防火墙测试方案测试项目
测试一、NAT/PAT
拓扑图
FTP Client
LoadRunner
LoadRunner
PC3
测试要求
(如防火墙inside 接口不够，则使用交换机连接内部三台pc 并将内部网络合并为192.168.0.0/16)
1. 将19
2.168.1.1(pc1)静态翻译（地址翻译）为58.135.192.55
2. 将192.168.2.0-192.168.4.254动态翻译（端口翻译）为58.135.192.56 检查方法及检查项目
● PC1通过FTP 方式从教育网下载数据
● PC2和PC3使用LoadRunner 分别模拟500台电脑浏览网页 ● 查看设备负载和网络延迟
测试二、Site-to-Site IPSec/VPN
拓扑图
5540
测试防火墙
PC1
PC2
测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC 的加密 检查方法及检查项目
● PC1和PC2能否相互PING 通，在ASA5540上检测数据是否为加密数据。

● 修改PC2的ip 地址为10.0.2.22，使用pc1 PING pc2，在asa5540上检
查数据是否为明文。

测试三、Dynamic Remote-Access IPSec/VPN
拓扑图
.2.
0/2
416
8.
1.0/24PC1PC2
测试要求 1. ISAKMP 配置
2. IPSec 配置
3. 其他
4. 防火墙Outside 外任何主机都可以与防火墙建立IPSec/VPN 连接。

5. 只对PC1和PC2互访的数据加密。

检查方法及检查项目
● PC2修改IP 地址为10.0.2.22后是否能与防火墙建立IPSec/VPN 连接。

● PC2能否获得正确的DNS 。

● PC1和PC2能否相互PING 通。

● 检查防火墙Outside 接口收到的数据是否为明文。

测试四、IPSec/VPN 的NAT 穿透
拓扑图
5540测试防火墙
1
PC1
PC2
测试防火墙2
Outside
Inside
测试要求 1. ISAKMP 配置 2. IPSec 配置 3. Cisco ASA 5540上允许以下流量进入其内网
检查方法及检查项目
● 两测试设备是否可以正常建立IPSec/VPN 连接 ● PC1和PC2是否可以相互PING 通
测试五、Remote-Access PPTP VPN
拓扑图
.2.
0/2
4168.
1.0/24PC1PC2
测试要求
检查方法及检查项目
● PC2使用Windows 自带的VPN 与防火墙建立PPTP 连接 ● PC2能否获得正确的DNS ● PC2和PC1能否相互PING 通
测试六、H.323的穿透
拓扑图
.2.
0/2
4168.
1.0/24PC1PC2
测试要求
1. 测试防火墙配置静态地址翻译，将19
2.168.1.1(PC 翻译为192.168.2.1 2. 测试防火墙配置端口翻译，将192.168.1.1(PC 翻译为192.168.2.11 检查方法及检查项目
● 配置静态地址翻译后，PC 和PC 否可以用NetMeeting 进行语音通话，如
果可以正确建立连接，是否存在单向音问题。

● 配置端口翻译后，PC 和PC 否可以用NetMeeting 进行语音通话，如果可
以正确建立连接，是否存在单向音问题。

测试七、ACL 和会话数的限制
拓扑图
.2.
0/2
4168.
1.0/24PC1PC2
测试要求
1. 配置ACL 只允许WWW 流量到防火墙内部的PC1。

2. 限制PC1的会话数为5。

检查方法及检查项目
● PC1上建立WWW 服务，提供一文件下载，PC2用多线程下载软件从PC1
下载文件，检查连接数是否被限制在5个。

测试八、Syslog 、SNMP 、远程管理
检查方法及检查项目 ● 是否支持syslog 功能
● 是否支持snmp 管理（通过snmp 能否检测cpu 利用率，连接数） ● 是否支持远程管理，通过outside 口登陆防火墙进行管理
测试九、认证功能
拓扑图
.2.
0/2
4168.
1.0/24PC1PC2
测试要求
1. 防火墙上配置认证功能 检查方法及检查项目
● 内部主机PC1主动发起HTTP 请求连接PC2时，防火墙通过WEB 页面方式
（其他方式也可以）对PC1进行认证，认证通过后PC1才可正常访问PC2。

测试十、P2P 流量限制
拓扑图
测试要求
1. 防火墙上配置P2P 流量限制功能。

检查方法及检查项目
● PC1能否进行BitTorrent 或E-Donkey 的下载
测试结果。