网络安全系统测试报告

来源：年旅网

网络安全系统测试报告

测试地点：中国XXX研究院

测试单位：

一、功能测试 .................................................................. 2 网络地址转换测试 ............................................................... 2 端口映射测试 ................................................................... 4

地址和MAC地址绑定测试 ..................................................... 6 包过滤测试 ................................................................ 10

基于用户名称过滤的测试 ........................................................ 8 IP

带宽管理测试 ................................................................. 12 日志记录测试 ................................................................. 15 HTTP代理测试 ................................................................. 17 FTP

代理测试 ................................................................. 19 代理测试 ................................................................ 21 代理测试 ................................................................ 23 测试 .................................................................... 25

SMTP POP3 SNMP SSL SSH

功能测试 ................................................................. 28 功能测试 ................................................................. 30

二、配置规则测试 .............................................................. 31 用户访问SSN区主机 ........................................................ 31

用户访问用户访问用户访问用户访问 SSN SSN SSN SSN SSN

SSN区主机 ....................................................... 32 SSN区主机 ....................................................... 33 SSN区主机 ....................................................... 34 SSN区主机 ....................................................... 35

区主机访问 ........................................................... 36 区主机访问 ........................................................... 37 区主机访问 ........................................................... 38 区主机访问 ........................................................... 39 区主机访问 ........................................................... 40

SSN区主机 ....................................................... 41 SSN区主机 ....................................................... 43 SSN区主机 ....................................................... 44

内网用户访问SSN区主机 ........................................................ 40

内网用户访问

内网用户访问SSN区主机 ........................................................ 42

内网用户访问内网用户访问

内网用户访问 ............................................................. 45

三、攻击测试 ................................................................. 46

防火墙与

IDS联动功能 ......................................................... 46

端口扫描测试 ................................................................. 48

一、功能测试

网络地址转换测试

测试号：测试网络地址翻译测试项目测试防火墙系统是否具有网络地址翻译的功能。测试 NAT在IP层通过地址转换提供IP复用功能，解决IP地址不足问题。当内部用户需用对外访问时，防火墙系统将会代理用户访问，并将结果透明的返回用户，内容相当于一个IP层代理。本测试用于测试防火墙是否具有NAT功能。我们根据实际应用进行测试，示意图如下： 211.167.236.57外部网络192.168.1.200211.167.236.58网络内网工作站192.168.3.103SSN区FW3000 网络接口设备名测试环境 eth0 接口地址标记外部接口 211 eth1 eth2 eth0:1 eth0:2 测试环境：笔记本一台（）接口内部接口反向地址映射接口反向地址映射接口 1. 通过超级终端配置好各接口的IP地址、路由、接口属性。测试步骤 2. 通过一次性口令认证，认证管理员的身份。 3. 打开IE在URL中输入，设置为以下规则。

6、选择NAT生效。 7、在内部网络的WIN xp工作站（192网段）上利用进行web访问；预测结果测试结果 NAT生效内部工作站可以进行web访问测试测试日期人员备注实测结果测试通过

端口映射测试

测试号：测试服务器端口映射的测试项目测试防火墙系统是否具有服务器端口映射的测试的功能。测试提供Internet上用户从注册IP到内部保留IP的访问途径，可以将防火墙的注册IP的任一TCP/UDP端口映射到内部不同的保留IP的确端口上，即注册IP的内容一TCP/UDP端口对应内部保留IP的一TCP/UDP端口。我们根据实际网络环境进行测试，示意图如下： 211.167.236.57内网服务器192.168.1.14192.168.1.200211.167.236.58外部网络网络内网工作站192.168.3.103SSN区FW3000 标记外部接口网络接口设备名测试环境 eth0 接口地址 eth1 8 eth2 eth0:1 eth0:2 SSN接口内部接口反向地址映射接口反向地址映射接口测试环境：笔记本一台（），内网服务器一台（） 1. 通过一次性口令认证，认证管理员的身份。 2. 打开IE在URL中输入，。作如下规则：测试步骤 4.选择NAT生效。 5、在防火墙上做地址映射后，通过笔记本拨号到263，访问设置的映射地址的www、ftp服务

