华为USG9560防火墙测试方案

1、 STYLEREF Contents 目 录 DOCPROPERTY Trademark&ProductType Error! Unknown document property name. DOCPROPERTY ManualName Error! Unknown document property name.Error! Unknown document property name. ( DOCPROPERTY ReleaseDate Error! Unknown document property name.) DOCPROPERTY ManualVersion * MERGEFORMA

2、T Error! Unknown document property name. DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT Error! Unknown document property name.PAGE i华为USG9560防火墙测试方案目 录 TOC o 1-4 h z u HYPERLINK l _Toc40387802 1操作指引 PAGEREF _Toc40387802 h 3 HYPERLINK l _Toc40387803 1.1系统功能验收 PAGEREF _Toc40387803 h 3 HYPERLINK l _T

3、oc40387804 1.1.1系统上电验收 PAGEREF _Toc40387804 h 3 HYPERLINK l _Toc40387805 单板指示灯验收 PAGEREF _Toc40387805 h 3 HYPERLINK l _Toc40387806 风扇运转验收 PAGEREF _Toc40387806 h 3 HYPERLINK l _Toc40387807 一次电源开关验收 PAGEREF _Toc40387807 h 4 HYPERLINK l _Toc40387808 1.1.2电源冗余备份验收 PAGEREF _Toc40387808 h 4 HYPERLINK l _T

4、oc40387809 电源冗余功能验收 PAGEREF _Toc40387809 h 4 HYPERLINK l _Toc40387810 1.1.3操作终端登录验收 PAGEREF _Toc40387810 h 5 HYPERLINK l _Toc40387811 SSH登录功能验收 PAGEREF _Toc40387811 h 5 HYPERLINK l _Toc40387812 1.1.4显示系统信息功能验收 PAGEREF _Toc40387812 h 6 HYPERLINK l _Toc40387813 显示操作日志功能验收 PAGEREF _Toc40387813 h 6 HYPE

5、RLINK l _Toc40387814 显示告警信息功能验收 PAGEREF _Toc40387814 h 6 HYPERLINK l _Toc40387815 1.2USG9500安全功能验收 PAGEREF _Toc40387815 h 7 HYPERLINK l _Toc40387816 1.2.1ACL包过滤功能验收 PAGEREF _Toc40387816 h 7 HYPERLINK l _Toc40387817 域间包过滤功能验收 PAGEREF _Toc40387817 h 7 HYPERLINK l _Toc40387818 1.2.2NAT功能验收 PAGEREF _Toc

6、40387818 h 8 HYPERLINK l _Toc40387819 域间出方向NAT功能验收 PAGEREF _Toc40387819 h 8 HYPERLINK l _Toc40387820 内部服务器功能验收 PAGEREF _Toc40387820 h 9 HYPERLINK l _Toc40387821 1.2.3长连接功能验收 PAGEREF _Toc40387821 h 11 HYPERLINK l _Toc40387822 长连接功能验收 PAGEREF _Toc40387822 h 11 HYPERLINK l _Toc40387823 1.2.4双机热备功能验收 PA

7、GEREF _Toc40387823 h 12 HYPERLINK l _Toc40387824 路由模式下双机热备验收 PAGEREF _Toc40387824 h 12 HYPERLINK l _Toc40387825 1.2.5虚拟系统验收 PAGEREF _Toc40387825 h 14 HYPERLINK l _Toc40387826 虚拟系统功能验收 PAGEREF _Toc40387826 h 14操作指引系统功能验收系统上电验收单板指示灯验收验收目的验证USG9500产品单板指示灯显示正常。验收连接图编号无预置条件USG9500的电源、各单板及机箱连接正确，单板扳手都合上。测

