Citrix NetScaler WAF测试计划.docx
《Citrix NetScaler WAF测试计划.docx》由会员分享,可在线阅读,更多相关《Citrix NetScaler WAF测试计划.docx(47页珍藏版)》请在冰豆网上搜索。
CitrixNetScalerWAF测试计划
网页应用防火墙设备测试方案
客户名称:
测试厂商:
测试日期:
目录
目录2
1测试概要1
1.1测试目的1
1.2测试内容1
1.3测试计划2
1.3.1测试人员2
1.3.2测试时间2
1.3.3测试地点与联系人2
2测试环境3
2.1测试设备3
2.2IP地址分配3
3功能测试4
3.1设备部署能力测试4
3.1.1ReverseProxy架构部署测试4
3.1.2L2In-line架构能力测试5
3.1.3L3In-line架构测试6
3.1.4L2和L3In-line混合模式架构测试7
3.2WAF防护功能测试8
3.2.1设备自学习功能测试8
3.2.2协议合规性检查测试9
3.2.3统一入口访问限制10
3.2.4OWASPTOP10弱点防护11
3.2.5敏感性资料防护18
3.2.6阻拦和模拟阻拦(只告警)19
3.2.7告警中敏感信息的掩码20
3.2.8阻拦页面自定义21
3.2.9告警中敏感信息的掩码22
3.2.10导入扫描工具结果23
3.2.11特征库自动和手动更新24
3.2.12应用内容重写25
3.2.13链接分析26
3.3阻断式攻击防护功能测试27
3.3.1基于4-7层的访问控制27
3.3.2HTTP请求速率控制28
3.3.3HTTPSLOWPOST攻击防护能力(可选测试)29
3.3.4网站内容爬取防护30
3.3.5SSL(HTTPS)加速功能测试31
3.4报告功能32
3.4.1定制报告功能测试32
3.4.2日志或者报告的外发33
3.4.3法规遵从报告34
3.4.4访问性能报告35
3.5管理维护功能测试35
3.5.1系统升级功能测试36
3.5.2监控报表功能测试37
3.5.3分级分权管理38
3.6高可靠性测试38
3.6.1Active-Standby模式38
3.6.2Active-Active模式40
4性能测试41
4.1HTTP网页防护流量吞吐性能41
4.2HTTP网页防护请求速率性能42
4.3SYNFlood攻击防护性能43
1测试概要
1.1测试目的
为确保应用防火墙设备能符合各项系统要求,并提供DDOS防御,故进行本次测试。
项目涵盖各项日后将启用的功能,重点在验证设备能力和厂商专业表现。
1.2测试内容
在机房内架设Web测试环境,在客户端和服务器中间安放应用防火墙,测试设备的功能和效能。
在测试中将比较各家产品对应用防火墙安全方面的能力。
本次测试内容主要包括两个主要方面内容,功能测试和性能测试。
应用防火墙功能测试部分内容包括:
1.设备部署方式能力测试
2.应用防火墙功能测试
3.阻断攻击防护测试阻
4.管理维护功能测试
应用防火墙性能测试部分内容包括:
1.HTTP应用防护流量吞吐性能
2.HTTP应用防护请求速率性能
3.SynFlood攻击防护性能
1.3测试计划
1.3.1测试人员
本次测试,由XXXX厂商和XXXX双方工程师参与,主要人员包括:
∙XXXX:
∙XXXX:
1.3.2测试时间
测试将分为两个阶段进行,第一阶段进行功能测试,第二阶段进行性能测试。
在正式测试工作启动之前还需要前期准备,具体落实测试方案,测试计划和测试环境准备工作。
1.3.3测试地点与联系人
∙测试地点:
∙测试环境联系人:
2测试环境
2.1测试设备
用途
设备
数量
型号
安装软件
WEB应用防火墙
测试厂商自行准备
1
压力测试工具
1
三层交换机
L3Switch
1
PC服务器
通用Web服务器
1
Badstore包含大量漏洞的服务器
PC客户端
通用PC
1
包含多种Web攻击工具
2.2IP地址分配
设备
IP地址段
三层交换机
测试设备
服务器
客户端
3功能测试
3.1设备部署能力测试
3.1.1ReverseProxy架构部署测试
测试编号
测试日期
被测设备
型号
测试目的
检查在此架构下,WAF功能是否正确运作
测试项目
SQLInjection和服务器版本资料删除
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP网页服务器;
3.配置设备IP地址;
4.配置客户端使用WAF上配置的VIP
5.WAF设备分别启用防护功能,包括
∙SQLInjection
∙服务器版本资料删除(如在服务器回应的HTTPHeader中Server:
IIS6.0的资料移除)
预期结果
SQLInjection攻击被阻挡,服务器版本资料被移除
测试结果
SQLInjection防护是否符合
服务器版本资料刪除是否符合
是/否
是/否
备注
后端服务器仅启用HTTP服务,相关凭证请服务器厂商依需求配置
测试员签名
用户____________________厂商______________________
3.1.2L2In-line架构能力测试
测试编号
测试日期
被测设备
型号
测试目的
检查在此架构下,WAF功能是否正确运作
测试项目
SQLInjection和服务器版本资料删除
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP网页服务器;
3.配置设备IP地址;
4.配置客户端使用WAF上配置的VIP;
5.WAF设备分别启用防护功能,包括
∙SQLInjection
∙服务器版本资料删除(如在服务器回应的HTTPHeader中Server:
IIS6.0的资料移除)
预期结果
SQLInjection攻击被阻挡,服务器版本资料被移除
测试结果
SQLInjection防护是否符合
服务器版本资料刪除是否符合
是/否
是/否
备注
后端服务器仅启用HTTP服务,相关凭证请服务器厂商依需求配置
测试员签名
用户____________________厂商______________________
3.1.3L3In-line架构测试
测试编号
测试日期
被测设备
型号
测试目的
检查在此架构下,WAF功能是否正确运作
测试项目
SQLInjection和服务器版本资料删除
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP网页服务器;
