将host1绑定与usera绑定;
(5) 创建名为ipgroup1的IP地址对象组,并引用本地用户usera;
(6) 制订只允许用户usera访问外部网络的对象策略ippolicy1;
(7) 创建源安全域trust到目的安全域untrust的安全域间实例,并应用对象策略ippolicy1;
(8) 用户usera访问其外网资源能够访问成功。
#
interface GigabitEtherne1/0/1
ip address 10.2.3.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 20.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
参考配置
#
local-user usera class network
#
user-identity static-user usera bind ipv4 1.2.3.4
#
user-identity enable
#
object-group ip address ipgroup1
network user usera
#
object-policy ip ippolicy1
rule pass source-ip ipgroup1 time-range work
#
zone-pair security source trust destination untrust
object-policy apply ip ippolicy1
#
预期结果
测试准备
访问成功;
防火墙、PC机
2022-04-25
H3C机密,未经许可不得扩散 第19页, 共197页
测试说明
FW关键配置如下:
H3C NGFW测试用例
测试结果
一开始PC到SW2上的8.8.8.8是不通的;
2022-04-25
H3C机密,未经许可不得扩散 第20页, 共197页
H3C NGFW测试用例
修改防火墙的时间落在time-range中后,PC到SW2上的8.8.8.8可以通;
2022-04-25
H3C机密,未经许可不得扩散 第21页, 共197页
原始记录
H3C NGFW测试用例
T02-03 远程访问控制
测试分组
测试项目
访问控制
远程访问控制
测试拓扑
测试目的 支持SSLVPN
(1) 配置接口IP address和域间策略,放通PC所在域到local和local域到PC域,以及服务器所在域到local域和local域到服务器所在域的域间策略;
(2) 配置pki域sslvpn;
(3) 导入CA证书和服务器证书;
(4) 配置SSL服务端测试ssl;
(5) 配置SSL VPN网关gw的IP地址1.1.1.2,端口号为2000,并引用SSL服务器端策略ssl;
测试步骤 (6) 开启SSL VPN网关gw;
(7) 配置SSL VPN访问实例ctx1引用SSL VPN网关gw,指定域名为domain1,并配置SSL
VPN访问实例关联的VPN实例为VPN1;
(8) 创建URL列表urllist;
(9) 添加一个URL表项,链接名为serverA,对应的URL为20.2.2.2;
(10) SSL VPN访问实例ctx1下创建策略组pgroup,引用Web资源,并指定其为缺省策略组;
(11) 开启SSL VPN访问实例ctx1。
#
pki domain sslvpn
public-key rsa general name sslvpn
undo crl check enable
#
pki import domain sslvpn der ca filename
pki import domain sslvpn p12 local filename
#
ssl server-policy ssl
pki-domain sslvpn
#
sslvpn gateway gw
ip address 1.1.1.2 port 2000
ssl server-policy ssl
参考配置
2022-04-25
H3C机密,未经许可不得扩散 第22页, 共197页
service enable
#
sslvpn context ctx1
H3C NGFW测试用例
gateway gw domain domain1
url-list urllist
heading web
url serverA url-value 20.2.2.2
#
sslvpn context ctx1
policy-group pgroup
resource url-list urllist
#
sslvpn context ctx1
default-policy-group pgroup
service enable
#
预期结果 访问sslvpn界面成功,能够成功跳转访问web资源
防火墙、PC机
测试准备
测试说明
测试结果
2022-04-25
H3C机密,未经许可不得扩散 第23页, 共197页
H3C NGFW测试用例
原始记录
2022-04-25
H3C机密,未经许可不得扩散 第24页, 共197页
H3C NGFW测试用例
T03 NAT功能
T03-01 NAT(PAT)测试
测试分组
测试项目
测试拓扑
NAT测试
私网地址转换公网地址的功能
测试NAT设备将私网地址通过PAT方式转换为公网地址的功能
测试目的
(12) 将FWA上连接私网Host1的接口GE0/1加入到Trust域,连接公网Host2的接口GE0/2加入到Untrust域,并配置Trust域到Untrust域的Permit的域间策略;
测试步骤
(13) 在FWA上配置NAT地址池和转换规则;
(14) 将NAT应用到接口GE0/2上;
(15) 从Host1上ping Host2地址,并在FWA上查看NAT信息。
