SRX防火墻產(chǎn)品測試內(nèi)容

1、目錄TOC o 1-3 h z u HYPERLINK l _Toc240817760 1SRX防火墻產(chǎn)品測試內(nèi)容 PAGEREF _Toc240817760 h 4 HYPERLINK l _Toc240817761 1.1設(shè)備清單及版本 PAGEREF _Toc240817761 h 4 HYPERLINK l _Toc240817762 1.2SSRX功功能測試試 PAGEREF _Toc240817762 h 4 HYPERLINK l _Toc240817763 1.3設(shè)設(shè)備可管管理測試試 PAGEREF _Toc240817763 h 6 HYPERLINK l _Toc24081

2、7764 1.3.1測試試內(nèi)容 PAGEREF _Toc240817764 h 66 HYPERLINK l _Toc240817765 1.3.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817765 h 6 HYPERLINK l _Toc240817766 1.3.3設(shè)備備配置 PAGEREF _Toc240817766 h 66 HYPERLINK l _Toc240817767 1.3.4測試試表格 PAGEREF _Toc240817767 h 77 HYPERLINK l _Toc240817768 1.4路路由模式式測試 PAGEREF _Toc240817768 h 99

3、 HYPERLINK l _Toc240817769 1.4.1測試內(nèi)內(nèi)容 PAGEREF _Toc240817769 h 9 HYPERLINK l _Toc240817770 1.4.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817770 h 9 HYPERLINK l _Toc240817771 1.4.3設(shè)備備配置 PAGEREF _Toc240817771 h 99 HYPERLINK l _Toc240817772 1.4.4測試試表格 PAGEREF _Toc240817772 h 110 HYPERLINK l _Toc240817773 1.5策策略測試試 PAGERE

4、F _Toc240817773 h 13 HYPERLINK l _Toc240817774 1.5.1測試試內(nèi)容 PAGEREF _Toc240817774 h 113 HYPERLINK l _Toc240817775 1.5.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817775 h 13 HYPERLINK l _Toc240817776 1.5.3設(shè)備備配置 PAGEREF _Toc240817776 h 114 HYPERLINK l _Toc240817777 1.5.4測試試表格 PAGEREF _Toc240817777 h 115 HYPERLINK l _Toc24

5、0817778 1.6靜靜態(tài)NAAT測試試 PAGEREF _Toc240817778 h 17 HYPERLINK l _Toc240817779 1.6.1測試試內(nèi)容 PAGEREF _Toc240817779 h 117 HYPERLINK l _Toc240817780 1.6.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817780 h 17 HYPERLINK l _Toc240817781 1.6.3設(shè)備備配置 PAGEREF _Toc240817781 h 117 HYPERLINK l _Toc240817782 1.6.4測試試表格 PAGEREF _Toc240817

6、782 h 119 HYPERLINK l _Toc240817783 1.7基基于ruule的的目的NNAT測測試 PAGEREF _Toc240817783 h 233 HYPERLINK l _Toc240817784 1.7.1測試試內(nèi)容 PAGEREF _Toc240817784 h 223 HYPERLINK l _Toc240817785 1.7.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817785 h 23 HYPERLINK l _Toc240817786 1.7.3設(shè)備備配置 PAGEREF _Toc240817786 h 223 HYPERLINK l _Toc2

7、40817787 1.7.4測試試表格 PAGEREF _Toc240817787 h 225 HYPERLINK l _Toc240817788 1.8基基于接口口的源NNAT測測試 PAGEREF _Toc240817788 h 288 HYPERLINK l _Toc240817789 1.8.1測試試內(nèi)容 PAGEREF _Toc240817789 h 228 HYPERLINK l _Toc240817790 1.8.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817790 h 28 HYPERLINK l _Toc240817791 1.8.3設(shè)備備配置 PAGEREF _To

