SANGFORACV210上网行为管理测试方案模板全面版Word格式.docx
《SANGFORACV210上网行为管理测试方案模板全面版Word格式.docx》由会员分享,可在线阅读,更多相关《SANGFORACV210上网行为管理测试方案模板全面版Word格式.docx(65页珍藏版)》请在冰豆网上搜索。
第2章功能测试汇总
测试项目
测试分项
测试结果
备注
部署模式
旁路部署
满足不满足
多路桥接
用户认证与管理
三层网络环境中无插件实现IP-MAC绑定
USB-Key认证
无需客户端软件的AD单点登录
指定IP段用户必须使用单点登录
未创建账号用户的认证
认证未通过用户的处理
从AD服务器读取用户组织结构
用户组织结构与AD的自动同步
冻结用户及管理
管理员分级管理
终端识别
终端操作系统补丁识别
对注册表键值的识别
对硬盘文件的检查和识别
识别终端的进程
多条规则关系或/与
应用控制
SSL加密网址的识别与封堵
非80端口网页访问行为的识别
搜索引擎输入关键字的过滤
网页智能学习与分类
基于特征的外发文件识别和告警
URL地址的动作过滤
网页正文关键字识别和过滤
禁止QQ传文件、封堵QQ登录和记录QQ聊天内容
识别和控制移动飞信的使用
Skype的封堵及聊天内容监控
不常见P2P软件的识别和封堵
语音视频识别
目标域名免控制
新浪视频的识别与封堵
上网策略管理
上网时长控制
子组支持继承父组的上网策略
子组从父组强制继承的上网策略将不能修改、删除、绕过
流量管理
基于应用类型的流控
基于文件类型的流控
基于网站类型的流控
Wan->
lan的流控
以公网IP为用户的带宽划分与分配
邮件过滤与审计
根据发件人地址进行邮件过滤
仅允许指定后缀的邮件地址发送邮件
过滤含有指定关键字的邮件
过滤含有指定类型附件的邮件
根据收件人地址对邮件进行延迟审计
根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计
应用审计与报表
管理员分级审计用户日志
记录被访问网页的网页标题
记录含有指定关键字的网页内容
非TCP21端口行为的识别和记录
QQ聊天内容记录
Skype聊天内容记录
MSNShell聊天内容记录
时间审计
Webmail附件的记录和审计
WAN->
LAN行为审计
数据中心认证key测试
内容检索功能测试
主题订阅功能测试
基于硬件方式的免审计功能
对比报表功能测试
将报表、统计等自定义成链接测试
网络可靠、可用的保障能力
防火墙功能
ARP欺骗防护功能
防DOS攻击功能
第3章
功能测试用例
3.1部署模式
被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式,才能够更加完善的满足客户复杂的网络环境。
3.1.1旁路模式
测试编号
测试时间
测试人员
测试目的
部分组织结构网络环境复杂,或者新设备的部署并不想对现有网络做任何更改,因为网络的更改必然存在发生故障的风险,同时在网络中串接设备不仅影响网络还可能因为设备的宕机而中断整个网络。
在这种情况下,旁路部署方式为用户提供了理想的解决方案:
既不对网络结构做任何改动,又能实现全面的行为审计记录和部分控制功能。
测试方法
1、搭建网络环境,设备以旁路模式部署;
2、配置设备开启审计功能;
3、内网用户访问外网资源,如访问,在设备上查看访问日志;
4、配置设备URL过滤,禁止访问;
5、内网用户访问,查看是否能够正常访问。
预期结果
被测设备支持旁路模式部署,并且能够实现全面的行为记录和部分控制功能
用户访问XX网站的行为被设备全面记录,记录内容包括URL地址、网页标题、网页内容£
满足£
不满足
用户不能访问被过滤的网站£
测试结论
所测试产品是否满足该项功能要求
£
3.1.2多路桥接
多路桥接
网络已经在组织的日常运作中扮演着越来越重要的角色,因此部分组织内部网络往往采用双防火墙、双交换机、VRRP、HSRP等双机、双线路冗余部署,从而避免单机、单线路可能成的网络可靠性下降的问题。
