H3C 防火墙测试模板 - 图文南京廖华答案网

H3C 防火墙测试模板 - 图文下载本文

文章发布时间 : 2024/10/9 22:24:45星期三

测试手册（H3C NGFW）

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

T01设备自身安全性 ····································································································· 2 T02访问控制 ············································································································ 13 T03 NAT功能 ············································································································ 25 T04日志功能 ············································································································ 32 T05可靠性 ··············································································································· 37 T06虚拟化功能 ········································································································· 49 T07 Flood攻击防御功能 ······························································································ 63 T08特征库升级 ········································································································· 67 T09 IPS攻击防护功能 ································································································· 69 T10攻击防护响应方式 ································································································ 86 T11 IPS自定义攻击 ···································································································· 95 T12带宽管理功能 ······································································································ 97 T13数据过滤功能 ···································································································· 125 T14文件过滤 ·········································································································· 144 T15 URL分类过滤功能 ······························································································ 147 T16病毒防御 ·········································································································· 168 T17链路负载均衡（更详细内容参考链路负载均衡测试手册） ············································ 185 T18服务器负载均衡（更详细内容参考服务器负载均衡测试手册） ······································ 187 T19性能测试 ·········································································································· 187

H3C NGFW测试用例

T01 设备自身安全性

T01-01 设备安全登录

测试分组测试项目设备自身安全性设备安全登录 10.1.1.1/2410.1.1.2/24测试拓扑 PCFW 测试目的支持HTTPS、SSH管理 (1) PC作为SSH Client，FW作为SSH Server；PC作为Web登录的Client,FW作为Web Server； (2) 在设备上使能https服务； (3) 首先在FW上生成本地密钥对；测试步骤 (4) 在FW上配置用户登录验证方式为scheme； (5) 在FW上使能ssh server enable，并配置一个用户名为ssh，登录方式为stelnet； (6) 配置本地用户名ssh，密码123456，服务类型ssh； (7) 在PC上运行支持SSH的客户端软件(如putty)，以用户名ssh，密码123456，登录FW。 FW：放行接口所在域到local和local到接口所在域的域间策略 SSH配置 public-key local create rsa public-key local create dsa line vty 0 63 authentication-mode scheme 参考配置 protocol inbound ssh ssh user ssh service-type stelnet authentication-type password local-user ssh service-type ssh password simple 123456 authorization-attribute user-role network-admin ssh server enable Web配置 2018-01-08

H3C机密，未经许可不得扩散第2页, 共197页

ip http enable ip https enable H3C NGFW测试用例 local-user web class manage password simple 123456 service-type http https authorization-attribute user-role network-admin 预期结果测试准备测试说明用sshv2作为用户名通过SSH密码认证方式登录成功，用web作为用户名进行https登录成功。防火墙，PC domain system下需为默认配置 SSH登录过程： (1) 使用SSH方式登录设备，PC地址为1.1.1.2，FW的gi1/0/0为1.1.1.1，三层可达；测试结果 2018-01-08

H3C机密，未经许可不得扩散第3页, 共197页

H3C NGFW测试用例 2018-01-08

H3C机密，未经许可不得扩散第4页, 共197页

H3C NGFW测试用例 (2) 通过用户名ssh，密码123456，ssh方式能通过认证并得到设备管理权限。 HTTP登录过程： 2018-01-08

H3C机密，未经许可不得扩散

第5页, 共197页

H3C NGFW测试用例通过用户名web，密码123456，web方式能通过认证并得到登录设备管理页面。原始记录

T01-02 用户身份认证安全

测试分组测试项目设备自身安全性用户身份认证安全 1.1.1.1/241.1.1.2/243.1.1.2/24Radius Server 1FWA100.1.1.13.1.1.3/24Telnet PC测试拓扑测试目的管理员登入身份认证支持AD或Radius方式 (1) 将相关接口加入到Trust域，并配置域间策略，放通local到登录接口所在域、登录接口所在域到local、local到NAS接口所在域和NAS接口所在域到local的域间策略；测试步骤 (2) FWA防火墙上对于VTY登录用户配置使用Radius进行认证和授权； (3) PC对FWA防火墙进行Tenlet登录。 FWA： radius scheme radius primary authentication 1.1.1.1 参考配置 key authentication simple 123456 domain system authentication login radius-scheme radius authorization login radius-scheme radius accounting none 2018-01-08

H3C机密，未经许可不得扩散第6页, 共197页

line vty 0 63 H3C NGFW测试用例 authentication-mode scheme 预期结果测试准备能够看到PC通过Telnet登录防火墙获得的权限与Radius服务器上配置的用户权限相同。防火墙，PC，Radius Server 设备与Server需要互通，key需要与Server端配置的共享密钥相同，用户需要在Server端提前配好。测试说明测试结果原始记录

T01-03 角色权限控制

测试分组测试项目设备自身安全性角色权限工作 10.1.1.1/2410.1.1.2/24测试拓扑 PCFW 测试目的角色分类，角色自定义各模块权限。 (1) 将防火墙的相关端口配置IP地址并加入到安全域trust.，并配置好域间策略。配置好telnet登录策略； (2) 用户user1登录防火墙后，只能查看命令，但不能进行任何配置；测试步骤 (3) 用户user2登录防火墙后，拥有所有命令的权限； (4) 用户user3登录防火墙后，能配置ACL相关的配置，但是接口下的配置不能配置； (5) 用户user4登录防火墙后，能配置安全域和域间策略相关配置，但是无法配置ACL。 # local-user user1 class manage password simple 123456 service-type telnet authorization-attribute user-role level-0 参考配置 local-user user2 class manage password simple 123456 service-type telnet authorization-attribute user-role level-15 2018-01-08