8、c240817791 h 228 HYPERLINK l _Toc240817792 1.8.4測試試表格 PAGEREF _Toc240817792 h 229 HYPERLINK l _Toc240817793 1.9基基于Ruule的的源NAAT測試試-1 PAGEREF _Toc240817793 h 311 HYPERLINK l _Toc240817794 1.9.1測試試內(nèi)容 PAGEREF _Toc240817794 h 331 HYPERLINK l _Toc240817795 1.9.2測試試拓?fù)鋱D圖 PAGEREF _Toc240817795 h 31 HYPERLINK

9、 l _Toc240817796 1.9.3設(shè)備備配置 PAGEREF _Toc240817796 h 331 HYPERLINK l _Toc240817797 1.9.4測試試表格 PAGEREF _Toc240817797 h 332 HYPERLINK l _Toc240817798 1.100基于Ruule的的源NAAT測試試-2 PAGEREF _Toc240817798 h 355 HYPERLINK l _Toc240817799 1.100.1測測試內(nèi)容容 PAGEREF _Toc240817799 h 35 HYPERLINK l _Toc240817800 1.100.2

10、測測試拓?fù)鋼鋱D PAGEREF _Toc240817800 h 355 HYPERLINK l _Toc240817801 1.100.3設(shè)設(shè)備配置置 PAGEREF _Toc240817801 h 35 HYPERLINK l _Toc240817802 1.100.4測測試表格格 PAGEREF _Toc240817802 h 36 HYPERLINK l _Toc240817803 1.111HA工作作方式測測試 PAGEREF _Toc240817803 h 399 HYPERLINK l _Toc240817804 1.111.1測測試內(nèi)容容 PAGEREF _Toc24081780

11、4 h 39 HYPERLINK l _Toc240817805 1.111.2測測試拓?fù)鋼鋱D PAGEREF _Toc240817805 h 400 HYPERLINK l _Toc240817806 1.111.3設(shè)設(shè)備配置置 PAGEREF _Toc240817806 h 40 HYPERLINK l _Toc240817807 1.111.4測測試表格格 PAGEREF _Toc240817807 h 42 HYPERLINK l _Toc240817808 1.122基于策策略的長長連接測測試 PAGEREF _Toc240817808 h 444 HYPERLINK l _Toc2

12、40817809 1.122.1測測試內(nèi)容容 PAGEREF _Toc240817809 h 44 HYPERLINK l _Toc240817810 1.122.2測測試拓?fù)鋼鋱D PAGEREF _Toc240817810 h 455 HYPERLINK l _Toc240817811 1.122.3設(shè)設(shè)備配置置 PAGEREF _Toc240817811 h 45 HYPERLINK l _Toc240817812 1.122.4測測試表格格 PAGEREF _Toc240817812 h 46 HYPERLINK l _Toc240817813 1.133SRXX防火墻墻性能測測試 PA

13、GEREF _Toc240817813 h 499 HYPERLINK l _Toc240817814 1.133.1測測試拓?fù)鋼鋱D PAGEREF _Toc240817814 h 499 HYPERLINK l _Toc240817815 1.133.2普普通數(shù)據(jù)據(jù)量壓力力測試 PAGEREF _Toc240817815 h 449 HYPERLINK l _Toc240817816 1.133.3大大數(shù)據(jù)量量壓力測測試 PAGEREF _Toc240817816 h 499 HYPERLINK l _Toc240817817 1.133.4長長連接下下的普通通數(shù)據(jù)量量壓力測測試 PAGER

14、EF _Toc240817817 h 500 HYPERLINK l _Toc240817818 1.133.5設(shè)設(shè)備配置置 PAGEREF _Toc240817818 h 50 HYPERLINK l _Toc240817819 1.133.6測測試表格格 PAGEREF _Toc240817819 h 51 HYPERLINK l _Toc240817820 1.144SRXX防火墻墻網(wǎng)管測測試 PAGEREF _Toc240817820 h 544 HYPERLINK l _Toc240817821 1.144.1SSNMPP管理測測試 PAGEREF _Toc240817821 h 5