8、试过程打开电源。预期结果指示灯为绿灯并闪烁，表示正常。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字风扇运转验收验收目的验证USG9500产品的风扇运转正常。验收连接图编号无预置条件USG9500的电源、各单板及机箱连接正确，风扇框安装正常。测试过程打开电源。查看告警单元的风扇运行指示灯。预期结果风扇运行指示灯为绿灯，表示运转正常。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字一次电源开关验收验收目的验证USG9500产品的一次电源开关正常。验收连接图编号无预置条件USG9500的电源、各单板及机箱连接正确。测试过程打开电源。预期结果一次电源开关正常，系统能

9、够正常上电。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字电源冗余备份验收电源冗余功能验收验收目的测试USG9500的电源冗余备份功能验收连接图编号预置条件根据验收连接图搭建测试环境。USG9500上配置双电源。测试过程将USG9500的两个电源开关都打开，启动USG9500。在USG9500正常运行过程中，关闭其中一个电源，可看到下面的预期结果。预期结果关闭其中一个电源后，USG9500仍能正常运行。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字操作终端登录验收SSH登录功能验收验收目的验证USG9500产品的SSH功能正常。验收连接图编号无预置条件通过交

10、换机正确连接USG9500的GE接口和PC。通过超级终端正确配置GE接口的IP地址。配置各PC的IP地址，使各PC能够正常Ping通USG9500上各个相应接口的IP地址。测试过程在USG9500上正确配置SSH参数。USG9500 aaaUSG9500-aaalocal-user test password Please cofigure the login password(8-16) Enter Password:Huawei123 Confirm Password:Huawei123 Submit password successfully. USG9500-aaa local-use

11、r test service-type sshUSG9500-aaa local-user test level 3USG9500-aaa quitUSG9500 user-interface vty 0 4USG9500-ui-vty0-4 authentication-mode aaaUSG9500-ui-vty0-4 protocol inbound sshUSG9500-ui-vty0-4 quitUSG9500 ssh user testUSG9500 ssh user test authentication-type passwordUSG9500 rsa local-key-pa

12、ir createPC上启动SSH登录客户端程序，从USG9500接口板上的GE接口登录USG9500，执行配置命令，可以看到下面的预期结果。预期结果SSH命令均执行成功，可以配置USG9500。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字显示系统信息功能验收显示操作日志功能验收验收目的验证USG9500显示操作日志功能。验收连接图编号无预置条件正确连接USG9500的Console口和终端PC。测试过程在用户视图下输入cd cfcard2: 命令。 cd cfcard2:输入dir命令，显示硬盘目录。 dir进入logfile文件。 cd log/显示logfile文件里

13、的内容。 dir显示操作日志文件内容。 more log.log预期结果步骤5执行成功后，显示选定的操作日志信息。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字显示告警信息功能验收验收目的验证USG9500显示告警信息功能。验收连接图编号无预置条件正确连接USG9500的Console口和终端PC。测试过程在用户视图下输入display alarm all命令。 display alarm all预期结果显示告警信息。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字USG9500安全功能验收ACL包过滤功能验收域间包过滤功能验收验收目的测试域间包过滤功能是否正

14、常验收连接图编号预置条件USG9500与PC机连接正确。USG9500千兆以太网口正常工作。测试过程根据验收连接图搭建测试环境，配置USG9500。USG9500 firewall packet-filter default deny allUSG9500 interface GigabitEthernet1/0/0USG9500-GigabitEthernet1/0/0 ip address USG9500 interface GigabitEthernet1/0/1USG9500-GigabitEthernet1/0/1 ip address USG9500-GigabitEthernet

15、1/0/1 quit设置PC2的IP地址为00，设置PC1的IP地址为00。分别把GE1/0/0和GE1/0/1加到trust和新建test域。USG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEthernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone name testUSG9500-zone-test set priority 30USG9500-zone-test add interface GigabitEthernet 1/0/1USG9500

16、-zone-test quitUSG9500policy interzone trust test inboundUSG9500 -policy-interzone-trust-test-inboundpolicy 0USG9500-policy-interzone-trust-test-inbound-0policy source 00 55USG9500-policy-interzone-trust-test-inbound-0action permitUSG9500acl accelerate enable在PC2上执行ping 00，可以看到结果1。接着步骤2在USG9500配置以下命