H3C机密，未经许可不得扩散第7页, 共197页

role name role1 H3C NGFW测试用例 rule 1 permit read write execute feature acl local-user user3 class manage password simple 123456 service-type telnet authorization-attribute user-role role1 role name role2 rule 1 permit read write feature security-zone local-user user4 class manage password simple 123456 service-type telnet authorization-attribute user-role role2 # (1) 无法配置任何命令。预期结果 (2) 可以配置所有配置。 (3) 能配置ACL相关配置，但是不能配置接口下的配置。 (4) 能配置安全域和域间策略的相关命令，但是无法配置ACL。测试准备测试说明测试结果防火墙、PC机 (1) 首先需要创建角色，在角色中创建资源控制策略，例如：vpn、接口、安全域和vlan。 (2) 然后将角色分配给指定用户，实现用户的权限控制。 (1) 用户user1登录防火墙后，只能查看命令，但不能进行任何配置； 2018-01-08

H3C机密，未经许可不得扩散第8页, 共197页

H3C NGFW测试用例 (2) 用户user2登录防火墙后，拥有所有命令的权限； 2018-01-08

H3C机密，未经许可不得扩散第9页, 共197页

H3C NGFW测试用例 (3) 用户user3登录防火墙后，能配置ACL相关的配置，但是接口下的配置不能配置； 2018-01-08

H3C机密，未经许可不得扩散第10页, 共197页

H3C NGFW测试用例 2018-01-08

H3C机密，未经许可不得扩散第11页, 共197页

H3C NGFW测试用例 (4) 用户user4登录防火墙后，能配置安全域和域间策略相关配置，但是无法配置ACL； 2018-01-08

H3C机密，未经许可不得扩散第12页, 共197页

H3C NGFW测试用例原始记录

T02 访问控制

T02-01 基于IPV4源、目的IP地址，时间段，域名的访问控制

测试分组测试项目访问控制基于源、目标IP的访问控制、时间、域名的访问控制 2018-01-08

H3C机密，未经许可不得扩散第13页, 共197页

H3C NGFW测试用例 Trust GE 0 / 2 10 . 1 . 1 . 1 / 24 Device GE 0 / 1 20 . 1 . 1 . 1 /2 4 Untrust 测试拓扑 Host1 10 . 1 . 1 . 12 /2 4 Internet 测试目的基于源、目标ip的访问控制、时间、域名的访问控制 (1) 创建名为work的时间段，其时间范围为每周工作日的11点到12点； (2) 配置接口GE0/2、GE0/1的IP地址； (3) 把GE0/2加入Trust域，GE0/1加入Untrust； (4) Host1访问Internet中的网络资源，有预期结果1； (5) 创建ipv4地址对象组s1，在s1中创建地址对象10.10.10.100； (6) 创建ipv4地址对象组d1，在d1中创建地址对象8.8.8.8；测试步骤 (7) 创建ipv4对象策略，规则允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文通过； (8) 配置Trust域到Untrust域的域间策略，应用对象策略policy1； (9) Host1ping 8.8.8.8有预期结果2； (10) 更改ipv4对象策略，使得允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文在时间段为work时通过，其他时间不能访问8.8.8.8； (11) Host1在工作日的11:00到12:00再次访问Internet中的网络资源，有预期结果3； (12) Host1在其他时间段再次访问Internet中的网络资源，有预期结果4。 # time-range work 11:00 to 12:00 working-day # interface GigabitEthernet0/2 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/1 参考配置 ip address 20.1.1.1 255.255.255.0 # security-zone name Trust import interface GigabitEthernet0/2 # security-zone name Untrust import interface GigabitEthernet0/1 # 2018-01-08

H3C机密，未经许可不得扩散第14页, 共197页

H3C NGFW测试用例 object-group ip address s1 0 network host address 10.1.1.12 # object-group ip address d1 0 network host address 8.8.8.8 # object-policy ip policy1 rule 0 pass source-ip s1 destination-ip d1 rule 1 pass source-ip s1 time-range work # zone-pair security source Trust destination Untrust object-policy apply ip policy1 # (1) 访问失败；预期结果 (2) 访问成功； (3) 访问成功； (4) 访问失败；测试准备测试说明防火墙、PC机 (1) 预期结果1当按照上述配置完成后，在不加域间策略情况下，得到预期结果；防火墙上主要配置如下：测试结果 2018-01-08

H3C机密，未经许可不得扩散第15页, 共197页

H3C NGFW测试用例交换机SW2上的主要配置为： PC的主要配置为：其中PC访问8.8.8.8（untrust）的结果为： (2) 预期结果2在调用trust到untrust的域间策略时，可得预期结果2；防火墙上主要配置为： 2018-01-08

H3C机密，未经许可不得扩散第16页, 共197页

H3C NGFW测试用例预期结果为： (3) 预期结果3和预期结果4：修改object-group策略，在调用trust到untrust的域间策略时，可得预期结果3；防火墙上主要配置为：结果只在工作日的11:00到12:00，trust区域才可以访问untrust的8.8.8.8，不在这个时段内，则不能访问，由此可得预期结果4； 2018-01-08

