SRX防火墙产品测试相关资料

目录SRX防火墙产品测试内容设备清单及版本设备清单设备版本文档版本备注SRX240H两台9.6R1V1.0测试PC两台XPSP2测试软件：NetIQ5.4TFTPServer/clientTFTPD32WebServerEasyWebServerftpserverFileZillaServerSyslogserverTFTPD32SRX功能测试SRX防火墙的功能测试包括以下几个方面：路由模式策略〔ICMP、TCP、UDP〕基于策略的长连接HA工作方式主备切换Session同步网管功能测试SNMP测试NTP测试Syslog测试VPN功能测试IpsecVPNremoteclient测试IpsecVPN点对点测试路由功能测试OSPF功能测试设备可治理测试测试内容设备可治理测试是测试防火墙能否支持常用的治理协议，包括telnet、ssh、和s；根本的测试方法为在防火墙配置相应的治理效劳及治理用户，并在相应的接口或zone上配置是否可以接受治理，通过PC分别用telnet、ssh、和s方式登录防火墙，从而验证防火墙的可治理功能。测试拓扑图设备配置配置治理用户：setsystemloginuserlabuid2000setsystemloginuserlabclasssuper-usersetsystemloginuserlabauthenticationplain-text-password配置系统治理效劳：〔ssh、telnet、、s〕setsystemservicessshsetsystemservicestelnetsetsystemservicesweb-managementinterfacege-0/0/0.0〔可以进行的治理接口〕setsystemservicesweb-managementinterfaceallsetsystemservicesweb-managementssystem-generated-certificatesetsystemservicesweb-managementsinterfaceall配置接口地址setinterfacesge-0/0/0unit0familyinetaddress.1/24配置zone或接口是否可以治理防火墙设备：A、配置zonetrust可以治理防火墙：setsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0B、配置zoneuntrust可以治理防火墙，但其中的ge-0/0/8.0只能用telnet和治理，其他的不允许：setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0host-inbound-trafficsystem-servicesssetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0host-inbound-trafficsystem-servicesssh测试表格测试号Test-1设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备可治理测试测试目的验证设备可治理功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙两端，分别配置地址为：.5/24和/24在PC：.5上分别用ssh、telnet、、s方式登录防火墙的接口地址：，并以用户lab登录，如正常那么表示防火墙的可治理功能正常在PC：上分别用ssh、telnet、、s方式登录防火墙的接口地址：，并以用户lab登录，由于该接口在untrustzone，并且该接口只允许ssh及s治理，所以该用户只能已telnet和来治理设备，用telnet和那么不允许访问防火墙。检查命令：检查当前的登录用户：lab@SRX240H-1>showsystemusers11:50AMup2days,23mins,2users,loadaverages:4.19,3.75,3.52USERTTYFROMLOGIN@IDLEWHATlabp0.510:40AM1:04-cli(cli)labp1.511:45AM--cli(cli)labjweb2.511:47AM2labjweb1.511:50AM-预期结果：PC：.5上分别用ssh、telnet、、s方式并以lab用户能正常登录防火墙的接口地址：，并正常进行配置治理在PC：上只能用ssh、s方式并以lab用户正常登录防火墙的接口地址：，并正常进行配置治理；其他的telnet和方式那么不允许。测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：路由模式测试测试内容路由模式测试是测试防火墙是否支持路由功能，根本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置。通过两台PC分别Ping及访问对方，从而验证防火墙的路由功能。测试拓扑图设备配置配置接口地址setinterfacesge-0/0/0unit0descriptionto-LAN-trustsetinterfacesge-0/0/0unit0familyinetaddress.1/24setinterfacesge-0/0/8unit0descriptionto-WAN-untrust配置zone及将接口加到zone中，将ge-0/0/0.0分配至trustzone，将ge-0/0/8.0分配至untrustzonesetsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.03、配置策略，允许trust和untrust之间互相通信，并且翻开log记录setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitmatchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-permitthenlogsession-initsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitmatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitthenpermitsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-permitthenlogsession-init测试表格测试号Test-2设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备可路由测试测试目的验证设备可路由传输功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙两端，分别配置地址为：.5/24和/24在PC：.5上分别ping及用访问，并且在的webserver查看访问的源地址是否为：，如正常那么表示trustzone的pc能通过路由正常访问另一个untrustzone。