- 基于源地址、目的地址的访问控制
- 基于协议类型的访问控制
- 基于端口的访问控制
- 基于MAC地址访问控制
- 基于时间的访问控制
- 自定义安全策略支持
- 主机别名
- IP/MAC地址绑定
- 下一篇:防火墙测试之状态检测
名 称:基于源地址、目的地址的访问控制
内 容 :检查防火墙多种安全属性访问控制中能否根据源IP地址和目的IP地址对内部或者外部网的主机执行访问控制策略。
特殊要求或配置 :无
测试步骤 :
①检查防火墙的缺省安全策略;
②当禁止所有数据包通行的时候,从防火墙内网接口主机向防火墙外网接口的服务器和DMZ服务器执行Ping、FTP、WWW、TELNET等访问操作;
③当添加基于指定源、目的IP地址的允许访问的访问控制规则时,从防火墙内网接口的指定源IP地址的主机向外网接口的服务器和DMZ的指定目的IP地址的服务器执行Ping、FTP、WWW、TELNET等访问操作;
④当允许所有数据包通行的时候,防火墙内网接口主机向防火墙外网接口的服务器和DMZ服务器执行Ping、FTP、WWW、TELNET等访问操作;
⑤当添加基于指定源、目的IP地址的拒绝访问的访问控制规则时,从防火墙内网接口的指定源IP地址的主机向外网接口的服务器和DMZ的指定目的IP地址的服务器执行Ping、FTP、WWW、TELNET等访问操作。
预期结果 :
①防火墙采用最小安全原则,即除非明确允许,否则就禁止;
②②⑤访问失败,③④访问成功。
实测数值:
禁止所有数据包。
使用ping。
使用ftp协议,访问失败。
Telnet访问失败。
http访问访问失败。
放行所有数据包,使用ping成功;
使用telnet访问成功。
使用ftp访问成功。
使用http访问成功。
只允许192.168.101.111访问服务器。
使用ping访问失败。
使用telnet访问失败。
使用ftp访问失败。
使用html访问失败。
只允许源ip是192.168.101.112访问服务器。
使用ping成功。
使用telnet访问成功。
使用ftp访问成功。
使用http访问成功。
基于协议类型的访问控制名 称 :基于协议类型的访问控制
内 容 :检查防火墙多种安全属性访问控制中能否根据传输层协议对内部或者外部网的主机执行访问控制策略。
特殊要求或配置 :无
测试步骤:
①在拒绝所有数据包通行的规则下,防火墙内网接口主机对外网接口的服务器和DMZ服务器发起TCP、UDP、ICMP等协议的连接请求;
②在允许或拒绝不同的协议的过滤规则下,由防火墙内网接口主机对外网接口的服务器和DMZ服务器发起TCP、UDP、ICMP等协议的连接请求。
预期结果 :防火墙至少应支持基于TCP、UDP、ICMP协议类型的访问控制。
实测数值 :
禁止tcp协议,使用tcp协议连接服务器,连接失败。
禁止udp,使用ipop发送udp报文,对端服务器无法抓到udp报文。
禁止icmp,使用ping请求服务器,请求失败。
允许tcp,使用http访问服务器,访问成功。
允许udp,向服务器发送udp报文,服务器可以收到udp报文。
允许icmp,向服务器发起ping操作,访问成功。
基于端口的访问控制名 称 :基于端口的访问控制
内 容 :检查防火墙多种安全属性访问控制中能否根据请求的服务如源端口号或者目的端口号对内部或者外部网的主机执行访问控制策略。
特殊要求或配置 :无
测试步骤 :①设置禁止访问所有目的端口的规则,由防火墙内网接口主机对外网接口的服务器和DMZ服务器的端口进行访问;
②设置允许访问指定目的端口的访问控制规则,由防火墙内网接口主机对外网接口的服务器和DMZ服务器的指定端口进行访问;
③设置允许访问所有目的端口的规则,由防火墙内网接口主机对外网接口的服务器和DMZ服务器的端口进行访问;
④设置拒绝访问指定目的端口的访问控制规则,由防火墙内网主机对外网接口的服务器和DMZ服务器的指定端口进行访问。
预期结果 :①④访问失败,②③访问成功。
实测数值 :
禁止访问所有端口,访问服务器的80端口时,连接失败。
指定禁止访问80端口,访问80端口时,连接失败。
访问23号端口成功。
允许所有端口。