预测结果测试结果如能成功访问内网的www,ftp，则测试通过。测试测试日期人员备注

实测结果测试通过

IP地址和MAC地址绑定测试

测试号：测试IP地址和MAC地址绑定测试项目测试防火墙系统是否具有IP和MAC绑定的功能。测试防火墙通过IP地址和MAC地址绑定，可以防止IP地址被非法盗用。本测试用于测试防火墙是否具有此项功能。内容网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口根据内部网的实际网络拓扑结构，所有客户端都通过路由器4500划分在不同的VLAN中，由于第三层设备存在，不具备实施IP地址与MAC地址绑定的网络环境。测试步骤预测结果测试结果测试人员备注

。测试日期实测结果测试通过

基于用户名称过滤的测试

测试号：测试用户名称过滤的测试项目测试防火墙系统是否具有用户名称过的测试以及用户名和IP绑定的测试。测试检查防火墙是否具有基于用户名称过滤的功能防火墙通过IP地址和用户名绑定，可以防止IP地址被非法盗用。本测试用内容于测试防火墙是否具有此项功能。我们根据实际网络环境进行测试，示意图如下： 211.167.236.57内网工作站1192.168.3.102192.168.1.200211.167.236.58外部网络网络内网工作站2192.168.3.103SSN区FW3000 网络接口设备名测试环境 eth0 eth1 eth2 eth0:1 eth0:2 内网区中配置笔记本一台（）和台式机一台（）。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口 1、打开IE在URL中输入，口令为TEST1，IP地址为,掩码为。测试步骤对象增加用户TEST，口令为TEST，IP地址为,掩码为。

6、在对象定义中选择用户组定义，增加用户组test和test1,分别将TEST和TEST1加入到test和GROUP1中。 7、选择访问控制规则，允许test可以访问FTP服务器,test1不可以访问FTP服务器，并且作日志。做好防火墙的其他规则（例如：NAT或者两个网段的路由） 8、在安全策略中选择免认证IP为空 9、选择规则生效、NAT生效 10、从工作站1用TEST登陆访问FTP服务器。 11、从工作站2用TEST登陆访问FTP服务器。 12、从工作站1用TEST1登陆访问FTP服务器。 13、从工作站2用TEST1登陆访问FTP服务器。 14、利用防火墙日志查看访问控制的日志。预测结果测试步骤10可以访问到FTP服务器结果步骤11 不可以访问到FTP服务器步骤12不可以访问到FTP服务器步骤13不可以访问到FTP服务器测试测试日期人员备注实测结果测试通过此测试测试了防火墙两个功能，分别为基于用户名过滤和用户名与IP地址绑定。

IP包过滤测试

测试号：测试IP包过滤项目测试FW3000防火墙系统是否具有IP包过滤的功能。测试防火墙的功能最主要就是通过IP包过滤体现的。内容防火墙的实际运行中已实现此功能。详见规则测试。网络接口设备名 eth0 测试环境 eth1 eth2 eth0:1 eth0:2 标记外部接口 SSN接口内部接口接口地址反向地址映射接口反向地址映射接口测试步骤预测结果测试结果测试人员备注

测试日期实测结果测试通过

带宽管理测试

测试号：测试带宽管理项目测试内容测试FW3000防火墙系统是否具有带宽管理的功能。为了增加对网络带宽资源的管理和分配，调节对用户网络访问的流量管理，尤其是为了保证VPN隧道通信的畅通无阻，有必要建立一套对带宽的管理机制，能够对外出流量进行统一的分配。我们根据实际应用情况架设了测试平台，测试平台分别模拟了内部网和外部网络，示意图如下： /24 PC-A Eth0:/24 out FW3000 Eth1:/24 in HUB /24 PC-B PC-C /24 网络接口设备名 eth0 测试环境 eth1 eth2 接口地址标记外部接口 SSN接口内部接口 eth0:1 eth0:2 反向地址映射接口反向地址映射接口 1. FW3000防火墙一台 2. PC-A和PC-B、PC-C各一台。网络连接均为100MB以太网。内部区中有PC-B、PC-C工作站，外部区中有一台PC-A服务器。这些机器的默认网关均设为防火墙的相应接口，如内部机的网关设为、外部机的网关设为。PC-A服务器上运行FTP服务，并确认在输入PC-A服务器的IP地址后可以正常连接到FTP服务。