FWA上的NAT配置:
# NAT转换源地址的acl规则。
acl number 2000
rule 0 permit source 192.1.1.0 0.0.0.255
参考配置
# NAT转换使用的地址池。
nat address 1 202.38.165.12 202.38.165.21
# 在FWA和Host2之间的接口GE0/2上配置NAT。
interface GigabitEthernet 0/2
nat outbound 2000 address-group 1
•
处于私网的Host1能ping通处于公网的Host2。
•
查看NAT信息正常。
display nat all
NAT address-group information:
预期结果
There are currently 1 nat address-group(s)
1 : from 202.38.165.12 to 202.38.165.21
NAT bound information:
There are currently 1 nat bound rule(s)
2022-04-25
H3C机密,未经许可不得扩散 第25页, 共197页
H3C NGFW测试用例
Interface: GigabitEthernet0/1
Direction: outbound ACL: 2000 Address-group: 1 NO-PAT: N
测试准备
测试说明
测试结果
原始记录
Host1上有访问公网Host2的路由,而Host2只有去往NAT设备公网地址的路由
T03-02 NAT Server测试
测试分组
测试项目
测试拓扑
NAT测试
公网地址向私有地址的转换
测试NAT设备将公网地址转换为私网地址的功能
测试目的
(16) 将FWA上连接私网Host1的接口GE0/1加入到Trust域,连接公网Host2的接口GE0/2加入到Untrust域,并配置Untrust到Trust的Permit的域间策略;
测试步骤
(17) 在FWA的GE0/2接口上配置NAT server;
(18) 从Host2上访问Host1地址,并在FWA上查看NAT信息。
# 在FWA的接口GE0/2上配置NAT server 。
参考配置
interface GigabitEthernet 0/2
nat server protocol icmp global 202.38.165.1 inside 192.1.1.100
•
公网的Host2能通过nat server的公网地址ping通私网Host1。
•
查看NAT Server信息正常:
display nat server
NAT server in private network information:
预期结果
There are currently 1 internal server(s)
Interface: GigabitEthernet0/2, Protocol: 1(icmp)
Global: 202.38.165.1 : ---
Local : 192.1.1.100 : ---
测试准备
测试说明
2022-04-25
Host1有访问公网Host2的路由,而Host2只有去往NAT设备公网地址的路由
H3C机密,未经许可不得扩散 第26页, 共197页
测试结果
原始记录
PC,防火墙
H3C NGFW测试用例
T03-03 NAT ALG测试
测试分组
测试项目
NAT测试
测试NAT ALG
GE0/1GE0/2测试拓扑
FWAAvalanche
测试目的 测试NAT ALG,这里测试ALG SIP
(19) 配置FWA,将相关端口配置IP地址,加入到安全域,并配置域间策略;
测试步骤
(20) 配置avalanche的客户端的sip和服务端的sip,客户端地址范围为:1.1.1.2-1.1.1.254;
(21) Avalanche的客户端向服务器打sip报文,应可以正常建立SIP连接。
FWA上配置:
# 创建NAT ACL。
acl number 2000
rule 0 permit source 1.1.0.0 0.0.255.255
# 设置端口IP地址并在GE0/2上启用NAT Easy IP。
interface GigabitEthernet0/1
port link-mode route
参考配置
ip address 1.1.1.1 255.255.0.0
interface GigabitEthernet0/2
port link-mode route
nat outbound 2000
ip address 2.2.2.1 255.255.0.0
# 开启ALG SIP。
Nat alg sip
预期结果
测试准备
SIP连接正常,SIP通信正常
2022-04-25
H3C机密,未经许可不得扩散 第27页, 共197页
测试说明
测试结果
原始记录
H3C NGFW测试用例
T03-04 NAT Server负载分担
测试分组
测试项目
NAT测试
测试NAT server负载分担方式
GE1/0/1 GE1/0/2GE1/0/3 FWA测试拓扑
Avalanche
测试目的 测试NAT server负载分担方式
(22) 配置FWA,将相关端口配置IP地址,加入到安全域,并配置域间策略;
(23) Avalanche对接GE1/0/1的客户端的ip地址和服务端的ip地址,客户端地址范围为:1.1.1.2-1.1.1.254;
测试步骤
(24) Avalanche接端口GE1/0/2服务端地址为:2.1.1.2;接端口GE1/0/3服务端的地址为:3.1.1.2
(25) Avalanche的客户端打流量:源ip变化个数为 2、目的IP为nat server的global IP,查看仪表端口2和端口3的收包情况。