15、44 HYPERLINK l _Toc240817822 1.144.2NNTP測測試 PAGEREF _Toc240817822 h 577 HYPERLINK l _Toc240817823 1.144.3SSysllog測測試 PAGEREF _Toc240817823 h 600 HYPERLINK l _Toc240817824 1.155SRXX防火墻墻VPNN測試 PAGEREF _Toc240817824 h 633 HYPERLINK l _Toc240817825 1.155.1IIpseec VVPN remmotee clliennt測試試 PAGEREF _Toc24

16、0817825 h 63 HYPERLINK l _Toc240817826 1.155.2IIpseec VVPN 點(diǎn)對點(diǎn)點(diǎn)Pollicyy baase VPNN連接測測試 PAGEREF _Toc240817826 h 644 HYPERLINK l _Toc240817827 1.155.3IIpseec VVPN 點(diǎn)對點(diǎn)點(diǎn)rouute basse VVPN連連接測試試 PAGEREF _Toc240817827 h 73 HYPERLINK l _Toc240817828 1.166OSPPF路由由協(xié)議功功能測試試 PAGEREF _Toc240817828 h 81 HYPERLIN

17、K l _Toc240817829 1.166.1測測試內(nèi)容容 PAGEREF _Toc240817829 h 81 HYPERLINK l _Toc240817830 1.166.2測測試拓?fù)鋼鋱D PAGEREF _Toc240817830 h 811 HYPERLINK l _Toc240817831 1.166.3設(shè)設(shè)備配置置 PAGEREF _Toc240817831 h 82 HYPERLINK l _Toc240817832 1.166.4測測試表格格 PAGEREF _Toc240817832 h 82 HYPERLINK l _Toc240817833 1.177VRRRP協(xié)議

18、議功能測測試 PAGEREF _Toc240817833 h 866 HYPERLINK l _Toc240817834 1.177.1測測試內(nèi)容容 PAGEREF _Toc240817834 h 86 HYPERLINK l _Toc240817835 1.177.2測測試拓?fù)鋼鋱D PAGEREF _Toc240817835 h 866 HYPERLINK l _Toc240817836 1.177.3設(shè)設(shè)備配置置 PAGEREF _Toc240817836 h 87 HYPERLINK l _Toc240817837 1.177.4測測試表格格 PAGEREF _Toc240817837

19、h 88 HYPERLINK l _Toc240817838 1.188DHCCP功能能測試 PAGEREF _Toc240817838 h 990 HYPERLINK l _Toc240817839 1.188.1測測試內(nèi)容容 PAGEREF _Toc240817839 h 90 HYPERLINK l _Toc240817840 1.188.2測測試拓?fù)鋼鋱D PAGEREF _Toc240817840 h 900 HYPERLINK l _Toc240817841 1.188.3設(shè)設(shè)備配置置 PAGEREF _Toc240817841 h 91 HYPERLINK l _Toc240817

20、842 1.188.4測測試表格格 PAGEREF _Toc240817842 h 91SRX防防火墻產(chǎn)產(chǎn)品測試試內(nèi)容設(shè)備清單單及版本本設(shè)備清單單設(shè)備版本本文檔版本本備注SRX 2400H 兩兩臺9.6 R1V1.00測試PCC 兩臺臺XP SSP2測試軟件件：NeetIQQ5.4TFTPP Seerveer/cclieentTFTPPD 332Web Serrverr Easyy Weeb SServverftp serrverrFileeZilllaSServverSysllog serrverrTFTPPD 332SRX功功能測試試SRX防防火墻的的功能測測試包括括以下幾幾個方面面：路由

21、模式式策略（IICMPP、TCCP、UUDP）基于策略略的長連連接HA工作作方式主備切換換Sesssionn同步網(wǎng)管功能能測試SNMPP測試NTP測測試Sysllog測測試VPN功功能測試試Ipseec VVPN remmotee clliennt測試試Ipseec VVPN點(diǎn)點(diǎn)對點(diǎn)測測試路由功能能測試OSPFF功能測測試設(shè)備可管管理測試試測試內(nèi)容容設(shè)備可管管理測試試是測試試防火墻墻能否支支持常用用的管理理協(xié)議，包括ttelnnet、sshh、htttp和和htttps；基本的的測試方方法為在在防火墻墻配置相相應(yīng)的管管理服務(wù)務(wù)及管理理用戶，并在相相應(yīng)的接接口或zzonee上配置置是否可可以接受

