SRX防火墙

来源：筏尚旅游网

SRX防火墙产品测试内容 ...................................................................................................... 4 1.1 设备清单及版本 ....................................................................................................... 4 1.2 SRX功能测试 .......................................................................................................... 4 1.3 设备可管理测试 ....................................................................................................... 6

1.3.1 测试内容 ........................................................................................................... 6 1.3.2 测试拓扑图 ....................................................................................................... 6 1.3.3 设备配置 ........................................................................................................... 6 1.3.4 测试表格 ........................................................................................................... 7 1.4 路由模式测试 ........................................................................................................... 9

1.4.1 测试内容 ........................................................................................................... 9 1.4.2 测试拓扑图 ....................................................................................................... 9 1.4.3 设备配置 ........................................................................................................... 9 1.4.4 测试表格 ......................................................................................................... 10 1.5 策略测试 ................................................................................................................. 13

1.5.1 测试内容 ......................................................................................................... 13 1.5.2 测试拓扑图 ..................................................................................................... 13 1.5.3 设备配置 ......................................................................................................... 14 1.5.4 测试表格 ......................................................................................................... 15 1.6 静态NAT测试 ....................................................................................................... 17

1.6.1 测试内容 ......................................................................................................... 17 1.6.2 测试拓扑图 ..................................................................................................... 17 1.6.3 设备配置 ......................................................................................................... 17 1.6.4 测试表格 ......................................................................................................... 19 1.7 基于rule的目的NAT测试 ................................................................................... 23

1.7.1 测试内容 ......................................................................................................... 23 1.7.2 测试拓扑图 ..................................................................................................... 23 1.7.3 设备配置 ......................................................................................................... 23 1.7.4 测试表格 ......................................................................................................... 25 1.8 基于接口的源NAT测试 ....................................................................................... 28

1.8.1 测试内容 ......................................................................................................... 28 1.8.2 测试拓扑图 ..................................................................................................... 28 1.8.3 设备配置 ......................................................................................................... 28 1.8.4 测试表格 ......................................................................................................... 29 1.9 基于Rule的源NAT测试-1 .................................................................................. 31

1.9.1 测试内容 ......................................................................................................... 31 1.9.2 测试拓扑图 ..................................................................................................... 31 1.9.3 设备配置 ......................................................................................................... 31 1.9.4 测试表格 ......................................................................................................... 32

1.10 基于Rule的源NAT测试-2 .................................................................................. 35

1.10.1 测试内容 ......................................................................................................... 35 1.10.2 测试拓扑图 ..................................................................................................... 35 1.10.3 设备配置 ......................................................................................................... 35 1.10.4 测试表格 ......................................................................................................... 36 1.11 HA工作方式测试 .................................................................................................. 39

1.11.1 测试内容 ......................................................................................................... 39 1.11.2 测试拓扑图 ..................................................................................................... 40 1.11.3 设备配置 ......................................................................................................... 40 1.11.4 测试表格 ......................................................................................................... 42 1.12 基于策略的长连接测试 ......................................................................................... 44

1.12.1 测试内容 ......................................................................................................... 44 1.12.2 测试拓扑图 ..................................................................................................... 45 1.12.3 设备配置 ......................................................................................................... 45 1.12.4 测试表格 ......................................................................................................... 46 1.13 SRX防火墙性能测试 ............................................................................................ 49

1.13.1 测试拓扑图 ..................................................................................................... 49 1.13.2 普通数据量压力测试 ..................................................................................... 49 1.13.3 大数据量压力测试 ......................................................................................... 49 1.13.4 长连接下的普通数据量压力测试 ................................................................. 50 1.13.5 设备配置 ......................................................................................................... 50 1.13.6 测试表格 ......................................................................................................... 51 1.14 SRX防火墙网管测试 ............................................................................................

1.14.1 SNMP管理测试 ............................................................................................. 1.14.2 NTP测试 ........................................................................................................ 57 1.14.3 Syslog测试 ..................................................................................................... 60 1.15 SRX防火墙VPN测试 .......................................................................................... 63

1.15.1 Ipsec VPN remote client测试......................................................................... 63 1.15.2 Ipsec VPN 点对点Policy base VPN连接测试 ............................................ 1.15.3 Ipsec VPN 点对点route base VPN连接测试 .............................................. 73 1.16 OSPF路由协议功能测试 ...................................................................................... 81

1.16.1 测试内容 ......................................................................................................... 81 1.16.2 测试拓扑图 ..................................................................................................... 81 1.16.3 设备配置 ......................................................................................................... 82 1.16.4 测试表格 ......................................................................................................... 82 1.17 VRRP协议功能测试 ............................................................................................. 86

1.17.1 测试内容 ......................................................................................................... 86 1.17.2 测试拓扑图 ..................................................................................................... 86 1.17.3 设备配置 ......................................................................................................... 87 1.17.4 测试表格 ......................................................................................................... 88 1.18 DHCP功能测试 ..................................................................................................... 90

1.18.1 测试内容 ......................................................................................................... 90 1.18.2 测试拓扑图 ..................................................................................................... 90 1.18.3 设备配置 ......................................................................................................... 91

1.18.4

测试表格 ......................................................................................................... 91

1 SRX防火墙产品测试内容

1.1 设备清单及版本

设备清单 SRX 240H 两台测试PC 两台测试软件：NetIQ TFTP Server/client Web Server ftp server Syslog server

设备版本 9.6 R1 XP SP2 5.4 TFTPD 32 Easy Web Server FileZilla Server TFTPD 32 文档版本 V1.0 备注 1.2 SRX功能测试

SRX防火墙的功能测试包括以下几个方面：  路由模式

 策略（ICMP、TCP、UDP）  基于策略的长连接  HA工作方式

 主备切换  Session同步  网管功能测试

 SNMP测试  NTP测试

 Syslog测试

 VPN功能测试

 Ipsec VPN remote client测试

 Ipsec VPN点对点测试  路由功能测试

 OSPF功能测试

1.3 设备可管理测试 1.3.1 测试内容

设备可管理测试是测试防火墙能否支持常用的管理协议，包括telnet、ssh、http和https；基本的测试方法为在防火墙配置相应的管理服务及管理用户，并在相应的接口或zone上配置是否可以接受管理，通过PC分别用telnet、ssh、http和https方式登录防火墙，从而验证防火墙的可管理功能。

