防火墻測(cè)試驗(yàn)收方案

1、 PAGE PAGE 1防火墻測(cè)試方案防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)平安體系的重要設(shè)備，其目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立 一個(gè)平安把握點(diǎn),通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和把握。隨著網(wǎng)上黑客活動(dòng)的日益猖獗,越來(lái)越多的上網(wǎng)企業(yè)開(kāi)頭重視網(wǎng)絡(luò)平安問(wèn)題。特殊是近兩三年來(lái),以防火墻為核心的平安產(chǎn)品需求市場(chǎng)快速成長(zhǎng)起來(lái)，瞬間消滅了眾多供應(yīng)防火墻產(chǎn)品的廠家，光國(guó)內(nèi)就有幾十家。各種防火墻品種充斥市場(chǎng)，良莠不齊，有軟件 的防火墻，硬件的防火墻，也有軟硬一體化的防火墻;有面對(duì)個(gè)人的防火墻，面對(duì)小企業(yè)的低檔防火墻，也有中高檔的防火墻，技術(shù)實(shí)現(xiàn)上有包過(guò)濾的防火墻、應(yīng)用代理的

2、防火墻，也有狀態(tài)檢測(cè)的防火墻。由于防火墻實(shí)現(xiàn)方式機(jī)敏，種類多,而且往往要與簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境整合在一起使用，因此,對(duì)防火墻進(jìn)行測(cè)試評(píng)估是選購(gòu)防火墻產(chǎn)品的一個(gè)重要環(huán)節(jié)。評(píng)估測(cè)試防火墻是一個(gè)格外簡(jiǎn)單的工作。一般說(shuō)來(lái)，防火墻的平安和性能是最重要的指標(biāo)，用戶接口（管理和配置界面）.但是平安和性能之間好像經(jīng)常構(gòu)成一對(duì)沖突。在防火墻技術(shù)的進(jìn)展方面,業(yè)界始終在致力于為用戶供應(yīng)平安性和性能都高的防火墻產(chǎn)品。沿著這一方向，防火墻產(chǎn)品經(jīng)受了以軟件實(shí)現(xiàn)為主的代理型防火墻，以硬件實(shí)現(xiàn)為主的包過(guò)濾防火墻,以及兼有包過(guò)濾型防火墻的高速性特點(diǎn)和代理性防火墻高平安性特點(diǎn)的狀態(tài)檢測(cè)防火墻。另外，為了使機(jī)敏多變，難以把握的防火墻平安

3、技術(shù)能更有效地被寬敞用戶使用，直觀易用的界面和詳盡明晰的報(bào)表審計(jì)力量被越來(lái)越多的防火墻產(chǎn)品接受，同時(shí),防火墻產(chǎn)品在與網(wǎng)絡(luò)應(yīng)用環(huán)境整合的過(guò)程中也在不斷地集成和加入新的網(wǎng)絡(luò)功能。因此，當(dāng)前必需從平安性、性能、可管理性和幫助功能等方面綜合進(jìn)行評(píng)測(cè)，才能客觀反映一個(gè)防火墻產(chǎn)品的素養(yǎng)。測(cè)試的背景和目的在防火墻產(chǎn)品市場(chǎng)上，產(chǎn)品一般分為高、中、低三檔?？紤]到，高檔防火墻普遍是各 公司最新或方案推出的產(chǎn)品,使用的防火墻產(chǎn)品以中、高檔為主，為了便于橫向比較各公司的產(chǎn)品,在本次測(cè)試中將統(tǒng)一以中檔防火墻產(chǎn)品作 為測(cè)評(píng)的對(duì)象。:功能測(cè)試、平安防范力量測(cè)試、性能測(cè)試和設(shè)備牢靠性測(cè)試。參考資料GB/T 180201999

4、 信息技術(shù)應(yīng)用級(jí)防火墻平安技術(shù)要求GB/T 180191999 信息技術(shù)包過(guò)濾防火墻平安技術(shù)要求FWPD:Firewall Product Certification Criteria Version 。0a測(cè)試項(xiàng)目一測(cè)試項(xiàng)目 PAGE PAGE 17包過(guò)濾，NAT，地址綁定,本地訪問(wèn)把握，多播，TRUNK，代理路由,內(nèi)容過(guò)濾，報(bào)警，審計(jì)實(shí)時(shí)監(jiān)控，攻擊,雙機(jī)熱備，性能.二測(cè)試環(huán)境簡(jiǎn)略拓?fù)鋱D10.10。11.1010。10.12.2030）2010。10.11(2）.110。10。1。24010。10。1。110.10。 3.1FW1 10。10。2。110。10。2。240（0)10.10。3