在PC：上分别ping及用访问.5，并且在的webserver查看访问的源地址是否为：，如正常那么表示untrustzone的pc能通过路由正常访问另一个trustzone。检查命令：查看session连接及log信息：lab@SRX240H-1>showsecurityflowsessionlab@SRX240H-1>showlogrtlogd在webserver查看客户端的源IP地址是否为对端的PCIP地址：预期结果：PC：.5上分别用ping及用访问，能正常访问，并且在PC：1上分别用ping及用访问.5，能正常访问，并且在的webserver查看访问的源地址为：测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：策略测试测试内容策略测试是测试防火墙支持基于ICMP协议、TCP端口号和UDP端口号等信息进行策略配置，并针对每一条策略进行不同的操作〔允许、拒绝等〕。根本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置，其中策略至少包括三种策略，基于ICMP，基于TCP端口号和基于UDP端口号。通过网络PC的业务模拟功能进行测试。推举的测试策略：ICMP〔TCP〕TFTP〔UDP〕测试拓扑图设备配置配置接口地址setinterfacesge-0/0/0unit0descriptionto-LAN-trustsetinterfacesge-0/0/0unit0familyinetaddress.1/24setinterfacesge-0/0/8unit0descriptionto-WAN-untrust配置zone及将接口加到zone中，将ge-0/0/0.0分配至trustzone，将ge-0/0/8.0分配至untrustzonesetsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.0配置策略，允许trust和untrust之间互相通信，并且翻开log记录A、配置trust至untrust之间测试的应用允许通过setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftpB、配置trust至untrust之间默认的策略为拒绝通过setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denymatchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denythendenysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicydefault-denythenlogsession-initC、配置untrust至trust之间默认的策略为拒绝通过setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denythendenysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denythenlogsession-initD、测试完将第一步的策略修改为从允许通过改为拒绝通过：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthendeny测试表格测试号Test-3设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备策略测试测试目的验证设备的防火墙策略功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙两端，分别配置地址为：在PC：.5上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问外网效劳器，如正常那么表示trustzone的pc能通过策略正常访问另一个untrustzone的效劳器。将应用策略修改为拒绝，那么PC：.5上所有应用都不能访问检查命令：查看session连接：lab@SRX240H-1>showsecurityflowsession检查是否所有效劳都正常允许或拒绝在permit的状况下，所有效劳均正常允许访问，而在策略为deny的情况下，所有效劳均拒绝访问。检查log信息：lab@SRX240H-1>showlogrtlogdshow结果及配置文件：预期结果：在策略为允许的情况下，PC：.5上分别用ping、、TFTP访问，能正常访问在策略为拒绝的情况下，PC：.5上分别用ping、、TFTP访问，不能访问相应的业务测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：静态NAT测试测试内容基于静态NAT功能的要求是：对SRX内网侧的效劳器主机地址进行一对一NAT映射，即对于从SRX外网侧进入内网侧的数据流，对目的地址进行NAT。具体的测试需求：在SRX防火墙上对PC－1的IP地址.5进行地址转换，转换后的地址为.1。PC－1作为业务效劳器端，PC－2作为业务客户端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试PC－1作为业务客户端，PC－2作为业务效劳器端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试测试拓扑图PC-1PC-1.5InternetStaticNATPC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置1、配置接口IP地址setinterfacesge-0/0/0unit0familyinetaddress.1/242、配置目的静态目的NATsetsecuritynatstaticrule-setstatic-nat-1fromzoneuntrustsetsecuritynatstaticrule-setstatic-nat-1rulerule-static-nat-1thenstatic-natprefix.5/323、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trustzone，将ge-0/0/8.0分配至untrustzonesetsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.04、配置icmp、、tftp应用允许从trust访问untrustsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftp5、配置允许untrustzone访问trustzone的效劳器.5setsecurityzonessecurity-zonetrustaddress-bookaddressstatic-nat-pc-1.5/32setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-static-natmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-static-natmatchdestination-addressstatic-nat-pc-1setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-static-natmatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-static-natthenpermitsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-static-natthenlogsession-initsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denymatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denythendenysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicydefault-denythenlogsession-init测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备静态NAT测试测试目的验证设备的防火墙静态NAT功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙两端，分别配置地址为：.5/24和/24在外网PC：1上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问NAT外网地址，如正常那么表示untrustzone的pc能通过NAT正常访问通过NAT对外提供效劳的效劳器。在内网PC：.5上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问外网效劳器地址，如正常那么表示trustzone的pc能通过NAT正常访问外网效劳器，并且在外网效劳器上能看到检查命令：A、查看session连接：lab@SRX240H-1>showsecurityflowsessionB、检查是否所有效劳都正常允许或拒绝从内网访问外网：从外网访问内网：C、检查log信息：lab@SRX240H-1>showlogrtlogdD、show结果及配置文件：预期结果：在静态NAT的情况下，内网PC：.5上分别用ping、、TFTP访问外网PC：，能正常访问，并且在在静态NAT的情况下，外网PC：上分别用ping、、TFTP访问内网PC：.5对外的NAT地址：，能正常访问，并且在测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：基于rule的目的NAT测试测试内容基于rule的目的NAT功能的要求是：对SRX内网侧的效劳器主机地址进行一对一NAT映射，即对于从SRX外网侧进入内网侧的数据流，对目的地址进行NAT；NAT地址池可以为1到多个，用于分别对应内网1到多个效劳器。具体的测试需求：在SRX防火墙上对PC-1、PC-3的IP地址进行地址转换，转换后的地址分别。PC－1、PC-3作为业务效劳器端，PC－2作为业务客户端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试PC－1、PC-3作为业务客户端，PC－2作为业务效劳器端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试测试拓扑图PC-1PC-1、3.5、6InternetDestinationNATPC-.1TrustUntrustSRX、2Ge-0/0/0Ge-0/0/8设备配置1、配置接口IP地址setinterfacesge-0/0/0unit0familyinetaddress.1/242、配置基于rule的目的NATsetsecuritynatdestinationpoolserver-5address.5/32setsecuritynatdestinationpoolserver-6address.6/32setsecuritynatdestinationrule-setdnat-1fromzoneuntrustsetsecuritynatdestinationrule-setdnat-1rulerule-dnat-1setsecuritynatdestinationrule-setdnat-1rulerule-dnat-1thendestination-natpoolserver-5setsecuritynatdestinationrule-setdnat-1rulerule-dnat-2matchdestination-address/32setsecuritynatdestinationrule-setdnat-1rulerule-dnat-2thendestination-natpoolserver-63、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trustzone，将ge-0/0/8.0分配至untrustzonesetsecurityzonessecurity-zonetrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zonetrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zonetrustinterfacesge-0/0/0.0setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicesallsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficprotocolsallsetsecurityzonessecurity-zoneuntrustinterfacesge-0/0/8.04、配置icmp、、tftp应用允许从trust访问untrustsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftp5、配置允许untrustzone访问trustzone的效劳器.5setsecurityzonessecurity-zonetrustaddress-bookaddressdnat-pc-1.5/32setsecurityzonessecurity-zonetrustaddress-bookaddressdnat-pc-2.6/32setsecurityzonessecurity-zonetrustaddress-bookaddress-setdnat-pcaddressdnat