1. 配置好防火墙的基础属性，重新启动； 2. 在控制工作站上利用OTPC认证防火墙然后启动web管理； 3. 分别建立PC-A和PC-B、PC-C 3个IP对象。 4. 在资源管理的带宽管理中启动带宽管理控制；在接口链路设置中定义每块网卡所接连路的流量带宽；再在队列带宽设置中各优先级比例，比如建立1（10％）、9（90％） 2个优先级。测试步骤 5. 由于FW3000防火墙系统的默认规则是拒绝，故加入如下规则： out方向：允许任何时间内PC-B访问任何目的IP地址的任何服务，带宽优先级是1。允许任何时间内PC-C访问任何目的IP地址的任何服务，带宽优先级是9。 6、使规则生效。 7、在PC-B上FTP到下载一个大文件（>100M）,在PC-C上也FTP到同时下载相同文件。预测结果实测结果查看、对比PC-B和PC-C的下载速度。测试由于硬盘速度远小于100M，另外不同结果的PC配置也会受到影响，所以PC-B和PC-C的下载速度比例并不会是理想的1：9。测试测试日期人员备注

日志记录测试

测试号：测试日志记录项目测试FW3000防火墙系统是否具有日志记录的功能。测试日志可以记录非正常访问请求，是分析网络流量情况和事后追查责任的重要依据。内容我们根据实际网络环境进行测试，示意图如下： 211.167.236.57 内网工作站1192.168.3.102192.168.1.200211.167.236.58外部网络网络内网工作站2192.168.3.103SSN区FW3000防火墙相关接口配置如下：测试环境网络接口设备名 eth0 eth1 eth2 eth0:1 eth0:2 内部区中有一台PC，IP地址为。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口 1. 在控制工作站上利用OTPC认证防火墙然后启动web管理； 2. 添加test用户组并新建test1、test2、test3用户加入其中；测试步骤

3. 由于FW3000防火墙系统的默认规则是拒绝，为了使问题单一和集中，将防火墙系统设为全部允许，加入如下规则： out方向：允许任何时间内任何源IP地址访问任何目的IP地址的任何服务（proxy方式）并做日志记录。允许任何时间内test用户组访问任何目的IP地址的任何服务（proxy方式）并做日志记录。 5、使规则生效。 6、在内部网络的工作站上利用浏览器浏览Web网页； 7、退出otpc认证，再次在PC-B上利用浏览器浏览Web网页 8、在审计检查的安全审计中查看日志。可以根据时间区间查看包过滤（Packet filter）、用户登录访问（User）、各种代理情况（Proxy）记录的日志。三项日志的内容各有不同，可以综合的反映防火墙用户的网络使用情况：包过滤日志记录了通过防火墙的通信情况，如源地址、源端口、目的地址、目的端口、用户名、协议类型、服务类型、NAT地址、NAT端口、动作如何等；

用户日志记录了用户登录时间、断开时间、IP地址、总接包数、接包长度、发包数、发包长度；代理日志记录了起始时间、代理类型、动作如何、源地址、源端口、目的地址、目的端口、状态。预测结果测试可以分别从防火墙的包过滤、用户登结果录访问、代理记录日志中看到工作站访问web服务的记录。测试测试日期人员备注实测结果测试通过