FWA上配置:
# 创建nat server-group
nat server-group 1
inside ip 2.1.1.2 port 80 weight 50
inside ip 3.1.1.2 port 80 weight 50
# 设置端口IP地址并在GE0/1上启用nat server。
参考配置
interface GigabitEthernet1/0/1
port link-mode route
ip address 1.1.1.1 255.255.0.0
nat server protocol tcp global 1.1.1.1 80 inside server-group 1
interface GigabitEthernet1/0/2
port link-mode route
2022-04-25
H3C机密,未经许可不得扩散 第28页, 共197页
H3C NGFW测试用例
ip address 2.1.1.1 255.255.0.0
interface GigabitEthernet1/0/3
port link-mode route
ip address 3.1.1.1 255.255.0.0
预期结果
仪表的port2和port3都能收到报文,且每个端口分别收到不同源ip的报文,收到报文比例为1:1
测试仪Avalanche、防火墙
测试准备
测试说明
测试结果
原始记录
T03-05 NAT无限连接方式
测试分组
测试项目
NAT无限连接测试
测试NAT 无限连接方式
GE1/0/1 GE1/0/2测试拓扑
FWA Avalanche
测试目的 测试NAT 无限连接方式
(26) 配置FWA,将相关端口配置IP地址,加入到安全域,并配置域间策略;
(27) Avalanche对接FWA端口GE1/0/1的一端为客户端,对接GE1/0/2的一端为服务端。
测试步骤
(28) 配置Avalanche的客户端的ip地址和服务端的ip地址,客户端地址为:1.1.1.2;服务端地址范围为:2.1.1.2—2.1.1.254;
(29) Avalanche的客户端打流量,源IP、源port唯一不变,目的地址变化,变化范围为2.1.1.2---2.1.1.254,查看仪表收到情况
FWA上配置:
# 创建nat address-group。
nat address-group 1
参考配置
port-range 1024 1024
address 3.1.1.1 3.1.1.1
# 设置端口IP地址并在GE0/2上启用nat outbound。
interface GigabitEthernet0/1
2022-04-25
H3C机密,未经许可不得扩散 第29页, 共197页
H3C NGFW测试用例
port link-mode route
ip address 1.1.1.1 255.255.0.0
interface GigabitEthernet0/2
port link-mode route
ip address 2.1.1.1 255.255.0.0
nat outbound address-group 1
预期结果
测试准备
测试说明
测试结果
原始记录
流量都做nat,仪表能收到报文,且不丢包
测试仪、防火墙、PC
T03-06 NAT444测试
测试分组
测试项目
NAT444测试
NAT444功能测试,NAT444端口块分配、地址转换
GE1/0/1 GE1/0/2测试拓扑
FWA Avalanche
测试目的 测试NAT444的功能,这里测试动态NAT444
(30) 配置接口IP地址。
(31) 创建地址池池,配置地址段、端口范围和端口块大小。每框插至少2块接口板,每块接口板卡至少取一根线连接,作为堆叠口。
测试步骤
(32) 在接口GE1/0/2引用nat地址池。
(33) Avalanche打流量从GE1/0/1口到GE1/0/2。
(34) 流量可以正常转发,流量源IP地址被转换,查看NAT444表项。
FWA上配置:
# 配置NAT444地址池
参考配置
nat address-group 0
port-range 10001 65000
port-block block-size 1000
2022-04-25
H3C机密,未经许可不得扩散 第30页, 共197页
H3C NGFW测试用例
address 202.183.14.1 202.183.14.5
# 配置接口IP地址,并在出接口引用NAT444地址池
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.0.0.1 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 202.0.0.1 255.255.255.0
nat outbound address-group 0
预期结果
测试准备
测试说明
测试结果
原始记录
流量都做nat444转换,Avalanche能收到报文,转换的端口地址在10001到65000之间
测试仪、防火墙、PC
T03-07 NAT FULLCONE测试
测试分组
测试项目
NAT FULLCONE测试
测试NAT fullcone功能
GE1/0/1 GE1/0/2测试拓扑
FWA TestCenter
(35) 配置nat地址池192.168.2.200 ,可用端口范围1024-65535。配置full-cone,
(36) TestCenter向GE1/0/1发送UDP报文,源地址为192.168.1.2,源端口为2048,目的IP为192.168.2.2 ;nat转换后源IP:192.168.2.200,源端口:x ;