H3C机密，未经许可不得扩散第17页, 共197页

H3C NGFW测试用例在调整防火墙的时间至工作的11:30后，trust区域才可以访问untrust的8.8.8.8，由此可得预期结果3 原始记录

T02-02 基于用户身份的识别功能

测试分组测试项目访问控制基于用户身份的识别功能测试拓扑测试目的测试步骤 2018-01-08

基于用户身份的识别功能 (1) 创建名为work的时间段，其时间范围为每周工作日的11点到12点； H3C机密，未经许可不得扩散

第18页, 共197页

H3C NGFW测试用例 (2) 配置接口GE0/2、GE0/1的ip地址； (3) 把GE0/2加入Trust域，GE0/1加入Untrust； (4) 创建usera，将host1绑定与usera绑定； (5) 创建名为ipgroup1的IP地址对象组，并引用本地用户usera； (6) 制订只允许用户usera访问外部网络的对象策略ippolicy1； (7) 创建源安全域trust到目的安全域untrust的安全域间实例，并应用对象策略ippolicy1； (8) 用户usera访问其外网资源能够访问成功。 # interface GigabitEtherne1/0/1 ip address 10.2.3.1 255.255.255.0 # interface GigabitEthernet1/0/2 ip address 20.1.1.1 255.255.255.0 # security-zone name Trust import interface GigabitEthernet1/0/1 # security-zone name Untrust import interface GigabitEthernet1/0/2 参考配置 # local-user usera class network # user-identity static-user usera bind ipv4 1.2.3.4 # user-identity enable # object-group ipaddress ipgroup1 network user usera # object-policyipippolicy1 rule pass source-ip ipgroup1 time-range work # zone-pair security source trust destination untrust object-policy apply ip ippolicy1 # 预期结果测试准备测试说明访问成功；防火墙、PC机 2018-01-08

H3C机密，未经许可不得扩散第19页, 共197页

FW关键配置如下： H3C NGFW测试用例测试结果一开始PC到SW2上的8.8.8.8是不通的； 2018-01-08

H3C机密，未经许可不得扩散第20页, 共197页

H3C NGFW测试用例修改防火墙的时间落在time-range中后，PC到SW2上的8.8.8.8可以通； 2018-01-08

H3C机密，未经许可不得扩散

第21页, 共197页

原始记录

H3C NGFW测试用例 T02-03 远程访问控制

测试分组测试项目访问控制远程访问控制测试拓扑测试目的支持SSLVPN (1) 配置接口IP address和域间策略，放通PC所在域到local和local域到PC域，以及服务器所在域到local域和local域到服务器所在域的域间策略； (2) 配置pki域sslvpn； (3) 导入CA证书ca.cer和服务器证书server.pfx； (4) 配置SSL服务端测试ssl； (5) 配置SSL VPN网关gw的IP地址1.1.1.2，端口号为2000，并引用SSL服务器端策略ssl；测试步骤 (6) 开启SSL VPN网关gw； (7) 配置SSL VPN访问实例ctx1引用SSL VPN网关gw，指定域名为domain1，并配置SSL VPN访问实例关联的VPN实例为VPN1； (8) 创建URL列表urllist； (9) 添加一个URL表项，链接名为serverA，对应的URL为20.2.2.2； (10) SSL VPN访问实例ctx1下创建策略组pgroup，引用Web资源，并指定其为缺省策略组； (11) 开启SSL VPN访问实例ctx1。 # pki domain sslvpn public-key rsa general name sslvpn undo crl check enable # pki import domain sslvpn der ca filename ca.cer pki import domain sslvpn p12 local filename server.pfx # ssl server-policy ssl pki-domain sslvpn # sslvpn gateway gw ip address 1.1.1.2 port 2000 ssl server-policy ssl 参考配置 2018-01-08

H3C机密，未经许可不得扩散第22页, 共197页

service enable # sslvpn context ctx1 H3C NGFW测试用例 gateway gw domain domain1 url-list urllist heading web url serverA url-value 20.2.2.2 # sslvpn context ctx1 policy-group pgroup resource url-list urllist # sslvpn context ctx1 default-policy-group pgroup service enable # 预期结果访问sslvpn界面成功，能够成功跳转访问web资源防火墙、PC机测试准备测试说明测试结果 2018-01-08

H3C机密，未经许可不得扩散第23页, 共197页

H3C NGFW测试用例原始记录

2018-01-08

H3C机密，未经许可不得扩散第24页, 共197页

H3C NGFW测试用例

T03 NAT功能

T03-01 NAT（PAT）测试

测试分组测试项目测试拓扑 NAT测试私网地址转换公网地址的功能测试NAT设备将私网地址通过PAT方式转换为公网地址的功能测试目的 (12) 将FWA上连接私网Host1的接口GE0/1加入到Trust域，连接公网Host2的接口GE0/2加入到Untrust域，并配置Trust域到Untrust域的Permit的域间策略；测试步骤 (13) 在FWA上配置NAT地址池和转换规则； (14) 将NAT应用到接口GE0/2上； (15) 从Host1上pingHost2地址，并在FWA上查看NAT信息。 FWA上的NAT配置： # NAT转换源地址的acl规则。 acl number 2000 rule 0 permit source 192.1.1.0 0.0.0.255 参考配置 # NAT转换使用的地址池。 nat address 1 202.38.165.12202.38.165.21 # 在FWA和Host2之间的接口GE0/2上配置NAT。 interface GigabitEthernet 0/2 natoutbound2000address-group1 ? 处于私网的Host1能ping通处于公网的Host2。 ? 查看NAT信息正常。 display nat all NAT address-group information: 预期结果 There are currently 1 nat address-group(s) 1 : from 202.38.165.12 to 202.38.165.21 NAT bound information: There are currently 1 nat bound rule(s) 2018-01-08