http代理测试

测试号：测试http代理测试项目测试天融信防火墙系统http代理功能的有效性。测试网络卫士防火墙提供对高层应用服务HTTP的透明代理，对HTTP命令GET、 POST、HEAD、DELETE、OPTION、PUT、TRACE等做详细控制，以及对URL以及脚本内容类型进行过滤，这种代理对用户时透明的，用户不需要设置代理服务器地址。我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 测试环境 eth0:2 接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口内部区中有一台PC，IP地址为。 1. 在控制工作站上进入GUI管理界面，定义HTTP代理对象，out服务对象。测试步骤 http_1（HTTP代理对象）：方法全选，主机名，绝对路径为*，端口为80，过滤全选，选择记日志，动作为ACCEPT

out_http_1（out服务对象）：方式PROXY，协议TCP，应用协议HTTP，源端口0－65535，目的端口80，应用协议对象http_1 OUT规则：源any，目的any，服务out_http_1，时间any，动作为允许，记日志 3、在内部网络的WIN XP工作站（192网段）上利用浏览器 A. ；1 B. 下载文件 C. 运行脚本预测结果 A. 可以浏览测试B. 可以下载结果 C. 无法运行脚本测试人员备注

测试日期实测结果测试通过

FTP代理测试

测试号：测试FTP代理测试项目测试天融信防火墙系统FTP代理功能的有效性。测试防火墙可以对FTP协议作更小粒度的控制，过滤FTP命令PUT,GET和对文件路径的访问。内容我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 测试环境 eth0:2 内部区中有一台PC，IP地址为。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口 1. 在串口下配置防火墙接口地址，路由，接口属性。测试步骤 2. 在控制工作站上进入GUI管理界面，FTP代理对象，out服务对象, OUT规则。 ftp_1（FTP代理对象）：禁止GET，主机名，绝对路径为*，端口为默认，选择记日志，动作为REJECT

out_ftp_1（out服务对象）：方式PROXY，协议TCP，应用协议FTP，源端口0－65535，目的端口21，应用协议对象ftp_1 OUT规则：源any，目的any，服务out_ftp_1，时间any，动作为允许，记日志 3、在内部网络的WIN XP工作站（192网段）上 A. ftp B. 下载文件 C. 查看记录预测结果 A. 可以登录测试B. 无法下载结果 C. 有记录测试人员备注

测试日期实测结果测试通过

SMTP代理测试

测试号：测试SMTP代理测试项目测试天融信防火墙系统SMTP代理功能的有效性。测试防火墙可以对SMTP协议作更小粒度的控制，可以对发信人信箱进行过滤，并可以对通过防火墙的信件内容进行检查。内容我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 接口地址标记外部接口 SSN接口内部接口反向地址映射接口测试环境 eth0:2 .62 内部区中有一台PC，IP地址为。反向地址映射接口 1. 在串口下配置防火墙接口地址，路由，接口属性。测试步骤 2. 在控制工作站上进入GUI管理界面，定义SMTP代理对象，out服务对象, OUT规则。 smtp_1（smtp代理对象）：全部允许，主机名，端口为默认，选择记日志，动作为允许 out_smtp_1（out服务对象）：方式PROXY，协议TCP，应用协议SMTP，源端口0－65535，目的端口25，应用协议对象smtp_1

OUT规则：源any，目的any，服务out_smtp_1，时间any，动作为允许，记日志 3、在内部网络的WIN XP工作站（192网段）上 A. 客户机通过SMTP发邮件 B. 查看记录预测结果 A. 可以发出邮件测试B. 有记录结果测试人员备注测试日期实测结果测试通过

POP3代理测试

测试号：测试POP3代理测试项目测试天融信防火墙系统POP3代理功能的有效性。测试防火墙可以对POP3协议作更小粒度的控制，可以对收信人信箱进行过滤。内容我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 et 测试环境 0:2 内部区中有一台PC，IP地址为。反向地址映射接口接口地址标记外部接口 SSN接口内部接口反向地址映射接口 1. 在串口下配置防火墙接口地址，路由，接口属性。测试步骤 2. 在控制工作站上进入GUI管理界面，定义pop3代理对象，out服务对象, OUT规则。 pop3_1（pop3代理对象）：全部允许，主机名，端口为默认，选择记日志，动作为允许 out_pop3_1（out服务对象）：方式PROXY，协议TCP，应用协议POP3，源端口0－65535，目的端口110，应用协议对象pop3_1