1.3.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0SRX 240H -11.1.70.5/24Ge-0/0/8PC -21.1.70.6Gw: 1.1.70.5 1.3.3 设备配置

1、配置管理用户：

set system login user lab uid 2000

set system login user lab class super-user

set system login user lab authentication plain-text-password

2、配置系统管理服务：（ssh、telnet、http、https）

set system services ssh set system services telnet

set system services web-management http interface ge-0/0/0.0（可以进行的管理接口） set system services web-management http interface all

set system services web-management https system-generated-certificate set system services web-management https interface all

3、配置接口地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

4、配置zone或接口是否可以管理防火墙设备：

A、配置zone trust可以管理防火墙：

set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0

B、配置zone untrust可以管理防火墙，但其中的ge-0/0/8.0只能用telnet和http管理，其他的不允许：

set security zones security-zone untrust host-inbound-traffic system-services all

set security zones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services https

set security zones security-zone untrust interfaces ge-0/0/8.0 host-inbound-traffic system-services ssh

1.3.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-1 Juniper SRX防火墙：SRX240H-1 9.6R1 设备可管理测试验证设备可管理功能见本节的设备配置部分 1、按配置步骤进行配置 1、配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/24 2、在PC：10.1.10.5上分别用ssh、telnet、http、https方式登录防火墙的接口地址：10.1.10.1，并以用户lab登录，如正常则表示防火墙的可管理功能正常 3、在PC：1.1.70.7上分别用ssh、telnet、http、https方式登录防火墙的接口地址：1.1.70.5，并以用户lab登录，由于该接口在untrust zone，并且该接口只允许ssh及https管理，所以该用户只能已telnet和http来管理设备，用telnet和http则不允许访问防火墙。 4、检查命令：检查当前的登录用户： lab@SRX240H-1> show system users 11:50AM up 2 days, 23 mins, 2 users, load averages: 4.19, 3.75, 3.52 USER TTY FROM LOGIN@ IDLE WHAT lab p0 10.1.10.5 10:40AM 1:04 -cli (cli) lab p1 10.1.10.5 11:45AM - -cli (cli) lab jweb2 10.1.10.5 11:47AM 2 lab jweb1 10.1.10.5 11:50AM - 预期结果： 1、 PC：10.1.10.5上分别用ssh、telnet、http、https方式并以lab用户能正常登录防火墙的接口地址：10.1.10.1，并正常进行配置管理 2、在PC：1.1.70.7上只能用ssh、https方式并以lab用户正常登录防火墙的接口地址：1.1.70.5，并正常进行配置管理；其他的telnet和http方式则不允许。测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.4 路由模式测试 1.4.1 测试内容

路由模式测试是测试防火墙是否支持路由功能，基本的测试方法是在防火墙的内口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置。通过两台PC分别Ping及http访问对方，从而验证防火墙的路由功能。

1.4.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0SRX 240H -11.1.70.5/24Ge-0/0/8PC -21.1.70.7Gw: 1.1.70.5

1.4.3 设备配置

1、配置接口地址

set interfaces ge-0/0/0 unit 0 description to-LAN-trust

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 description to-WAN-untrust set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至

untrust zone

set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0

3、配置策略，允许trust和untrust之间互相通信，并且打开log记录

set security policies from-zone trust to-zone untrust policy default-permit match source-address any

set security policies from-zone trust to-zone untrust policy default-permit match destination-address any

set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit

set security policies from-zone trust to-zone untrust policy default-permit then log session-init

set security policies from-zone untrust to-zone trust policy default-permit match source-address any

set security policies from-zone untrust to-zone trust policy default-permit match destination-address any

set security policies from-zone untrust to-zone trust policy default-permit match application any set security policies from-zone untrust to-zone trust policy default-permit then permit

set security policies from-zone untrust to-zone trust policy default-permit then log session-init

1.4.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-2 Juniper SRX防火墙：SRX240H-1 9.6R1 设备可路由测试验证设备可路由传输功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在PC：10.1.10.5上分别ping及用http访问1.1.70.7，并且在1.1.70.7的web server查看访问的源地址是否为：10.1.10.5，如正常则表示trust zone的pc能通过路由正常访问另一个untrust zone。 4、在PC：1.1.70.7上分别ping及用http访问10.1.10.5，并且在10.1.10.5的web server查看访问的源地址是否为：1.1.70.7，如正常则表示untrust zone的pc能通过路由正常访问另一个trust zone。 5、检查命令： A、查看session连接及log信息： lab@SRX240H-1> show security flow session lab@SRX240H-1> show log rtlogd B、在web server查看客户端的源IP地址是否为对端的PC IP地址：预期结果： 1、 PC：10.1.10.5上分别用ping及用http访问1.1.70.7，能正常访问，并且在1.1.70.7的web server查看访问的源地址为：10.1.10.5 2、 PC：1.1.70.7上分别用ping及用http访问10.1.10.5，能正常访问，并且在10.1.10.5的web server查看访问的源地址为：1.1.70.7 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.5 策略测试 1.5.1 测试内容

策略测试是测试防火墙支持基于ICMP协议、TCP端口号和UDP端口号等信息进行策略配置，并针对每一条策略进行不同的操作（允许、拒绝等）。基本的测试方法是在防火墙的内口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略，及其他相关配置，其中策略至少包括三种策略，基于ICMP，基于TCP端口号和基于UDP端口号。通过网络PC的业务模拟功能进行测试。

推荐的测试策略：  ICMP  HTTP（TCP）  TFTP（UDP）

1.5.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0SRX 240H -11.1.70.5/24Ge-0/0/8PC -21.1.70.7Gw: 1.1.70.5 1.5.3 设备配置

1、配置接口地址

set interfaces ge-0/0/0 unit 0 description to-LAN-trust

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 description to-WAN-untrust set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至

untrust zone

3、配置策略，允许trust和untrust之间互相通信，并且打开log记录

A、配置trust至untrust之间测试的应用允许通过

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp

B、配置trust至untrust之间默认的策略为拒绝通过

set security policies from-zone trust to-zone untrust policy default-deny match source-address any set security policies from-zone trust to-zone untrust policy default-deny match destination-address any

set security policies from-zone trust to-zone untrust policy default-deny match application any set security policies from-zone trust to-zone untrust policy default-deny then deny

set security policies from-zone trust to-zone untrust policy default-deny then log session-init