H3C机密，未经许可不得扩散第25页, 共197页

H3C NGFW测试用例 Interface: GigabitEthernet0/1 Direction: outbound ACL: 2000 Address-group: 1 NO-PAT: N 测试准备测试说明测试结果原始记录 Host1上有访问公网Host2的路由，而Host2只有去往NAT设备公网地址的路由 T03-02 NAT Server测试

测试分组测试项目测试拓扑 NAT测试公网地址向私有地址的转换测试NAT设备将公网地址转换为私网地址的功能测试目的 (16) 将FWA上连接私网Host1的接口GE0/1加入到Trust域，连接公网Host2的接口GE0/2加入到Untrust域，并配置Untrust到Trust的Permit的域间策略；测试步骤 (17) 在FWA的GE0/2接口上配置NATserver； (18) 从Host2上访问Host1地址，并在FWA上查看NAT信息。 # 在FWA的接口GE0/2上配置NATserver。参考配置 interface GigabitEthernet 0/2 natserverprotocolicmpglobal202.38.165.1inside192.1.1.100 ? 公网的Host2能通过natserver的公网地址ping通私网Host1。 ? 查看NAT Server信息正常： display nat server NAT server in private network information: 预期结果 There are currently 1 internal server(s) Interface: GigabitEthernet0/2, Protocol: 1(icmp) Global: 202.38.165.1 : --- Local : 192.1.1.100 : --- 测试准备测试说明 2018-01-08

Host1有访问公网Host2的路由，而Host2只有去往NAT设备公网地址的路由 H3C机密，未经许可不得扩散

第26页, 共197页

测试结果原始记录 PC，防火墙 H3C NGFW测试用例 T03-03 NAT ALG测试

测试分组测试项目 NAT测试测试NAT ALG GE0/1GE0/2测试拓扑 FWAAvalanche 测试目的测试NAT ALG，这里测试ALG SIP (19) 配置FWA，将相关端口配置IP地址，加入到安全域，并配置域间策略；测试步骤 (20) 配置avalanche的客户端的sip和服务端的sip，客户端地址范围为：1.1.1.2-1.1.1.254； (21) Avalanche的客户端向服务器打sip报文，应可以正常建立SIP连接。 FWA上配置： # 创建NAT ACL。 acl number 2000 rule 0 permit source 1.1.0.0 0.0.255.255 # 设置端口IP地址并在GE0/2上启用NAT Easy IP。 interface GigabitEthernet0/1 port link-mode route 参考配置 ip address 1.1.1.1 255.255.0.0 interface GigabitEthernet0/2 port link-mode route nat outbound 2000 ip address 2.2.2.1 255.255.0.0 # 开启ALG SIP。 Nat alg sip 预期结果测试准备 SIP连接正常，SIP通信正常 2018-01-08

H3C机密，未经许可不得扩散第27页, 共197页

测试说明测试结果原始记录 H3C NGFW测试用例 T03-04 NAT Server负载分担

测试分组测试项目 NAT测试测试NAT server负载分担方式 GE1/0/1 GE1/0/2GE1/0/3 FWA测试拓扑 Avalanche 测试目的测试NAT server负载分担方式 (22) 配置FWA，将相关端口配置IP地址，加入到安全域，并配置域间策略； (23) Avalanche对接GE1/0/1的客户端的ip地址和服务端的ip地址，客户端地址范围为：1.1.1.2-1.1.1.254；测试步骤 (24) Avalanche接端口GE1/0/2服务端地址为：2.1.1.2；接端口GE1/0/3服务端的地址为：3.1.1.2 (25) Avalanche的客户端打流量：源ip变化个数为2、目的IP为natserver的globalIP，查看仪表端口2和端口3的收包情况。 FWA上配置: # 创建nat server-group nat server-group 1 inside ip 2.1.1.2 port 80 weight 50 insideip 3.1.1.2 port 80 weight 50 # 设置端口IP地址并在GE0/1上启用nat server。参考配置 interface GigabitEthernet1/0/1 port link-mode route ip address 1.1.1.1 255.255.0.0 natserverprotocoltcpglobal1.1.1.180 insideserver-group1 interface GigabitEthernet1/0/2 port link-mode route 2018-01-08

H3C机密，未经许可不得扩散第28页, 共197页

H3C NGFW测试用例 ip address 2.1.1.1 255.255.0.0 interface GigabitEthernet1/0/3 portlink-mode route ip address 3.1.1.1 255.255.0.0 预期结果仪表的port2和port3都能收到报文，且每个端口分别收到不同源ip的报文，收到报文比例为1:1 测试仪Avalanche、防火墙测试准备测试说明测试结果原始记录 T03-05 NAT无限连接方式