访问80端口成功。
访问23端口成功。
备注:防火墙至少应支持某些常用服务端口21、23、80等的访问控制。
名 称: 基于MAC地址访问控制
内 容 :检查防火墙多种安全属性访问控制中能否根据MAC地址对内部或者外部网的主机执行未鉴别的端到端策略。
特殊要求或配置 :无
测试步骤 :
①授权管理员登录防火墙,添加一条基于MAC的访问控制规则,指定源MAC或目的MAC,允许通过,提交生效;
②分别在添加规则之前和添加规则之后使用发包工具从内网客户端向外网服务端的主机发送指定的数据帧,检验结果。
预期结果 :
①在添加基于MAC的访问控制规则之前,客户端的数据帧不能发送到服务端的主机;
②添加基于MAC的访问控制规则之后,从客户端发送的匹配规则的数据帧能通过防火墙发送到服务端的主机;
③防火墙能根据源和/或目的MAC地址等信息对通过防火墙的数据帧进行访问控制,其它的不符合规则的数据帧仍不能通过防火墙发送到服务端。
实测数值 :
禁止04-7D-7B-30-CA-56访问服务器,使用http访问服务器,访问失败。
允许04-7D-7B-30-CA-56访问服务器,使用http访问服务器,访问成功。
名 称 :基于时间的访问控制
内 容 :检查防火墙是否支持基于时间的访问控制策略。
特殊要求或配置 :无
测试步骤 :
①添加基于时间的访问控制规则;
②进行统一时钟设置;
③在允许访问的时间段内进行访问;
④在不允许访问的时间段内进行访问。
预期结果 :
①防火墙支持基于时间的访问控制策略设置;
②防火墙支持统一时钟设置;
③②访问成功,③访问失败。
实测数值 :
禁止8:00 -20:00访问服务器,在10:00时访问服务器时,访问失败。
允许8:00-20:00访问服务器,在10:00时访问服务器,访问成功。
名 称 :自定义安全策略支持
内 容 :检查防火墙是否支持基于用户自定义安全策略的访问控制功能。
特殊要求或配置 :无
测试步骤 :
①以授权管理员身份配置访问控制策略,过滤条件是MAC地址、IP地址、端口、协议类型、用户和时间等的部分或全部组合;
②从内网客户端主机向外网服务器发起符合访问控制策略的网络访问请求;
③从内网客户端主机向外网服务器发起不符合访问控制策略的网络访问请求,检验结果。
预期结果: ②访问成功,③访问失败。
实测数值 :
配置允许源ip是192.168.101.112,mac是04-7D-7B-30-CA-56,在time1时间内访问服务器的80端口,配置如下:
当访问服务器的80端口时,访问成功。
访问不符合规则服务器,如23端口,访问失败。
主机别名名 称 :主机别名
内 容 :测试防火墙能否设置主机名和IP地址的对应关系。
特殊要求或配置 :无
测试步骤 :
①在防火墙配置中添加主机别名规则;
②进行名称解析设置;
③在防火墙添加规则,允许内网用户访问外网服务器;
④内网用户通过设置的主机别名访问外网服务器。
预期结果 :
①防火墙支持设置主机别名规则;
②防火墙支持名称解析设置;
③应能够通过主机别名设置过滤规则或进行访问。
实测数值 :
防火墙是上配置主机与ip的对应关系,客户端将网关与dns都指向防火墙,
当使用域名进行访问时,直接可以访问外网服务器;
抓包截图如下:
IP/MAC地址绑定名 称 :IP/MAC地址绑定
内 容 :测试防火墙是否能将IP地址和物理地址进行绑定,以防止IP地址欺骗。
特殊要求或配置 :无
测试步骤 :
①添加IP/MAC地址绑定规则;
②添加允许内网主机A访问外网服务器、不允许内网主机B访问外网服务器的访问控制规则;
③主机A访问外网服务器;
④主机B访问外网服务器;
⑤关闭主机A,主机B假冒主机A的IP地址,访问外网服务器。
预期结果 :
①③访问成功,④⑤访问失败,防火墙系统具备IP/MAC地址绑定功能;
②防火墙能够对IP盗用行为产生审计日志或报警。
实测数值 :
将ip地址192.168.101.112与mac地址04-7D-7B-30-CA-56进行绑定,访问服务器成功;
使用ip地址192.168.101.112与mac地址04-7D-7B-30-CA-55进行访问服务器,访问失败。