-pc-1setsecurityzonessecurity-zonetrustaddress-bookaddress-setdnat-pcaddressdnat-pc-2setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-dnatmatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-dnatmatchdestination-addressdnat-pcsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-dnatmatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-dnatthenpermitsetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicypermit-dnatthenlogsession-init测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备基于rule的目的NAT测试测试目的验证设备的防火墙基于rule的目的NAT功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙内网侧，1台测试PC在防火墙外网侧，分别配置地址为：.5、6/24和/24在外网PC：1上分别、，如正常那么表示untrustzone的pc能通过NAT正常访问通过NAT对外提供效劳的效劳器。检查命令：查看session连接：lab@SRX240H-1>showsecurityflowsession检查目的NATPool：lab@SRX240H-1>showsecuritynatdestinationpoolall检查是否所有效劳都正常允许或拒绝从外网访问内网NAT：检查log信息：lab@SRX240H-1>showlogrtlogdshow结果及配置文件：预期结果：在目的上分别用ping、、TFTP访问内网PC：.5、6、2、6测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：基于接口的源NAT测试测试内容基于接口的源NAT功能的要求是：对SRX内网侧的主机地址访问外网进行NAT转换，即对于从SRX内网侧进入外网侧的数据流，对源地址进行NAT，NAT地址为外网侧的接口IP地址。具体的测试要求为：在SRX防火墙上对PC－1的IP地址.5进行地址转换，转换后的地址为SRX的外网接口地址：。PC－1作为业务客户端，PC－2作为业务效劳器端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试检查在基于接口的源NAT的情况下，访问外网效劳器的PC-2的源地址应该为防火墙的外网接口地址。测试拓扑图PC-1PC-1.5InternetSourceNATPC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置1、配置接口IP地址setinterfacesge-0/0/0unit0familyinetaddress.1/242、配置具有外网接口的源NATsetsecuritynatsourcerule-setsnat-interface-1frominterfacege-0/0/0.0setsecuritynatsourcerule-setsnat-interface-1tozoneuntrustsetsecuritynatsourcerule-setsnat-interface-1rulerule-snat-interface-1matchdestination-address.0/0setsecuritynatsourcerule-setsnat-interface-1rulerule-snat-interface-1thensource-natinterface3、配置往外访问的策略setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftpsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-ftp测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备基于接口的源NAT测试测试目的验证设备的防火墙基于接口的源NAT功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙内、外网侧，分别配置地址为：.5/24和/24在内网PC：.5上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问外网效劳器地址，如正常那么表示检查命令：A、查看session连接：lab@SRX240H-1>showsecurityflowsessionB、检查源NAT状态：lab@SRX240H-1>showsecuritynatsourcesummarylab@SRX240H-1>showsecuritynatsourceruleallC、检查是否所有效劳都正常允许D、检查log信息：lab@SRX240H-1>showlogrtlogd预期结果：在基于接口的源NAT的情况下，内网PC：.5上分别用ping、、TFTP访问外网PC：，能正常访问，并且在测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：基于Rule的源NAT测试-1测试内容基于Rule的源NAT功能的要求是：对SRX内网侧的主机地址访问外网进行NAT转换，即对于从SRX内网侧进入外网侧的数据流，对源地址进行NAT，NAT地址为外网侧的。具体的测试要求为：在SRX防火墙上对PC－1的IP地址.5进行地址转换，转换后的地址为SRX的外网接口地址不在同一子网内：。