SRX防火墙产品测试内容

1、目录TOC o 1-3 h z u HYPERLINK l _Toc240817760 1SRX防火墙产品测试内容 PAGEREF _Toc240817760 h 4 HYPERLINK l _Toc240817761 1.1设备清单及版本 PAGEREF _Toc240817761 h 4 HYPERLINK l _Toc240817762 1.2SSRX功功能测试试 PAGEREF _Toc240817762 h 4 HYPERLINK l _Toc240817763 1.3设设备可管管理测试试 PAGEREF _Toc240817763 h 6 HYPERLINK l _Toc24081

2、7764 1.3.1测试试内容 PAGEREF _Toc240817764 h 66 HYPERLINK l _Toc240817765 1.3.2测试试拓扑图图 PAGEREF _Toc240817765 h 6 HYPERLINK l _Toc240817766 1.3.3设备备配置 PAGEREF _Toc240817766 h 66 HYPERLINK l _Toc240817767 1.3.4测试试表格 PAGEREF _Toc240817767 h 77 HYPERLINK l _Toc240817768 1.4路路由模式式测试 PAGEREF _Toc240817768 h 99

3、 HYPERLINK l _Toc240817769 1.4.1测试内内容 PAGEREF _Toc240817769 h 9 HYPERLINK l _Toc240817770 1.4.2测试试拓扑图图 PAGEREF _Toc240817770 h 9 HYPERLINK l _Toc240817771 1.4.3设备备配置 PAGEREF _Toc240817771 h 99 HYPERLINK l _Toc240817772 1.4.4测试试表格 PAGEREF _Toc240817772 h 110 HYPERLINK l _Toc240817773 1.5策策略测试试 PAGERE

4、F _Toc240817773 h 13 HYPERLINK l _Toc240817774 1.5.1测试试内容 PAGEREF _Toc240817774 h 113 HYPERLINK l _Toc240817775 1.5.2测试试拓扑图图 PAGEREF _Toc240817775 h 13 HYPERLINK l _Toc240817776 1.5.3设备备配置 PAGEREF _Toc240817776 h 114 HYPERLINK l _Toc240817777 1.5.4测试试表格 PAGEREF _Toc240817777 h 115 HYPERLINK l _Toc24

5、0817778 1.6静静态NAAT测试试 PAGEREF _Toc240817778 h 17 HYPERLINK l _Toc240817779 1.6.1测试试内容 PAGEREF _Toc240817779 h 117 HYPERLINK l _Toc240817780 1.6.2测试试拓扑图图 PAGEREF _Toc240817780 h 17 HYPERLINK l _Toc240817781 1.6.3设备备配置 PAGEREF _Toc240817781 h 117 HYPERLINK l _Toc240817782 1.6.4测试试表格 PAGEREF _Toc240817

6、782 h 119 HYPERLINK l _Toc240817783 1.7基基于ruule的的目的NNAT测测试 PAGEREF _Toc240817783 h 233 HYPERLINK l _Toc240817784 1.7.1测试试内容 PAGEREF _Toc240817784 h 223 HYPERLINK l _Toc240817785 1.7.2测试试拓扑图图 PAGEREF _Toc240817785 h 23 HYPERLINK l _Toc240817786 1.7.3设备备配置 PAGEREF _Toc240817786 h 223 HYPERLINK l _Toc2

7、40817787 1.7.4测试试表格 PAGEREF _Toc240817787 h 225 HYPERLINK l _Toc240817788 1.8基基于接口口的源NNAT测测试 PAGEREF _Toc240817788 h 288 HYPERLINK l _Toc240817789 1.8.1测试试内容 PAGEREF _Toc240817789 h 228 HYPERLINK l _Toc240817790 1.8.2测试试拓扑图图 PAGEREF _Toc240817790 h 28 HYPERLINK l _Toc240817791 1.8.3设备备配置 PAGEREF _To

8、c240817791 h 228 HYPERLINK l _Toc240817792 1.8.4测试试表格 PAGEREF _Toc240817792 h 229 HYPERLINK l _Toc240817793 1.9基基于Ruule的的源NAAT测试试-1 PAGEREF _Toc240817793 h 311 HYPERLINK l _Toc240817794 1.9.1测试试内容 PAGEREF _Toc240817794 h 331 HYPERLINK l _Toc240817795 1.9.2测试试拓扑图图 PAGEREF _Toc240817795 h 31 HYPERLINK

