网络准入控制系统软件上线运行测试报告.docx
《网络准入控制系统软件上线运行测试报告.docx》由会员分享,可在线阅读,更多相关《网络准入控制系统软件上线运行测试报告.docx(25页珍藏版)》请在冰豆网上搜索。
网络准入控制系统软件上线运行测试报告
用户接入控制系统软件上线
测试报告
文件编号:
项目编号:
文件版次:
V1.0.1
编写人/日期:
审核人/日期:
批准人/日期:
文档变更记录
序号
修改条款
修改说明
页号
修改人/日期
批准人/日期
备注
1
6、8
深度完善,适合用户需求
/2007-4-16
注:
对本文档内容增加、删除或修改均需填写此变更记录,详细记载变更信息,以保证其
可追溯性。
1.弓I言2
1.1系统概述2
1.2文档概述2
2.引用文档2
3.相关定义2
4.测试环境4
5.测试概要5
6.测试内容6
6.1基本功能测试6
6.2兼容性测试12
6.3安全性测试13
6.4压力测试14
6.5应急预案测试15
7.综合评论17
8.附录18
附录一、EdPXclt进程资源占用信息采集表18
附录二、802.1X认证客户端与办公环境兼容性测试19
附录三、简单交换机802.1X协议基本配置方法21
1.引言
1.1系统概述
用户网络准入控制系统使用802.1X协议从交换机端口对认证客户端进行入网控制,并通过对终端主机的安全检查策略,进行计算机安全健康状况检查,确保入网计算机的安全性和可控性,系统建设主要目标如下:
1、实时认证:
终端计算机每登陆一次网络,均需要经过交换机、radius服务器的认证。
2、精确控制:
精确实现对终端计算机的认证控制,任何未经认证的计算机无法进入工作区网络。
3、强制安装:
确保网络中每台计算机强制安装安全客户端程序进行安全管
理,包括对当前已注册客户端认为或其他情况(如重新安装操作系统)导致客户端的非正常卸载,对漏安装或未来新增计算机的客户端注册情况提供了保障,也可保证注册率。
4、授权入网:
可对非注册客户端进行入网控制,防止非授权计算机入网。
5、系统加固:
对当前客户端系统进行加固,主要为补丁,杀毒软件及用户名密码权限功能。
1.2文档概述
本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、测试结果和测试人,详细记录了系统在测试中所产生的各类错误;最后通过对测
试结果系统、全面的分析对所测试的软件进行评估,以便在今后的工作中对该系统进行改进。
2.引用文档
《网络准入系统白皮书》
《网络准入控制系统实施方案》
《统使用手册》
3.相关定义
802.1x协议认证:
IEEE为了解决基于端口的接入控制(Port-BasedAccess
Control)而定义的一个标准。
802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略;802.1X是基于端口的认证策略;802.1X的认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPO(LExtensibleAuthenticationProtocoloverLAN通过。
802.1X认证体系结构:
SupplicantSystem——客户端(PC主机/网络设备等)、AuthenticatorSystem——认证系统(主要是交换机)、AuthenticationServerSystem——认证服务器(radius服务器)。
管理器标识:
是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识,客户端只与有该标识的管理器进行相应数据交换等工作。
信任:
系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项进行设备信任操作,被信任机器无论是否注册,未阻断操作对信任的计算机为无效状态。
保护:
系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路由器等不需要注册IP地址单独划分出来,并对MAC以及IP地址不进行绑定;建议将重要的服务器和其它网络相关设备不进行注册,并设置为保护状态,用来保证其运行的稳定性。
阻断:
系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。
(该网段需有已注册且工作正常的客户端)
机构代码:
标志机构代码编号的数字,用于多级级联构架网络中上级和各下级之间的机构编号。
自定义组:
为进行任务规则应用、任务执行而设置的网络客户端编组,可自行组合,适用不同管理策略。
数据重整:
类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。
4.测试环境
环境一:
硬件环境
系统名称
数量
说明
USC-NAC艮务器:
即策略服务器
(VRVEDP-SERV)R配置如下,Pentium川800以上CPU1G以上内存,硬盘80G,10/100BaseTX网络接口。
Windows2000/2003server
(ServicePack4.0)操作系统、IE6.0、SQLserver2000或2005。
1台
管理客户端Agent支持:
Windows95、Windows98、WindowsMe、Windows2000Professional、Windows2000Server、Windows2000AdvaneeServer、WindowsXP、WindowsXPServer、WindowsVista等。
RADIUS!