22、受管理，通過PPC分別別用teelneet、sssh、htttp和hhttpps方式式登錄防防火墻，從而驗驗證防火火墻的可可管理功功能。測試拓?fù)鋼鋱D設(shè)備配置置配置管理理用戶：set sysstemm looginn usser labb uiid 220000set sysstemm looginn usser labb cllasss suuperr-usserset sysstemm looginn usser labb auutheentiicattionn pllainn-teext-passswoord配置系統(tǒng)統(tǒng)管理服服務(wù)：（sshh、teelneet、hhttpp、htttpss）

23、set sysstemm seerviicess ssshset sysstemm seerviicess teelneetset sysstemm seerviicess weeb-mmanaagemmentt htttp intterffacee gee-0/0/00.0（可以進(jìn)進(jìn)行的管管理接口口）set sysstemm seerviicess weeb-mmanaagemmentt htttp intterffacee alllset sysstemm seerviicess weeb-mmanaagemmentt htttpss syysteem-ggeneeratted-cerrt

24、ifficaateset sysstemm seerviicess weeb-mmanaagemmentt htttpss innterrfacce aall配置接口口地址set intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224配置zoone或或接口是是否可以以管理防防火墻設(shè)設(shè)備：A、配置置zonne ttrusst可以以管理防防火墻：set seccuriity zo

25、nnes seccuriity-zonne ttrussthoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0B、配置置zonne uuntrrustt可以管管理防火火墻，但其中中的gee-0/0/88.0只只能用ttelnnet和和htttp管理理，其他的的不允許許：set seccuriity zonnes seccuriity-zonne uuntrrustthosst-iinbooundd

26、-trrafffic sysstemm-seerviicess alllset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess htttpssset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess sssh測試表格格

27、測試號Testt-1設(shè)備名稱稱Juniiperr SRRX防火火墻：SSRX2240HH-1設(shè)備軟件件版本9.6RR1測試項目目設(shè)備可管管理測試試測試目的的驗證設(shè)備備可管理理功能測試配置置見本節(jié)的的設(shè)備配配置部分分測試步驟驟：按配置步步驟進(jìn)行行配置配置2臺臺測試PPC在防防火墻兩兩端，分分別配置置地址為為：/224和/224在PC：5上分別別用sssh、ttelnnet、htttp、hhttpps方式式登錄防防火墻的的接口地地址：，并以用用戶laab登錄錄，如正正常則表表示防火火墻的可可管理功功能正常常在PC：1.11.700.7上分別

28、別用sssh、ttelnnet、htttp、hhttpps方式式登錄防防火墻的的接口地地址：，并并以用戶戶labb登錄，由于該該接口在在unttrusst zzonee，并且且該接口口只允許許sshh及htttpss管理，所以該該用戶只只能已ttelnnet和和htttp來管管理設(shè)備備，用ttelnnet和和htttp則不不允許訪訪問防火火墻。檢查命令令：檢查當(dāng)前前的登錄錄用戶：labSRXX2400H-11 sshoww syysteem uuserrs 11:550AMM uup 22 daays, 233 miins, 2 useers, looad aveeragge

29、s: 4.19, 3.75, 3.52USERR TTTY FFROMM LLOGIIN IDDLE WHAATlab pp0 110:440AMM 11:044 -ccli (clli) lab pp1 111:445AMM - -ccli (clli) lab jjwebb2 111:447AMM 22lab jjwebb1 111:550AMM -預(yù)期結(jié)果果：PC：上上分別用用sshh、teelneet、hhttpp、htttpss方式并并以laab用戶戶能正常常登錄防防火墻的的接口地地址：，并正常常進(jìn)行配配置管理理在PC：1.11.700.7上只能能用sssh、hhttpps方式式并以