9、 l _Toc240817796 1.9.3设备备配置 PAGEREF _Toc240817796 h 331 HYPERLINK l _Toc240817797 1.9.4测试试表格 PAGEREF _Toc240817797 h 332 HYPERLINK l _Toc240817798 1.100基于Ruule的的源NAAT测试试-2 PAGEREF _Toc240817798 h 355 HYPERLINK l _Toc240817799 1.100.1测测试内容容 PAGEREF _Toc240817799 h 35 HYPERLINK l _Toc240817800 1.100.2

10、测测试拓扑扑图 PAGEREF _Toc240817800 h 355 HYPERLINK l _Toc240817801 1.100.3设设备配置置 PAGEREF _Toc240817801 h 35 HYPERLINK l _Toc240817802 1.100.4测测试表格格 PAGEREF _Toc240817802 h 36 HYPERLINK l _Toc240817803 1.111HA工作作方式测测试 PAGEREF _Toc240817803 h 399 HYPERLINK l _Toc240817804 1.111.1测测试内容容 PAGEREF _Toc24081780

11、4 h 39 HYPERLINK l _Toc240817805 1.111.2测测试拓扑扑图 PAGEREF _Toc240817805 h 400 HYPERLINK l _Toc240817806 1.111.3设设备配置置 PAGEREF _Toc240817806 h 40 HYPERLINK l _Toc240817807 1.111.4测测试表格格 PAGEREF _Toc240817807 h 42 HYPERLINK l _Toc240817808 1.122基于策策略的长长连接测测试 PAGEREF _Toc240817808 h 444 HYPERLINK l _Toc2

12、40817809 1.122.1测测试内容容 PAGEREF _Toc240817809 h 44 HYPERLINK l _Toc240817810 1.122.2测测试拓扑扑图 PAGEREF _Toc240817810 h 455 HYPERLINK l _Toc240817811 1.122.3设设备配置置 PAGEREF _Toc240817811 h 45 HYPERLINK l _Toc240817812 1.122.4测测试表格格 PAGEREF _Toc240817812 h 46 HYPERLINK l _Toc240817813 1.133SRXX防火墙墙性能测测试 PA

13、GEREF _Toc240817813 h 499 HYPERLINK l _Toc240817814 1.133.1测测试拓扑扑图 PAGEREF _Toc240817814 h 499 HYPERLINK l _Toc240817815 1.133.2普普通数据据量压力力测试 PAGEREF _Toc240817815 h 449 HYPERLINK l _Toc240817816 1.133.3大大数据量量压力测测试 PAGEREF _Toc240817816 h 499 HYPERLINK l _Toc240817817 1.133.4长长连接下下的普通通数据量量压力测测试 PAGER

14、EF _Toc240817817 h 500 HYPERLINK l _Toc240817818 1.133.5设设备配置置 PAGEREF _Toc240817818 h 50 HYPERLINK l _Toc240817819 1.133.6测测试表格格 PAGEREF _Toc240817819 h 51 HYPERLINK l _Toc240817820 1.144SRXX防火墙墙网管测测试 PAGEREF _Toc240817820 h 544 HYPERLINK l _Toc240817821 1.144.1SSNMPP管理测测试 PAGEREF _Toc240817821 h 5

15、44 HYPERLINK l _Toc240817822 1.144.2NNTP测测试 PAGEREF _Toc240817822 h 577 HYPERLINK l _Toc240817823 1.144.3SSysllog测测试 PAGEREF _Toc240817823 h 600 HYPERLINK l _Toc240817824 1.155SRXX防火墙墙VPNN测试 PAGEREF _Toc240817824 h 633 HYPERLINK l _Toc240817825 1.155.1IIpseec VVPN remmotee clliennt测试试 PAGEREF _Toc24

16、0817825 h 63 HYPERLINK l _Toc240817826 1.155.2IIpseec VVPN 点对点点Pollicyy baase VPNN连接测测试 PAGEREF _Toc240817826 h 644 HYPERLINK l _Toc240817827 1.155.3IIpseec VVPN 点对点点rouute basse VVPN连连接测试试 PAGEREF _Toc240817827 h 73 HYPERLINK l _Toc240817828 1.166OSPPF路由由协议功功能测试试 PAGEREF _Toc240817828 h 81 HYPERLIN