测试分组测试项目 NAT无限连接测试测试NAT 无限连接方式 GE1/0/1 GE1/0/2测试拓扑 FWA Avalanche 测试目的测试NAT 无限连接方式 (26) 配置FWA，将相关端口配置IP地址，加入到安全域，并配置域间策略； (27) Avalanche对接FWA端口GE1/0/1的一端为客户端，对接GE1/0/2的一端为服务端。测试步骤 (28) 配置Avalanche的客户端的ip地址和服务端的ip地址，客户端地址为：1.1.1.2；服务端地址范围为：2.1.1.2—2.1.1.254； (29) Avalanche的客户端打流量，源IP、源port唯一不变，目的地址变化，变化范围为2.1.1.2---2.1.1.254，查看仪表收到情况 FWA上配置: # 创建nat address-group。 nat address-group 1 参考配置 port-range 1024 1024 address 3.1.1.1 3.1.1.1 # 设置端口IP地址并在GE0/2上启用natoutbound。 interface GigabitEthernet0/1 2018-01-08

H3C机密，未经许可不得扩散第29页, 共197页

H3C NGFW测试用例 port link-mode route ip address 1.1.1.1 255.255.0.0 interface GigabitEthernet0/2 port link-mode route ip address 2.1.1.1 255.255.0.0 natoutboundaddress-group1 预期结果测试准备测试说明测试结果原始记录流量都做nat，仪表能收到报文，且不丢包测试仪、防火墙、PC T03-06 NAT444测试

测试分组测试项目 NAT444测试 NAT444功能测试，NAT444端口块分配、地址转换 GE1/0/1 GE1/0/2测试拓扑 FWA Avalanche 测试目的测试NAT444的功能，这里测试动态NAT444 (30) 配置接口IP地址。 (31) 创建地址池池，配置地址段、端口范围和端口块大小。每框插至少2块接口板，每块接口板卡至少取一根线连接，作为堆叠口。测试步骤 (32) 在接口GE1/0/2引用nat地址池。 (33) Avalanche打流量从GE1/0/1口到GE1/0/2。 (34) 流量可以正常转发，流量源IP地址被转换，查看NAT444表项。 FWA上配置: # 配置NAT444地址池参考配置 nat address-group 0 port-range 10001 65000 port-block block-size 1000 2018-01-08

H3C机密，未经许可不得扩散第30页, 共197页

H3C NGFW测试用例 address 202.183.14.1 202.183.14.5 # 配置接口IP地址，并在出接口引用NAT444地址池 interface GigabitEthernet1/0/1 port link-mode route ip address 192.0.0.1 255.255.255.0 # interface GigabitEthernet1/0/2 port link-mode route ip address 202.0.0.1 255.255.255.0 nat outbound address-group 0 预期结果测试准备测试说明测试结果原始记录流量都做nat444转换，Avalanche能收到报文，转换的端口地址在10001到65000之间测试仪、防火墙、PC T03-07 NAT FULLCONE测试

测试分组测试项目 NAT FULLCONE测试测试NAT fullcone功能 GE1/0/1 GE1/0/2测试拓扑 FWA TestCenter (35) 配置nat地址池192.168.2.200 ，可用端口范围1024-65535。配置full-cone， (36) TestCenter向GE1/0/1发送UDP报文，源地址为192.168.1.2，源端口为2048，目的IP为192.168.2.2 ；nat转换后源IP:192.168.2.200,源端口：x ; 测试目的 (37) TestCenter向GE1/0/2发送UDP包：源IP是192.168.2.3，目的为192.168.2.200 端口为x，观察结果1 (38) TestCenter向GE1/0/1发送UDP报文，源地址为192.168.1.2，源端口为2049，目的IP为192.168.2.2和192.168.2.3 ；nat转换后源IP:192.168.2.200,源端口：y ;有结果2 FWA上配置: 测试步骤 # 创建nat 地址池。 H3C机密，未经许可不得扩散

第31页, 共197页

2018-01-08

H3C NGFW测试用例 nataddress-group1 address192.168.2.200192.168.2.200 # 设置端口IP地址并在GE0/2上启用nat easy ip。 interface GigabitEthernet1/0/1 port link-mode route ip address 192.168.1.1 255.255.0.0 interface GigabitEthernet1/0/2 port link-mode route natoutboundaddress-group1 ip address 2.2.2.1 255.255.0.0 # 开启nat fullcone功能。 natmapping-behaviorendpoint-independent 参考配置预期结果 ? TestCenter接GE1/0/1的一端可以收到报文； ? 查看会话。采用同样的源地址/端口访问不同的目的，转换后的源地址/端口一致。测试准备测试说明测试结果原始记录测试仪、防火墙、PC T04 日志功能

T04-01 系统日志功能

测试分组测试项目系统维护功能测试日志测试测试拓扑 PC10.1.1.1/2410.1.1.2/24FWA 测试目的测试防火墙日志保存的基本功能 (39) 将FWA接PC端口加入到安全域，并设置该安全域到Local域的域间策略。测试步骤 (40) 在FW上执行相关的查看操作，比如displaycurrent-configuration等操作； (41) 在FW上查看log缓存内容。 2018-01-08