测试目的
(37) TestCenter向GE1/0/2发送UDP包:源IP是192.168.2.3,目的为192.168.2.200
端口为x,观察结果1
(38) TestCenter向GE1/0/1发送UDP报文,源地址为192.168.1.2,源端口为2049,目的IP为192.168.2.2和192.168.2.3 ;nat转换后源IP:192.168.2.200,源端口:y ;有结果2
FWA上配置:
测试步骤
# 创建nat 地址池。
H3C机密,未经许可不得扩散 第31页, 共197页
2022-04-25
H3C NGFW测试用例
nat address-group 1
address 192.168.2.200 192.168.2.200
# 设置端口IP地址并在GE0/2上启用nat easy ip。
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.1.1 255.255.0.0
interface GigabitEthernet1/0/2
port link-mode route
nat outbound address-group 1
ip address 2.2.2.1 255.255.0.0
# 开启nat fullcone功能。
nat mapping-behavior endpoint-independent
参考配置
预期结果
•
TestCenter接GE1/0/1的一端可以收到报文;
•
查看会话。采用同样的源地址/端口访问不同的目的,转换后的源地址/端口一致。
测试准备
测试说明
测试结果
原始记录
测试仪、防火墙、PC
T04 日志功能
T04-01 系统日志功能
测试分组
测试项目
系统维护功能测试
日志测试
测试拓扑
PC10.1.1.1/2410.1.1.2/24FWA
测试目的 测试防火墙日志保存的基本功能
(39) 将FWA接PC端口加入到安全域,并设置该安全域到Local域的域间策略。
测试步骤 (40) 在FW上执行相关的查看操作,比如display current-configuration等操作;
(41) 在FW上查看log缓存内容。
2022-04-25
H3C机密,未经许可不得扩散 第32页, 共197页
参考配置
预期结果
测试准备
H3C NGFW测试用例
防火墙上log缓存内容查看命令:display logbuffer
能够看到在防火墙上进行的相关操作,防火墙能够正常的记录
防火墙、PC
如在防火墙上上执行了如下命令:
•
display current-configuration
•
display logbuffer
测试说明
•
display ospf peer
•
display ip routing-table
•
display logbuffer查看log缓存,应该能够看到相应的记录
测试结果
原始记录
T04-02 NAT会话二进制日志测试
测试分组
测试项目
系统维护功能
二进制日志测试
测试拓扑
测试目的 测试防火墙发送日志到日志服务器
(42) 配置Host1、 Host2和Host3链路和IP地址;Host3为日志服务器。
(1) 将FWA的各接口加入安全域,并配置域间策略;
测试步骤
(2) FWA出接口GE0/2配置nat oubound;
(3) Host1到202.38.165. 0/24路由可达;
(4) Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1;
(5) Host1 通过HTTP访问 Host2(也可以ping Host2)。
# 设置userlog日志。
info-center enable
参考配置
userlog flow export host 10.1.1.1 port 30017
userlog flow export version 3
nat log enable
2022-04-25
H3C机密,未经许可不得扩散 第33页, 共197页
H3C NGFW测试用例
nat log flow-begin
nat log flow-end
# 出接口GE0/2上配置NAT。
nat outbound 3001 address-group 202
# 设置nat地址池和acl。
nat address-group 202
address 202.0.0.245 202.0.0.247
acl number 3001
rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2
0.0.0.255
预期结果
测试准备
测试说明
日志服务器host3上面看到userlog日志
PC,防火墙
在日志主机上能够看到相应的记录:
%Apr 3 09:43:51:765 2014 M9000 NAT/6/NAT_FLOW: -Chassis=1-Slot=9.1;
Protocol(1001)=TCP;SrcIPAddr(1003)=192.1.1.100;SrcPort(1004)=1026;NatSrcIPAddr(1005)=202.0.0.245;NatSrcPort(1006)=45597;DstIPAddr(1007测试结果
)=202.38.165.2;DstPort(1008)=80;NatDstIPAddr(1009)=202.38.165.2;NatDstPort(1010)=80;InitPktCount(1044)=1;InitByteCount(1046)=56;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=51;EndTime_e(1014)=;Event(1048)=(8)Session created;