17、K l _Toc240817829 1.166.1测测试内容容 PAGEREF _Toc240817829 h 81 HYPERLINK l _Toc240817830 1.166.2测测试拓扑扑图 PAGEREF _Toc240817830 h 811 HYPERLINK l _Toc240817831 1.166.3设设备配置置 PAGEREF _Toc240817831 h 82 HYPERLINK l _Toc240817832 1.166.4测测试表格格 PAGEREF _Toc240817832 h 82 HYPERLINK l _Toc240817833 1.177VRRRP协议

18、议功能测测试 PAGEREF _Toc240817833 h 866 HYPERLINK l _Toc240817834 1.177.1测测试内容容 PAGEREF _Toc240817834 h 86 HYPERLINK l _Toc240817835 1.177.2测测试拓扑扑图 PAGEREF _Toc240817835 h 866 HYPERLINK l _Toc240817836 1.177.3设设备配置置 PAGEREF _Toc240817836 h 87 HYPERLINK l _Toc240817837 1.177.4测测试表格格 PAGEREF _Toc240817837

19、h 88 HYPERLINK l _Toc240817838 1.188DHCCP功能能测试 PAGEREF _Toc240817838 h 990 HYPERLINK l _Toc240817839 1.188.1测测试内容容 PAGEREF _Toc240817839 h 90 HYPERLINK l _Toc240817840 1.188.2测测试拓扑扑图 PAGEREF _Toc240817840 h 900 HYPERLINK l _Toc240817841 1.188.3设设备配置置 PAGEREF _Toc240817841 h 91 HYPERLINK l _Toc240817

20、842 1.188.4测测试表格格 PAGEREF _Toc240817842 h 91SRX防防火墙产产品测试试内容设备清单单及版本本设备清单单设备版本本文档版本本备注SRX 2400H 两两台9.6 R1V1.00测试PCC 两台台XP SSP2测试软件件：NeetIQQ5.4TFTPP Seerveer/cclieentTFTPPD 332Web Serrverr Easyy Weeb SServverftp serrverrFileeZilllaSServverSysllog serrverrTFTPPD 332SRX功功能测试试SRX防防火墙的的功能测测试包括括以下几几个方面面：路由

21、模式式策略（IICMPP、TCCP、UUDP）基于策略略的长连连接HA工作作方式主备切换换Sesssionn同步网管功能能测试SNMPP测试NTP测测试Sysllog测测试VPN功功能测试试Ipseec VVPN remmotee clliennt测试试Ipseec VVPN点点对点测测试路由功能能测试OSPFF功能测测试设备可管管理测试试测试内容容设备可管管理测试试是测试试防火墙墙能否支支持常用用的管理理协议，包括ttelnnet、sshh、htttp和和htttps；基本的的测试方方法为在在防火墙墙配置相相应的管管理服务务及管理理用户，并在相相应的接接口或zzonee上配置置是否可可以接受

22、受管理，通过PPC分别别用teelneet、sssh、htttp和hhttpps方式式登录防防火墙，从而验验证防火火墙的可可管理功功能。测试拓扑扑图设备配置置配置管理理用户：set sysstemm looginn usser labb uiid 220000set sysstemm looginn usser labb cllasss suuperr-usserset sysstemm looginn usser labb auutheentiicattionn pllainn-teext-passswoord配置系统统管理服服务：（sshh、teelneet、hhttpp、htttpss）

23、set sysstemm seerviicess ssshset sysstemm seerviicess teelneetset sysstemm seerviicess weeb-mmanaagemmentt htttp intterffacee gee-0/0/00.0（可以进进行的管管理接口口）set sysstemm seerviicess weeb-mmanaagemmentt htttp intterffacee alllset sysstemm seerviicess weeb-mmanaagemmentt htttpss syysteem-ggeneeratted-cerrt

24、ifficaateset sysstemm seerviicess weeb-mmanaagemmentt htttpss innterrfacce aall配置接口口地址set intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224配置zoone或或接口是是否可以以管理防防火墙设设备：A、配置置zonne ttrusst可以以管理防防火墙：set seccuriity zo