5、.10（192。168。3。10。10。3。172。10。1。10FW2172。10。1.11921681.10172。10.2。1192。168。2.1FW3192。168.1。1172.10.1。20 172。10.3.1（52）172。10.3。10172.10。3.20（192。168。2。251)54192.168。3。1192.168120192。168.3.10192。168.3.2054(192.168。2。253）1管理器172161.10192168.1。10192。168.1.251172.16.1。20192。168.1。20192。168。1.11192.168。1。

6、212說(shuō)明：在括號(hào)內(nèi)的IP 地址,為測(cè)試單一防火墻功能時(shí)所用的IP 地址。2 僅為測(cè)試TRUNK,代理路由和非IP 規(guī)章時(shí)使用。三測(cè)試前軟件環(huán)境的預(yù)備子網(wǎng)主機(jī)具有Linux，windows 2000（or 98 or NT)兩種環(huán)境.測(cè)試環(huán)境Linux 主機(jī)配置www,ftp，telnet 服務(wù)，同時(shí)安裝nmap,http_load，sendudpIE，Netscape等掃瞄器防火墻分區(qū)內(nèi)主機(jī)的網(wǎng)關(guān)都設(shè)為指向所連防火墻當(dāng)前連接接口，ip 地址為當(dāng)前網(wǎng)段1 192。168。1。1，即防火墻接入接口的ip 地址。防火墻的默認(rèn)路由均指向其通往廣域網(wǎng)的路由器或三層交換機(jī)。在廣域網(wǎng)中接受靜態(tài)路由和動(dòng)態(tài)路

7、由（rip 或ospf）兩種。四。功能說(shuō)明及規(guī)章設(shè)計(jì).針對(duì)防火墻各項(xiàng)功能,分別加以說(shuō)明。A。 包過(guò)濾區(qū)間通信。1）單一地址2.)多地址規(guī)章設(shè)計(jì)：a.12b.操作：允許（拒絕）c.協(xié)議:tcp，udp，icmp 和其它協(xié)議號(hào)的協(xié)議。d。審計(jì)：是(否）e.有效時(shí)間段B。地址綁定ip，mac 地址綁定。防止地址哄騙。單一地址綁定多地址綁定。規(guī)章設(shè)計(jì)：a12b。操作:允許（或拒絕）C 本地訪問(wèn)把握對(duì)管理主機(jī)的訪問(wèn)進(jìn)行把握1）單一地址2.）多地址規(guī)章設(shè)計(jì)：a。操作：1。允許ping ，telnet 等。2。允許管理D NAT地址，端口的轉(zhuǎn)換.ip 轉(zhuǎn)為公網(wǎng)ip。1)一對(duì)一2）多對(duì)一3.）多對(duì)多規(guī)章設(shè)計(jì)：

8、a.12.b。操作：拒絕（或允許）c.協(xié)議：tcp，udp,icmp 和其它協(xié)議號(hào)的協(xié)議。d。審計(jì)：是（否）E 多播解決一對(duì)多的通信。單一多播源，多接收端。多多播源，多接收端。G。TRUNK,代理路由復(fù)用鏈路，為防火墻單一區(qū)域內(nèi)的子網(wǎng)通信進(jìn)行路由. H.報(bào)警利用郵件,TRAP，蜂鳴等準(zhǔn)時(shí)向管理員報(bào)告防火墻的信息.I 。審計(jì)審計(jì)防火墻上的訪問(wèn),及大事信息，防火墻的狀態(tài).J。實(shí)時(shí)監(jiān)控實(shí)時(shí)檢測(cè)防火墻的通訊狀況,跟蹤防火墻的運(yùn)行狀況。K攻擊防攻擊。檢測(cè)企圖通過(guò)防火墻實(shí)施攻擊的行為,并報(bào)警，阻斷攻擊。L雙機(jī)熱備設(shè)備冗余。同一網(wǎng)絡(luò),兩臺(tái)防火墻,一臺(tái)設(shè)為激活狀態(tài)，另一臺(tái)設(shè)為備份狀態(tài)。當(dāng)激活狀態(tài)的防down掉