C、配置untrust至trust之间默认的策略为拒绝通过

set security policies from-zone untrust to-zone trust policy default-deny match source-address any set security policies from-zone untrust to-zone trust policy default-deny match destination-address any

set security policies from-zone untrust to-zone trust policy default-deny match application any set security policies from-zone untrust to-zone trust policy default-deny then deny

set security policies from-zone untrust to-zone trust policy default-deny then log session-init

D、测试完将第一步的策略修改为从允许通过改为拒绝通过：

set security policies from-zone trust to-zone untrust policy policy-app-test then deny

1.5.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-3 Juniper SRX防火墙：SRX240H-1 9.6R1 设备策略测试验证设备的防火墙策略功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.6/24 3、在PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器1.1.70.6，如正常则表示trust zone的pc能通过策略正常访问另一个untrust zone的服务器。 4、将应用策略修改为拒绝，则PC：10.1.10.5上所有应用都不能访问 5、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查是否所有服务都正常允许或拒绝在permit的状况下，所有服务均正常允许访问，而在策略为deny的情况下，所有服务均拒绝访问。 C、检查log信息： lab@SRX240H-1> show log rtlogd D、 show结果及配置文件：预期结果： 1、在策略为允许的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，能正常访问 2、在策略为拒绝的情况下，PC：10.1.10.5上分别用ping、http、TFTP访问1.1.70.7，不能访问相应的业务测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.6 静态NAT测试 1.6.1 测试内容

基于静态NAT功能的要求是：对SRX内网侧的服务器主机地址进行一对一NAT映射，即对于从SRX侧进入内网侧的数据流，对目的地址进行NAT。具体的测试需求：

 在SRX防火墙上对PC－1的IP地址10.1.10.5进行地址转换，转换后的地址为

100.0.0.1。

 PC－1作为业务服务器端，PC－2作为业务客户端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

1.6.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1 10.1.10.5

10.1.10.1 1.1.70.PC-2 1.1.70.7 Internet Static NAT

100.0.0.

1.6.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置目的静态目的NAT

set security nat static rule-set static-nat-1 from zone untrust

set security nat static rule-set static-nat-1 rule rule-static-nat-1 match destination-address

100.0.0.1/32

set security nat static rule-set static-nat-1 rule rule-static-nat-1 then static-nat prefix 10.1.10.5/32

3、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zone

4、配置icmp、http、tftp应用允许从trust访问untrust

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp

5、配置允许untrust zone访问trust zone的服务器10.1.10.5

set security zones security-zone trust address-book address static-nat-pc-1 10.1.10.5/32

set security policies from-zone untrust to-zone trust policy permit-static-nat match source-address any

set security policies from-zone untrust to-zone trust policy permit-static-nat match destination-address static-nat-pc-1

set security policies from-zone untrust to-zone trust policy permit-static-nat match application any set security policies from-zone untrust to-zone trust policy permit-static-nat then permit

set security policies from-zone untrust to-zone trust policy permit-static-nat then log session-init set security policies from-zone untrust to-zone trust policy default-deny match source-address any set security policies from-zone untrust to-zone trust policy default-deny match destination-address

any

set security policies from-zone untrust to-zone trust policy default-deny match application any set security policies from-zone untrust to-zone trust policy default-deny then deny

set security policies from-zone untrust to-zone trust policy default-deny then log session-init

1.6.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备静态NAT测试验证设备的防火墙静态NAT功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在PC：1.1.70.7上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问NAT地址100.0.0.1，如正常则表示untrust zone的pc能通过NAT正常访问通过NAT对外提供服务的服务器。 4、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7，如正常则表示trust zone的pc能通过NAT正常访问服务器，并且在服务器上能看到访问的源地址为：100.0.0.1 5、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查是否所有服务都正常允许或拒绝从内网访问：从访问内网： C、检查log信息： lab@SRX240H-1> show log rtlogd D、show结果及配置文件：预期结果： 1、在静态NAT的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在1.1.70.7上看到源地址为NAT后的地址：100.0.0.1 2、在静态NAT的情况下，PC：1.1.70.7上分别用ping、http、TFTP访问内网PC：10.1.10.5对外的NAT地址：100.0.0.1，能正常访问，并且在10.1.1.10.7上看到源地址为NAT后的地址：100.0.0.1 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.7 基于rule的目的NAT测试 1.7.1 测试内容

基于rule的目的NAT功能的要求是：对SRX内网侧的服务器主机地址进行一对一NAT映射，即对于从SRX侧进入内网侧的数据流，对目的地址进行NAT；NAT地址池可以为1到多个，用于分别对应内网1到多个服务器。具体的测试需求：

 在SRX防火墙上对PC-1、PC-3的IP地址10.1.10.5、10.1.10.6进行地址转换，转

换后的地址分别为100.0.0.1、100.0.0.2。

 PC－1、PC-3作为业务服务器端，PC－2作为业务客户端进行业务测试，包括ICMP

（ping）、TCP（http）、UDP（TFTP）测试

 PC－1、PC-3作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP

（ping）、TCP（http）、UDP（TFTP）测试

1.7.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1、3 10.1.10.5、6

10.1.10.1 1.1.70.PC-2 1.1.70.7 InterneDestination NAT

100.0.0.1、2

1.7.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置基于rule的目的NAT

set security nat destination pool server-5 address 10.1.10.5/32 set security nat destination pool server-6 address 10.1.10.6/32

set security nat destination rule-set dnat-1 from zone untrust

set security nat destination rule-set dnat-1 rule rule-dnat-1 match destination-address 100.0.0.1/32 set security nat destination rule-set dnat-1 rule rule-dnat-1 then destination-nat pool server-5

set security nat destination rule-set dnat-1 rule rule-dnat-2 match destination-address 100.0.0.2/32 set security nat destination rule-set dnat-1 rule rule-dnat-2 then destination-nat pool server-6

