H3C 防火墙测试模板 - 图文

H3C NGFW测试用例 (4) 用户user4登录防火墙后，能配置安全域和域间策略相关配置，但是无法配置ACL； 2018-01-08

H3C机密，未经许可不得扩散 第12页, 共197页

H3C NGFW测试用例 原始记录

T02 访问控制

T02-01 基于IPV4源、目的IP地址，时间段，域名的访问控制

测试分组 测试项目 访问控制 基于源、目标IP的访问控制、时间、域名的访问控制 2018-01-08

H3C机密，未经许可不得扩散 第13页, 共197页

H3C NGFW测试用例 Trust GE 0 / 2 10 . 1 . 1 . 1 / 24 Device GE 0 / 1 20 . 1 . 1 . 1 /2 4 Untrust 测试拓扑 Host1 10 . 1 . 1 . 12 /2 4 Internet 测试目的 基于源、目标ip的访问控制、时间、域名的访问控制 (1) 创建名为work的时间段，其时间范围为每周工作日的11点到12点； (2) 配置接口GE0/2、GE0/1的IP地址； (3) 把GE0/2加入Trust域，GE0/1加入Untrust； (4) Host1访问Internet中的网络资源，有预期结果1； (5) 创建ipv4地址对象组s1，在s1中创建地址对象10.10.10.100； (6) 创建ipv4地址对象组d1，在d1中创建地址对象8.8.8.8； 测试步骤 (7) 创建ipv4对象策略，规则允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文通过； (8) 配置Trust域到Untrust域的域间策略，应用对象策略policy1； (9) Host1ping 8.8.8.8有预期结果2； (10) 更改ipv4对象策略，使得允许源ip为ipv4地址对象组s1，目的地址对象组为d1的报文在时间段为work时通过，其他时间不能访问8.8.8.8； (11) Host1在工作日的11:00到12:00再次访问Internet中的网络资源，有预期结果3； (12) Host1在其他时间段再次访问Internet中的网络资源，有预期结果4。 # time-range work 11:00 to 12:00 working-day # interface GigabitEthernet0/2 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/1 参考配置 ip address 20.1.1.1 255.255.255.0 # security-zone name Trust import interface GigabitEthernet0/2 # security-zone name Untrust import interface GigabitEthernet0/1 # 2018-01-08

H3C机密，未经许可不得扩散 第14页, 共197页

H3C NGFW测试用例 object-group ip address s1 0 network host address 10.1.1.12 # object-group ip address d1 0 network host address 8.8.8.8 # object-policy ip policy1 rule 0 pass source-ip s1 destination-ip d1 rule 1 pass source-ip s1 time-range work # zone-pair security source Trust destination Untrust object-policy apply ip policy1 # (1) 访问失败； 预期结果 (2) 访问成功； (3) 访问成功； (4) 访问失败； 测试准备 测试说明 防火墙、PC机 (1) 预期结果1当按照上述配置完成后，在不加域间策略情况下，得到预期结果； 防火墙上主要配置如下： 测试结果 2018-01-08

H3C机密，未经许可不得扩散 第15页, 共197页