9、時(shí)，備份防火墻接管。通過(guò)測(cè)試用例來(lái)對(duì)具體的操作進(jìn)行闡述.在全部的規(guī)章制定中考慮范圍內(nèi)取非,范圍的臨界值，中間值狀況,時(shí)間的把握等.測(cè)試項(xiàng)目包過(guò)濾測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP 過(guò)濾規(guī)章對(duì)ICMP測(cè)試環(huán)境路由模式Linux，windows.1.192。168。1.10-100192。168.2.254ICMP 允許（內(nèi)到外）規(guī)章指定192.168.2。254192。168.3。10ICMP 允許（外到DMZ）192。168.3.1-15192。168。1.10ICMP 允許.（DMZ 到內(nèi)）1.192.168。1.10 上ping 192。168.2.254192.168。2.254 上pi

10、ng 192。168.3。10192。168.3。10 上ping 192。168.1。10。并反方向ping。2. 。執(zhí)行操作10192。168。3.10 上telnet 0。并反方向ftp，telnet。ICMP 全通規(guī)章。1實(shí)測(cè)結(jié)果測(cè)試結(jié)果備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容IP 過(guò)濾規(guī)章對(duì)TCP測(cè)試環(huán)境路由模式Linux，windows。步驟預(yù)期結(jié)果1.ping 成功,反向ping 不通，被禁止。2.訪問(wèn)被禁止，規(guī)章不允許.3都可以相互ping 通。1: 192。168。1。10192。168。2。254telnet 允許。(內(nèi)到外）規(guī)章指定192。168。2。254192.168。3。

11、10telnet 允許（外到DMZ）192.168。3.10192。168.1.10telnet 允許。(DMZ到內(nèi))1. 。168.3。10192。168。3。10 telnet 192。168.1.10,并反向telnet。執(zhí)行操作2.在192。168.1。10 用nslookup 到54 上進(jìn)行名字解析或其它的udp 服務(wù)。telnet 1.步驟預(yù)期結(jié)果1.正向成功，反向被禁止實(shí)測(cè)結(jié)果測(cè)試結(jié)果2。3。UDP 服務(wù).TCP 協(xié)議的放開(kāi)，對(duì)UDP 協(xié)議不發(fā)生影響.telnet 訪問(wèn)都成功.備注 測(cè)試項(xiàng)目測(cè)試內(nèi)容測(cè)試環(huán)境規(guī)章指定執(zhí)行操作包過(guò)濾測(cè)試日期IP 過(guò)濾規(guī)章對(duì)TCP路由模式Linux,w

12、indows.。10192。168.2.254telnet 允許。(內(nèi)到外）192.168。2。254192.168。3.10telnet 允許（外到DMZ)0192。168。1。10telnet 允許.（DMZ 到內(nèi)）生效時(shí)間：9:0010:001.192。168。1.10 telnet 192.168.2。254,192。168.2.254 telnet 192。168。3.10192。168。3.10 telnet 192。168.1。10,并反向telnet。保持上述telnet 已建立的連接,并不斷的telnet 沒(méi)有建立連接的.9:5910：01 之間,查看t

13、elnet 狀態(tài)的反應(yīng).步驟測(cè)試結(jié)果1.3備注預(yù)期結(jié)果 telnet 成功,反向被禁止. 已建立的telnet 連接被斷開(kāi)。實(shí)測(cè)結(jié)果測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容測(cè)試環(huán)境規(guī)章指定IP 包過(guò)濾中,由于FTPFTP這個(gè)用例主要用來(lái)測(cè)試FTP20路由模式Linux，windows。1。192。168.1.10192。168.2.254ftp 允許(內(nèi)到外)1.在0 上telnet 192。168。2.25468。1。10 ftp 192。168。2.254 ，進(jìn)行大文件(1G）的數(shù)據(jù)傳輸。執(zhí)行操作3.ftp 192。168。1。10 telnet 192。168.2.25420。4.passive