30、llab用用戶正常常登錄防防火墻的的接口地地址：，并并正常進(jìn)進(jìn)行配置置管理；其他的的tellnett和htttp方方式則不不允許。測試結(jié)果果：測試結(jié)果果： 通過 ( ) 失敗 ( )測試通過過：(簽字)測試失敗?。?簽字)失敗原因因：注釋：路由模式式測試測試內(nèi)容容路由模式式測試是是測試防防火墻是是否支持持路由功功能，基基本的測測試方法法是在防防火墻的的內(nèi)外網(wǎng)網(wǎng)口分別別連接網(wǎng)網(wǎng)絡(luò)PCC，并按按拓?fù)鋱D圖，對防防火墻進(jìn)進(jìn)行相應(yīng)應(yīng)的配置置，包括括IP地地址，路路由，策策略，及及其他相相關(guān)配置置。通過過兩臺PPC分別別Pinng及hhttpp訪問對對方，從從而驗證證防火墻墻的路由由功能

31、。測試拓?fù)鋼鋱D設(shè)備配置置配置接口口地址set intterffacees gge-00/0/0 uunitt 0 desscriiptiion to-LANN-trrusttset intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 unnit 0 ddesccripptioon tto-WWAN-untrrusttset intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224

32、配置zoone及及將接口口加到zzonee中，將將ge-0/00/0.0分配配至trrustt zzonee，將gge-00/0/8.00分配至至unttrusst zonneset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes s

33、eccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset seccuriity zonnes seccuriity-zonne uuntrrustt inn

34、terrfacces ge-0/00/8.03、配置置策略，允許ttrusst和uuntrrustt之間互互相通信信，并且且打開llog記記錄set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch souurcee-adddreess anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch de

35、sstinnatiion-adddresss aanyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch apppliccatiion anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit theen ppermmitset seccuriity polliciies froom-zzonee trru

36、stt too-zoone unttrusst ppoliicy deffaullt-ppermmit theen llog sesssioon-iinittset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mattch souurcee-adddreess anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mat

37、tch desstinnatiion-adddresss aanyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mattch apppliccatiion anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit theen ppermmitset seccuriity polliciies froom-zzonee

38、unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit theen llog sesssioon-iinitt測試表格格測試號Testt-2設(shè)備名稱稱Juniiperr SRRX防火火墻：SSRX2240HH-1設(shè)備軟件件版本9.6RR1測試項目目設(shè)備可路路由測試試測試目的的驗證設(shè)備備可路由由傳輸功功能測試配置置見本節(jié)的的設(shè)備配配置部分分測試步驟驟：按配置步步驟進(jìn)行行配置配置2臺臺測試PPC在防防火墻兩兩端，分分別配置置地址為為：/224和/224在PC：5上分別別pinng及用用h

39、tttp訪問問1.11.700.7，并且在在1.11.700.7的的webb seerveer查看看訪問的的源地址址是否為為：，如如正常則則表示ttrusst zzonee的pcc能通過過路由正正常訪問問另一個個unttrusst zzonee。在PC：1.11.700.7上上分別ppingg及用hhttpp訪問，并且在在5的weeb sservver查查看訪問問的源地地址是否否為：，如正常常則表示示unttrusst zzonee的pcc能通過過路由正正常訪問問另一個個truust zonne。檢查命令令：查看seessiion連連接

40、及l(fā)log信信息：labSRXX2400H-11 sshoww seecurrityy fllow sesssioonlabSRXX2400H-11 sshoww loog rrtloogd在webb seerveer查看看客戶端端的源IIP地址址是否為為對端的的PC IP地地址：預(yù)期結(jié)果果：PC：上上分別用用pinng及用用htttp訪問問1.11.700.7，能正常常訪問，并且在在1.11.700.7的的webb seerveer查看看訪問的的源地址址為：PC：上分分別用ppingg及用hhttpp訪問，能正常常訪問，并且在在5的weeb sservv