3.配置设备IP地址;
4.配置客户端使用WAF上配置的VIP;
5.WAF设备分别启用防护功能,包括
∙SQLInjection
∙服务器版本资料删除(如在服务器回应的HTTPHeader中Server:
IIS6.0的资料移除)
预期结果
SQLInjection攻击被阻挡,服务器版本资料被移除
测试结果
SQLInjection防护是否符合
服务器版本资料刪除是否符合
是/否
是/否
备注
后端服务器仅启用HTTP服务,相关凭证请服务器厂商依需求配置
测试员签名
用户____________________厂商______________________
3.1.4L2和L3In-line混合模式架构测试
测试编号
测试日期
被测设备
型号
测试目的
检查在此架构下,WAF功能是否正确运作
测试项目
SQLInjection和服务器版本资料删除
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP网页服务器;
3.配置设备IP地址;
4.配置客户端使用WAF上配置的VIP和SubnetA之后端服务器通讯;
5.WAF设备分别启用防护功能,包括
∙SQLInjection
∙服务器版本资料删除(如在服务器回应的HTTPHeader中Server:
IIS6.0的资料移除)
预期结果
SQLInjection攻击被阻挡,服务器版本资料被移除
测试结果
SQLInjection防护是否符合
服务器版本资料删除是否符合
是/否
是/否
备注
后端服务器仅启用HTTP服务,相关凭证请服务器厂商依需求配置
测试员签名
用户____________________厂商______________________
3.2WAF防护功能测试
3.2.1设备自学习功能测试
测试编号
测试日期
被测设备
型号
测试目的
网页应用中包含了大量的URL、参数、方法、Cookie等元素,如果通过手工根据各个元素来设定安全规则将有非常大的工作量,而且容易出现错误。
因此,需要进行自动网站模型学习。
测试WAF是否能正确的自动的学习到网站建构模型
测试项目
设备自学习功能
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP;
5.在WAF上针对每个防护类别对象开启Learning功能
6.发起到后台服务器的应用访问
预期结果
在启用学习功能后,设备会自动列出学习到的URL,表单,Cookie等信息
测试结果
自动学习功能是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.2协议合规性检查测试
测试编号
测试日期
被测设备
型号
测试目的
系统可对HTTP协议进行检查,发现不规范的HTTP协议数据。
HTTP协议检查应该至少包括,非法的Http版本、非法主机名、过长的Http请求、过长的Http参数、未知的Http方法等等
测试项目
HTTP协议检查
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP;
5.使用浏览器发起到后台服务器的应用访问
6.通过HTTPProfie及其Rewrite功能设置协议合规性检查
预期结果
对于HTTP协议进行合规性检查
测试结果
合规性检查功能是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.3统一入口访问限制
测试编号
测试日期
被测设备
型号
测试目的
应用中包含了不同的URL,提供不同的内容给客户端,只允许用户从首页进行登陆后在访问其他页面,不允许直接访问其它页面。
避免敏感信息泄露和暴力攻击
测试项目
统一访问入口限制
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP;
5.在WAF上开启StartURL(Enforce)功能
6.客户端访问首页后观察是否可以访问其他页面
7.结束访问,退出浏览器
8.重新打开浏览器,访问非首页的任何一个页面
预期结果
在启用该能后,设备仅允许用户从首页登陆后访问其它页面
测试结果
功能是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4OWASPTOP10弱点防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡攻击
测试项目
OWASPTOP10弱点防护
测试地点
测试工具
有弱点的网站,如Badstore,和弱点扫面工具W3AF或者IBMAppScan
测试连接图
测试步骤
7.按照测试连接图连接测试设备和测试服务器;
8.测试服务器为HTTP服务;
9.配置设备IP地址;
10.配置客户端访问WAF上配置的VIP;
11.WAF在不启用防护功能时,用扫描工具进行扫描,并记录弱点数量,并标记为VA
12.WAF在启用防护功能时,用扫描工具进行扫描,并记录弱点数量,并标记为VP
预期结果
在启用防护功能后,查找到的弱点数量应该比启用之前少
测试结果
OWASPTOP10防护是否符合
防护能力比分((VA-VP)/VAx100%)
是/否
得分:
__%
备注
防护能力比分较高者,防护能力较佳
测试员签名
用户____________________厂商______________________
3.2.4.1SQLInjection防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡攻击
测试项目
SQLInjection
测试地点
测试工具
有弱点的网站,如Badstore,SQLInjection语句
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP;
5.开启SQLInjection防护功能,在网页表单或者URL参数中提交SQL注入语句
预期结果
WAF能够识别并进行拦截
测试结果
SQLInjection防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4.2跨站脚本防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡攻击
测试项目
跨站脚本攻击
测试地点
测试工具
有弱点的网站,如Badstore,和跨站脚本