14、ftp 文件的傳輸.5.在192。168。1。10 上telnet 192.168.2。25420步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果測(cè)試結(jié)果1，3,52,4訪問(wèn)被禁止訪問(wèn)成功。備注測(cè)試項(xiàng)目包過(guò)濾測(cè)試日期測(cè)試內(nèi)容測(cè)試環(huán)境IP 包過(guò)濾包括ICMP、UDP、TCP（ICMP、UDP、TCP）包的過(guò)濾，UDP路由模式Linux,windows。規(guī)章1:192。168。1.10192。168。2.254UDP 允許.192。168.2。253192。168.3。20UDP 允許。規(guī)章指定192。168。3。30192.168。1. 30UDP 允許生效時(shí)間:9：0010:00規(guī)章2：054UDP 拒絕。1.在 192

15、.168。1.10，192.168。2.253，192。168。3.30 上啟動(dòng) UDP 的測(cè)試工具Udp_Server192.1682.253，192168.320，192.168130上啟動(dòng)Udp_Client執(zhí)行操作來(lái)分別連 192。168。1.10,192.168.2。253，192.168。3。30 上的服務(wù)程序。10：00 時(shí)連接的狀態(tài)。保持Client Server 的主動(dòng),不間斷的連接去掉時(shí)間限制，重新加載規(guī)章1，在連接重新建立的同時(shí),2。步驟步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果測(cè)試結(jié)果1。2。3。連接成功連接被斷開(kāi)。連接建立后，馬上又被斷開(kāi)。備注目的：測(cè)試UDP 過(guò)濾的基本功能、在規(guī)章有效時(shí)

16、間上的實(shí)時(shí)性、規(guī)章變化時(shí)對(duì)動(dòng)態(tài)連接表的實(shí)時(shí)刷新性能等說(shuō)明:對(duì)于EIP IP 協(xié)議的設(shè)置過(guò)程中同步設(shè)置,用發(fā)包工具對(duì)其進(jìn)行測(cè)試，例如：igmp，ospf包等。測(cè)試項(xiàng)目IPMAC測(cè)試項(xiàng)目IPMAC 地址綁定測(cè)試日期IPMAC MAC IP IP 地址匹測(cè)試內(nèi)容MAC 地址不匹配得兩種IP 哄騙的狀況下防火墻的處理力量測(cè)試環(huán)境路由模式Linux，windows。備注測(cè)試項(xiàng)目首先，加載IP 全通過(guò)濾規(guī)章IPMAC 地址綁定測(cè)試日期在制定 IPMAC 綁定規(guī)章時(shí),可以只綁定一個(gè)區(qū)域當(dāng)中的某幾個(gè)主機(jī)的地址,絕大多數(shù)測(cè)試內(nèi)容規(guī)章.測(cè)試環(huán)境路由模式Linux,windows。1192。168。1。10MAC

17、00.12。9 進(jìn)行綁定, 綁定規(guī)章之外的主機(jī)不規(guī)章指定允許通過(guò).10-100MAC 04.89。29 進(jìn)行綁定規(guī)章指定1.192。168.1。10 telnet 192。168.2。254。執(zhí)行操作2.192。168.1。10 IP 192.168。1。11，telnet 192.168。2。254。3.192.168。1。20 192。168.1。10.然后，telnet 192.168。2。254。步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果測(cè)試結(jié)果1訪問(wèn)成功2,3訪問(wèn)被禁止，IP MAC 不匹配。1.1.1。10 telnet 192.168。2。254。2.在 192。168.1.20 上 telnet 1

18、92。168.2。254執(zhí)行操作3.修改規(guī)章,綁定之外的主機(jī)允許通過(guò)。4. 192.168.2。254測(cè)試結(jié)果步驟1。24。預(yù)期結(jié)果實(shí)測(cè)結(jié)果訪問(wèn)成功訪問(wèn)禁止訪問(wèn)成功備注首先，加載IP 全通過(guò)濾規(guī)章測(cè)試項(xiàng)目測(cè)試內(nèi)容NAT測(cè)試項(xiàng)目測(cè)試內(nèi)容NAT轉(zhuǎn)換測(cè)試日期這個(gè)用例主要用來(lái)測(cè)試一對(duì)一的同時(shí)對(duì)多個(gè)方向上的轉(zhuǎn)換功能測(cè)試環(huán)境路由模式。Linux ,Windows。1000（inNATout)規(guī)章指定2.192。168。1.10192.168。3.100（in NAT dmz)1.在192。168.1。10 上telnet192。168。2。2542.54 telnet 00執(zhí)行操作3