41、er查查看訪問問的源地地址為：1.11.700.7測試結(jié)果果：測試結(jié)果果： 通過 ( ) 失敗 ( )測試通過過：(簽字)測試失敗敗：(簽字)失敗原因因：注釋：策略測試試測試內(nèi)容容策略測試試是測試試防火墻墻支持基基于ICCMP協(xié)協(xié)議、TTCP端端口號和和UDPP端口號號等信息息進(jìn)行策策略配置置，并針針對每一一條策略略進(jìn)行不不同的操操作（允允許、拒拒絕等）。基本本的測試試方法是是在防火火墻的內(nèi)內(nèi)外網(wǎng)口口分別連連接網(wǎng)絡(luò)絡(luò)PC，并并按拓?fù)鋼鋱D，對對防火墻墻進(jìn)行相相應(yīng)的配配置，包包括IPP地址，路由，策略，及其他他相關(guān)配配置，其其中策略略至少包包括三種種策略，基于IICMPP，基于于TCPP端口號號和

42、基于于UDPP端口號號。通過過網(wǎng)絡(luò)PPC的業(yè)業(yè)務(wù)模擬擬功能進(jìn)進(jìn)行測試試。推薦的測測試策略略：ICMPPHTTPP（TCCP）TFTPP（UDDP）測試拓?fù)鋼鋱D設(shè)備配置置配置接口口地址set intterffacees gge-00/0/0 uunitt 0 desscriiptiion to-LANN-trrusttset intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 unnit 0 ddesccripptioon tto-WWAN-untrrusttset

43、intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224配置zoone及及將接口口加到zzonee中，將將ge-0/00/0.0分配配至trrustt zzonee，將gge-00/0/8.00分配至至unttrusst zonneset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccuriity zonnes seccuriity-zonne ttr

44、usst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttrafffic

45、c prrotoocolls aallset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0配置策略略，允許許truust和和unttrusst之間間互相通通信，并并且打開開logg記錄A、配置置truust至至unttrusst之間間測試的的應(yīng)用允允許通過過set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh soourcce-aaddrres

46、ss annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh deestiinattionn-adddreess anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh apppliicattionn appp-ttesttset seccuriity polliciies

47、froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen perrmittset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen logg seessiion-iniitset apppliccatiionss apppliicattionn htttp prootoccol tcppset apppliccatiionss apppliicattio

48、nn htttp desstinnatiion-porrt hhttppset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon hhttppset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon jjunoos-iicmpp-alllset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon jjunoos-ttftppB、配置置truust至至unttr

49、usst之間間默認(rèn)的的策略為為拒絕通通過set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh soourcce-aaddrresss annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh deestiinattionn-adddreess anyyset seccuriity polliciie

50、s froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh apppliicattionn annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy thhen dennyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy thhen

51、logg seessiion-iniitC、配置置unttrusst至ttrusst之間間默認(rèn)的的策略為為拒絕通通過set seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh soourcce-aaddrresss annyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh deestiinattionn-ad

52、ddreess anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh apppliicattionn annyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy thhen dennyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst

53、 ppoliicy deffaullt-ddenyy thhen logg seessiion-iniitD、測試試完將第一步步的策略略修改為為從允許許通過改改為拒絕絕通過：set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen denny測試表格格測試號Testt-3設(shè)備名稱稱Juniiperr SRRX防火火墻：SSRX2240HH-1設(shè)備軟件件版本9.6RR1測試項目目設(shè)備策略略測試測試目的的驗證設(shè)備備的防火火墻策略略功能測試配置置見本節(jié)的