对于此类双机、双线路网络环境下部署上网行为管理设备显然需要能够至少支持网桥模式下的“双进双出”功能,从在双链路上实现上网行为的全面管控。
1、搭建网络环境,设备的LAN1、WAN1接口分别连接PC1、PC2;
LAN2、WAN2接口则分别连接PC3、PC4
2、配置设备开启多路桥接功能;
3、用PC1pingPC2;
4、用PC3pingPC4;
PC1pingPC2成功;
PC3pingPC4成功。
PC1pingPC2成功£
PC3pingPC4成功£
3.2用户识别测试
上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成,所以对用户的身份识别是进一步管理的就基础。
对用户身份的识别必须支持多种方式,以便于组织机构灵活采用和部署实施。
3.2.1三层IP/MAC绑定
用户认证方式
三层IP/MAC绑定
传统的IP/MAC绑定是指二层网络环境下的绑定,但大型组织往往是三层网络环境,此时二层IP/MAC绑定无法有效的满足高端客户的需求。
而IP/MAC绑定又是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网络管理、用户识别和认证。
1、设备以网关模式部署,内网口连接三层设备,三层设备下接用户A;
2、在设备上创建用户帐号,并启用IP/MAC绑定,填写三层设备下A用户的IP和其对应的MAC地址;
3、配置设备以确保A用户访问外网资源,且访问成功;
4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功
5、用户B使用另一台终端设备下接于三层设备,设置B的IP为A的IP;
5、用户B访问外网资源,测试访问结果是否成功。
在高端客户的三层网络环境中也能够实现终端设备的IP/MAC绑定功能,方便设备的实际部署和对接入用户的身份识别
A用户在更改IP后不能访问Internet£
B用户使用A用户的IP地址访问Internet不成功£
3.2.2USB-Key认证
为了防范高层领导、高访问权限用户的帐号被恶意用户窃取和破解,有必要采用类似网上银行的USB-Key硬件身份认证方式以提供更安全的保护手段,USB-Key内包含了用户的相关身份认证信息,高层领导、高访问权限的用户可以方便的实现即插即用的身份认证
1、设备上创建用户,启用USB-Key认证方式,并输入相关密码等身份认证信息写入USB-Key;
2、内网用户不使用USB-Key直接访问外网,失败;
3、内网用户使用USB-Key访问外网资源,成功;
4、内网用户再插入USB-Key后多次输入错误的PIN码,模仿暴力破解过程,验证该USB-Key是否因多次密码错而自动锁定;
用户采用USB-Key身份认证方式确保身份的唯一性和防猜解性,同时暴力猜解USB-Key的PIN码将导致该USB-Key锁定。
不使用USB-Key访问外网失败£
使用USB-Key通过认证后访问外网成功£
多次暴力猜解USB-Key的PIN码导致该Key锁定£
3.2.3AD单点登录
大型组织机构内网往往采用了AD域控体系实现集中认证、集中授权,内网员工通常需要以域帐号登录操作系统、访问内网不同的业务系统等。
在部署了上网行为管理设备后,如果能够实现员工通过域帐号登录操作系统后自动通过上网行为管理设备的认证,将极大的方便员工使用。
但是如果在实现AD单点登录时如果需要终端用户安装客户端软件,那么该客户端软件的分发、安装、更新、维护等必将给IT部门带来极大工作负担。
所以本次事项测试被测设备是否无需客户端软件即可实现AD单点登录功能。
配置设备AD服务器的相关设置
配置设备上AD单点登录的相关设置
用户操作系统无需安装任何AD单点登录客户端软件
用户采用域帐号登录操作系统,再访问互联网,测试是否需要上网行为管理设备的认证
测试是否能够成功访问互联网
用户
升级会员 