17、令。USG9500-policy-interzone-trust-test-inboundundo policy 0USG9500acl accelerate enable在PC2上执行ping 00，可以看到结果2。预期结果可以ping通。不能ping通。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字NAT功能验收域间出方向NAT功能验收验收目的测试USG9500的域间出方向NAT功能验收连接图编号预置条件根据网络拓扑图搭建测试环境。正确配置两台PC的IP地址，且PC1和PC2之间路由可达。PC2上安装并启动FTP服务器应用程序。测试过程配置USG9500接口，并将其加入安

18、全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-GigabitEthernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEth

19、ernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置NAT地址池。USG9500nat address-group 0 USG9500-address-group-0section 0 0配置域间包过滤策略、ASPF及出方向NAT策略。USG9500policy interzone trust untrust outboundUSG9500-policy-i

20、nterzone-trust-untrust-outboundpolicy 0USG9500-policy-interzone-trust-untrust-outbound-0action permitUSG9500-policy-interzone-trust-untrust-outbound-0quitUSG9500-policy-interzone-trust-untrust-outboundquitUSG9500firewall interzone trust untrustUSG9500-interzone-trust-untrustdetect ftpUSG9500-interzo

21、ne-trust-untrustquitUSG9500nat-policy interzone trust untrust outboundUSG9500-nat-policy-interzone-trust-untrust-outboundpolicy 0USG9500-nat-policy-interzone-trust-untrust-outbound-0 policy source 55USG9500-nat-policy-interzone-trust-untrust-outbound-0action source-natUSG9500-nat-policy-interzone-tr

22、ust-untrust-outbound-0address-group 0USG9500-nat-policy-interzone-trust-untrust-outbound-0quitUSG9500-nat-policy-interzone-trust-untrust-outboundquit USG9500acl accelerate enablePC1通过FTP访问PC2，同时查看USG9500会话表，可看到预期结果。预期结果PC1通过FTP访问PC2成功，查看USG9500会话表Session已做地址转换。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字内部服务器功能

23、验收验收目的测试USG9500的内部服务器Nat Server功能验收连接图编号预置条件根据网络拓扑图搭建测试环境。正确配置两台PC的IP地址，且PC1和PC2之间路由可达。PC1上安装并启动FTP服务器应用程序。测试过程配置USG9500接口，并将其加入安全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-Gigabit

24、Ethernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEthernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置NAT地址池和NAT Server。USG9500

25、nat address-group 0 USG9500-address-group-0section 0 0USG9500 nat server global 9 inside 00配置域间包过滤策略、ASPF及出方向NAT 策略。USG9500policy interzone trust untrust inboundUSG9500-policy-interzone-trust-untrust-inboundpolicy 0USG9500-policy-interzone-trust-untrust-inbound-0action permitUSG9500-policy-interzone

26、-trust-untrust-inbound-0quitUSG9500-policy-interzone-trust-untrust-inboundquitUSG9500firewall interzone trust untrustUSG9500-interzone-trust-untrustdetect ftpUSG9500-interzone-trust-untrustquitUSG9500nat-policy interzone trust untrust outboundUSG9500-nat-policy-interzone-trust-untrust-outboundpolicy

27、 0USG9500-nat-policy-interzone-trust-untrust-outbound-0 policy source 55USG9500-nat-policy-interzone-trust-untrust-outbound-0action source-natUSG9500-nat-policy-interzone-trust-untrust-outbound-0address-group 0USG9500-nat-policy-interzone-trust-untrust-outbound-0quitUSG9500-nat-policy-interzone-trus

28、t-untrust-outboundquit USG9500acl accelerate enablePC2通过FTP访问9，同时查看USG9500会话表，可看到预期结果。预期结果PC2通过FTP访问9成功，可以进行正常数据传输，查看USG9500会话表Session已做地址转换。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字长连接功能验收长连接功能验收验收目的测试USG9500长连接功能验收连接图编号预置条件根据网络拓扑图搭建测试环境。正确配置两台PC的IP地址，且PC1和PC2之间路由可达。PC2上安装并启动FTP服务器应用程序。测试过程配置USG9500接口，并将其加入