OUT规则：源any，目的any，服务out_pop3_1，时间any，动作为允许，记日志 3、在内部网络的WIN XP工作站（192网段）上 A. 客户机通过POP3服务器收邮件 B. 查看记录预测结果 A. 可以收到邮件测试B. 有记录结果测试人员备注测试日期实测结果测试通过

SNMP测试

测试号：测试SNMP测试项目测试天融信防火墙系统SNMP功能的有效性。支持简单网络管理协议SNMP（Simple Network Management Protocol）的各版测试本（SNMPv1，SNMPv2c和SNMPv3）。管理员可以通过SNMP管理器获取SNMP基本MIB内容库信息及防火墙的各种运行信息，包括连接数、用户数、流量、规则、配置信息等，以便了解网络运行状况并进行管理。测试环境由于没有SNMP管理其软件（如OPENVIEW）,此项测试未作。测试步骤预测结果测试a. 结果测试人员备注测试日期实测结果

SSL功能测试

测试号：测试SSL功能测试项目测试天融信防火墙系统SSL功能的有效性。测试为了防止管理员与防火墙之间的通信被窃听，采用SSL技术将传输的数据进行加密，进一步增强了防火墙的安全性。内容我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 测试环境 eth0:2 内部区中有一台PC，IP地址为。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口网络管理机192.168.3.103FW3000192.168.1.200 1．串口下配置防火墙接口地址，路由，接口属性,并用setssl start打开安全套接层协议，重启防火墙。测试步骤 2．在管理员主机浏览器设置中导入随防火墙设备一起的光盘中提供的CA根证书；设定一条防火墙IP与fw3000的域名解析项（在Windows98系统中为在C:\\Windows\\hosts文件中加入一行“ fw3000”。如果该目录下没有hosts文件，可将重命名为hosts）。然后通过，表示管理员与防火墙管理界面的通讯是经过加密了的。

预测结果 a. setssl start 命令运行正常测试b. 通过结果

SSH功能测试

测试号：测试SSH功能测试项目测试天融信防火墙系统SSH功能的有效性。测试管理员在通过认证的情况下可以通过SSH客户端远程登录防火墙，在通讯加密的条件下，以控制口管理员身份远程管理防火墙，从而实现安全的远程管理。内容我们根据实际应用情况进行测试，防火墙相关接口配置如下：网络接口设备名 eth0 eth1 eth2 eth0:1 测试环境 eth0:2 内部区中有一台PC，IP地址为。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口网络管理机192.168.3.103FW3000192.168.1.200测试步骤 1．口下配置防火墙接口地址，路由，接口属性,并用setssh start打开ssh远程管理协议，重启防火墙。 2．管理员先以adm用户通过OTP认证，然后再通过SSH客户端以sadm身份从10022端口登录防火墙，登录成功后可以进行与串口管理员相同的管理操作。预测结果测试a. setssh start 命令运行正常结果 b. 通过ssh客户端访问防火墙正常

实测结果测试通过测试人员备注测试日期

二、配置规则测试

用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的用户对SSN区主机的访问规则。用户访问主机的规则测试设定为：主机作为DNS只提供用户域名解析服务。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 域名由主机解析 1、WIN XP工作站用户通过拨号接入Internet. 2、在的WIN XP工作站上利用浏览器浏览、在的WIN XP工作站发出ping 命令。 4、在的WIN XP工作站上利用浏览器浏览； 5、在的WIN XP工作站上利用浏览器浏览； 6、查看防火墙日志拒绝服务的。预测结果测试步骤2，可访问。结果步骤3、4、5，访问被拒绝防火墙日志记录被拒绝访问。测试测试日期人员

