juniper防火墙测试模版

NETSCREEN设备测试报告

单节点测试

在每一个节点完成设备安装之后,集成公司的现场工程师将和用户下属机构的技术人员一起进行该节点的测试验收和割接工作。这样,用户下属机构的工程技术人员可以接手该节点的工作,并且可以迅速将该节点并入整个数据通信运行之中。

·单节点测试验收

在完成设备安装之后,集成公司将为用户提供一整套设备测试程序。该测试程序不但用于设备验收测试,而且做为系统初验的附属工程技术文件。

·单节点割接

进行系统割接的技术重点是为了保证在割接时不会影响到已经使用的通讯网路系统的正常运行、以及不会对原数据网络带宽产生虚占用。集成公司的现场工程师将会对可能发生的技术问题予以充分考虑和技术准备,并会及时解决在单节点割接时可能会发生的技术问题。 一旦该节点成功地并入整个网络系统工程之中,该节点将被认为完成的节点初验。一旦整个合同中的所有节点完成割接,整个系统工程将开始系统初验,而后整个系统进入系统的试运行阶段。

单节点测试验收清单式样

单节点测试验收清单

合同号:__________________________ 系统设备安装地: ,系统设备型号: 。 产品序列号:

juniper防火墙测试模版

遗留问题说明:

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统测试

系统设备测试

1. 电源:

检查NetScreen设备的电源是否能正常工作。具有两个电源模块的设备,正常时分担负载,当有某个电源模块损坏时,仍可正常工作。

2. 端口状态指示:

每个功能模块端口均有状态指示灯,分别显示有正常接入及数据输入输出。分别对各端口连接设备,可通过状态指示观察是否工作正常。

3. 在线配置:

NetScreen的每个网络设备都有Console口,用户可通过Console口以终端的方式访问该设备。可通过控制端口在工作状态下,实时配置各种参数并观察端口状态。同时,可以支持远程基于浏览器方式下的图形化管理工作。

系统设备功能测试

系统基本配置

最终用户:

测试产品型号:

测试产品序列号:

产品部署地点:

测试平台:PC机从NetScreen设备 console口接入或工作站远程登录

juniper防火墙测试模版

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统地址翻译功能NPAT

最终用户:

测试产品型号:

测试产品序列号:

产品部署地点:

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统地址翻译功能MAP IP

最终用户:

测试产品型号:

测试产品序列号:

产品部署地点:

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统过滤策略功能( Firewall)

最终用户:

测试产品型号:

测试产品序列号:

产品部署地点:

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统路由功能( Routing)

最终用户:

测试产品型号:

测试产品序列号:

产品部署地点:

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

双机HA备份测试

测试对象:NetScreen设备

测试目的:测试NetScreen设备双机热备份功能,防止单点失效。

测试平台:内部工作站远程telnet登录到NetScreen设备以外的测试服务器。 前提条件:

影响范围:对通过NetScreen设备的TCP连接有短暂影响

juniper防火墙测试模版

用户代表签字: 供应商代表签字: 时 间: 时 间:

系统初验清单式样

系统初验清单

最终用户:

最终用户对(XXXX系统工程网络系统)本系统测试和割接验收,该验收起始于 结束于 。

下列技术问题在整体系统测试和割接过程中发生,但这些技术问题并不对整体系统的试运行产出重要影响。但是供应商将尽快解决下列技术问题。

juniper防火墙测试模版

该验收清单经买卖双方签字后,基于合同卖方提供产品的整体系统试运行期将开始。

最终用户代表 供应商代表 时 间 时 间

 

第二篇:Juniper SRX 防火墙透明模式配置手册

Juniper SRX防火墙配置手册

上海神州数码有限公司

系统网络技术部

JuniperSRX防火墙透明模式配置手册

JuniperSRX防火墙透明模式配置手册

一、透明模式配置说明

硬件型号SRX3400

软件版本 9.6R1.13

配置案例图

JuniperSRX防火墙透明模式配置手册

?

?

?

?

?

在上图中ge-0/0/0, ge-0/0/10, ge-0/0/8均让VLAN 199-223穿过。 GSR和cisco 3750,6509之间通过上述vlan连通。 在GSR、3750和6509之间运行3层协议(如ospf、static等) 根据需求,在SRX上运行policy实现trust、DMZ和untrust流量控制 Juniper防火墙作为透明模式部署需要建立3个区域,分别<L2_Untrust>、<L2_Trust>、<L2_DMZ>

1.1 设置node ID和cluster ID

##在操作模式下输入,后面没有注明的则默认是在配置模式下操作 ##SRX3400-1_L2配置为

set chassis cluster node 0 cluster-id 1 reboot

##SRX3400-2_L2配置为

set chassis cluster node 1 cluster-id 1 reboot

1.2 防火墙系统全局配置(初始化配置)

##设置root的用户名和密码

system {

root-authentication {

encrypted-password "$1$R7QtWpjt$OsUXw/4GC.7AiGO2bFHUz."; ## SECRET-DATA }

##添加用户名为lab的用户和密码

login {

user lab {

uid 2000;

classsuperuser;

authentication {

encrypted-password "$1$h54Sa7e3$cjwdMDkIcvEN89jSZ8eSa/"; ## SECRET-DATA }

}

}

##设置防火墙自己开启的服务

services {

ftp;

telnet;

web-management {

http;

}

}

syslog {

user * {

any emergency;

}

file messages {

any notice;

authorization info;