29、安全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-GigabitEthernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEt

30、hernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置ACL过滤规则。USG9500 acl number 3000USG9500-acl-adv-3000 rule 0 permit tcp source 55USG9500-acl-adv-3000 quitUSG9500acl accelerate enable配置域间包过滤、ASPF和长连接。USG9

31、500 firewall interzone trust untrustUSG9500-interzone-trust-untrust packet-filter 3000 outboundUSG9500-interzone-trust-untrust detect ftpUSG9500-interzone-trust-untrust firewall long-link 3000 outboundUSG9500-interzone-trust-untrust quit配置长连接老化时间。USG9500firewall long-link agingtime 100PC1通过FTP访问PC2，

32、同时查看USG9500会话表项，可看到结果1。预期结果PC1通过FTP访问PC2成功，可以进行正常数据传输。查看USG9500会话表项，有长连接标志，同时会话的ttl显示为所设置的老化时间。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字双机热备功能验收路由模式下双机热备验收验收目的测试路由模式USG9500的双机热备功能验收连接图编号预置条件根据网络拓扑图搭建测试环境。正确配置PC的IP地址和默认网关。Server1和Server2上安装并启动FTP服务器应用程序。测试过程配置USG9500_A的HRP功能。USG9500_A interface GigabitEtherne

33、t1/0/0USG9500_A-GigabitEthernet1/0/0 ip address USG9500_A-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 0 masterUSG9500_A-GigabitEthernet1/0/0 quitUSG9500_A interface GigabitEthernet1/0/1USG9500_A-GigabitEthernet1/0/1 ip address USG9500_A-GigabitEthernet1/0/1 vrrp vrid 2 virtual-ip 0 masterUSG9500_A-G

34、igabitEthernet1/0/1 quitUSG9500_A interface GigabitEthernet 2/0/0USG9500_A-GigabitEthernet2/0/0 ip address USG9500_A-GigabitEthernet2/0/0 quitUSG9500_A hrp interface GigabitEthernet 2/0/0 remote USG9500_A hrp enable配置USG9500_B的HRP功能。USG9500_B interface GigabitEthernet 1/0/0USG9500_B-GigabitEthernet1

35、/0/0 ip address USG9500_B-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 0 slaveUSG9500_B-GigabitEthernet1/0/0 quitUSG9500_B int erface GigabitEthernet 1/0/1USG9500_B-GigabitEthernet1/0/1 ip address USG9500_B-GigabitEthernet1/0/1 vrrp vrid 2 virtual-ip 0 slaveUSG9500_B-GigabitEthernet1/0/1 quitUSG9500_

36、B interface GigabitEthernet 2/0/0USG9500_B-GigabitEthernet2/0/0 ip address USG9500_B-GigabitEthernet2/0/0 quitUSG9500_B hrp interface GigabitEthernet 2/0/0 remote USG9500_B hrp enable将USG9500的接口加入安全域。HRP_MUSG9500_A firewall zone trustHRP_MUSG9500_A-zone-trust add interface GigabitEthernet 1/0/0HRP_M

37、USG9500_A-zone-trust add interface GigabitEthernet 2/0/0HRP_MUSG9500_A-zone-trust quitHRP_MUSG9500_A firewall zone untrustHRP_MUSG9500_A-zone-untrust add interface GigabitEthernet 1/0/1HRP_MUSG9500_A-zone-untrust quit配置域间策略。HRP_MUSG9500_A policy interzone untrust trust outboundHRP_MUSG9500_A-policy-

38、interzone-trust-untrust-outboundpolicy 1 HRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1policy service service-set tcpHRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1action permitHRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1qHRP_MUSG9500_A-policy-interzone-trust-untrust-o