3、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至untrust zone

4、配置icmp、http、tftp应用允许从trust访问untrust

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp

5、配置允许untrust zone访问trust zone的服务器10.1.10.5、10.1.10.6

set security zones security-zone trust address-book address dnat-pc-1 10.1.10.5/32 set security zones security-zone trust address-book address dnat-pc-2 10.1.10.6/32

set security zones security-zone trust address-book address-set dnat-pc address dnat-pc-1 set security zones security-zone trust address-book address-set dnat-pc address dnat-pc-2

set security policies from-zone untrust to-zone trust policy permit-dnat match source-address any

set security policies from-zone untrust to-zone trust policy permit-dnat match destination-address dnat-pc

set security policies from-zone untrust to-zone trust policy permit-dnat match application any

set security policies from-zone untrust to-zone trust policy permit-dnat then permit set security policies from-zone untrust to-zone trust policy permit-dnat then log session-init

1.7.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备基于rule的目的NAT测试验证设备的防火墙基于rule的目的NAT功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙内网侧，1台测试PC在防火墙侧，分别配置地址为：10.1.10.5、6/24和1.1.70.7/24 3、在PC：1.1.70.7上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问NAT地址100.0.0.1、100.0.0.2，如正常则表示untrust zone的pc能通过NAT正常访问通过NAT对外提供服务的服务器。 4、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查目的NAT Pool： lab@SRX240H-1> show security nat destination pool all C、检查是否所有服务都正常允许或拒绝从1.1.70.7访问内网NAT后IP地址：100.0.0.1、100.0.0.2： D、检查log信息： lab@SRX240H-1> show log rtlogd E、 show结果及配置文件：预期结果： 1、在目的NAT的情况下，PC：1.1.70.6上分别用ping、http、TFTP访问内网PC：10.1.10.5、6对外的NAT地址：100.0.0.1、2，能正常访问，并且在10.1.1.10.5、6上看到源地址为NAT后的地址：100.0.0.1 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.8 基于接口的源NAT测试 1.8.1 测试内容

基于接口的源NAT功能的要求是：对SRX内网侧的主机地址访问进行NAT转换，即对于从SRX内网侧进入侧的数据流，对源地址进行NAT，NAT地址为侧的接口IP地址。具体的测试要求为：

 在SRX防火墙上对PC－1的IP地址10.1.10.5进行地址转换，转换后的地址为SRX

的接口地址：1.1.70.5。

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

 检查在基于接口的源NAT的情况下，访问服务器的PC-2的源地址应该为防火

墙的接口地址。

1.8.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1 10.1.10.5

10.1.10.1 1.1.70.PC-2 1.1.70.7 Internet Source NAT

1.8.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置具有接口的源NAT

set security nat source rule-set snat-interface-1 from interface ge-0/0/0.0 set security nat source rule-set snat-interface-1 to zone untrust

set security nat source rule-set snat-interface-1 rule rule-snat-interface-1 match destination-address 0.0.0.0/0

set security nat source rule-set snat-interface-1 rule rule-snat-interface-1 then source-nat interface

3、配置往外访问的策略

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp set applications application-set app-test application http

set applications application-set app-test application junos-ftp

1.8.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备基于接口的源NAT测试验证设备的防火墙基于接口的源NAT功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙内、侧，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7，如正常则表示trust zone的pc能通过NAT正常访问服务器，并且在服务器上能看到访问的源地址为：1.1.70.5 4、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查源NAT状态： lab@SRX240H-1>show security nat source summary lab@SRX240H-1> show security nat source rule all C、检查是否所有服务都正常允许 D、检查log信息： lab@SRX240H-1> show log rtlogd 预期结果： 1、在基于接口的源NAT的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在1.1.70.7上看到源地址为NAT后防火墙的外围接口的地址：1.1.70.5 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.9 基于Rule的源NAT测试-1 1.9.1 测试内容

基于Rule的源NAT功能的要求是：对SRX内网侧的主机地址访问进行NAT转换，即对于从SRX内网侧进入侧的数据流，对源地址进行NAT，NAT地址为侧的与SRX口接口地址不在同一子网中：100.0.0.10。具体的测试要求为：

 在SRX防火墙上对PC－1的IP地址10.1.10.5进行地址转换，转换后的地址为SRX

的接口地址不在同一子网内：100.0.0.10。

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

 检查在基于Rue的源NAT的情况下，访问服务器的PC-2的源地址应该为防

火墙的NAT后的地址：100.0.0.10

1.9.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1 10.1.10.5

10.1.10.1 Source NAT Public IP： 100.0.0.10

1.1.70.PC-2 1.1.70.7 Internet

1.9.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置具有接口的源NAT

set security nat source pool snat-pool-1 address 100.0.0.10/32 set security nat source rule-set snat-rule-1 from zone trust

set security nat source rule-set snat-rule-1 to zone untrust

set security nat source rule-set snat-rule-1 rule rule-snat-rule-1 match source-address 10.1.10.0/24 set security nat source rule-set snat-rule-1 rule rule-snat-rule-1 match destination-address 0.0.0.0/0 set security nat source rule-set snat-rule-1 rule rule-snat-rule-1 then source-nat pool snat-pool-1

3、配置往外访问的策略

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp set applications application-set app-test application http

set applications application-set app-test application junos-ftp

1.9.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备基于Rule的源NAT测试-NAT地址与接口地址不在同一网段验证设备的防火墙基于Rule的源NAT功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙内、侧，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7，如正常则表示trust zone的pc能通过NAT正常访问服务器，并且在服务器上能看到访问的源地址为：100.0.0.10 4、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查源NAT状态： lab@SRX240H-1>show security nat source summary lab@SRX240H-1> show security nat source rule all C、检查是否所有服务都正常允许 D、检查log信息： lab@SRX240H-1> show log rtlogd 预期结果： 1、在基于接口的源NAT的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在1.1.70.7上看到源地址为NAT后防火墙的外围接口的地址：100.0.0.10 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.10 基于Rule的源NAT测试-2 1.10.1 测试内容

基于Rule的源NAT功能的要求是：对SRX内网侧的主机地址访问进行NAT转换，即对于从SRX内网侧进入侧的数据流，对源地址进行NAT，NAT地址为侧的与SRX口接口地址在同一子网中：1.1.70.10。具体的测试要求为：