务器:
(IntelPentium4,内存RAM3G
以上,硬盘80G以上,DVD光驱)
2台
分别作为主从RADIUS服务器,一台安装
IASRadius服务用于主Radius验证服务器,一台同时安装IASRadius服务用于Radius验证备用服务器(硬盘200G以上)。
重定向服务器:
(IntelPentium4,内存RAM2G
以上,硬盘40G以上)
1台
安装Cc客户端下载程序及重定向服务程序,部署在访客区域实施重定向下载服务,并配置DHCP服务功能。
网络接入设备,需要支持802.1X
认证和GuestVLAN划分
3-4
台
CEM使用的华3交换机。
HUB集线器
若十
基于MAC的认证测试.
环境二:
网络环境
对所有交换机增加一个VLAN指定为GUESTVLAN并在所有端口上开启802.1X认证,更改端口认证方式为PORDBAS基(于端口的方式用于GUESTVLAN的跳转)指定该VLANf乍为GUESTVLAN访客VLAN。
对于集联HUB的端口则使用基于MAC的认证方式(默认为基于MAC勺认证方式,否则接入HUB的客户端有一台认证通过该端口将放开其他接入该HUB的客户端),802.1X认证交换机基本配置见附录二。
服务器位置:
确保交换机同Radius服务器的通讯正常(UDP1812,Cc内网管理系统服务器所处逻辑位置须能PING通所有通过802.1X认证的客户端计算
机,Radius服务器须能PING通所有交换机的管理IP。
AUT0GA1B务器所连接交换机端口应划分到GUESTVLA内。
5.测试概要
测试内容
进度安排
测试内容
测试目的
执行情
况
基本功能测
试(01)
功能内容,功能检验,功能冗余、遗漏功能
主要是验证功能是否符合需求,包括原定功能的检验、是否有冗余功能、遗漏功能
兼容性测试
(02)
同环境和主机系统
的兼容性
验证在各种环境是否
稳定
安全性测试
(03)
未授权用户对系统进行攻击或恶意破坏
系统在受到攻击和破
坏时仍能保证数据的
安全
试
测
匕匕)
厶冃4
性一
系统各方面的性能
对系统进行压力测试
测试人员:
请测试人员填写。
6.测试内容
测试前,请阅读《Cc内网安全管理及补丁分发系统使用手册》
6.1基本功能测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
备注
802.1接
入认证
交换机802.1X端口认证启用
配置交换机,对计算机所连接的端口进行802.1X启用端口配置,手动配置计算机IP地址,在计算机上安装注册客户端。
认证通过,计算机自动转入工作网络。
VLAN认证自动跳转
将未注册计算机连接到已开启802.1X的交换机端口,计算机将进入GUESTVLAN然后打开IE输入任意域名(如
WWW.BAIDU.CQ来访问重定向注册页面,注册客户端。
客户端未注册前将进入GUESVLAN注册完成后自动通过认证进入正常工作区VLAN(注册将提示为缺省注册成功”)
DHCP环境认证
在GUESTVLA中架设DHCfflK务器,使用DHCP方式获得IP地址的计算机在未安装客户端之前将获得该VLAN内DHCfflK务器分配的IP地址,然后使用IE浏览任意域名如等将被重定向至注册页面进行注册。
客户端将在GUESTVLA获得IP地址(当前GUESWLAN内获得为100.100.0.0网段IP地址),注册完成并通过认证后将获得内网IP地址。
单用户名密码认证
将802.1X认证策略中的密码认证方式选择为单用户密码认证,然后观祭客户端在重新启动计算机后是否自动进行认证。
可自动完成认证,右下脚托盘图表为绿色并提示认证用户名。
安检失败处理等是否正常
在管理平台中进入接入管理-
补丁与杀毒软件安全策略,勾选杀毒软件检测,以及限制网络访冋选项;未运行杀毒软件执行的URL地址正确填写(当前为http:
//)。
限制网络后允许访问的地址任意填写(当前为)。
如未安装或运行杀毒软件,将给出提示,并弹出的IE框及限制访问允许IP地址以为的其他地址。
VPN接入
管理
客户端能否正常注册
将802.1X认证策略中的密码认证方式选择为多用户密码认证,然后观祭客户端在重新启动计算机后是否自动弹出认证窗口,弹出后输入指定认证帐户名及密码。
完成认证后,右下脚托盘图表为绿色并提示认证用户名。
客户端-服务器通讯状况