PC－1作为业务客户端，PC－2作为业务效劳器端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试检查在基于Rue的源NAT的情况下，访问外网效劳器的PC-2的源地址应该为防火墙的外网测试拓扑图PC-1PC-1.5InternetSourceNATPublicIP：PC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置1、配置接口IP地址setinterfacesge-0/0/0unit0familyinetaddress.1/242、配置具有外网接口的源NATsetsecuritynatsourcerule-setsnat-rule-1fromzonetrustsetsecuritynatsourcerule-setsnat-rule-1tozoneuntrustsetsecuritynatsourcerule-setsnat-rule-1rulerule-snat-rule-1matchsource-address.0/24setsecuritynatsourcerule-setsnat-rule-1rulerule-snat-rule-1matchdestination-address.0/0setsecuritynatsourcerule-setsnat-rule-1rulerule-snat-rule-1thensource-natpoolsnat-pool-13、配置往外访问的策略setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftpsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-ftp测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备基于Rule的源NAT测试-NAT地址与外网接口地址不在同一网段测试目的验证设备的防火墙基于Rule的源NAT功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙内、外网侧，分别配置地址为：.5/24和/24在内网PC：.5上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问外网效劳器地址，如正常那么表示trustzone的pc能通过NAT正常访问外网效劳器，并且在外网效劳器上能看到访问的源地址为：0检查命令：A、查看session连接：lab@SRX240H-1>showsecurityflowsessionB、检查源NAT状态：lab@SRX240H-1>showsecuritynatsourcesummarylab@SRX240H-1>showsecuritynatsourceruleallC、检查是否所有效劳都正常允许D、检查log信息：lab@SRX240H-1>showlogrtlogd预期结果：在基于接口的源NAT的情况下，内网PC：.5上分别用ping、、TFTP访问外网PC：，能正常访问，并且在上看到源地址为NAT后防火墙的外围接口的地址：0测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：基于Rule的源NAT测试-2测试内容基于Rule的源NAT功能的要求是：对SRX内网侧的主机地址访问外网进行NAT转换，即对于从SRX内网侧进入外网侧的数据流，对源地址进行NAT，NAT地址为外网侧的与SRX外网口接口地址在同一子网中：0。具体的测试要求为：在SRX防火墙上对PC－1的IP地址.5进行地址转换，转换后的地址为SRX的外网接口地址在同一子网内：。PC－1作为业务客户端，PC－2作为业务效劳器端进行业务测试，包括ICMP〔ping〕、TCP〔〕、UDP〔TFTP〕测试检查在基于Rue的源NAT的情况下，访问外网效劳器的PC-2的源地址应该为防火墙的外网测试拓扑图PC-1PC-1.5InternetSourceNATPublicIP：1PC-.1TrustUntrustSRXGe-0/0/0Ge-0/0/8设备配置1、配置接口IP地址setinterfacesge-0/0/0unit0familyinetaddress.1/242、配置具有外网接口的源NATsetsecuritynatsourcepoolsnat-pool-2address0/32setsecuritynatsourcerule-setsnat-rule-2fromzonetrustsetsecuritynatsourcerule-setsnat-rule-2tozoneuntrustsetsecuritynatsourcerule-setsnat-rule-2rulerule-snat-rule-2matchsource-address.0/24setsecuritynatsourcerule-setsnat-rule-2rulerule-snat-rule-2matchdestination-address.0/0setsecuritynatsourcerule-setsnat-rule-2rulerule-snat-rule-2thensource-natpoolsnat-pool-23、设置NAT地址的Proxy-ARPsetsecuritynatproxy-arpinterfacege-0/0/8.0addr4、配置往外访问的策略setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftpsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-ftp测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备基于Rule的源NAT测试-2：NAT地址与外网接口地址在同一网段测试目的验证设备的防火墙基于Rule的源NAT功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙内、外网侧，分别配置地址为：.5/24和/24在内网PC：.5上分别运行ICMP〔ping〕、TCP〔〕、UDP〔tftp〕应用访问外网效劳器地址，如正常那么表示trustzone的pc能通过NAT正常访问外网效劳器，并且在外网效劳器上能看到访问的源地址为：0检查命令：A、查看session连接：lab@SRX240H-1>showsecurityflowsessionB、检查源NAT状态：lab@SRX240H-1>showsecuritynatsourcesummarylab@SRX240H-1>showsecuritynatsourceruleallC、检查是否所有效劳都正常允许D、检查log信息：lab@SRX240H-1>showlogrtlogd预期结果：在基于接口的源NAT的情况下，内网PC：.5上分别用ping、、TFTP访问外网PC：，能正常访问，并且在上看到源地址为NAT后防火墙的外围接口的地址：0测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：HA工作方式测试测试内容防火墙的HA工作方式是指两台防火墙运行于主备工作状态，正常情况下，数据流通过主防火墙进行通信，在主防火墙出现故障时〔包括各类线路故障和设备故障〕，业务可正常地切换到备份防火墙。对于防火墙的HA工作方式的测试包含以下几个方面：正常情况下，主防火墙承担所有业务流量。两个防火墙内的session表的同步功能。主防火墙出现故障时，包括各种线路故障和设备故障，业务可正常地切换到备份防火墙，并保证session不丧失。主防火墙故障排除后，业务可正常切换回主防火墙，并保证session不丧失。根本的测试方法是在使用网络PC模拟业务连接，在正常情况下，观察业务是否通过主防火墙正常运行，两台防火墙的session是否同步，然后进行主防火墙相关的各个单故障点的切换测试，观察业务是否可正常切换，最后将主防火墙进行恢复，观察业务是否可正常切换。