H3C机密，未经许可不得扩散第32页, 共197页

参考配置预期结果测试准备 H3C NGFW测试用例防火墙上log缓存内容查看命令：display logbuffer 能够看到在防火墙上进行的相关操作，防火墙能够正常的记录防火墙、PC 如在防火墙上上执行了如下命令： ? displaycurrent-configuration ? displaylogbuffer 测试说明 ? displayospfpeer ? displayiprouting-table ? displaylogbuffer查看log缓存，应该能够看到相应的记录测试结果原始记录

T04-02 NAT\\会话二进制日志测试

测试分组测试项目系统维护功能二进制日志测试测试拓扑测试目的测试防火墙发送日志到日志服务器 (42) 配置Host1、 Host2和Host3链路和IP地址；Host3为日志服务器。 (1) 将FWA的各接口加入安全域，并配置域间策略；测试步骤 (2) FWA出接口GE0/2配置nat oubound； (3) Host1到202.38.165. 0/24路由可达； (4) Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1； (5) Host1 通过HTTP访问 Host2（也可以ping Host2）。 # 设置userlog日志。 info-centerenable 参考配置 userlog flow export host 10.1.1.1 port 30017 userlogflowexportversion3 nat log enable 2018-01-08

H3C机密，未经许可不得扩散第33页, 共197页

H3C NGFW测试用例 nat log flow-begin nat log flow-end # 出接口GE0/2上配置NAT。 natoutbound3001address-group202 # 设置nat地址池和acl。 nat address-group 202 address 202.0.0.245 202.0.0.247 acl number 3001 rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2 0.0.0.255 预期结果测试准备测试说明日志服务器host3上面看到userlog日志 PC，防火墙在日志主机上能够看到相应的记录： %Apr 3 09:43:51:765 2014 M9000 NAT/6/NAT_FLOW: -Chassis=1-Slot=9.1; Protocol(1001)=TCP;SrcIPAddr(1003)=192.1.1.100;SrcPort(1004)=1026;NatSrcIPAddr(1005)=202.0.0.245;NatSrcPort(1006)=45597;DstIPAddr(1007测试结果 )=202.38.165.2;DstPort(1008)=80;NatDstIPAddr(1009)=202.38.165.2;NatDstPort(1010)=80;InitPktCount(1044)=1;InitByteCount(1046)=56;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=04032014094351;EndTime_e(1014)=;Event(1048)=(8)Session created; 原始记录

T04-03 NAT444日志测试

测试分组测试项目系统维护功能 customlog日志测试 2018-01-08

H3C机密，未经许可不得扩散第34页, 共197页

H3C NGFW测试用例测试拓扑测试目的测试防火墙发送日志到日志服务器 (6) 配置Host1、Host2和Host3链路和IP地址；Host3为日志服务器。 (7) 将FWA的各接口加入安全域，并配置域间策略；测试步骤 (8) FWA出接口GE0/2配置natoubound； (9) Host1到202.38.165.0/24路由可达；Host2到nat地址池网段202.0.0.0/24,下一跳指向202.38.165.1； (10) Host1通过 http访问Host2（也可以pingHost2）。 # 设置customlog日志。 info-centerenable nat log enable nat log alarm nat log flow-begin nat log flow-end natlogport-block-assign customlogformatcmcc customloghost10.1.1.1exportcmcc-sessionlog #创建NAT地址池0。参考配置 nat address-group 0 port-range 10001 61200 port-block block-size 512 address 200.0.0.0 200.0.0.255 # 出接口GE0/2上配置NAT444： natoutbound3001address-group0 # 设置acl acl number 3001 rule 0 permit ip source 192.1.1.100 0.0.0.255 destination 202.38.165.2 0.0.0.255 2018-01-08

H3C机密，未经许可不得扩散第35页, 共197页

预期结果测试准备 H3C NGFW测试用例日志服务器host3上面上看到customlog日志 PC，防火墙在日志主机上能够看到相应的记录：测试说明 Apr0314:37:4610.1.1.21-2014Apr0314:37:23M9000-NAT444:SessionA1396535843|0|192.1.1.100|1301|202.0.0.245|13867|202.38.165.2|80|6 测试结果原始记录 T04-04 二进制日志主机负载分担测试

测试分组测试项目系统维护功能二进制日志主机负载分担测试测试 NSC1 10.1.1.1GE1/0/1 192.1.1.1测试拓扑 GE1/0/2 202.38.165.1NSC2 11.1.1.1 测试目的测试防火墙发送日志到日志服务器 (11) 配置日志服务器NSC1和NSC2的ip地址，并且通过FW可以路由可达 (12) 将FWA的各接口加入安全域，并配置域间策略； (13) FWA出接口GE1/0/2配置natoubound；测试步骤 (14) Userlog日志服务器为NSC1和NSC2，并且配置负载均衡 (15) Tester为发包测试仪，向端口G1/0/1发送source ip为192.1.0.0/16网段（变化个数为1000），目的为202.36.165.2的报文，测试仪另一端口接收。 (16) 查看日志服务器NSC1和NSC2上的日志，有预期结果 # 配置userlog日志服务器。 userlogflowexporthost10.1.1.1port40517 userlogflowexporthost11.1.1.1port40517 参考配置 # 配置日志主机负载均衡。 userlogflowexportload-balancing # 配置nat log。 nat log enable 2018-01-08

