1、测试手册(H3C NGFW)Copyright 2015 杭州华三通信技术有限公司 版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。i目 录T01 设备自身安全性 2T02 访问控制 13T03 NAT 功能 25T04 日志功能 32T05 可靠性 37T06 虚拟化功能 49T07 Flood 攻击防御功能 63T08 特征库升级 67T09 IPS 攻击防护功能 69T10 攻击防护响应方式 86T11 IPS 自定义攻击 95T12 带宽管理功能 97T13 数据过滤功能 1
2、25T14 文件过滤 144T15 URL 分类过滤功能 147T16 病毒防御 168T17 链路负载均衡(更详细内容参考链路负载均衡测试手册) 185T18 服务器负载均衡(更详细内容参考服务器负载均衡测试手册) 187T19 性能测试 187H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 2 页, 共 193 页T01 设备自身安全性T01-01 设备安全 登录测试分组 设备自身安全性测试项目 设备安全登录测试拓扑1 0 . 1 . 1 . 1 / 2 4 1 0 . 1 . 1 . 2 / 2 4F WP C测试目的 支持HTTPS、SSH管理测试
3、步骤(1) PC 作为 SSH Client,FW 作为 SSH Server;PC 作为 Web 登录的 Client,FW 作为 Web Server;(2) 在设备上使能 https 服务;(3) 首先在 FW 上生成本地密钥对;(4) 在 FW 上配置用户登录验证方式为 scheme;(5) 在 FW 上使能 ssh server enable,并配置一个用户名为 ssh,登录方式为 stelnet;(6) 配置本地用户名 ssh,密码 123456,服务类型 ssh;(7) 在 PC 上运行支持 SSH 的客户端软件(如 putty),以用户名 ssh,密码 123456,登录FW。
4、参考配置FW:放行接口所在域到local和local 到接口所在域的域间策略SSH配置public-key local create rsapublic-key local create dsaline vty 0 63authentication-mode schemeprotocol inbound sshssh user ssh service-type stelnet authentication-type passwordlocal-user sshservice-type sshpassword simple 123456authorization-attribute user-r
5、ole network-adminssh server enableWeb配置ip http enableip https enableH3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 3 页, 共 193 页local-user web class managepassword simple 123456service-type http httpsauthorization-attribute user-role network-admin预期结果 用sshv2作为用户名通过SSH密码认证方式登录成功,用 web作为用户名进行https登录成功。测试准备
6、 防火墙,PC测试说明 domain system下需为默认配置测试结果SSH登录过程:(1) 使用 SSH 方式登录设备,PC 地址为 1.1.1.2,FW 的 gi1/0/0 为 1.1.1.1,三层可达;H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 4 页, 共 193 页H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 5 页, 共 193 页(2) 通过用户名 ssh,密码 123456,ssh 方式能通过认证并得到设备管理权限。HTTP登录过程:H3C NGFW 测试用例 2019-05-16 H3C 机密
7、,未经许可不得扩散 第 6 页, 共 193 页通过用户名web ,密码 123456,web方式能通过认证并得到登录设备管理页面。原始记录T01-02 用户身份认证安全测试分组 设备自身安全性测试项目 用户身份认证安全测试拓扑1 . 1 . 1 . 1 / 2 4 1 . 1 . 1 . 2 / 2 4F W A1 0 0 . 1 . 1 . 1R a d i u s S e r v e r 1T e l n e t P C3 . 1 . 1 . 2 / 2 4 3 . 1 . 1 . 3 / 2 4测试目的 管理员登入身份认证支持AD或Radius方式测试步骤(1) 将相关接口加入到 Tr
8、ust 域,并配置域间策略,放通 local 到登录接口所在域、登录接口所在域到 local、local 到 NAS 接口所在域和 NAS 接口所在域到 local 的域间策略;(2) FWA 防火墙上对于 VTY 登录用户配置使用 Radius 进行认证和授权;(3) PC 对 FWA 防火墙进行 Tenlet 登录。参考配置FWA:radius scheme radiusprimary authentication 1.1.1.1key authentication simple 123456domain systemauthentication login radius-scheme r
9、adiusauthorization login radius-scheme radiusaccounting noneline vty 0 63H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 7 页, 共 193 页authentication-mode scheme预期结果 能够看到PC通过Telnet登录防火墙获得的权限与 Radius服务器上配置的用户权限相同。测试准备 防火墙,PC,Radius Server测试说明 设备与Server需要互通, key需要与Server端配置的共享密钥相同,用户需要在Server端提前配好。测试结果原始记录T0
10、1-03 角色权限控制测试分组 设备自身安全性测试项目 角色权限工作测试拓扑1 0 . 1 . 1 . 1 / 2 4 1 0 . 1 . 1 . 2 / 2 4F WP C测试目的 角色分类,角色自定义各模块权限。测试步骤(1) 将防火墙的相关端口配置 IP 地址并加入到安全域 trust.,并配置好域间策略。配置好telnet 登录策略;(2) 用户 user1 登录防火墙后,只能查看命令,但不能进行任何配置;(3) 用户 user2 登录防火墙后,拥有所有命令的权限;(4) 用户 user3 登录防火墙后,能配置 ACL 相关的配置,但是接口下的配置不能配置;(5) 用户 user4 登
11、录防火墙后,能配置安全域和域间策略相关配置,但是无法配置 ACL。参考配置#local-user user1 class managepassword simple 123456service-type telnetauthorization-attribute user-role level-0local-user user2 class managepassword simple 123456service-type telnetauthorization-attribute user-role level-15role name role1rule 1 permit read write
12、 execute feature acllocal-user user3 class managepassword simple 123456H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 8 页, 共 193 页service-type telnetauthorization-attribute user-role role1role name role2rule 1 permit read write feature security-zonelocal-user user4 class managepassword simple 123456serv
13、ice-type telnetauthorization-attribute user-role role2#预期结果(1) 无法配置任何命令。(2) 可以配置所有配置。(3) 能配置 ACL 相关配置,但是不能配置接口下的配置。(4) 能配置安全域和域间策略的相关命令,但是无法配置 ACL。测试准备 防火墙、PC机测试说明(1) 首先需要创建角色,在角色中创建资源控制策略,例如:vpn、接口、安全域和 vlan。(2) 然后将角色分配给指定用户,实现用户的权限控制。测试结果(1) 用户 user1 登录防火墙后,只能查看命令,但不能进行任何配置;H3C NGFW 测试用例 2019-05-16 H3C 机密,未经许可不得扩散 第 9 页, 共 193 页(2) 用户 user2 登录防火墙后,拥有所有命令的权限;