19、.192。168.2。254 telnet 04.在192.168。1。10 上telnet192.168。68.3。10 telnet 192.168.3。100實(shí)測(cè)結(jié)果測(cè)試結(jié)果備注測(cè)試項(xiàng)目在訪問(wèn)成功的同時(shí)在對(duì)端機(jī)器上用netstat 命令看是真實(shí)IP 還是轉(zhuǎn)換后的IP 地址。NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容這個(gè)用例主要在于測(cè)試同時(shí)雙向的NAT 轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linx，windows步驟預(yù)期結(jié)果1訪問(wèn)成功2訪問(wèn)成功3訪問(wèn)失敗4訪問(wèn)成功5訪問(wèn)成功1. 192。168.1。1000(in NAT out)2。 192。168。1.10192.168.3。100(in N

20、AT dmz)規(guī)章指定執(zhí)行操作3. 192。168。3.10192.168.1。100（dmzNATin）4. 192。168。3。10192。168。1.200(dmz NAT out)5. 192。168.2。254192.168.1。200 （out NAT in）6. 192。168。2.25400 (out NAT dmz）1.192。168.1。10 telnet 192.168。1.100，192。168。1.200,54,192。168。3.10。2.在19162.254上telnet 192.162.1019168.200,1916310,192.16。1。10。3.1921

21、68.3.10 telnet 192.168.3100,192168.3200,54,192168。1測(cè)試結(jié)果2341。10.步驟訪問(wèn)成功訪問(wèn)成功訪問(wèn)成功訪問(wèn)成功預(yù)期結(jié)果實(shí)測(cè)結(jié)果備注服務(wù)都開(kāi)放，同時(shí)用netstat 進(jìn)行查看連接的IP 地址。測(cè)試項(xiàng)目測(cè)試內(nèi)容NAT轉(zhuǎn)換測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的基本功能測(cè)試日期1.路由模式1.路由模式測(cè)試環(huán)境2.Linux,windows。.254192。168.1.100規(guī)章指定2.192。168。2。253003.以上不供應(yīng)服務(wù)轉(zhuǎn)換。1.192.168。2。254，192.168.2。253 ping 192。168。1。10執(zhí)行操作2.192。168.2。253，

22、192.168。2。253 telnet 192.168。1。10步驟預(yù)期結(jié)果測(cè)試結(jié)果1訪問(wèn)成功2訪問(wèn)成功備注首先，加載IP 全通過(guò)濾規(guī)章。測(cè)試項(xiàng)目測(cè)試內(nèi)容測(cè)試環(huán)境NAT轉(zhuǎn)換測(cè)試多對(duì)一轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能路由模式Linux，windows。測(cè)試日期1.192.168。2。25400供應(yīng)telnet 服務(wù).規(guī)章指定2.192。168。2.253254192.168。1。100供應(yīng)www 服務(wù)（去除254 地址）1.54，192.168。2.253 telnet 192。168.1.10。執(zhí)行操作2.192。168。1。10 telnet 192.168。1。100,192.168。1。20 上

23、http：/192。168.1.100測(cè)試結(jié)果3.192。168。2。254 telnet 192.168.1。100 ：80 。實(shí)測(cè)結(jié)果步驟預(yù)期結(jié)果1.訪問(wèn)成功2.步驟預(yù)期結(jié)果1.訪問(wèn)成功2.訪問(wèn)成功.3.訪問(wèn)失敗。測(cè)試環(huán)境首先，加載IP 全通過(guò)濾規(guī)章。NAT轉(zhuǎn)換測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的服務(wù)轉(zhuǎn)換功能路由模式Linux，windows.測(cè)試日期規(guī)章1:192。168。2.254，192。168。2.253，192。168.2.252192。168。1。100，規(guī)章指定192。168。1。200 231.200 23231.1。2.54,192。168。2。253，192.168。2.253 teln

24、et 192。168。1.10。執(zhí)行操作3.在規(guī)章1 的基礎(chǔ)上，加載規(guī)章2。4.0,192。168。1.20 telnet 192。168。1。100 23；telnet 192。168。測(cè)試結(jié)果備注1.200 2323步驟2，4訪問(wèn)成功首先，加載IP 全通過(guò)濾規(guī)章預(yù)期結(jié)果實(shí)測(cè)結(jié)果測(cè)試項(xiàng)目測(cè)試項(xiàng)目NAT轉(zhuǎn)換測(cè)試日期測(cè)試內(nèi)容測(cè)試多對(duì)多轉(zhuǎn)換時(shí)的FTP 服務(wù)轉(zhuǎn)換功能測(cè)試環(huán)境路由模式Linux，windows.： 168。1.200規(guī)章指定規(guī)章 2：192168.2254192.168110021 號(hào)端口供應(yīng)ftp 服務(wù).192168.2.252002121 號(hào)端口供應(yīng)ftp 服務(wù)。1.1。2.192