推举的测试业务：TFTPPing测试拓扑图设备配置HA连线根据不同的SRX设备类型，HA的连线会有所不同，本次测试使用的SRX240的HA连线为，其中fxp0和fxp1的接口在srx240中必须为ge-0/0/0和ge0/0/1，fab可以为任何一个数据接口。Ge-0/0/0为带外网管线FXP0Ge-0/0/1为chassisclustercontrolplane：FXP1Ge-0/0/15为chassisclusterdataplane：fabGe-0/0/7为内网接口：reth7Ge-0/0/8为外网接口：reth8配置HA在主用SRX-1上配置：setchassisclustercluster-id1node0reboot在备用SRX-1上配置：setchassisclustercluster-id1node1reboot串口登录至srx-1上进行HA的其他配置配置组中的设备名及fxp0治理地址setgroupsnode0systemhost-namesrx-1setgroupsnode1systemhost-namesrx-2setapply-groups"${node}"配置HA接口组：setchassisclustercontrol-link-recoverysetchassisclusterreth-count10setchassisclusterheartbeat-interval1000setchassisclusterheartbeat-threshold3setchassisclusterredundancy-group0node0priority254setchassisclusterredundancy-group0node1priority100setchassisclusterredundancy-group1node0priority200setchassisclusterredundancy-group1node1priority100setchassisclusterredundancy-group1preemptsetchassisclusterredundancy-group1interface-monitorge-0/0/7weight255setchassisclusterredundancy-group1interface-monitorge-5/0/7weight255setchassisclusterredundancy-group1interface-monitorge-5/0/8weight200setchassisclusterredundancy-group1interface-monitorge-0/0/8weight200配置各个reth接口及ip地址setinterfacesge-0/0/7gigether-optionsredundant-parentreth7setinterfacesge-0/0/8gigether-optionsredundant-parentreth8setinterfacesge-5/0/7gigether-optionsredundant-parentreth7setinterfacesge-5/0/8gigether-optionsredundant-parentreth8setinterfacesfab0fabric-optionsmember-interfacesge-0/0/15setinterfacesfab1fabric-optionsmember-interfacesge-5/0/15setinterfacesreth7redundant-ether-optionsredundancy-group1setinterfacesreth7unit0familyinetaddress.1/24setinterfacesreth8redundant-ether-optionsredundancy-group1将各个reth接口分配至相应的zonesetsecurityzonessecurity-zonetrustinterfacesreth7.0setsecurityzonessecurity-zoneuntrustinterfacesreth8.0配置策略setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testmatchapplicationapp-testsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenpermitsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicypolicy-app-testthenlogsession-initsetapplicationsapplicationprotocoltcpsetapplicationsapplicationdestination-portsetapplicationsapplication-setapp-testapplicationsetapplicationsapplication-setapp-testapplicationjunos-icmp-allsetapplicationsapplication-setapp-testapplicationjunos-tftpsetapplicationsapplication-setapp-testapplicationjunos-ftp测试表格测试号Test-4设备名称JuniperSRX防火墙：SRX240H-1设备软件版本9.6R1测试工程设备基于HA工作方式测试测试目的验证防火墙的HA功能测试配置见本节的设备配置局部测试步骤：按配置步骤进行配置配置2台测试PC在防火墙内、外网侧，分别配置地址为：.5/24和/24在内网PC：.5上分别将主用SRX-1的对内网的网线ge-0/0/7断开，查看应用能否正常切换至备用设备SRX-2上检查命令：查看session连接：lab@SRX240H-1>showsecurityflowsession检查源HA状态：lab@SRX240H-1>showchassisclusterstatuslab@SRX240H-1>showinterfacesterse检查是否所有效劳都正常允许检查log信息：lab@SRX240H-1>showlogrtlogdlab@SRX240H-1>showlogjsrpdshow结果及配置预期结果：在HA的情况下，内网PC：.5上分别用ping、、TFTP访问外网PC：，能正常访问，并且在主设备SRX-1的内网线出现问题后，能切换至备用设备，并能继续传输数据测试结果：测试结果：通过()失败()测试通过：(签字)测试失败：(签字)失败原因：注释：基于策略的长连接测试测试内容基于策略的长连接测试主要针对于合作伙伴接入区的长连接业务。根本的测试方法是在防火墙的内外网口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略及其他相关配置，对于需要进行长连接测