接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口测试步骤实测结果测试通过备注

用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的用户对SSN区主机的访问规则。用户访问主机的规则测试设定为：主机作为邮件服务器只允许用户进行SMTP、POP3、和ICMP访问，其他拒绝。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 SSN区中有一台mail服务器，区中有一台WIN XP工作站。用户通过拨号接入Internet. 1、WIN XP工作站用户通过拨号接入Internet. 2、在mail服务器上建立一个邮件账户。 3、在的WIN XP工作站上使用outlook express进行相应的SMTP和POP3配置. 测试步骤 4、在的WIN XP工作站利用outlook express收发邮件。 5、在的WIN XP工作站发出ping 命令。 6、在的WIN XP工作站上利用浏览器浏览； 7、在的WIN XP工作站上利用浏览器浏览； 9、查看防火墙日志拒绝服务的。测试预测结果实测结果接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口

结果步骤4，可顺利收发邮件。步骤5，ping包应答。步骤6、7，访问被拒绝防火墙日志记录被拒绝访问。测试测试日期人员备注测试通过用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的用户对SSN区主机的访问规则。用户访问主机的规则测试设定为：主机只允许用户进行HTTP、FTP访问，其他拒绝。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 用户通过拨号接入Internet. 1、WIN XP工作站用户通过拨号接入Internet. 2、在的WIN XP工作站上利用浏览器浏览；测试步骤 3、在的WIN XP工作站上利用浏览器浏览； 4、在的WIN XP工作站发出ping 命令。 5、在SSN主机上监测访问FTP服务的IP。 6、查看防火墙日志拒绝服务的。测试预测结果

接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口实测结果结果步骤2，3可访问。步骤4，ping包被拒绝。步骤5在ssn区主机上检查到从防火墙外部端口发起的对的FTP访问。防火墙日志记录被拒绝访问。测试测试日期人员备注

测试通过用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的用户对SSN区主机的访问规则。用户访问主机的规则测试设定为：主机作为邮件服务器只允许用户进行HTTP、SMTP、POP3访问以及DNS 功能，其他拒绝。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 域名由解析。 1、WIN XP工作站用户通过拨号接入Internet. 2、在mail服务器上建立一个邮件账户。 3、在的WIN XP工作站上使用outlook express进行相应的SMTP和POP3配置. 测试步骤 4、在的WIN XP工作站利用outlook express收发邮件。 5、在的WIN XP工作站上利用浏览器浏览； 6、在的WIN XP工作站上利用浏览器浏览； 7、在的WIN XP工作站发出ping 命令。

接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口 8、在的WIN XP工作站上利用浏览器浏览； 9、查看防火墙日志拒绝服务的。预测结果测试步骤4，可顺利收发邮件。结果步骤5，6可访问。步骤7、8，访问被拒绝防火墙日志记录被拒绝访问。测试测试日期人员备注

实测结果测试通过 SSN区主机访问

测试号：测试实际应用环境访问规则实施项目测试已设定的SSN区主机对的访问规则。主机访问的规则设定为：测试主机对的访问全部打开。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口

1、在主机上发起不同的服务连接. 测试步骤 2、查看防火墙日志拒绝服务的。预测结果测试结果连接均可建立防火墙日志记录被拒绝访问。测试测试日期人员备注

实测结果测试通过 SSN区主机访问

测试号：测试实际应用环境访问规则实施项目测试已设定的SSN区主机对的访问规则。主机访问的规则设定为：测试主机对的POP3、SMTP、ICMP访问打开，其余拒绝。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 1、在主机上发起不同的服务连接（SMTP、POP3、ICMP、HTTP、FTP）. 测试步骤 2、查看防火墙日志拒绝服务的。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口

预测结果测试SMTP、POP3和ICMP连接均可建立,结果其余被拒绝。防火墙日志记录被拒绝访问。测试测试日期人员备注

实测结果测试通过 SSN区主机访问

测试号：测试实际应用环境访问规则实施项目测试已设定的SSN区主机对的访问规则。主机访问的规则设定为：测试主机对的ICMP访问打开，其余拒绝。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 1、在主机上发起不同的服务连接（SMTP、POP3、ICMP、HTTP、FTP）. 测试步骤 2、查看防火墙日志拒绝服务的。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口预测结果测试结果 ICMP连接可建立,其余被拒绝。防火墙日志记录被拒绝访问。测试测试日期人员