25、。168.2。254，192.168.2。253，53 telnet 192。168。1。10。執(zhí)行操作3. 4. 192.168。1。100 ，ftp 192.168.1。200測(cè)試結(jié)果2121.步驟2，4預(yù)期結(jié)果訪問(wèn)應(yīng)當(dāng)能夠成功實(shí)測(cè)結(jié)果備注首先，加載IP 全通過(guò)濾規(guī)章測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容數(shù)據(jù)的轉(zhuǎn)發(fā)（分區(qū)方向的把握，組的加入。測(cè)試環(huán)境路由模式Linux，windows。1。OUT224。1。1。1239。255。255。255 （192.168。1.10GDA)規(guī)章指定1.192。168。2。254 media player 建立一個(gè)多播站.test。nsc 影音

26、文執(zhí)行操作件。2.192。168.1.10 上運(yùn)行mplayer 2 /192。168。1.254/test.nsc.測(cè)試結(jié)果步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果2.正常播放。備注測(cè)試項(xiàng)目多播測(cè)試日期測(cè)試內(nèi)容分區(qū)方向的把握測(cè)試環(huán)境規(guī)章指定路由模式Linux，windows.1.IN239。255。255.255(內(nèi)網(wǎng)區(qū)域內(nèi)）10.10。3。10 上用media player 建立多播站，播放影音文件test.nsc。執(zhí)行操作2.在10。10。3.20 上運(yùn)行mplay2/10.10。3.10/test.nsc。觀看影音文件test。nsc。步驟測(cè)試結(jié)果2。備注測(cè)試項(xiàng)目多播預(yù)期結(jié)果訪問(wèn)成功，可以正常觀看.測(cè)試日

27、期實(shí)測(cè)結(jié)果測(cè)試內(nèi)容測(cè)試環(huán)境規(guī)章指定與下行流多播路由器的數(shù)據(jù)交換路由模式2。Linux，windows。1. DMZ239。255.255。255（IN=GDA）在10。10.3.10 上用media player 建立多播站，播放影音文件test.nsc。執(zhí)行操作2.在0上運(yùn)行mplayer2 /0/test。nsc，接收影音文件.3.54 上運(yùn)行mplayer2 /10.10。3。10/test.nsc，影音文件.步驟測(cè)試結(jié)果2。3。備注測(cè)試項(xiàng)目多播預(yù)期結(jié)果訪問(wèn)成功，接收正常。不能成功。測(cè)試日期實(shí)測(cè)結(jié)果測(cè)試內(nèi)容測(cè)試環(huán)境多播樹(shù)的嫁接（多多播源，多接收端）路由模式Linux，windows.1.

28、OUT224。1。1.1239.255。255。255（IN=GDA）規(guī)章指定2.IN224.1。1.1239.255.255。255（OUT=GDA）1.1.192。168.2.254，192。168.1。10 上建立多播站.運(yùn)行影音文件test.nsc。2.在 192.168 。1.20, 先后運(yùn)行 mplayer:2/1921 。168.1 。10/test.nsc ，mplayer:/54/test.nsc。執(zhí)行操作3.在 192.168。3。10 上運(yùn)行mplayer：/192.168。1.10/test.nsc，mplayer：/192。168。2.254/test。nsc 影音文

29、件。4.192。168.2。253 上運(yùn)行mplayer：/0/test.nsc 影音文件.測(cè)試結(jié)果步驟2，3,4預(yù)期結(jié)果訪問(wèn)成功，正常播放。實(shí)測(cè)結(jié)果備注注:橋模式下,多播與之類似,防火墻透亮,與路由狀況配置一樣,指定區(qū)域即可.不再贅述. FVPNG.TRUNK測(cè)試項(xiàng)目測(cè)試內(nèi)容TRUNK跨越防火墻,完成同一VLAN 內(nèi)的通信.測(cè)試日期測(cè)試環(huán)境橋模式Linux,windows.3.192。168.1。10,1 設(shè)為同一VLAN100192。168。1.20,192。168。1。21 設(shè)為同一VLAN200。與防火墻trunk 802。1q.1。 192.168。1.10 192。168。1.11