 在SRX防火墙上对PC－1的IP地址10.1.10.5进行地址转换，转换后的地址为SRX

的接口地址在同一子网内：1.1.70.10。

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

 检查在基于Rue的源NAT的情况下，访问服务器的PC-2的源地址应该为防

火墙的NAT后的地址：1.1.70.10

1.10.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1 10.1.10.5

10.1.10.1 Source NAT Public IP： 1.1.70.10

1.1.70.PC-2 1.1.70.7 Internet

1.10.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置具有接口的源NAT

set security nat source pool snat-pool-2 address 1.1.70.10/32 set security nat source rule-set snat-rule-2 from zone trust

set security nat source rule-set snat-rule-2 to zone untrust

set security nat source rule-set snat-rule-2 rule rule-snat-rule-2 match source-address 10.1.10.0/24 set security nat source rule-set snat-rule-2 rule rule-snat-rule-2 match destination-address 0.0.0.0/0 set security nat source rule-set snat-rule-2 rule rule-snat-rule-2 then source-nat pool snat-pool-2

3、设置NAT地址的Proxy-ARP

set security nat proxy-arp interface ge-0/0/8.0 address 1.1.70.10/32

4、配置往外访问的策略

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp set applications application-set app-test application http

set applications application-set app-test application junos-ftp

1.10.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备基于Rule的源NAT测试-2：NAT地址与接口地址在同一网段验证设备的防火墙基于Rule的源NAT功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙内、侧，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7，如正常则表示trust zone的pc能通过NAT正常访问服务器，并且在服务器上能看到访问的源地址为：1.1.70.10 4、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查源NAT状态： lab@SRX240H-1>show security nat source summary lab@SRX240H-1> show security nat source rule all C、检查是否所有服务都正常允许 D、检查log信息： lab@SRX240H-1> show log rtlogd 预期结果： 1、在基于接口的源NAT的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在1.1.70.7上看到源地址为NAT后防火墙的外围接口的地址：1.1.70.10 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.11 HA工作方式测试 1.11.1 测试内容

防火墙的HA工作方式是指两台防火墙运行于主备工作状态，正常情况下，数据流通过主防火墙进行通信，在主防火墙出现故障时（包括各类线路故障和设备故障），业务可正常地切换到备份防火墙。

对于防火墙的HA工作方式的测试包含以下几个方面：  正常情况下，主防火墙承担所有业务流量。  两个防火墙内的session表的同步功能。

 主防火墙出现故障时，包括各种线路故障和设备故障，业务可正常地切换到备份防

火墙，并保证session不丢失。

 主防火墙故障排除后，业务可正常切换回主防火墙，并保证session不丢失。基本的测试方法是在使用网络PC模拟业务连接，在正常情况下，观察业务是否通过主防火墙正常运行，两台防火墙的session是否同步，然后进行主防火墙相关的各个单故障点的切换测试，观察业务是否可正常切换，最后将主防火墙进行恢复，观察业务是否可正常切换。

推荐的测试业务：  TFTP  HTTP  Ping

1.11.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -11/15二层交换机-4526T1/1910.1.10.1/24Ge-0/0/0FXP0：192.168.0.211Ge-0/0/7FXP1：Ge-0/0/11/20Ge-0/0/7SRX 240H -2FAB：Ge-0/0/15Ge-0/0/81/22二层交换机-2526T1/19PC -21.1.70.6Gw: 1.1.70.5Ge-0/0/0FXP0：192.168.0.212SRX 240H -11.1.70.5/241/21Ge-0/0/8 1.11.3 设备配置

1、 HA连线

根据不同的SRX设备类型，HA的连线会有所不同，本次测试使用的SRX 240的HA连线为，其中fxp0和fxp1的接口在srx240中必须为ge-0/0/0和ge0/0/1，fab可以为任何一个数据接口。 Ge-0/0/0为带管线FXP0 Ge-0/0/1为chassis cluster control plane：FXP1 Ge-0/0/15为chassis cluster data plane：fab Ge-0/0/7为内网接口：reth7 Ge-0/0/8为接口：reth8

2、配置HA

在主用SRX-1上配置：

set chassis cluster cluster-id 1 node 0 reboot 在备用SRX-1上配置：

set chassis cluster cluster-id 1 node 1 reboot

3、串口登录至srx-1上进行HA的其他配置 4、配置组中的设备名及fxp0管理地址 set groups node0 system host-name srx-1

set groups node0 interfaces fxp0 unit 0 family inet address 192.168.0.211/24 set groups node1 system host-name srx-2

set groups node1 interfaces fxp0 unit 0 family inet address 192.168.0.212/24 set apply-groups \"${node}\"

5、配置HA接口组：

set chassis cluster control-link-recovery set chassis cluster reth-count 10

set chassis cluster heartbeat-interval 1000 set chassis cluster heartbeat-threshold 3

set chassis cluster redundancy-group 0 node 0 priority 2 set chassis cluster redundancy-group 0 node 1 priority 100 set chassis cluster redundancy-group 1 node 0 priority 200 set chassis cluster redundancy-group 1 node 1 priority 100 set chassis cluster redundancy-group 1 preempt

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/7 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-5/0/7 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-5/0/8 weight 200 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/8 weight 200

6、配置各个reth接口及ip地址

set interfaces ge-0/0/7 gigether-options redundant-parent reth7 set interfaces ge-0/0/8 gigether-options redundant-parent reth8 set interfaces ge-0/0/13 unit 0 family inet address 192.168.1.211/24 set interfaces ge-5/0/7 gigether-options redundant-parent reth7 set interfaces ge-5/0/8 gigether-options redundant-parent reth8 set interfaces fab0 fabric-options member-interfaces ge-0/0/15 set interfaces fab1 fabric-options member-interfaces ge-5/0/15 set interfaces reth7 redundant-ether-options redundancy-group 1 set interfaces reth7 unit 0 family inet address 10.1.10.1/24

set interfaces reth8 redundant-ether-options redundancy-group 1 set interfaces reth8 unit 0 family inet address 1.1.70.5/24

7、将各个reth接口分配至相应的zone

set security zones security-zone trust interfaces reth7.0 set security zones security-zone untrust interfaces reth8.0

8、配置策略

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp set applications application-set app-test application junos-ftp

