H3C 防火墙测试模板 - 图文

测试手册（H3C NGFW）

Copyright ?2015杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

T01设备自身安全性 ····································································································· 2 T02访问控制 ············································································································ 13 T03 NAT功能 ············································································································ 25 T04日志功能 ············································································································ 32 T05可靠性 ··············································································································· 37 T06虚拟化功能 ········································································································· 49 T07 Flood攻击防御功能 ······························································································ 63 T08特征库升级 ········································································································· 67 T09 IPS攻击防护功能 ································································································· 69 T10攻击防护响应方式 ································································································ 86 T11 IPS自定义攻击 ···································································································· 95 T12带宽管理功能 ······································································································ 97 T13数据过滤功能 ···································································································· 125 T14文件过滤 ·········································································································· 144 T15 URL分类过滤功能 ······························································································ 147 T16病毒防御 ·········································································································· 168 T17链路负载均衡（更详细内容参考链路负载均衡测试手册） ············································ 185 T18服务器负载均衡（更详细内容参考服务器负载均衡测试手册） ······································ 187 T19性能测试 ·········································································································· 187

i

H3C NGFW测试用例

T01 设备自身安全性

T01-01 设备安全登录

测试分组 测试项目 设备自身安全性 设备安全登录 10.1.1.1/2410.1.1.2/24测试拓扑 PCFW 测试目的 支持HTTPS、SSH管理 (1) PC作为SSH Client，FW作为SSH Server；PC作为Web登录的Client,FW作为Web Server； (2) 在设备上使能https服务； (3) 首先在FW上生成本地密钥对； 测试步骤 (4) 在FW上配置用户登录验证方式为scheme； (5) 在FW上使能ssh server enable，并配置一个用户名为ssh，登录方式为stelnet； (6) 配置本地用户名ssh，密码123456，服务类型ssh； (7) 在PC上运行支持SSH的客户端软件(如putty)，以用户名ssh，密码123456，登录FW。 FW： 放行接口所在域到local和local到接口所在域的域间策略 SSH配置 public-key local create rsa public-key local create dsa line vty 0 63 authentication-mode scheme 参考配置 protocol inbound ssh ssh user ssh service-type stelnet authentication-type password local-user ssh service-type ssh password simple 123456 authorization-attribute user-role network-admin ssh server enable Web配置 2018-01-08

H3C机密，未经许可不得扩散 第2页, 共197页

ip http enable ip https enable H3C NGFW测试用例 local-user web class manage password simple 123456 service-type http https authorization-attribute user-role network-admin 预期结果 测试准备 测试说明 用sshv2作为用户名通过SSH密码认证方式登录成功，用web作为用户名进行https登录成功。 防火墙，PC domain system下需为默认配置 SSH登录过程： (1) 使用SSH方式登录设备，PC地址为1.1.1.2，FW的gi1/0/0为1.1.1.1，三层可达； 测试结果 2018-01-08

H3C机密，未经许可不得扩散 第3页, 共197页

H3C NGFW测试用例 2018-01-08

H3C机密，未经许可不得扩散 第4页, 共197页

H3C NGFW测试用例 (2) 通过用户名ssh，密码123456，ssh方式能通过认证并得到设备管理权限。 HTTP登录过程： 2018-01-08

H3C机密，未经许可不得扩散

第5页, 共197页

H3C NGFW测试用例 通过用户名web，密码123456，web方式能通过认证并得到登录设备管理页面。 原始记录

T01-02 用户身份认证安全

测试分组 测试项目 设备自身安全性 用户身份认证安全 1.1.1.1/241.1.1.2/243.1.1.2/24Radius Server 1FWA100.1.1.13.1.1.3/24Telnet PC测试拓扑 测试目的 管理员登入身份认证支持AD或Radius方式 (1) 将相关接口加入到Trust域，并配置域间策略，放通local到登录接口所在域、登录接口所在域到local、local到NAS接口所在域和NAS接口所在域到local的域间策略； 测试步骤 (2) FWA防火墙上对于VTY登录用户配置使用Radius进行认证和授权； (3) PC对FWA防火墙进行Tenlet登录。 FWA： radius scheme radius primary authentication 1.1.1.1 参考配置 key authentication simple 123456 domain system authentication login radius-scheme radius authorization login radius-scheme radius accounting none 2018-01-08

H3C机密，未经许可不得扩散 第6页, 共197页

line vty 0 63 H3C NGFW测试用例 authentication-mode scheme 预期结果 测试准备 能够看到PC通过Telnet登录防火墙获得的权限与Radius服务器上配置的用户权限相同。 防火墙，PC，Radius Server 设备与Server需要互通，key需要与Server端配置的共享密钥相同，用户需要在Server端提前配好。 测试说明 测试结果 原始记录