25、nnes seccuriity-zonne ttrussthoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0B、配置置zonne uuntrrustt可以管管理防火火墙，但其中中的gee-0/0/88.0只只能用ttelnnet和和htttp管理理，其他的的不允许许：set seccuriity zonnes seccuriity-zonne uuntrrustthosst-iinbooundd

26、-trrafffic sysstemm-seerviicess alllset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess htttpssset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0 hosst-iinbooundd-trrafffic sysstemm-seerviicess sssh测试表格格

27、测试号Testt-1设备名称称Juniiperr SRRX防火火墙：SSRX2240HH-1设备软件件版本9.6RR1测试项目目设备可管管理测试试测试目的的验证设备备可管理理功能测试配置置见本节的的设备配配置部分分测试步骤骤：按配置步步骤进行行配置配置2台台测试PPC在防防火墙两两端，分分别配置置地址为为：/224和/224在PC：5上分别别用sssh、ttelnnet、htttp、hhttpps方式式登录防防火墙的的接口地地址：，并以用用户laab登录录，如正正常则表表示防火火墙的可可管理功功能正常常在PC：1.11.700.7上分别

28、别用sssh、ttelnnet、htttp、hhttpps方式式登录防防火墙的的接口地地址：，并并以用户户labb登录，由于该该接口在在unttrusst zzonee，并且且该接口口只允许许sshh及htttpss管理，所以该该用户只只能已ttelnnet和和htttp来管管理设备备，用ttelnnet和和htttp则不不允许访访问防火火墙。检查命令令：检查当前前的登录录用户：labSRXX2400H-11 sshoww syysteem uuserrs 11:550AMM uup 22 daays, 233 miins, 2 useers, looad aveeragge

29、s: 4.19, 3.75, 3.52USERR TTTY FFROMM LLOGIIN IDDLE WHAATlab pp0 110:440AMM 11:044 -ccli (clli) lab pp1 111:445AMM - -ccli (clli) lab jjwebb2 111:447AMM 22lab jjwebb1 111:550AMM -预期结果果：PC：上上分别用用sshh、teelneet、hhttpp、htttpss方式并并以laab用户户能正常常登录防防火墙的的接口地地址：，并正常常进行配配置管理理在PC：1.11.700.7上只能能用sssh、hhttpps方式式并以

30、llab用用户正常常登录防防火墙的的接口地地址：，并并正常进进行配置置管理；其他的的tellnett和htttp方方式则不不允许。测试结果果：测试结果果： 通过 ( ) 失败 ( )测试通过过：(签字)测试失败败：(签字)失败原因因：注释：路由模式式测试测试内容容路由模式式测试是是测试防防火墙是是否支持持路由功功能，基基本的测测试方法法是在防防火墙的的内外网网口分别别连接网网络PCC，并按按拓扑图图，对防防火墙进进行相应应的配置置，包括括IP地地址，路路由，策策略，及及其他相相关配置置。通过过两台PPC分别别Pinng及hhttpp访问对对方，从从而验证证防火墙墙的路由由功能

31、。测试拓扑扑图设备配置置配置接口口地址set intterffacees gge-00/0/0 uunitt 0 desscriiptiion to-LANN-trrusttset intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 unnit 0 ddesccripptioon tto-WWAN-untrrusttset intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224

32、配置zoone及及将接口口加到zzonee中，将将ge-0/00/0.0分配配至trrustt zzonee，将gge-00/0/8.00分配至至unttrusst zonneset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes s

33、eccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc prrotoocolls aallset seccuriity zonnes seccuriity-zonne uuntrrustt inn

34、terrfacces ge-0/00/8.03、配置置策略，允许ttrusst和uuntrrustt之间互互相通信信，并且且打开llog记记录set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch souurcee-adddreess anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch de

35、sstinnatiion-adddresss aanyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit mattch apppliccatiion anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ppermmit theen ppermmitset seccuriity polliciies froom-zzonee trru

36、stt too-zoone unttrusst ppoliicy deffaullt-ppermmit theen llog sesssioon-iinittset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mattch souurcee-adddreess anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mat

37、tch desstinnatiion-adddresss aanyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit mattch apppliccatiion anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit theen ppermmitset seccuriity polliciies froom-zzonee