实测结果测试通过备注

SSN区主机访问

测试号：测试实际应用环境访问规则实施测试项目测试已设定的SSN区主机对的访问规则。主机访问的规则设定为：测试主机对的访问全部打开。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 1、在主机上发起不同的服务连接. 测试步骤 2、查看防火墙日志拒绝服务的。接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口预测结果测试结果连接均可建立防火墙日志记录被拒绝访问。测试测试日期人员备注实测结果内网用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目

测试内容测试已设定的内网用户对SSN区主机的访问规则。内网用户访问主机的规则设定为：主机作对内网用户全部服务。实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 内网任意用户建立与的各种连接。测试步骤接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口预测结果测试结果连接均可建立测试人员备注实测结果测试通过测试日期内网用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的内网用户对SSN区主机的访问规则。内网用户访问主机的规则测试设定为：主机作对内网用户全部服务。内容测试环境

实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名接口地址标记 eth0 eth1 eth2 eth0:1 eth0:2 内网任意用户建立与的各种连接。测试步骤外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口预测结果测试结果连接均可建立测试人员备注实测结果测试通过测试日期内网用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的内网用户对SSN区主机的访问规则。内网用户访问主机的规则测试设定为：主机作对内网用户提供HTTP、FTP、Telnet、ICMP服务。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名测试环境 eth0 eth1 eth2 接口地址标记外部接口 SSN接口内部接口

eth0:1 eth0:2 反向地址映射接口反向地址映射接口 1、在内网的WIN XP工作站上利用浏览器浏览； 2、在内网的WIN XP工作站上利用浏览器浏览；测试步骤 3、在内网的WIN XP工作站发出ping 命令。 4、在内网的WIN XP工作站发出telnet 命令。 5、查看防火墙日志拒绝服务的。预测结果测试结果连接均可建立测试人员备注

实测结果测试通过测试日期内网用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的内网用户对SSN区主机的访问规则。内网用户访问主机的规则测试设定为：主机作对内网用户提供HTTP、FTP、Telnet、ICMP服务。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 测试环境 eth1 eth2 eth0:1 eth0:2

接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口 1、在内网的WIN XP工作站上利用浏览器浏览； 2、在内网的WIN XP工作站上利用浏览器浏览；测试步骤 3、在内网的WIN XP工作站发出ping 命令。 4、在内网的WIN XP工作站发出telnet 命令。 5、查看防火墙日志拒绝服务的。预测结果测试结果连接均可建立测试人员备注

实测结果测试通过测试日期内网用户访问SSN区主机

测试号：测试实际应用环境访问规则实施项目测试已设定的内网用户对SSN区主机的访问规则。内网用户访问主机的规则测试设定为：主机作对内网用户全部服务。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口

内网任意用户建立与的各种连接。测试步骤预测结果测试结果连接均可建立测试人员备注

实测结果测试日期内网用户访问

测试号：测试实际应用环境访问规则实施项目测试已设定的内网用户对资源的访问规则。内网用户访问资源的规测试则设定为：对内网用户全部服务许可。内容实际应用情况测试的测试环境为：内部网、安全服务区（SSN）、外部网络。防火墙配置如下：网络接口设备名 eth0 eth1 测试环境 eth2 eth0:1 eth0:2 内网任意用户建立与的各种连接。测试步骤接口地址标记外部接口 SSN接口内部接口反向地址映射接口反向地址映射接口