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP;
5.在网页的表单中将跨站脚本录入进去
6.开启XSS保护功能
预期结果
WAF可以对包含恶意脚本的请求进行拦截
测试结果
XSS防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4.3Cooike篡改防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡攻击
测试项目
Cookie防篡改
测试地点
测试工具
有弱点的网站,如Badstore,和MantraPortable浏览器(集成多种攻击攻击,在OWASP.org网站中下载)
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端使用下载的浏览器访问WAF上配置的VIP;
5.通过浏览器附带的CookiesManager插件工具进行原始Cookie修改(Tools-ApplicationAuditing-CookiesManager+)
6.开启Cookie防篡改保护功能
预期结果
WAF可以保护Cookie避免被篡改
测试结果
Cookie篡改防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4.4Cooike代理/加密防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能将服务器返回给客户端的Cookie进行二次处理,以保护原始Cookie避免遭受窃取
测试项目
Cookie代理/加密
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端使用下载的浏览器访问WAF上配置的VIP;
5.开启Cookie代理功能(可对原始服务器返回的Cookie进行加密,替换等)
预期结果
WAF可以对原始Cookie进行加密或者安全替换
测试结果
Cookie代理是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4.5表单一致性防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡隐藏表单恶意篡改
测试项目
表单防篡改
测试地点
测试工具
有弱点的网站,如Badstore,和MantraPortable浏览器(集成多种攻击攻击,在OWASP.org网站中下载)
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端使用下载的浏览器访问WAF上配置的VIP;
5.通过浏览器附带的TamperData插件工具进行隐藏表单参数值修改(Tools-ApplicationAuditing-TamperData)
6.开启表单一致性保护功能
预期结果
WAF可以对隐藏表单参数进行保护
测试结果
表单参数篡改防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.4.6BufferOverflow防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能正确阻挡BufferOverflow
测试项目
BufferOverflow
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端使用下载的浏览器访问WAF上配置的VIP;
5.在浏览器地址栏中,输入一个较长的URL参数值,或者在表单中提交一个
较长的查询请求
6.开启BufferOverflow保护功能
预期结果
WAF可以防止BufferOverflow
测试结果
BufferOverflow防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.5敏感性资料防护
测试编号
测试日期
被测设备
型号
测试目的
测试WAF是否能防范敏感性资料外泄
测试项目
信用卡资料隐藏
测试地点
测试工具
有弱点的网站,如Badstore
测试连接图
测试步骤
1.按照测试连接图连接测试设备和测试服务器;
2.测试服务器为HTTP服务;
3.配置设备IP地址;
4.配置客户端访问WAF上配置的VIP,访问包含信用卡信息的页面;
5.WAF开启信用卡资料防护功能
预期结果
网页所显示的信用卡号码有部分被屏蔽掉
测试结果
信用卡资料外泄防护是否符合
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.6阻拦和模拟阻拦(只告警)
测试编号
测试日期
被测设备
型号
测试目的
在系统初始或者异常情况下,可以进行模拟运行,只提供真实告警,但是不进行阻拦,保证业务的持续性
测试项目
阻拦和模拟阻拦
测试地点
测试工具
测试连接图
测试步骤
1.测试各种部署模式下的阻断效果
2.设置系统为模拟阻断,测试是否可以同样生成告警,但是不对业务造成任何影响
预期结果
可有效阻止和模拟阻断
测试结果
是否实现可有效阻止和模拟阻断
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.7告警中敏感信息的掩码
测试编号
测试日期
被测设备
型号
测试目的
对于告警事件中出现的敏感信息进行掩码,例如信用卡信息等,用户名及其密码等,掩去的信息使用星号代替
测试项目
敏感信息掩码
测试地点
测试工具
测试连接图
测试步骤
1.设备开启ConfidentailForm功能
2.访问信用卡信息相关页面
预期结果
对敏感信息成功掩码
测试结果
是否实现对敏感信息成功掩码
是/否
备注
测试员签名
用户____________________厂商______________________
3.2.8阻拦页面自定义
测试编号
测试日期
被测设备
型号
测试目的
可自定义阻断页面
测试项目
阻断页面的自定义
测试地点
测试工具
测试连接图
测试步骤
1.自定义阻断页面
2.触发阻断,观察阻断页面的效果
预期结果
有效自定义阻断页面,阻断页面还可以提供违规相关的信息,例如,事件ID、会话ID、相关违规提示等等
测试结果
是否实现如上需求
是/否
备注
测试员签名
用户____________________厂商______________________
升级会员 