原始记录
T04-03 NAT444日志测试
测试分组
测试项目
系统维护功能
customlog日志测试
2022-04-25
H3C机密,未经许可不得扩散 第34页, 共197页
H3C NGFW测试用例
测试拓扑
测试目的 测试防火墙发送日志到日志服务器
(6) 配置Host1、 Host2和Host3链路和IP地址;Host3为日志服务器。
(7) 将FWA的各接口加入安全域,并配置域间策略;
测试步骤
(8) FWA出接口GE0/2配置nat oubound;
(9) Host1到202.38.165. 0/24路由可达;Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1;
(10) Host1通过 http访问Host2(也可以ping Host2)。
# 设置customlog日志。
info-center enable
nat log enable
nat log alarm
nat log flow-begin
nat log flow-end
nat log port-block-assign
customlog format cmcc
customlog host 10.1.1.1 export cmcc-sessionlog
# 创建NAT地址池0。
参考配置
nat address-group 0
port-range 10001 61200
port-block block-size 512
address 200.0.0.0 200.0.0.255
# 出接口GE0/2上配置NAT444:
nat outbound 3001 address-group 0
# 设置acl
acl number 3001
rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2
0.0.0.255
2022-04-25
H3C机密,未经许可不得扩散 第35页, 共197页
预期结果
测试准备
H3C NGFW测试用例
日志服务器host3上面上看到customlog日志
PC,防火墙
在日志主机上能够看到相应的记录:
测试说明
Apr 03 14:37:46 10.1.1.2 1 - 2014 Apr 03 14:37:23 M9000 - NAT444:SessionA
1396535843|0|192.1.1.100|1301|202.0.0.245|13867|202.38.165.2 |80|6
测试结果
原始记录
T04-04 二进制日志主机负载分担测试
测试分组
测试项目
系统维护功能
二进制日志主机负载分担测试测试
NSC1 10.1.1.1GE1/0/1
192.1.1.1测试拓扑
GE1/0/2 202.38.165.1NSC2 11.1.1.1
测试目的 测试防火墙发送日志到日志服务器
(11) 配置日志服务器NSC1和NSC2的ip地址,并且通过FW可以路由可达
(12) 将FWA的各接口加入安全域,并配置域间策略;
(13) FWA出接口GE1/0/2配置nat oubound;
测试步骤
(14) Userlog日志服务器为NSC1和NSC2,并且配置负载均衡
(15) Tester为发包测试仪,向端口G1/0/1发送source ip为192.1.0.0/16网段(变化个数为1000),目的为202.36.165.2的报文,测试仪另一端口接收。
(16) 查看日志服务器NSC1和NSC2上的日志,有预期结果
# 配置userlog日志服务器 。
userlog flow export host 10.1.1.1 port 40517
userlog flow export host 11.1.1.1 port 40517
参考配置
# 配置日志主机负载均衡。
userlog flow export load-balancing
# 配置nat log。
nat log enable
2022-04-25
H3C机密,未经许可不得扩散 第36页, 共197页
H3C NGFW测试用例
nat log flow-begin
nat log flow-end
# 在出接口G1/0/2配置NAT。
nat outbound 3001 address-group 202
nat address-group 202
address 202.0.0.245 202.0.0.247
acl number 3001
rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2
0.0.0.255
预期结果
测试准备
测试说明
测试结果
原始记录
日志服务器NSC1和NSC2上面上看到二进制日志日志
日志服务器、测试仪、防火墙
T05 可靠性
T05-01 HA ---Active/Standby模式
测试分组
测试项目
设备高可靠性测试
测试拓扑
测试目的
(1) 将两台FW进行IRF堆叠,组成SCF集群;
测试步骤
(2) 分别将上行、下行两台设备的接口作为成员加入冗余口reth1和reth2,并配置IP address和域间策略;
(3) 将reth1和reth2作为冗余口成员加入冗余组,并配置track各个物理口作为双机切换触发2022-04-25
H3C机密,未经许可不得扩散 第37页, 共197页
条件;
(4) 开启会话备份;
H3C NGFW测试用例
(5) Client ping Server,并从server上ftp get一个文件,查看会话,shutdown掉主机上行接口,有结果1;
(6) Client ping Server,并从server上ftp get一个文件,查看会话,undo shutdown掉主机上行接口,有结果2。