}

}

}

1.3 建立集群

##双机配置,设置node0为主,node1为备。 ##设置node0主机名

groups {

node0 {

system {

host-name SRX3400-1_L2;

backup-router 192.168.2.1 destination 0.0.0.0/0; }

##设置带外管理地址和带外管理的网关 interfaces {

fxp0 {

unit 0 {

familyinet {

address 192.168.2.254/24;

}

}

}

}

routing-options {

static {

route0.0.0.0/0 {

next-hop 192.168.2.1; retain;

no-readvertise;

}

}

}

}

##设置node1主机名,带外管理地址和带外管理的网关 node1 {

system {

host-name SRX3400-2_L2;

backup-router 192.168.2.1 destination 0.0.0.0/0; }

interfaces {

fxp0 {

unit 0 {

family inet {

address 192.168.2.253/24; }

}

}

}

routing-options {

static {

route 0.0.0.0/0 {

next-hop 192.168.2.1;

retain;

no-readvertise;

}

}

}

}

}

apply-groups "${node}";

1.4 设置cluster冗余组和接口对象

##设置reth-count 数目及主机单元的优先级,并设置监控的端口和权重 chassis {

cluster {

reth-count 3;

heartbeat-interval 1000;

heartbeat-threshold 3;

##redundancy-group 0为引擎组对象,此处将所有业务接口都放到此组中,这样##设置的结果就是只要有一个业务接口down了,则引擎也进行切换,防止出现##业务接口进行了切换,而引擎没有切换的结果

redundancy-group 0 {

node 0 priority 100;

node 1 priority 1;

interface-monitor {

ge-0/0/10 weight 255;

ge-0/0/8 weight 255;

ge-8/0/8 weight 255;

ge-8/0/10 weight 255;

ge-0/0/0 weight 255;

ge-8/0/0 weight 255;

}

}

redundancy-group 1 {

node 0 priority 100;

node 1 priority 1;

interface-monitor {

ge-0/0/8 weight 255;

ge-8/0/8 weight 255;

ge-0/0/10 weight 255;

ge-8/0/10 weight 255;

ge-0/0/0 weight 255;

ge-8/0/0 weight 255;

}

}

}

}

##设置相关的物理接口与相应的logical接口reth关联

interfaces {

ge-0/0/0 {

gigether-options {

redundant-parent reth2;

}

}

ge-0/0/8 {

gigether-options {

no-auto-negotiation;

redundant-parent reth0;

}

}

ge-0/0/10 {

gigether-options {

no-auto-negotiation;

redundant-parent reth1;

}

}

ge-8/0/0 {

gigether-options {

redundant-parent reth2;

}

}

ge-8/0/8 {

gigether-options {

no-auto-negotiation;

redundant-parent reth0;

}

}

ge-8/0/10 {

gigether-options {

redundant-parent reth1;

}

}

##设置两台防火墙互联的接口

fab0 {

fabric-options {

member-interfaces {

ge-0/0/7;

}

}

}

fab1 {

fabric-options {

member-interfaces {

ge-8/0/7;

}

}

}

irb {

unit 220 {

disable;

family inet {

address 192.168.1.10/28; }

}

}

lo0 {

unit 0 {

family inet {

address 127.0.0.1/32; }

}

}

##设置reth接口为trunk接口,所允许的vlan号

reth0 {

vlan-tagging;

redundant-ether-options {

redundancy-group 1;

}

unit 0 {

family bridge {

interface-mode trunk;

vlan-id-list 1-4094;

}

}

}

reth1 {

vlan-tagging;

redundant-ether-options {

redundancy-group 1;

}

unit 0 {

family bridge {

interface-mode trunk;

vlan-id-list 1-4094;

}

}

}

reth2 {

vlan-tagging;

redundant-ether-options {

redundancy-group 1;

}

unit 0 {

family bridge {

interface-mode trunk;

vlan-id-list 1-4094;

}

}

}

}

1.5 设置安全区域和策略

##设置防火墙的安全区域,其中l2开头的代表两层,并把相关的reth接口同安全区域关联

security {

zones {

functional-zone management;

security-zone l2-trust {

host-inbound-traffic {

system-services {

all;

}

protocols {

all;

}

}

interfaces {

reth1.0;

}

}

security-zone l2-untrust {

interfaces {

reth0.0;

}

}

security-zone trust;

security-zone l2-dmz {

host-inbound-traffic {

system-services {

all;

}

protocols {

all;

}

}

interfaces {

reth2.0;

}

}

}

##设置防火墙的策略,目前各安全区域之间是全开放 policies {

from-zone l2-trust to-zone l2-untrust { policy trust-untrust {

match {

source-address any; destination-address any; application any;

}

then {

permit;

}

}

}

from-zone l2-untrust to-zone l2-trust { policy untrust-trust {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

from-zone l2-trust to-zone l2-trust { policy trust-trust {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

from-zone l2-trust to-zone l2-dmz { policy trust-dmz {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

from-zone l2-untrust to-zone l2-dmz { policy untrust-dmz {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

from-zone l2-dmz to-zone l2-trust { policy dmz-trust {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

from-zone l2-dmz to-zone l2-untrust { policy dmz-untrust {

match {

source-address any; destination-address any; application any; }

then {

permit;

}

}

}

}

alg {

ftp disable;

tftp disable;

}

}

1.6 设置全局l2特性

##全局设置vlan透传

bridge-domains {

trunk199-223 {

vlan-id-list 199-223;

}

vlan001 {

vlan-id 1;

routing-interface irb.0;

}

}

{secondary:node0}