30、 允許.協(xié)議:tcp，icmp。規(guī)章指定2.。192。168。1。20 192。168。1。21 拒絕 協(xié)議.tcp 允許,icmp 拒絕.1.192。168.1.10 上ping 1，telnet 192.168。1。11執(zhí)行操作2.在192。168。1.20 上telnet 192。168。1.21，ping 192。168.1。21步驟測(cè)試結(jié)果1訪問(wèn)全部成功。預(yù)期結(jié)果實(shí)測(cè)結(jié)果2Telnet 成功。ping 不成功.備注測(cè)試項(xiàng)目測(cè)試內(nèi)容TRUNK，代理路由跨越防火墻,完成同一VLAN 內(nèi)的通信.測(cè)試日期測(cè)試環(huán)境橋模式Linux,windows.3.192.168。1.20 192.168。

31、1.21 IP 192。168.2.20，192。168.2。68110，192.168.111 設(shè)為同一VLAN100.192168.2。20,192.168.2。21 設(shè)為同一VLAN200.1.1921.192。168。1.11192.168。2。10,192。168。2。11 協(xié)議：全部協(xié)議.規(guī)章指定2。 0 192.168。1。11 允許.協(xié)議:tcp，icmp.3. 192.168.1。10 192。168。2.21 拒絕1.將防火墻內(nèi)外網(wǎng)卡分別綁定兩個(gè)IP 地址192。168。1。1 和192。168。2.2.在 192。168.1。11 上 ping ，te

32、lnet,ftp，192。168.2.10 和 192.168。2.11。執(zhí)行操作3. 4. ping telnet ftp 192。168.2。21.步驟預(yù)期結(jié)果實(shí)測(cè)結(jié)果測(cè)試結(jié)果123訪問(wèn)全部成功。訪問(wèn)成功。全部操作都拒絕。備注G。 內(nèi)容過(guò)濾測(cè)試項(xiàng)目測(cè)試項(xiàng)目?jī)?nèi)容過(guò)濾測(cè)試日期測(cè)試內(nèi)容SMTP,HTTP,FTP等應(yīng)用層進(jìn)行過(guò)濾.測(cè)試環(huán)境路由,橋。Linux,Windows。在包過(guò)濾中添加相應(yīng)的過(guò)濾規(guī)章,附件,命令,一例。其他不再贅述。規(guī)章指定1.172。10。1.20172。10。2.254， HTTP: GET 命令禁止。SMTP:主題 病毒 禁止。FTP: USER禁止。1.172。10.1

33、。20 上http：/172。10.2.254 . GET 頁(yè)面禁止.執(zhí)行操作0 mail 172。10.2。254 的主題為病毒的郵件.3. 。 user test測(cè)試結(jié)果步驟1，2,3預(yù)期結(jié)果實(shí)測(cè)結(jié)果訪問(wèn)都不成功。備注測(cè)試項(xiàng)目報(bào)警.測(cè)試日期測(cè)試項(xiàng)目報(bào)警.測(cè)試日期測(cè)試內(nèi)容郵件，trap,蜂鳴等.。測(cè)試環(huán)境測(cè)試環(huán)境路由模式，橋模式.Linux，windows。設(shè)定相應(yīng)的報(bào)警mail。,trap 接收地址.規(guī)章指定執(zhí)行操作在裝有OpenView 等可以接收trap 信息的主機(jī)上結(jié)束trap。在任意一臺(tái)主機(jī)上設(shè)置mail 帳號(hào)為報(bào)警mail 帳號(hào),接收?qǐng)?bào)警mail。當(dāng)進(jìn)行相應(yīng)的報(bào)警操作,防火墻開(kāi)頭蜂鳴。測(cè)試結(jié)果步驟1，2,3預(yù)期結(jié)果實(shí)測(cè)結(jié)果可以完成。備注I 審計(jì)測(cè)試項(xiàng)目測(cè)試項(xiàng)目審計(jì)。測(cè)試日期測(cè)試內(nèi)容對(duì)防火墻進(jìn)行大事及訪問(wèn)日志的審計(jì).。測(cè)試環(huán)境路由模式,橋模式