1、网络准入控制系统软件上线运行测试报告用户接入控制系统软件上线测试报告文件编号:项目编号:文件版次:V1.0.1编写人/日期:审核人/日期:批准人/日期:文档变更记录序号修改条款修改说明页号修改人/日期批准人/日期备注16、8深度完善,适合用户 需求/2007-4-16注:对本文档内容增加、删除或修改均需填写此变更记录,详细记载变更信息,以保证其可追溯性。1.弓I言 21.1系统概述 21.2文档概述 22.引用文档 23.相关定义 24.测试环境 45.测试概要 56.测试内容 66.1基本功能测试 66.2兼容性测试 126.3安全性测试 136.4压力测试 146.5应急预案测试 157.
2、综合评论 178. 附录 18附录一、EdPXclt进程资源占用信息采集表 18附录二、802.1X认证客户端与办公环境兼容性测试 19附录三、简单交换机802.1X协议基本配置方法 211.引言1.1系统概述用户网络准入控制系统使用 802.1X协议从交换机端口对认证客户端进行入 网控制,并通过对终端主机的安全检查策略,进行计算机安全健康状况检查,确 保入网计算机的安全性和可控性,系统建设主要目标如下:1、 实时认证:终端计算机每登陆一次网络,均需要经过交换机、 radius服 务器的认证。2、 精确控制:精确实现对终端计算机的认证控制,任何未经认证的计算机 无法进入工作区网络。3、 强制安
3、装:确保网络中每台计算机强制安装安全客户端程序进行安全管理,包括对当前已注册客户端认为或其他情况(如重新安装操作系统) 导致客户 端的非正常卸载,对漏安装或未来新增计算机的客户端注册情况提供了保障, 也 可保证注册率。4、 授权入网:可对非注册客户端进行入网控制,防止非授权计算机入网。5、 系统加固:对当前客户端系统进行加固,主要为补丁,杀毒软件及用户 名密码权限功能。1.2文档概述本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、 测试结果和测试人,详细记录了系统在测试中所产生的各类错误; 最后通过对测试结果系统、全面的分析对所测试的软件进行评估, 以便在今后的工作中对该系
4、统进行改进。2.引用文档网络准入系统白皮书网络准入控制系统实施方案统使用手册3.相关定义802.1x协议认证:IEEE为了解决基于端口的接入控制(Port-Based Access Control )而定义的一个标准。 802.1X 首先是一个认证协议,是一种对用户进行 认证的方法和策略; 802.1X 是基于端口的认证策略; 802.1X 的认证的最终目的 就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个 端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭” ,此 时只允许 802.1X 的认证报文 EAPO(LExtensible Authenticat
5、ion Protocol over LAN通过。802.1X 认证体系结构: Supplicant System 客户端 (PC 主机 / 网络设备 等) 、 Authenticator System 认证系统(主要是交换机) 、 Authentication Server System 认证服务器( radius 服务器)。管理器标识: 是指管理器的标记, 当服务器迁移时需要设置与之相同的管理 器标识,客户端只与有该标识的管理器进行相应数据交换等工作。信任:系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项 进行设备信任操作, 被信任机器无论是否注册, 未阻断操作对信任的计算机为无
6、 效状态。保护:系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路 由器等不需要注册IP地址单独划分出来,并对MAC以及IP地址不进行绑定;建 议将重要的服务器和其它网络相关设备不进行注册, 并设置为保护状态, 用来保 证其运行的稳定性。阻断:系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户 端机器通过此项操作进行单独内部网络阻断。 (该网段需有已注册且工作正常的 客户端)机构代码: 标志机构代码编号的数字, 用于多级级联构架网络中上级和各下 级之间的机构编号。自定义组: 为进行任务规则应用、任务执行而设置的网络客户端编组, 可自 行组合,适用不同管理策略。数据重整: 类
7、似于刷新功能,提供对数据库中数据的重新整理,每隔一段时 间对系统数据库进行重整。4.测试环境环境一:硬件环境系统名称数量说明USC-NAC艮务器:即策略服务器(VRVEDP-SERV)R配 置如下, Pentium 川 800 以上 CPU 1G以 上内存,硬盘 80G , 10/100BaseTX 网络 接口。Win dows2000/2003 server(ServicePack4.0 )操作系统、 IE6.0、SQLserver2000 或 2005。1台管理客户端 Age nt支持:Win dows 95、 Windows98、Windows Me、Windows 2000 Profe
8、ssional、Windows 2000 Server、 Windows 2000 Advanee Server、Windows XP、Windows XP Server、Windows Vista 等。RADIUS!务器:(Intel Pentium4, 内存 RAM 3G以上,硬盘80G以上,DVD光驱)2台分别作为主从RADIUS服务器,一台安装IAS Radius服务用于主Radius验证服务 器,一台同时安装IAS Radius服务用于 Radius验证备用服务器(硬盘200 G以上)。重定向服务器:(Intel Pentium4, 内存 RAM 2G以上,硬盘40G以上)1台安装C