irf堆叠配置略
#
interface Reth1
member interface GigabitEthernet1/0/1 priority 255
member interface GigabitEthernet2/0/1 priority 1
#
interface Reth2
member interface GigabitEthernet1/0/2 priority 255
member interface GigabitEthernet2/0/2 priority 1
#
track 1 interface GigabitEthernet 1/0/1
track 2 interface GigabitEthernet 2/0/1
track 3 interface GigabitEthernet 1/0/2
track 4 interface GigabitEthernet 2/0/2
参考配置
#
redundancy group 1
member interface Reth1
member interface Reth2
node 1
bind slot 1
priority 255
track 1 interface GigabitEthernet1/0/1
track 3 interface GigabitEthernet1/0/2
node 2
bind slot 2
priority 1
track 2 interface GigabitEthernet2/0/1
track 4 interface GigabitEthernet2/0/2
2022-04-25
H3C机密,未经许可不得扩散 第38页, 共197页
#
H3C NGFW测试用例
session synchronization enable
#
预期结果
测试准备
测试说明
(1) ftp能够传输成功,记录ping丢包的个数。
(2) ftp能够传输成功,记录ping丢包的个数。
防火墙、PC机
主要配置如下:
测试结果
查看冗余组信息;
2022-04-25
H3C机密,未经许可不得扩散 第39页, 共197页
H3C NGFW测试用例
显示Reth信息。可以看到Reth1和Reth2中优先级高的成员接口处于激活状态;
手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。可以看到优先级低的Node 2为主节点;
2022-04-25
H3C机密,未经许可不得扩散 第40页, 共197页
H3C NGFW测试用例
从SW1长pingSW2的接口vlan1,在ping的过程中手工拔出FW1的gi1/0/2,观察丢包情况;
2022-04-25
H3C机密,未经许可不得扩散 第41页, 共197页
H3C NGFW测试用例
可以看到,在主链路down的情况下,设备只丢了一个包。
原始记录
T05-02 HA ---Active/Active模式
测试分组
测试项目
设备高可靠性测试
2022-04-25
H3C机密,未经许可不得扩散 第42页, 共197页
H3C NGFW测试用例
测试拓扑
测试目的
(1) 将两台FW进行IRF堆叠,组成SCF集群;
(2) 分别将上行、下行两台设备的接口作为成员加跨框聚合口Route-Aggregation 1和Route-Aggregation 2,并配置IP address和域间策略;
测试步骤
(3) 开启会话备份;
(4) Client ping Server,并从server上ftp get一个文件,查看会话,shutdown掉主机上行接口,有结果1;
(5) Client ping Server,并从server上ftp get一个文件,查看会话,undo shutdown掉主机上行接口,有结果2。
irf堆叠配置略
#
interface Route-Aggregation1
ip address 1.0.0.1 24
interface GigabitEthernet1/0/1
port link-aggregation group 1
interface GigabitEthernet2/0/1
port link-aggregation group 1
参考配置
#
interface Route-Aggregation2
ip address 2.0.0.1 24
interface GigabitEthernet1/0/2
port link-aggregation group 2
interface GigabitEthernet2/0/2
port link-aggregation group 2
#
session synchronization enable
2022-04-25
H3C机密,未经许可不得扩散 第43页, 共197页
#
H3C NGFW测试用例
预期结果
测试准备
测试说明
(1) ftp能够传输成功,记录ping丢包的个数。
(2) ftp能够传输成功,记录ping丢包的个数。
防火墙、PC机
测试结果
2022-04-25
H3C机密,未经许可不得扩散 第44页, 共197页
H3C NGFW测试用例
原始记录
T05-03 硬件冗余测试
测试分组
测试项目
设备高可靠性测试
测试安全引擎故障、链路故障、端口故障、整机掉电的冗余功能
PC1Bri-agg1Ragg1(Ten1/2/0/23、Ten2/2/0/23)测试拓扑
M9000IRFM9000框1Ragg2(Ten1/2/0/24、Ten2/2/0/24)Bri-agg2PC2M9000框2
测试目的
2022-04-25
测试安全引擎故障、链路故障、端口故障、整机掉电的的情况下,流量不断