1.11.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备基于HA工作方式测试验证防火墙的HA功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙内、侧，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7 4、将主用SRX-1的对内网的网线ge-0/0/7断开，查看应用能否正常切换至备用设备SRX-2上 5、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查源HA状态： lab@SRX240H-1> show chassis cluster status lab@SRX240H-1> show interfaces terse C、检查是否所有服务都正常允许 D、检查log信息： lab@SRX240H-1> show log rtlogd lab@SRX240H-1> show log jsrpd E、 show结果及配置预期结果： 1、在HA的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在主设备SRX-1的内网线出现问题后，能切换至备用设备，并能继续传输数据测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.12 基于策略的长连接测试 1.12.1 测试内容

基于策略的长连接测试主要针对于合作伙伴接入区的长连接业务。基本的测试方法是在防火墙的内口分别连接网络PC，并按拓扑图，对防火墙进行相应的配置，包括IP地址，路由，策略及其他相关配置，对于需要进行长连接测试的策略，打开其长连接功能。

在网络PC建立连接，并在防火墙上形成session记录后，中断网络PC与防火墙的连接，在长时间后观察防火墙中的session表中的相关记录是否可保持住。测试的时间初步定为10天。

在测试指定长连接的策略是否可以满足长连接的需求的同时，还要对未做长连接的策略进行测试，以确定在长时间没有业务数据传输的情况下，防火墙会根据本身设定的超时时间，主动将未配置长连接的策略所产生的SESSION断开。

推荐的长连接测试策略：

 http

推荐的非长连接测试策略：  ICMP  TFTP(UDP) 配置步骤：

在之前的静态NAT的基础上进行测试：

 在SRX防火墙上对PC－1的IP地址10.1.10.5进行地址转换，转换后的地址为

100.0.0.1。

 将HTTP业务配置为长连接业务。

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

1.12.2 测试拓扑图

Trust Ge-0/0/0 SRX Ge-0/0/8 Untrust PC-1 10.1.10.5

10.1.10.1 1.1.70.PC-2 1.1.70.7 Internet Static NAT

100.0.0.

1.12.3 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置目的静态目的NAT

set security nat static rule-set static-nat-1 from zone untrust

set security nat static rule-set static-nat-1 rule rule-static-nat-1 match destination-address 100.0.0.1/32

set security nat static rule-set static-nat-1 rule rule-static-nat-1 then static-nat prefix 10.1.10.5/32

3、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分

配至untrust zone

4、配置icmp、http、tftp应用允许从trust访问untrust，并且配置HTTP为长连接。

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application http inactivity-timeout never set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp

5、配置允许untrust zone访问trust zone的服务器10.1.10.5

set security zones security-zone trust address-book address static-nat-pc-1 10.1.10.5/32

set security policies from-zone untrust to-zone trust policy permit-static-nat match source-address any

set security policies from-zone untrust to-zone trust policy permit-static-nat match destination-address static-nat-pc-1

set security policies from-zone untrust to-zone trust policy permit-static-nat match application any set security policies from-zone untrust to-zone trust policy permit-static-nat then permit

set security policies from-zone untrust to-zone trust policy default-deny match application any set security policies from-zone untrust to-zone trust policy default-deny then deny

set security policies from-zone untrust to-zone trust policy default-deny then log session-init

1.12.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 设备长连接测试测试验证设备长连接支持功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置2台测试PC在防火墙两端，分别配置地址为：10.1.10.5/24和1.1.70.7/24 3、在内网PC：10.1.10.5上分别运行ICMP（ping）、TCP（http）、UDP（tftp）应用访问服务器地址1.1.70.7 4、检查HTTP的超时时间为-1，即为长连接 5、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查是否所有服务都正常，并且http为长连接 C、检查log信息： lab@SRX240H-1> show log rtlogd D、show结果及配置文件：预期结果： 1、在长连接的情况下，内网PC：10.1.10.5上分别用ping、http、TFTP访问PC：1.1.70.7，能正常访问，并且在看到HTTP的timeout时间为-1，即从不超时测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.13 SRX防火墙性能测试 1.13.1 测试拓扑图

SRX防火墙性能测试需要在使用一对一NAT功能的情况下进行。

Trust SRX Untrust PC-1 10.1.10.5

10.1.10.1 Static NAT

1.1.70.PC-2 1.1.70.7 Internet 100.0.0.1/32

1.13.2 普通数据量压力测试

普通数据量压力测试是以当前网络的最大数据量进行测试（具体测试参数见下表），测试的基本方法是在防火墙中配置相应数量的策略，并把测试流量使用的策略放在策略表的最后，然后通过网络测试仪模拟出相应Session数和相应字节大小的数据量，测试完成后，查看丢包、延时等情况。

策略数 Session数数据包字节数 K 测试时长 10分钟 10分钟 30分钟 200 30000 1500K ～1500K 在本次测试中由于没有网络测试仪，所以只能用NetIQ来模拟数据流量，我们选取thougtput的脚本，来模拟流量防火墙的数据流量

1.13.3 大数据量压力测试

大数据量压力测试是模拟更大的网络数据量进行测试（具体测试参数见下表），测试的基本方法与普通数据量压力测试相同。

策略数 Session数数据包字节数 K 测试时长 10分钟 10分钟 30分钟 400 50000 1500K ～1500K 1.13.4 长连接下的普通数据量压力测试

长连接下的普通数据量压力测试是在防火墙中配置相应的长连接策略和普通连接策略，测试流量使用的策略放在策略表的最后，先建立5000个长连接Session保留在防火墙中，然后通过网络测试仪模拟出相应的符合普通连接策略的Session数和相应字节大小的数据量进行测试，测试完成后，查看丢包、延时及长连接等情况。

策略数 Session数数据包字节数测试时长 400 60000 ～1500K 24小时 1.13.5 设备配置

1、配置接口IP地址

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置目的静态目的NAT

set security nat static rule-set static-nat-1 from zone untrust

set security nat static rule-set static-nat-1 rule rule-static-nat-1 match destination-address 100.0.0.1/32

set security nat static rule-set static-nat-1 rule rule-static-nat-1 then static-nat prefix 10.1.10.5/32

3、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分

配至untrust zone

set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all

set security zones security-zone untrust interfaces ge-0/0/8.0

4、配置icmp、http、tftp应用允许从trust访问untrust，并且配置HTTP为长连接。

set security policies from-zone trust to-zone untrust policy policy-app-test match source-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match destination-address any

set security policies from-zone trust to-zone untrust policy policy-app-test match application app-test

set security policies from-zone trust to-zone untrust policy policy-app-test then permit

set security policies from-zone trust to-zone untrust policy policy-app-test then log session-init

set applications application http protocol tcp

set applications application http destination-port http set applications application http inactivity-timeout never set applications application-set app-test application http

set applications application-set app-test application junos-icmp-all set applications application-set app-test application junos-tftp