39、utboundq配置ASPF，可以看到结果1。HRP_MUSG9500_A firewall interzone trust untrust HRP_MUSG9500_A-interzone-trust-untrust detect ftpHRP_MUSG9500_A-interzone-trust-untrust quitPC1通过FTP访问Server1，断开主设备USG9500_A与Switch2之间的连接（模拟失效环境）。可以看到结果2。恢复步骤6中USG9500_A与Switch2之间的连接。可以看到结果3。直接将主设备USG9500_A断电（模拟失效环境），观察USG9500上的状

40、态切换结果(Master/Slave)及PC1与Server1之间的FTP数据传输业务。 可以看到结果4。预期结果查看备设备USG9500_B当前域间配置与主设备USG9500_A同步。备设备USG9500_B(处于Slave状态)迅速切换为主设备（处于Master状态），而USG9500_A切换为备设备（处于Slave状态）。PC1与Server1之间的FTP数据传输业务正常（未中断）。USG9500_A重新切换为主设备（处于Master状态），USG9500_B切换为备设备（处于Slave状态）。PC1与Server1之间的FTP数据传输业务正常（未中断）。备设备USG9500_B(处于S

41、lave状态)迅速切换为主设备（处于Master状态），而USG9500_A切换为备设备（处于Slave状态）。PC1与Server1之间的FTP数据传输业务正常（未中断）。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字虚拟系统验收虚拟系统功能验收验收目的测试虚拟系统功能验收连接图编号预置条件根据网络拓扑图搭建测试环境。正确配置两台PC的IP地址及网关。PC2和PC4上安装并启动FTP服务器应用程序。测试过程配置虚拟系统vpn1，并分配接口和资源。USG9500resource-class r1USG9500-resource-class-r1resource-item-li

42、mit policy reser ved-number 10USG9500-resource-class-r1resource-item-limit session reser ved-number 100 maximum 1000USG9500vsys vpn1USG9500-vsys-vpn1assign interface GigabitEthernet 1/0/0USG9500-vsys-vpn1assign interface GigabitEthernet 1/0/1USG9500-vsys-vpn1assign resource-class r1USG9500-vsys-vpn1

43、quit配置USG9500接口，并将其加入对应虚拟系统安全域，配置虚拟系统域间安全策略策略、ASPF。配置方式1：通过根对虚拟系统进行配置USG9500switch vsys vpn1system-viewUSG9500-vpn1 interface GigabitEthernet 1/0/0USG9500-vpn1-GigabitEthernet1/0/0ip address 24USG9500-vpn1-GigabitEthernet1/0/0quitUSG9500-vpn1 interface GigabitEthernet 1/0/1USG9500-vpn1-GigabitEthern

44、et1/0/1ip address 8USG9500-vpn1-GigabitEthernet1/0/1quitUSG9500-vpn1firewall zone trustUSG9500-vpn1-zone-trustadd interface GigabitEthernet 1/0/0USG9500-vpn1-zone-trustquitUSG9500-vpn1firewall zone untrustUSG9500-vpn1-zone-untrust add interface GigabitEthernet 1/0/1USG9500-vpn1-zone-untrustquitUSG95

45、00-vpn1policy interzone trust untrust outboundUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outboundpolicy 0USG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0policy source 55USG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0policy service service-set tcpUSG9500-vpn1-policy-inter

46、zone-trust-untrust-vpn1-outbound-0action permitUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0quitUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outboundquitUSG9500-vpn1firewall interzone trust untrustUSG9500-vpn1-interzone-trust-untrustdetect ftpUSG9500-vpn1-interzone-trust-untrustquitUSG9500-vpn1acl accelerate enableUSG9500-vpn1quit quit 配置虚拟系统vpn2，并分配接口和资源。USG9500resource-class r2USG9500-resource-class-r2resource-item-limit policy reser ved-number 10USG9500-resource-class-r2resource-item-limit session reser ved-number 100 maximum 1000USG9500vsys vpn2US