H3C机密,未经许可不得扩散 第45页, 共197页
H3C NGFW测试用例
(3) 两框集群,配置跨框聚合的上行接口Ragg1(成员:ten1/2/0/23、ten2/2/0/23),下行接口为Ragg2(成员:ten1/2/0/24、ten2/2/0/24),将相关端口配置IP地址,加入到安全域,并配置域间策略;
(4) 配置备份组,把两框业务板加入备份组;
(5) 配置track ,监控fw插卡的状态。
测试步骤
(6) 配置冗余组,备份组作为冗余组的成员,track作为node成员。
(7) 开启会话备份;
(8) 上下行交换机和M9000对接接口二层聚合,进行二层透传转发,PC2指定网管到Ragg2,PC1指定网管到Ragg1;
(9) 从PC2 ping PC1,设置各个故障点,查看业务不中断。有预期结果。
设备上配置,集群的配置请见集群测试。
# 创建聚合接口。
interface Route-Aggregation1
ip address 181.1.1.1 255.255.255.0
nat static enable
interface Route-Aggregation2
ip address 182.1.1.1 255.255.255.0
interface Ten-GigabitEthernet1/2/0/23
port link-mode route
port link-aggregation group 1
参考配置
interface Ten-GigabitEthernet2/2/0/23
port link-mode route
port link-aggregation group 1
interface Ten-GigabitEthernet1/2/0/24
port link-mode route
port link-aggregation group 2
interface Ten-GigabitEthernet2/2/0/24
port link-mode route
port link-aggregation group 2
# 设置备份组。
2022-04-25
H3C机密,未经许可不得扩散 第46页, 共197页
failover group a
H3C NGFW测试用例
bind chassis 1 slot 3 cpu 1 primary
bind chassis 2 slot 3 cpu 1 secondary
# 设置track 防火墙板卡。
track 1 interface Blade1/3/0/1 physical
track 3 interface Blade2/3/0/1 physical
# 设置冗余组。
redundancy group 1
preempt-delay 5
hold-down-interval 300
member failover group a
node 1
bind chassis 1
track 1
node 2
bind chassis 2
track 3
# 设置会话备份功能。
sessio synchronization enable
•
reboot 1框安全引擎,ping 不断;
预期结果
•
拔出1框聚合成员口网线,制造链路故障,ping 不断;
•
Shut 1框聚合口Ragg1成员ten1/2/0/1,制造端口故障,ping流量不断。
•
1框整机掉电的的情况下,ping流量不断。
测试准备
测试说明
测试结果
原始记录
PC、M9K设备、交换机
T05-04 三层聚合口功能测试
测试分组
测试项目
2022-04-25
设备高可靠性测试
三层聚合口功能测试
H3C机密,未经许可不得扩散 第47页, 共197页
H3C NGFW测试用例
测试拓扑
测试目的 验证三层聚合接口能否正常建立和通信
(10) 分别在各防火墙上配置Route-Aggregation接口,并配置对应IP地址;
测试步骤
(11) 把防火墙的端口GE7/0/47和GE7/0/48作为聚合口的成员端口;
(12) 把聚合端口加入到安全域,配置相关安全域间策略;
(13) 在FWA上ping FWB的Route-Aggregation接口地址,能有预期结果。
•
FW_A:
#
interface Route-Aggregation2
ip address 212.1.1.1 255.255.255.0
#
interface GigabitEthernet 7/0/47
port link-mode route
port link-aggregation group 2
#
interface GigabitEthernet 7/0/48
port link-mode route
参考配置
port link-aggregation group 2
•
FW_B:
#
interface Route-Aggregation2
ip address 212.1.1.2 255.255.255.0
#
interface GigabitEthernet 1/0/10
port link-mode route
port link-aggregation group 2
#
interface GigabitEthernet 1/0/11
port link-mode route
2022-04-25
H3C机密,未经许可不得扩散 第48页, 共197页
版权声明:本文标题:H3C 防火墙测试模板 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1709766157h546180.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论