5、配置允许untrust zone访问trust zone的服务器10.1.10.5

set security zones security-zone trust address-book address static-nat-pc-1 10.1.10.5/32

set security policies from-zone untrust to-zone trust policy permit-static-nat match source-address any

set security policies from-zone untrust to-zone trust policy permit-static-nat match destination-address static-nat-pc-1

set security policies from-zone untrust to-zone trust policy permit-static-nat match application any set security policies from-zone untrust to-zone trust policy permit-static-nat then permit

set security policies from-zone untrust to-zone trust policy default-deny match application any set security policies from-zone untrust to-zone trust policy default-deny then deny

set security policies from-zone untrust to-zone trust policy default-deny then log session-init

1.13.6 测试表格

测试号设备名称 Test-4 Juniper SRX防火墙：SRX240H-1 设备软件版本测试项目测试目的测试配置测试步骤： 9.6R1 数据量压力测试测试防火墙在会话很多情况下处理能力见本节的设备配置部分 1、配置防火墙IP地址、200条策略 2、发起50000个会话，检查防火墙会话表，产生会话的方法为：将http应用作为长连接，然后用Apache的ab工具产生50000条长连接，命令为：ab -n 50000 -c 100 http://1.1.70.7/ 3、将http会话分别作为普通连接和长连接进行测试。 4、发送-1500字节数据，尽量持续长时间，如条件允许，可以用网络测试仪，如没有的话，可以用NETIQ测试软件，调用High_Performance_Throughput.scr的测试脚本来进行流量模拟，则可测试在存在大量的长连接的状况下的防火墙性能 5、记录丢包率 6、检查命令： A、查看session连接： lab@SRX240H-1> show security flow session B、检查是否所有服务都正常允许 C、检查log信息： lab@SRX240H-1> show log jsrpd D、 show结果及配置预期结果： 1、在会话很多情况下处理能力能保证防火墙的正常性能测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.14 SRX防火墙网管测试

SRX防火墙网管测试包括以下内容：  SNMP管理测试

 NTP测试：测试设备与NTP服务器之间的时间同步功能。  Syslog测试：测试设备可正常向Syslog服务器发送日志。

1.14.1 SNMP管理测试

1.14.1.1 测试内容

 使用SNMPc网管平台可正常通过SNMP协议对设备进行polling。  使用SNMPc网管平台可正常通过SNMP协议对设备MIB进行操作。

1.14.1.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0带管10.1.100.100MGT：10.1.100.1SNMP ServerSRX 240H -11.1.70.5/24Ge-0/0/1PC -21.1.70.6Gw: 1.1.70.5 1.14.1.3 设备配置

1、配置接口地址

set interfaces ge-0/0/0 unit 0 description to-LAN-trust

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 description to-WAN-untrust set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至

untrust zone

3、配置SNMP：

set snmp description SRX240H-1

set snmp community public authorization read-only

4、配置策略，允许trust和trust之间互相通信，并且打开log记录 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0

set security policies from-zone trust to-zone trust policy default-permit match source-address any set security policies from-zone trust to-zone trust policy default-permit match destination-address any

set security policies from-zone trust to-zone trust policy default-permit match application any set security policies from-zone trust to-zone trust policy default-permit then permit

set security policies from-zone trust to-zone trust policy default-permit then log session-init

1.14.1.4 测试表格

测试号设备名称设备软件版本 Test-3 Juniper SRX防火墙：SRX240H-1 9.6R1 测试项目测试目的测试配置测试步骤：设备SNMP管理测试验证设备的能进行SNMP管理功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置1台测试PC在防火墙内网侧，配置地址为：10.1.10.5/24 3、在PC：10.1.10.5上分别运行SNMPc软件，对SRX设备进行SNMP管理 4、检查命令： A、查看SNMP统计信息： lab@SRX240H-1> show snmp statistics B、在SNMPc上检查是否能正常管理设备 C、 show结果及配置文件：预期结果： 1、能在SNMPc上正常管理到设备，对设备能进行polling 测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.14.2 NTP测试

1.14.2.1 测试内容

 使用windows 2003、或SNTP server或公网的NTP服务器作为NTP Server  测试设备是否可通过NTP协议与NTP Server保持时间同步。

1.14.2.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0带管10.1.100.100MGT：10.1.100.1NTP ServerSRX 240H -11.1.70.5/24Ge-0/0/1PC -21.1.70.6Gw: 1.1.70.5

1.14.2.3 设备配置

1、配置接口地址

set interfaces ge-0/0/0 unit 0 description to-LAN-trust

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 description to-WAN-untrust

set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至

untrust zone

3、配置NTP：

set system ntp server 10.1.10.5

set security policies from-zone trust to-zone trust policy default-permit match application any set security policies from-zone trust to-zone trust policy default-permit then permit

set security policies from-zone trust to-zone trust policy default-permit then log session-init

1.14.2.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-3 Juniper SRX防火墙：SRX240H-1 9.6R1 设备SNMP管理测试验证设备的能进行SNMP管理功能见本节的设备配置部分 1、按配置步骤进行配置 2、配置1台测试PC在防火墙内网侧，配置地址为：10.1.10.5/24 3、在PC：10.1.10.5上分别运行NTP server软件，使SRX设备能同步NTP server 4、检查命令： A、查看ntp信息： lab@SRX240H-1> show ntp status lab@SRX240H-1> show ntp associations B、 show结果及配置文件：预期结果： 1、能在和NTP server进行时间同步测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.14.3 Syslog测试

1.14.3.1 测试内容

 测试设备是否可通过Syslog协议向Syslog Server发送日志。

1.14.3.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0带管10.1.100.100MGT：10.1.100.1Syslog ServerSRX 240H -11.1.70.5/24Ge-0/0/1PC -21.1.70.6Gw: 1.1.70.5

1.14.3.3 设备配置

1、配置接口地址

set interfaces ge-0/0/0 unit 0 description to-LAN-trust

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 description to-WAN-untrust set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24