将未注册计算机连接到已开启
802.1X的交换机端口,计算机
将进入GUESTVLAN然后打开
客户端未注册前将进入GUESVLAN注册完成后自动通过认证进入正常工作区VLAN(注册将提示为缺省注册成功”0)
IE输入任意域名来访问从定向注册页面,注册客户端。
4种安全策略能否正常运行
在管理平台中进入接入管理-
补丁与杀毒软件安全策略,勾选杀毒软件检测,以及限制网络访冋选项;未运行杀毒软件执行的URL地址正确填写(当前为http:
//限制网络后允许访问的地址任意填写(当前)。
如未安装或运行杀毒软件,将给出提示,并弹出的IE框及限制访问允许IP地址以为的其他地址。
违规外联
监控
拨号、ADSL双网卡、无线、
代理等方式支持种类
对下发违规外联策略的客户端使用以上几种方式进行外联测试即可。
客户端将正确根据策略中制定的处理方式进行处理。
非法连接互联网检测报警处置方式(同时连接内外网、仅在外网)
在违规外联策略中制疋:
1•采用外网探测方法:
外网地址1和2分别填写域名
如等。
外网特征字串填写中文关键词
正确对同时连接和只连接外网的用户给予相应提示和处理。
如XX等。
2.IE代理检测及禁用全部勾选
3.内外网同时连接和只连接外网处理由管理员选择处理方式及填写提示信息。
用户密码
策略
用户系统弱口令检测
新建用户,设置密码为空。
如用户不及时按要求更改,每次电脑开机时,接受到提示信息。
检测内容准确。
口令复杂性设置
设置用户密码复杂性,必须在8位以上,设置后,更改用户密码,如不能满足要求,不能更改密码。
如密码复杂性不能达到系统要求,更改密码时会接收到提示。
帐户锁定设置
设置帐户锁定阀值为3次。
设置帐户锁定时间为2分钟。
成功锁定。
屏保设置
在客户端设置屏保在恢复时不需要输入密码。
重新启动系统后,从服务器端设置启用屏幕
成功设置,在恢复是要求输入密码。
保护功能,规定时间为3分钟,
要求在恢复时输入密码。
用户权限
策略
用户权限改变
新建用户test,并反复修改权限。
接收到用户test权限发生改变提示信息,系统重新启动后,成功接收到提示信息。
用户组权限改变
新建用户组test,并反复修改权限。
接收到用户组test权限发生改变提示信息,系统重新启动后,成功接收到提示信息
系统用户(组)增加
新建用户test,新建用户组
test。
接收到系统用户组增加提示信息
系统用户(组)减少
删除用户test,删除用户组
test。
接收到系统用户组减少提示信息,系统重新启动后,成功接收到提示信息
1、杀毒软件安装检测(kill
瑞星)
将杀毒软件卸载后,下发检测策略,重新启动后系统提示未按安装杀毒软件。
接收到系统提示未安装杀毒
软件信息
补丁与杀毒软件策
略
2、杀毒软件未运行提示(重定向强制安装)
将杀毒软件卸载后,打开网页,或重新启动电脑时,会自动弹出下载杀毒软件界面。
打开网页时,系统会将网址重定向到下载界面。
3、未安装杀毒软件限制网络访问
在策略中设置未安装杀毒软件情况下,阻断联网,但允许对服务器进行访问。
接收到策略后,终端计算机无法与外界进行联网,可以与服务器进行通信。
日志查询
1、违规外联(按照参数执行)
使用本机进行外联测试
查询本机上报到服务器的信息,上报时间、内容准确。
2、密码&权限(按照参数执行)
使用本机进行测试
查询本机上报到服务器的信息,上报时间、内容准确。
6.2兼容性测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
备注
操作系统
兼容性
Windows2OO0Windows2003
WindowsXPWindowsVISTA
将以上策略下发到不同操作系统的主机时,检测计算机运行、
系统运行正常,日志查询时,信息准确。
使用状况。
应用环境
兼容性
见附录
见附录
见附录
HUB集线
器兼容
测试HUB集线器连接终端基于MAC地址认证的可用性
将H3C交换机测试连接HUB的端口认证模式改为基于MAC的认证,然后将注册并下发802.1X认证策略的计算机和未注册的计算机逐个接入HUB
已注册计算机将自动完成认证接入内网,未注册计算机在未完成认证之前将无法接入内网。
WINDOWS
自验证
;测试WINDOW自带的验证功
能是否冲突
启用WINDOWS带认证功能(打开本地连接属性-验证-勾选802.1X认证,选择加密为MD5,然后注册客户端。