T01-03 角色权限控制

测试分组 测试项目 设备自身安全性 角色权限工作 10.1.1.1/2410.1.1.2/24测试拓扑 PCFW 测试目的 角色分类，角色自定义各模块权限。 (1) 将防火墙的相关端口配置IP地址并加入到安全域trust.，并配置好域间策略。配置好telnet登录策略； (2) 用户user1登录防火墙后，只能查看命令，但不能进行任何配置； 测试步骤 (3) 用户user2登录防火墙后，拥有所有命令的权限； (4) 用户user3登录防火墙后，能配置ACL相关的配置，但是接口下的配置不能配置； (5) 用户user4登录防火墙后，能配置安全域和域间策略相关配置，但是无法配置ACL。 # local-user user1 class manage password simple 123456 service-type telnet authorization-attribute user-role level-0 参考配置 local-user user2 class manage password simple 123456 service-type telnet authorization-attribute user-role level-15 2018-01-08

H3C机密，未经许可不得扩散 第7页, 共197页

role name role1 H3C NGFW测试用例 rule 1 permit read write execute feature acl local-user user3 class manage password simple 123456 service-type telnet authorization-attribute user-role role1 role name role2 rule 1 permit read write feature security-zone local-user user4 class manage password simple 123456 service-type telnet authorization-attribute user-role role2 # (1) 无法配置任何命令。 预期结果 (2) 可以配置所有配置。 (3) 能配置ACL相关配置，但是不能配置接口下的配置。 (4) 能配置安全域和域间策略的相关命令，但是无法配置ACL。 测试准备 测试说明 测试结果 防火墙、PC机 (1) 首先需要创建角色，在角色中创建资源控制策略，例如：vpn、接口、安全域和vlan。 (2) 然后将角色分配给指定用户，实现用户的权限控制。 (1) 用户user1登录防火墙后，只能查看命令，但不能进行任何配置； 2018-01-08

H3C机密，未经许可不得扩散 第8页, 共197页

H3C NGFW测试用例 (2) 用户user2登录防火墙后，拥有所有命令的权限； 2018-01-08

H3C机密，未经许可不得扩散 第9页, 共197页

H3C NGFW测试用例 (3) 用户user3登录防火墙后，能配置ACL相关的配置，但是接口下的配置不能配置； 2018-01-08

H3C机密，未经许可不得扩散 第10页, 共197页

H3C NGFW测试用例 2018-01-08

H3C机密，未经许可不得扩散 第11页, 共197页

H3C NGFW测试用例 (4) 用户user4登录防火墙后，能配置安全域和域间策略相关配置，但是无法配置ACL； 2018-01-08

H3C机密，未经许可不得扩散 第12页, 共197页

H3C NGFW测试用例 原始记录

T02 访问控制

T02-01 基于IPV4源、目的IP地址，时间段，域名的访问控制

测试分组 测试项目 访问控制 基于源、目标IP的访问控制、时间、域名的访问控制 2018-01-08

H3C机密，未经许可不得扩散 第13页, 共197页

H3C NGFW测试用例 Trust GE 0 / 2 10 . 1 . 1 . 1 / 24 Device GE 0 / 1 20 . 1 . 1 . 1 /2 4 Untrust 测试拓扑 Host1 10 . 1 . 1 . 12 /2 4 Internet 测试目的 基于源、目标ip的访问控制、时间、域名的访问控制 (1) 创建名为work的时间段，其时间范围为每周工作日的11点到12点； (2) 配置接口GE0/2、GE0/1的IP地址； (3) 把GE0/2加入Trust域，GE0/1加入Untrust； (4) Host1访问Internet中的网络资源，有预期结果1； (5) 创建ipv4地址对象组s1，在s1中创建地址对象10.10.10.100； (6) 创建ipv4地址对象组d1，在d1中创建地址对象8.8.8.8； 测试步骤 (7) 创建ipv4对象策略，规则允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文通过； (8) 配置Trust域到Untrust域的域间策略，应用对象策略policy1； (9) Host1ping 8.8.8.8有预期结果2； (10) 更改ipv4对象策略，使得允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文在时间段为work时通过，其他时间不能访问8.8.8.8； (11) Host1在工作日的11:00到12:00再次访问Internet中的网络资源，有预期结果3； (12) Host1在其他时间段再次访问Internet中的网络资源，有预期结果4。 # time-range work 11:00 to 12:00 working-day # interface GigabitEthernet0/2 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/1 参考配置 ip address 20.1.1.1 255.255.255.0 # security-zone name Trust import interface GigabitEthernet0/2 # security-zone name Untrust import interface GigabitEthernet0/1 # 2018-01-08

H3C机密，未经许可不得扩散 第14页, 共197页

本文来源：https://www.bwwdw.com/article/x4ng.html