38、unntruust to-zonne ttrusst ppoliicy deffaullt-ppermmit theen llog sesssioon-iinitt测试表格格测试号Testt-2设备名称称Juniiperr SRRX防火火墙：SSRX2240HH-1设备软件件版本9.6RR1测试项目目设备可路路由测试试测试目的的验证设备备可路由由传输功功能测试配置置见本节的的设备配配置部分分测试步骤骤：按配置步步骤进行行配置配置2台台测试PPC在防防火墙两两端，分分别配置置地址为为：/224和/224在PC：5上分别别pinng及用用h

39、tttp访问问1.11.700.7，并且在在1.11.700.7的的webb seerveer查看看访问的的源地址址是否为为：，如如正常则则表示ttrusst zzonee的pcc能通过过路由正正常访问问另一个个unttrusst zzonee。在PC：1.11.700.7上上分别ppingg及用hhttpp访问，并且在在5的weeb sservver查查看访问问的源地地址是否否为：，如正常常则表示示unttrusst zzonee的pcc能通过过路由正正常访问问另一个个truust zonne。检查命令令：查看seessiion连连接

40、及llog信信息：labSRXX2400H-11 sshoww seecurrityy fllow sesssioonlabSRXX2400H-11 sshoww loog rrtloogd在webb seerveer查看看客户端端的源IIP地址址是否为为对端的的PC IP地地址：预期结果果：PC：上上分别用用pinng及用用htttp访问问1.11.700.7，能正常常访问，并且在在1.11.700.7的的webb seerveer查看看访问的的源地址址为：PC：上分分别用ppingg及用hhttpp访问，能正常常访问，并且在在5的weeb sservv

41、er查查看访问问的源地地址为：1.11.700.7测试结果果：测试结果果： 通过 ( ) 失败 ( )测试通过过：(签字)测试失败败：(签字)失败原因因：注释：策略测试试测试内容容策略测试试是测试试防火墙墙支持基基于ICCMP协协议、TTCP端端口号和和UDPP端口号号等信息息进行策策略配置置，并针针对每一一条策略略进行不不同的操操作（允允许、拒拒绝等）。基本本的测试试方法是是在防火火墙的内内外网口口分别连连接网络络PC，并并按拓扑扑图，对对防火墙墙进行相相应的配配置，包包括IPP地址，路由，策略，及其他他相关配配置，其其中策略略至少包包括三种种策略，基于IICMPP，基于于TCPP端口号号和

42、基于于UDPP端口号号。通过过网络PPC的业业务模拟拟功能进进行测试试。推荐的测测试策略略：ICMPPHTTPP（TCCP）TFTPP（UDDP）测试拓扑扑图设备配置置配置接口口地址set intterffacees gge-00/0/0 uunitt 0 desscriiptiion to-LANN-trrusttset intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 unnit 0 ddesccripptioon tto-WWAN-untrrusttset

43、intterffacees gge-00/0/8 uunitt 0 fammilyy innet adddresss /224配置zoone及及将接口口加到zzonee中，将将ge-0/00/0.0分配配至trrustt zzonee，将gge-00/0/8.00分配至至unttrusst zonneset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccuriity zonnes seccuriity-zonne ttr

44、usst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttrafffic

45、c prrotoocolls aallset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces ge-0/00/8.0配置策略略，允许许truust和和unttrusst之间间互相通通信，并并且打开开logg记录A、配置置truust至至unttrusst之间间测试的的应用允允许通过过set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh soourcce-aaddrres

46、ss annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh deestiinattionn-adddreess anyyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt maatchh apppliicattionn appp-ttesttset seccuriity polliciies

47、froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen perrmittset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen logg seessiion-iniitset apppliccatiionss apppliicattionn htttp prootoccol tcppset apppliccatiionss apppliicattio

48、nn htttp desstinnatiion-porrt hhttppset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon hhttppset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon jjunoos-iicmpp-alllset apppliccatiionss apppliicattionn-seet aapp-tesst aappllicaatioon jjunoos-ttftppB、配置置truust至至unttr

49、usst之间间默认的的策略为为拒绝通通过set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh soourcce-aaddrresss annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh deestiinattionn-adddreess anyyset seccuriity polliciie

50、s froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy maatchh apppliicattionn annyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy thhen dennyset seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy deffaullt-ddenyy thhen

51、logg seessiion-iniitC、配置置unttrusst至ttrusst之间间默认的的策略为为拒绝通通过set seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh soourcce-aaddrresss annyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh deestiinattionn-ad