预测结果测试结果连接均可建立测试人员备注实测结果测试日期三、攻击测试

防火墙与IDS联动功能

测试号：测试防火墙与IDS联动功能项目防火墙采用TOPSEC协议可以与第三方厂商的IDS进行有效联动，即IDS探测器检测测试到违规行为将通知防火墙，防火墙根据接收到的信息生成动态的过滤规则对该访问内容行为进行阻断。我们根据实际应用情况架设了测试平台，测试平台分别模拟了内部网、外部网络，示意图如下： C: /24（linux） NGFW3000 Eth1 Eth0 探测器 Hub /24 /24 控制台 B: /24（win2K） LA：测试环境（win2K） 1. 防火墙一台。 A: /24B A D: /24(攻击者) C 2. WIN 2K服务器一台，作为防火墙管理机和受保护对象。 3. WIN 2K服务器一台，安装IDS的控制台软件。 4. LINUX主机一台，安装IDS的探测器软件。 5. 攻击主机一台，安装win98或者win2K系统。环境说明：网络连接均为100MB以太网。防火墙的内部接口（eth1）、外部接口（eth0）分别接在二个不同区域，防火墙内部接口与/24网络相连，防火墙外部接口与模拟攻击主机相连。 IP地址配置： A：，网关： B：，网关： C：，网关： D：，网关指向：

1. 用串口线将防火墙管理机和防火墙连接好，加电启动防火墙。 2. 在防火墙管理机上启动超级终端，参数为9600-8-N-1，通过认证进入防火墙。 3. 在防火墙中设置好防火墙内、外接口的IP地址以及相应安全管理规则。 4. 通过OTP软件以及IE浏览器配置测试目标的相应访问控制规则。 5. 根据测试要求逐一测试，并将结果填入表中。防火墙配置操作：通过串口进入防火墙，对防火墙进行如下基本配置：接口IP配置： Ifconfig eth1 Ifconfig eth0 Route配置： Route add eth1 Route add eth0 Route add eth0 Route add eth1 防火墙接口类型配置 fwip add eth0 o fwip add eth1 i Reboot 防火墙中与IDS联动设置： 1）加载与IDS联动模块； 2）写入IDS探测器的IP地址以及密钥； IDS系统配置测试一：在IDS系统控制台中设定，受保护主机（）在1分钟内接收到3个ping包，则认为该行为是攻击行为，控制台报警，防火墙阻断该访问行为。攻击者在攻击机上使用“ping –n 100”查看测试现象。测试二：在受保护主机（）中放入冰河服务端程序。在IDS系统控制台中设定受保护主机（）在受到攻击者攻击时则认为该行为是攻击行为，控制台报警，防火墙阻断该访问行为。攻击者在攻击机上使用冰河客户端进行远程控制受保护主机并查看测试现象。测试项目测试测试一结果测试二测试人员测试日期预测结果阻断该行为阻断该行为实测结果测试步骤

备注

端口扫描测试

测试号：测试端口扫描测试项目测试防火墙系统是否具有防端口扫描的功能。网络卫士防火墙3000能够对主机进行跟踪，通过实时截获网络数据流，进行测试智能识别，发现网络违规模式和未授权的网络访问尝试，用户可以自定义安全策内容略，当触发敏感策略，能够进行记录，以便管理员查看，并可根据用户定制的策略切断入侵连接。我们根据实际应用情况架设了测试平台，测试平台分别模拟了内部网、、外部网络。示意图如下： .1 测试环境 1. 防火墙一台。 2. WIN XP 工作站一台，WIN 2003服务器一台。网络连接均为100MB以太网。防火墙的内网、接口分别接在二个不同区域，内网接口与内部区域连通、接口与外部网络连通，IP分别为、。外部区中有一台WIN XP工作站，内部区中有一台WIN 2003服务器。这些机器的默认网关均设为防火墙的相应接口，如内部机的网关设为、外部机的网关设为。内部网络WIN XP工作站的IP地址为：外部网络WIN 2003服务服务器的IP地址为：

1. 重启防火墙，测试环境初始化； 2. 通过超级终端配置好各接口的IP地址、路由、接口属性。 3. 通过一次性口令认证，认证管理员的身份。测试步骤 4. 打开IE在URL中输入，进行设置。 5. 在外部网络的WIN XP工作站（192网段）上利用扫描软件对内部服务器进行扫描； 6. 在内部网络上面的WIN 2003 服务器上监测防火墙反应。 8、利用防火墙日志查看入侵监测的日志。预测结果测试结果 a.对内网服务器的访问自动阻断测试人员备注

测试日期实测结果

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文