54、的設(shè)備配配置部分分測試步驟驟：按配置步步驟進(jìn)行行配置配置2臺臺測試PPC在防防火墻兩兩端，分分別配置置地址為為：/224和/224在PC：5上分別別運(yùn)行IICMPP（piing）、TCCP（hhttpp）、UUDP（tfttp）應(yīng)應(yīng)用訪問問外網(wǎng)服服務(wù)器，如如正常則則表示ttrusst zzonee的pcc能通過過策略正正常訪問問另一個個unttrusst zzonee的服務(wù)務(wù)器。將應(yīng)用策策略修改改為拒絕絕，則PPC：上所所有應(yīng)用用都不能能訪問檢查命令令：查看seessiion連連接：labSRXX2400H-11 ss

55、howw seecurrityy fllow sesssioon 檢查是否否所有服服務(wù)都正正常允許許或拒絕絕在perrmitt的狀況況下，所所有服務(wù)務(wù)均正常常允許訪訪問，而而在策略略為deeny的的情況下下，所有有服務(wù)均均拒絕訪訪問。檢查loog信息息：labSRXX2400H-11 sshoww loog rrtloogdshoww結(jié)果及及配置文文件：預(yù)期結(jié)果果：在策略為為允許的的情況下下，PCC：上分分別用ppingg、htttp、TTFTPP訪問1.1.770.77，能正正常訪問問在策略為為拒絕的的情況下下，PCC：上分分別用ppingg、httt

56、p、TFTTP訪問問1.11.700.7，不能訪訪問相應(yīng)應(yīng)的業(yè)務(wù)務(wù)測試結(jié)果果：測試結(jié)果果： 通過 ( ) 失敗 ( )測試通過過：(簽字)測試失敗?。?簽字)失敗原因因：注釋：靜態(tài)NAAT測試試測試內(nèi)容容基于靜態(tài)態(tài)NATT功能的的要求是是：對SSRX內(nèi)內(nèi)網(wǎng)側(cè)的的服務(wù)器器主機(jī)地地址進(jìn)行行一對一一NATT映射，即對于于從SRRX外網(wǎng)網(wǎng)側(cè)進(jìn)入入內(nèi)網(wǎng)側(cè)側(cè)的數(shù)據(jù)據(jù)流，對對目的地址址進(jìn)行NNAT。具體的的測試需需求：在SRXX防火墻墻上對PPC11的IPP地址進(jìn)行行地址轉(zhuǎn)轉(zhuǎn)換，轉(zhuǎn)轉(zhuǎn)換后的的地址為為1001。PC11作為業(yè)業(yè)務(wù)服務(wù)務(wù)器端，PC22作為業(yè)業(yè)務(wù)客戶戶端進(jìn)行行業(yè)務(wù)測試試，包括括ICM

57、MP（ppingg）、TTCP（htttp）、UDPP（TFFTP）測試PC11作為業(yè)業(yè)務(wù)客戶戶端，PPC22作為業(yè)業(yè)務(wù)服務(wù)務(wù)器端進(jìn)進(jìn)行業(yè)務(wù)務(wù)測試，包括IICMPP（piing）、TCCP（hhttpp）、UUDP（TFTTP）測測試測試拓?fù)鋼鋱DPC-1InternetStatic NATPC-2TrustUntrustSRXGe-0/0/0Ge-0/0/8設(shè)備配置置1、配置置接口IIP地址址set intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 uunitt

58、0 fammilyy innet adddresss /2242、配置置目的靜靜態(tài)目的的NATTset seccuriity natt sttatiic rrulee-seet sstattic-natt-1 froom zzonee unntruustset seccuriity natt sttatiic rrulee-seet sstattic-natt-1 rulle rrulee-sttatiic-nnat-1 mmatcch ddesttinaatioon-aaddrresss 1000.00.0.1/332set seccuriity natt sttatiic

59、 rrulee-seet sstattic-natt-1 rulle rrulee-sttatiic-nnat-1 tthenn sttatiic-nnat preefixx /3323、配置置zonne及將將接口加加到zoone中中，將gge-00/0/0.00分配至至truust zoone，將gee-0/0/88.0分分配至uuntrrustt zzoneeset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccu

60、riity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uun