注册成功后,待EDPXCL进程启用后,打开本地连接属性-验证,看勾选是否被自动取消。
6.3安全性测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
备注
备用
RADIUS
务器
备用RADIUS服务器同主
RADIUS艮务器的快速切换
当前主RADIUSK务器为备份服务器。
测试只许将主服务器网络断开或停掉internet验证服务即可,然后使用客户端进行认证。
认证客户端可正常完成认证,时长不会超过5-15秒。
到备份服务器上打开事件查看器对系统日志查看,可从日志的时间以及内容中认证的客户端的MAC地址判断是否为测试机的认证事件日志,如匹配则表示备份服务器正常运行。
6.4压力测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
备注
主机资源
占用
测试802.1X认证策略起用后,终端主机系统资源占用情况(见表-1)
分别对802.1X认证通过的主机启用安检策略,并记录,观察
5-10台主机的EdpXclt.exe进
程的cup、内存占用情况,并按
资源占用几乎不影响系统运行
表格要求记录。
主机认证
时间
测试终端主机启动认证按钮后,通过服务器认证的时间
(windows系列5种类操作
系统)(见表-1)
在windows系列5种类操作系
统上分别观察EdpXclt.exe进
程认证通过的时间。
认证时间不超过20秒
RADIUS
务器资源
占用
测试日常终端主机认证
RADIUS服务器资源占用情况
(CPU内存、流量)
观察100-200台以上计算机同时认证时候RADIUS艮务器资源占用情况。
RADIUS服务器资源占用无异常
可以不测试
网络流量
测试
测试RADIUS服务器认证流
量、测试终端主机策略数据流
量
观察100-200台以上计算机同时认证时候RADIUS服务器流量,以及网络认证流量。
是否对网络产生影响
可以不测试
6.5应急预案测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
备注
服务器瘫痪
主服务器瘫痪,立即起用备份服务器。
修改从服务器IP为主服务器地址(此时,需要快速修复原服务器)。
系统正常运行
建议备份服务器IP能够更换为原服务器IP。
(此时,不能进行移动存储设备标签制作)
RADIUS!
务
器备份切换
主RADIUS艮务器瘫痪,立即起用从RADIUS艮务器。
自动启用从RADIUS务器。
客户端计算机正常进行
RADIUS!
证
交换机一键
恢复
客户端所接交换机端口快
速停止802.1X认证功能。
按给定Cc一键恢复工具操作执行。
该交换机所有端口停止
802.1X认证功能,计算机
直接进入工作网络
7.综合评论
请测试人员填写
8.附录
附录一、EdpXcIt进程资源占用信息采集表
设备配置
内容
启用后
策略启用情况
备注
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
IP:
CPU
内存
认证时间
采集日期:
采集人:
附录二、802.1X认证客户端与办公环境兼容性测试
时间:
机型:
系统
序号
分类
评测项目
满
分
得
分
测试
人
1
常规
5
2
5
3
5
4
IE使用
5
5
5
6
阅读器
5
7
5
8
office
兼容性
5
9
5
10
5
11
个人存
储系统
5
12
5
13
5
14
mail邮
箱
5
15
5
16
5
17
打印机
5
18
5
19
OE邮
5
20
件
5
21
5
22
Outlook
邮件
5
23
5
24
5
25
portal
网站
5
26
5
27
5
28
5
29
5
30
远程培
训
5
31
5
32
5
33
网络视
频会议
系统
5
34
5
35
客服系
统
5
36
5
37
5
38
数字图
书馆
5
39
5
40
远程移
动办公
系统
5
41
5
42
OA使
用
5
43
5
44
5
45
5
46
5
47
5
48
5
49
5
50
5
51
5
52
5
53
5
54
5
55
5
56
5
57
5
58
5
59
5
60
5
61
5
62
5
63
5
64
5
65
5
66
5
6
升级会员 