H3C机密，未经许可不得扩散第36页, 共197页

H3C NGFW测试用例 nat log flow-begin nat log flow-end # 在出接口G1/0/2配置NAT。 natoutbound3001address-group202 nataddress-group202 address202.0.0.245202.0.0.247 aclnumber3001 rule0permitipsource192.1.1.1000.0.0.255destination202.38.165.20.0.0.255 预期结果测试准备测试说明测试结果原始记录日志服务器NSC1和NSC2上面上看到二进制日志日志日志服务器、测试仪、防火墙 T05 可靠性

T05-01 HA ---Active/Standby模式

测试分组测试项目设备高可靠性测试测试拓扑测试目的 (1) 将两台FW进行IRF堆叠，组成SCF集群；测试步骤 (2) 分别将上行、下行两台设备的接口作为成员加入冗余口reth1和reth2，并配置IP address和域间策略； (3) 将reth1和reth2作为冗余口成员加入冗余组，并配置track各个物理口作为双机切换触发2018-01-08

H3C机密，未经许可不得扩散

第37页, 共197页

条件； (4) 开启会话备份； H3C NGFW测试用例 (5) Client ping Server,并从server上ftp get一个文件，查看会话，shutdown掉主机上行接口，有结果1； (6) Client ping Server,并从server上ftp get一个文件，查看会话，undo shutdown掉主机上行接口,有结果2。 irf堆叠配置略 # interface Reth1 member interface GigabitEthernet1/0/1 priority 255 member interface GigabitEthernet2/0/1 priority 1 # interface Reth2 member interface GigabitEthernet1/0/2 priority 255 member interface GigabitEthernet2/0/2 priority 1 # track 1 interface GigabitEthernet 1/0/1 track 2 interface GigabitEthernet 2/0/1 track 3 interface GigabitEthernet 1/0/2 track 4 interface GigabitEthernet 2/0/2 参考配置 # redundancy group 1 member interface Reth1 member interface Reth2 node 1 bind slot 1 priority 255 track 1 interface GigabitEthernet1/0/1 track 3 interface GigabitEthernet1/0/2 node 2 bind slot 2 priority 1 track 2 interface GigabitEthernet2/0/1 track 4 interface GigabitEthernet2/0/2 2018-01-08

H3C机密，未经许可不得扩散第38页, 共197页

# H3C NGFW测试用例 session synchronization enable # 预期结果测试准备测试说明 (1) ftp能够传输成功，记录ping丢包的个数。 (2) ftp能够传输成功，记录ping丢包的个数。防火墙、PC机主要配置如下：测试结果查看冗余组信息； 2018-01-08

H3C机密，未经许可不得扩散第39页, 共197页

H3C NGFW测试用例显示Reth信息。可以看到Reth1和Reth2中优先级高的成员接口处于激活状态；手工关闭接口GigabitEthernet1/0/2，显示冗余组信息。可以看到优先级低的Node 2为主节点； 2018-01-08

H3C机密，未经许可不得扩散第40页, 共197页

H3C NGFW测试用例从SW1长pingSW2的接口vlan1，在ping的过程中手工拔出FW1的gi1/0/2，观察丢包情况； 2018-01-08

H3C机密，未经许可不得扩散第41页, 共197页

H3C NGFW测试用例可以看到，在主链路down的情况下，设备只丢了一个包。原始记录

T05-02 HA ---Active/Active模式

测试分组测试项目设备高可靠性测试 2018-01-08

H3C机密，未经许可不得扩散第42页, 共197页

H3C NGFW测试用例测试拓扑测试目的 (1) 将两台FW进行IRF堆叠，组成SCF集群； (2) 分别将上行、下行两台设备的接口作为成员加跨框聚合口Route-Aggregation 1和Route-Aggregation 2，并配置IP address和域间策略；测试步骤 (3) 开启会话备份； (4) Client ping Server,并从server上ftp get一个文件，查看会话，shutdown掉主机上行接口，有结果1； (5) Client ping Server,并从server上ftp get一个文件，查看会话，undo shutdown掉主机上行接口,有结果2。 irf堆叠配置略 # interface Route-Aggregation1 ip address 1.0.0.1 24 interface GigabitEthernet1/0/1 port link-aggregation group 1 interface GigabitEthernet2/0/1 port link-aggregation group 1 参考配置 # interface Route-Aggregation2 ip address 2.0.0.1 24 interface GigabitEthernet1/0/2 port link-aggregation group 2 interface GigabitEthernet2/0/2 port link-aggregation group 2 # session synchronization enable 2018-01-08

H3C机密，未经许可不得扩散第43页, 共197页

# H3C NGFW测试用例预期结果测试准备测试说明 (1) ftp能够传输成功，记录ping丢包的个数。 (2) ftp能够传输成功，记录ping丢包的个数。防火墙、PC机测试结果 2018-01-08

H3C机密，未经许可不得扩散第44页, 共197页

H3C NGFW测试用例原始记录 T05-03 硬件冗余测试

测试分组测试项目设备高可靠性测试测试安全引擎故障、链路故障、端口故障、整机掉电的冗余功能 PC1Bri-agg1Ragg1(Ten1/2/0/23、Ten2/2/0/23)测试拓扑 M9000IRFM9000框1Ragg2(Ten1/2/0/24、Ten2/2/0/24)Bri-agg2PC2M9000框2 测试目的 2018-01-08