2、配置zone及将接口加到zone中，将ge-0/0/0.0分配至trust zone，将ge-0/0/8.0分配至

untrust zone

set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/8.0 3、设置syslog server，记录所有的syslog信息 set system syslog user * any emergency set system syslog file messages any critical

set system syslog file messages authorization info

set system syslog file interactive-commands interactive-commands error set system syslog time-format year

set system syslog host 10.1.10.5 any any

1.14.3.4 测试表格

测试号设备名称设备软件版本测试项目测试目的测试配置测试步骤： Test-4 Juniper SRX防火墙：SRX240H-1 9.6R1 测试设备的syslog功能测试设备是否可通过Syslog协议向Syslog Server发送日志见本节的设备配置部分 1、按配置步骤进行配置 2、配置1台测试PC在防火墙内，配置地址为：10.1.10.5/24，并在该PC上启动syslog server。 3、在防火墙上进行配置修改，commit等操作，查看syslog server是否有防火墙发出来的log信息。 4、检查命令： A、做commit等操作，在syslog上查看是否有log记录下来： B、 Show信息及配置文件预期结果： 1、在syslog server能看到设备做相关修改或信息告警。测试结果：测试结果：通过 ( ) 失败 ( ) 测试通过：(签字) 测试失败：(签字) 失败原因：注释：

1.15 SRX防火墙VPN测试 1.15.1 Ipsec VPN remote client测试

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0SRX 240H -11.1.70.5/24Ge-0/0/1PC –2：Ipsec VPN1.1.70.6Gw: 1.1.70.5

1.15.2 Ipsec VPN 点对点Policy base VPN连接测试

1.15.2.1 测试内容

基于Ipsec VPN 点对点Policy base VPN连接测试功能的要求是：对2台SRX进行点对点的Ipsec通道连接，使两个SRX的内网数据能通过Ipsec VPN的加密进行广域网的数据传输。具体的测试需求：

 在两台SRX上的接口地址配置静态的IP地址；或一台为静态IP地址，另一

台为不固定IP地址。

 在两台SRX上进行Ipsec的点对点Policy Base VPN的连接配置，如两端均为固定

IP地址，则可以配置为：main mode；

 在两台SRX上进行Ipsec的点对点Policy Base VPN的连接配置，如一端为固定IP

地址，另一端为动态IP地址，则可以配置为：aggressive mode；

 在2台SRX的内网内各配置一台测试PC，IP地址分别为：PC-1：10.1.10.5和PC-2：

10.1.210.5；均分别启动服务器业务，进行双向的业务测试，检查业务是否正常。  PC－1作为业务服务器端，PC－2作为业务客户端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

 PC－1作为业务客户端，PC－2作为业务服务器端进行业务测试，包括ICMP（ping）、

TCP（http）、UDP（TFTP）测试

1.15.2.2 测试拓扑图

10.1.10.5Gw: 10.1.10.1PC -110.1.10.1/24Ge-0/0/0SRX 240H -11.1.70.5/241.1.70.6/24Ge-0/0/8IpsecVPNGe-0/0/8SRX 240H -210.1.210.1/24Ge-0/0/0PC –2：IpsecVPN10.1.210.5Gw: 10.1.210.1 1.15.2.3 设备配置

1）SRX-1及SRX-2的地址均为固定IP地址，采用main mode A、SRX -1 的设备配置： 1、设置接口IP地址及路由：

set interfaces ge-0/0/0 unit 0 family inet address 10.1.10.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.5/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.70.6

2、设置IKE及Ipsec，并且模式为Main mode： set security ike policy ike-policy1 mode main

set security ike policy ike-policy1 proposal-set standard

set security ike policy ike-policy1 pre-shared-key ascii-text \"12345678\" set security ike gateway ike-gate ike-policy ike-policy1 set security ike gateway ike-gate address 1.1.70.6

set security ike gateway ike-gate external-interface ge-0/0/8.0 set security ipsec policy -policy1 proposal-set standard set security ipsec ike- ike gateway ike-gate

set security ipsec ike- ike ipsec-policy -policy1

3、设置本端及远端的IP地址段

set security zones security-zone trust address-book address local-net 10.1.10.0/24

set security zones security-zone untrust address-book address remote-net 10.1.210.0/24

4、设置本端地址和远端地址互相访问时走VPN隧道

set security policies from-zone trust to-zone untrust policy trust-to- match source-address local-net

set security policies from-zone trust to-zone untrust policy trust-to- match destination-address remote-net

set security policies from-zone trust to-zone untrust policy trust-to- match application any

set security policies from-zone trust to-zone untrust policy trust-to- then permit tunnel ipsec- ike-

set security policies from-zone trust to-zone untrust policy trust-to- then permit tunnel pair-policy -to-trust

set security policies from-zone trust to-zone untrust policy trust-to- then log session-init

set security policies from-zone untrust to-zone trust policy -to-trust match source-address remote-net

set security policies from-zone untrust to-zone trust policy -to-trust match destination-address local-net

set security policies from-zone untrust to-zone trust policy -to-trust match application any

set security policies from-zone untrust to-zone trust policy -to-trust then permit tunnel ipsec- ike-

set security policies from-zone untrust to-zone trust policy -to-trust then permit tunnel pair-policy trust-to-

set security policies from-zone untrust to-zone trust policy -to-trust then log session-init

B、SRX -2 的设备配置： 3、设置接口IP地址及路由：

set interfaces ge-0/0/0 unit 0 family inet address 10.1.210.1/24 set interfaces ge-0/0/8 unit 0 family inet address 1.1.70.6/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.70.5

4、设置IKE及Ipsec，并且模式为Main mode： set security ike policy ike-policy1 mode main

set security ike policy ike-policy1 proposal-set standard

set security ike policy ike-policy1 pre-shared-key ascii-text \"12345678\" set security ike gateway ike-gate ike-policy ike-policy1 set security ike gateway ike-gate address 1.1.70.5

set security ike gateway ike-gate external-interface ge-0/0/8.0 set security ipsec policy -policy1 proposal-set standard set security ipsec ike- ike gateway ike-gate

set security ipsec ike- ike ipsec-policy -policy1

3、设置本端及远端的IP地址段

set security zones security-zone trust address-book address local-net 10.1.210.0/24 set security zones security-zone untrust address-book address remote-net 10.1.10.0/24