52、ddreess anyyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy maatchh apppliicattionn annyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst ppoliicy deffaullt-ddenyy thhen dennyset seccuriity polliciies froom-zzonee unntruust to-zonne ttrusst

53、 ppoliicy deffaullt-ddenyy thhen logg seessiion-iniitD、测试试完将第一步步的策略略修改为为从允许许通过改改为拒绝绝通过：set seccuriity polliciies froom-zzonee trrustt too-zoone unttrusst ppoliicy pollicyy-appp-ttestt thhen denny测试表格格测试号Testt-3设备名称称Juniiperr SRRX防火火墙：SSRX2240HH-1设备软件件版本9.6RR1测试项目目设备策略略测试测试目的的验证设备备的防火火墙策略略功能测试配置置见本节的

54、的设备配配置部分分测试步骤骤：按配置步步骤进行行配置配置2台台测试PPC在防防火墙两两端，分分别配置置地址为为：/224和/224在PC：5上分别别运行IICMPP（piing）、TCCP（hhttpp）、UUDP（tfttp）应应用访问问外网服服务器，如如正常则则表示ttrusst zzonee的pcc能通过过策略正正常访问问另一个个unttrusst zzonee的服务务器。将应用策策略修改改为拒绝绝，则PPC：上所所有应用用都不能能访问检查命令令：查看seessiion连连接：labSRXX2400H-11 ss

55、howw seecurrityy fllow sesssioon 检查是否否所有服服务都正正常允许许或拒绝绝在perrmitt的状况况下，所所有服务务均正常常允许访访问，而而在策略略为deeny的的情况下下，所有有服务均均拒绝访访问。检查loog信息息：labSRXX2400H-11 sshoww loog rrtloogdshoww结果及及配置文文件：预期结果果：在策略为为允许的的情况下下，PCC：上分分别用ppingg、htttp、TTFTPP访问1.1.770.77，能正正常访问问在策略为为拒绝的的情况下下，PCC：上分分别用ppingg、httt

56、p、TFTTP访问问1.11.700.7，不能访访问相应应的业务务测试结果果：测试结果果： 通过 ( ) 失败 ( )测试通过过：(签字)测试失败败：(签字)失败原因因：注释：静态NAAT测试试测试内容容基于静态态NATT功能的的要求是是：对SSRX内内网侧的的服务器器主机地地址进行行一对一一NATT映射，即对于于从SRRX外网网侧进入入内网侧侧的数据据流，对对目的地址址进行NNAT。具体的的测试需需求：在SRXX防火墙墙上对PPC11的IPP地址进行行地址转转换，转转换后的的地址为为1001。PC11作为业业务服务务器端，PC22作为业业务客户户端进行行业务测试试，包括括ICM

57、MP（ppingg）、TTCP（htttp）、UDPP（TFFTP）测试PC11作为业业务客户户端，PPC22作为业业务服务务器端进进行业务务测试，包括IICMPP（piing）、TCCP（hhttpp）、UUDP（TFTTP）测测试测试拓扑扑图PC-1InternetStatic NATPC-2TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置置1、配置置接口IIP地址址set intterffacees gge-00/0/0 uunitt 0 fammilyy innet adddresss /24set intterffacees gge-00/0/8 uunitt

58、0 fammilyy innet adddresss /2242、配置置目的静静态目的的NATTset seccuriity natt sttatiic rrulee-seet sstattic-natt-1 froom zzonee unntruustset seccuriity natt sttatiic rrulee-seet sstattic-natt-1 rulle rrulee-sttatiic-nnat-1 mmatcch ddesttinaatioon-aaddrresss 1000.00.0.1/332set seccuriity natt sttatiic

59、 rrulee-seet sstattic-natt-1 rulle rrulee-sttatiic-nnat-1 tthenn sttatiic-nnat preefixx /3323、配置置zonne及将将接口加加到zoone中中，将gge-00/0/0.00分配至至truust zoone，将gee-0/0/88.0分分配至uuntrrustt zzoneeset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces alllset seccu

60、riity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic pprottocools alllset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess gee-0/0/00.0set seccuriity zonnes seccuriity-zonne uuntrrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees aallset seccuriity zonnes seccuriity-zonne uun