测试安全引擎故障、链路故障、端口故障、整机掉电的的情况下，流量不断 H3C机密，未经许可不得扩散

第45页, 共197页

H3C NGFW测试用例 (3) 两框集群，配置跨框聚合的上行接口Ragg1（成员：ten1/2/0/23、ten2/2/0/23），下行接口为Ragg2（成员：ten1/2/0/24、ten2/2/0/24），将相关端口配置IP地址，加入到安全域，并配置域间策略； (4) 配置备份组，把两框业务板加入备份组； (5) 配置track ，监控fw插卡的状态。测试步骤 (6) 配置冗余组，备份组作为冗余组的成员，track作为node成员。 (7) 开启会话备份； (8) 上下行交换机和M9000对接接口二层聚合，进行二层透传转发，PC2指定网管到Ragg2，PC1指定网管到Ragg1; (9) 从PC2 ping PC1，设置各个故障点，查看业务不中断。有预期结果。设备上配置，集群的配置请见集群测试。 # 创建聚合接口。 interface Route-Aggregation1 ip address 181.1.1.1 255.255.255.0 nat static enable interface Route-Aggregation2 ip address 182.1.1.1 255.255.255.0 interface Ten-GigabitEthernet1/2/0/23 port link-mode route port link-aggregation group 1 参考配置 interface Ten-GigabitEthernet2/2/0/23 port link-mode route port link-aggregation group 1 interface Ten-GigabitEthernet1/2/0/24 port link-mode route port link-aggregation group 2 interface Ten-GigabitEthernet2/2/0/24 port link-mode route port link-aggregation group 2 # 设置备份组。 2018-01-08

H3C机密，未经许可不得扩散

第46页, 共197页

failover group a H3C NGFW测试用例 bind chassis 1 slot 3 cpu 1 primary bind chassis 2 slot 3 cpu 1 secondary # 设置track 防火墙板卡。 track 1 interface Blade1/3/0/1 physical track 3 interface Blade2/3/0/1 physical # 设置冗余组。 redundancy group 1 preempt-delay 5 hold-down-interval 300 member failover group a node 1 bind chassis 1 track 1 node 2 bind chassis 2 track 3 # 设置会话备份功能。 sessiosynchronizationenable ? reboot 1框安全引擎，ping 不断；预期结果 ? 拔出1框聚合成员口网线，制造链路故障，ping 不断； ? Shut 1框聚合口Ragg1成员ten1/2/0/1，制造端口故障，ping流量不断。 ? 1框整机掉电的的情况下，ping流量不断。测试准备测试说明测试结果原始记录 PC、M9K设备、交换机 T05-04 三层聚合口功能测试

测试分组测试项目 2018-01-08

设备高可靠性测试三层聚合口功能测试 H3C机密，未经许可不得扩散

第47页, 共197页

H3C NGFW测试用例测试拓扑测试目的验证三层聚合接口能否正常建立和通信 (10) 分别在各防火墙上配置Route-Aggregation接口，并配置对应IP地址；测试步骤 (11) 把防火墙的端口GE7/0/47和GE7/0/48作为聚合口的成员端口； (12) 把聚合端口加入到安全域，配置相关安全域间策略； (13) 在FWA上pingFWB的Route-Aggregation接口地址，能有预期结果。 ? FW_A： # interface Route-Aggregation2 ip address 212.1.1.1 255.255.255.0 # interface GigabitEthernet 7/0/47 port link-mode route port link-aggregation group 2 # interface GigabitEthernet 7/0/48 port link-mode route 参考配置 port link-aggregation group 2 ? FW_B： # interface Route-Aggregation2 ip address 212.1.1.2 255.255.255.0 # interfaceGigabitEthernet 1/0/10 portlink-moderoute port link-aggregation group 2 # interface GigabitEthernet 1/0/11 portlink-moderoute 2018-01-08

H3C机密，未经许可不得扩散第48页, 共197页

H3C NGFW测试用例 portlink-aggregationgroup2 # 预期结果测试准备测试说明测试结果原始记录在FWA上可以ping通FWB的Route-Aggregation接口地址防火墙、PC机这里的Ethernet接口可以是1G或10G、40G、100G接口 T06 虚拟化功能

T06-01 虚拟防火墙-独立安全策略、独立重启

测试分组虚拟防火墙支持支持一虚多（至少2个以上虚墙），考察虚墙资源划分方式（独占资源或者共享资源），支持独立管理，独立安全策略，独立重启测试项目测试拓扑测试目的支持一虚多（至少2个以上虚墙），考察虚墙资源划分方式（独占资源或者共享资源）。 (1) 创建名为A的虚墙，将接口ge1/0/1和接口ge1/0/2以独占方式划入到A中； (2) 启动虚拟防火墙A，在ge1/0/1和ge1/0/2上配置ip address，将ge1/0/1加入到安全域trust，测试步骤将ge1/0/2加入到安全域untrust中，配置域间策略，对telnet业务放行，阻止ICMP PING报文； (3) pc1连到ge1/0/1上，pc2连到ge1/0/2上，pc2开启telnet服务； 2018-01-08

H3C机密，未经许可不得扩散

第49页, 共197页

Word文档下载：H3C 防火墙测试模板 - 图文.doc

搜索更多:H3C 防火墙测试模板 - 图文