H3C 防火墙测试模板.doc

1、测试手册（H3C NGFW）Copyright 2015 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。i目 录T01 设备自身安全性 2T02 访问控制 13T03 NAT 功能 25T04 日志功能 32T05 可靠性 37T06 虚拟化功能 49T07 Flood 攻击防御功能 63T08 特征库升级 67T09 IPS 攻击防护功能 69T10 攻击防护响应方式 86T11 IPS 自定义攻击 95T12 带宽管理功能 97T13 数据过滤功能 1

2、25T14 文件过滤 144T15 URL 分类过滤功能 147T16 病毒防御 168T17 链路负载均衡（更详细内容参考链路负载均衡测试手册） 185T18 服务器负载均衡（更详细内容参考服务器负载均衡测试手册） 187T19 性能测试 187H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 2 页, 共 193 页T01 设备自身安全性T01-01 设备安全 登录测试分组 设备自身安全性测试项目 设备安全登录测试拓扑1 0 . 1 . 1 . 1 / 2 4 1 0 . 1 . 1 . 2 / 2 4F WP C测试目的 支持HTTPS、SSH管理测试

3、步骤(1) PC 作为 SSH Client，FW 作为 SSH Server；PC 作为 Web 登录的 Client,FW 作为 Web Server；(2) 在设备上使能 https 服务；(3) 首先在 FW 上生成本地密钥对；(4) 在 FW 上配置用户登录验证方式为 scheme；(5) 在 FW 上使能 ssh server enable，并配置一个用户名为 ssh，登录方式为 stelnet；(6) 配置本地用户名 ssh，密码 123456，服务类型 ssh；(7) 在 PC 上运行支持 SSH 的客户端软件(如 putty)，以用户名 ssh，密码 123456，登录FW。

4、参考配置FW：放行接口所在域到local和local 到接口所在域的域间策略SSH配置public-key local create rsapublic-key local create dsaline vty 0 63authentication-mode schemeprotocol inbound sshssh user ssh service-type stelnet authentication-type passwordlocal-user sshservice-type sshpassword simple 123456authorization-attribute user-r

5、ole network-adminssh server enableWeb配置ip http enableip https enableH3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 3 页, 共 193 页local-user web class managepassword simple 123456service-type http httpsauthorization-attribute user-role network-admin预期结果 用sshv2作为用户名通过SSH密码认证方式登录成功，用 web作为用户名进行https登录成功。测试准备

6、 防火墙，PC测试说明 domain system下需为默认配置测试结果SSH登录过程：(1) 使用 SSH 方式登录设备，PC 地址为 1.1.1.2，FW 的 gi1/0/0 为 1.1.1.1，三层可达；H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 4 页, 共 193 页H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 5 页, 共 193 页(2) 通过用户名 ssh，密码 123456，ssh 方式能通过认证并得到设备管理权限。HTTP登录过程：H3C NGFW 测试用例 2019-05-16 H3C 机密

7、，未经许可不得扩散 第 6 页, 共 193 页通过用户名web ，密码 123456，web方式能通过认证并得到登录设备管理页面。原始记录T01-02 用户身份认证安全测试分组 设备自身安全性测试项目 用户身份认证安全测试拓扑1 . 1 . 1 . 1 / 2 4 1 . 1 . 1 . 2 / 2 4F W A1 0 0 . 1 . 1 . 1R a d i u s S e r v e r 1T e l n e t P C3 . 1 . 1 . 2 / 2 4 3 . 1 . 1 . 3 / 2 4测试目的 管理员登入身份认证支持AD或Radius方式测试步骤(1) 将相关接口加入到 Tr

8、ust 域，并配置域间策略，放通 local 到登录接口所在域、登录接口所在域到 local、local 到 NAS 接口所在域和 NAS 接口所在域到 local 的域间策略；(2) FWA 防火墙上对于 VTY 登录用户配置使用 Radius 进行认证和授权；(3) PC 对 FWA 防火墙进行 Tenlet 登录。参考配置FWA：radius scheme radiusprimary authentication 1.1.1.1key authentication simple 123456domain systemauthentication login radius-scheme r

9、adiusauthorization login radius-scheme radiusaccounting noneline vty 0 63H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 7 页, 共 193 页authentication-mode scheme预期结果 能够看到PC通过Telnet登录防火墙获得的权限与 Radius服务器上配置的用户权限相同。测试准备 防火墙，PC，Radius Server测试说明 设备与Server需要互通， key需要与Server端配置的共享密钥相同，用户需要在Server端提前配好。测试结果原始记录T0

10、1-03 角色权限控制测试分组 设备自身安全性测试项目 角色权限工作测试拓扑1 0 . 1 . 1 . 1 / 2 4 1 0 . 1 . 1 . 2 / 2 4F WP C测试目的 角色分类，角色自定义各模块权限。测试步骤(1) 将防火墙的相关端口配置 IP 地址并加入到安全域 trust.，并配置好域间策略。配置好telnet 登录策略；(2) 用户 user1 登录防火墙后，只能查看命令，但不能进行任何配置；(3) 用户 user2 登录防火墙后，拥有所有命令的权限；(4) 用户 user3 登录防火墙后，能配置 ACL 相关的配置，但是接口下的配置不能配置；(5) 用户 user4 登

11、录防火墙后，能配置安全域和域间策略相关配置，但是无法配置 ACL。参考配置#local-user user1 class managepassword simple 123456service-type telnetauthorization-attribute user-role level-0local-user user2 class managepassword simple 123456service-type telnetauthorization-attribute user-role level-15role name role1rule 1 permit read write

12、 execute feature acllocal-user user3 class managepassword simple 123456H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 8 页, 共 193 页service-type telnetauthorization-attribute user-role role1role name role2rule 1 permit read write feature security-zonelocal-user user4 class managepassword simple 123456serv

13、ice-type telnetauthorization-attribute user-role role2#预期结果(1) 无法配置任何命令。(2) 可以配置所有配置。(3) 能配置 ACL 相关配置，但是不能配置接口下的配置。(4) 能配置安全域和域间策略的相关命令，但是无法配置 ACL。测试准备 防火墙、PC机测试说明(1) 首先需要创建角色，在角色中创建资源控制策略，例如：vpn、接口、安全域和 vlan。(2) 然后将角色分配给指定用户，实现用户的权限控制。测试结果(1) 用户 user1 登录防火墙后，只能查看命令，但不能进行任何配置；H3C NGFW 测试用例 2019-05-16 H3C 机密，未经许可不得扩散 第 9 页, 共 193 页(2) 用户 user2 登录防火墙后，拥有所有命令的权限；