9、c客户端下载程序及重定向服务程 序,部署在访客区域实施重定向下载服务, 并配置DHCP服务功能。网络接入设备,需要支持802.1X认证和Guest VLAN划分3-4台CEM使用的华3交换机。HUB集线器若十基于MAC的认证测试.环境二:网络环境对所有交换机增加一个 VLAN指定为GUEST VLAN并在所有端口上开启 802.1X认证,更改端口认证方式为 PORDBAS基(于端口的方式用于 GUEST VLAN 的跳转)指定该VLANf乍为GUEST VLAN访客VLAN。对于集联HUB的端口则使用基于 MAC的认证方式(默认为基于MAC勺认证方 式,否则接入HUB的客户端有一台认证通过该端
10、口将放开其他接入该 HUB的客户 端),802.1X认证交换机基本配置见附录二。服务器位置:确保交换机同 Radius服务器的通讯正常(UDP1812 ,Cc内网 管理系统服务器所处逻辑位置须能 PING通所有通过802.1X认证的客户端计算机,Radius服务器须能PING通所有交换机的管理IP。AUT0GA1B务器所连接 交换机端口应划分到 GUEST VLA内。5.测试概要测试内容进度安排测试内容测试目的执行情况基本功能测试(01)功能内容,功能检 验,功能冗余、遗 漏功能主要是验证功能是否 符合需求,包括原定功 能的检验、是否有冗余 功能、遗漏功能兼容性测试(02)同环境和主机系统的兼
11、容性验证在各种环境是否稳定安全性测试(03)未授权用户对系统 进行攻击或恶意破 坏系统在受到攻击和破坏时仍能保证数据的安全试测匕匕 )厶冃 4性 一系统各方面的性能对系统进行压力测试测试人员:请测试人员填写。6.测试内容测试前,请阅读Cc内网安全管理及补丁分发系统使用手册6.1基本功能测试测试终端接入环境描述:测试功能项测试步骤预期结果测试结果备注802.1 接入认证交换机802.1X端口认证启用配置交换机,对计算机所连接 的端口进行802.1X启用端口配 置,手动配置计算机IP地址, 在计算机上安装注册客户端。认证通过,计算机自动转入工 作网络。VLAN认证自动跳转将未注册计算机连接到已开启
12、 802.1X的交换机端口,计算机 将进入GUEST VLAN然后打开 IE输入任意域名(如WWW.BAIDU.CQ来访问重定向 注册页面,注册客户端。客户端未注册前将进入 GUESVLAN注册完成后自动 通过认证进入正常工作区 VLAN (注册将提示为缺省 注册成功”)DHCP环境认证在 GUEST VLA中架设 DHCfflK 务器,使用DHCP方式获得IP 地址的计算机在未安装客户端 之前将获得该VLAN内DHCfflK 务器分配的IP地址,然后使用 IE 浏览任意域名如 等将被重定向 至注册页面进行注册。客户端将在 GUEST VLA获得 IP地址(当前GUESWLAN内 获得为100
13、.100.0.0 网段IP 地址),注册完成并通过认证 后将获得内网IP地址。单用户名密码认证将802.1X认证策略中的密码认 证方式选择为单用户密码认 证,然后观祭客户端在重新启 动计算机后 是否自动进行认 证。可自动完成认证,右下脚托盘 图表为绿色并提示认证用户 名。安检失败处理等是否正常在管理平台中进入接入管理 -补丁与杀毒软件安全策略,勾 选杀毒软件检测,以及限制网 络访冋选项;未运行杀毒软件 执行的URL地址正确填写(当 前为http:/ )。限制网络后允 许访问的地址任意填写(当前 为)。如未安装或运行杀毒软件,将 给出提示,并弹出的IE框及 限制访问允许IP地址以为的 其他地址。
14、VPN接入管理客户端能否正常注册将802.1X认证策略中的密码认 证方式选择为多用户密码认 证,然后观祭客户端在重新启 动计算机后是否自动弹出认证 窗口,弹出后输入指定认证帐 户名及密码。完成认证后,右下脚托盘图表 为绿色并提示认证用户名。客户端-服务器通讯状况将未注册计算机连接到已开启802.1X的交换机端口,计算机将进入GUEST VLAN然后打开客户端未注册前将进入 GUESVLAN注册完成后自动 通过认证进入正常工作区 VLAN (注册将提示为缺省 注册成功” 0)IE输入任意域名来访问从定向 注册页面,注册客户端。4种安全策略能否正常运行在管理平台中进入接入管理 -补丁与杀毒软件安全
15、策略,勾 选杀毒软件检测,以及限制网 络访冋选项;未运行杀毒软件 执行的URL地址正确填写(当 前为http:/限制网络后允许 访问的地址任意填写(当前)。如未安装或运行杀毒软件,将 给出提示,并弹出的IE框及 限制访问允许IP地址以为的 其他地址。违规外联监控拨号、ADSL双网卡、无线、代理等方式支持种类对下发违规外联策略的客户端 使用以上几种方式进行外联测 试即可。客户端将正确根据策略中制 定的处理方式进行处理。非法连接互联网检测报警处 置方式(同时连接内外网、仅 在外网)在违规外联策略中制疋:1 采用外网探测方法:外网地址1和2分别填写域名如 等。外网特征字串填写中文关键词正确对同时连接
16、和只连接外 网的用户给予相应提示和处 理。如XX等。2.IE代理检测及禁用全部勾选3.内外网同时连接和只连接外 网处理由管理员选择处理方式 及填写提示信息。用户密码策略用户系统弱口令检测新建用户,设置密码为空。如用户不及时按要求更改,每 次电脑开机时,接受到提示信 息。检测内容准确。口令复杂性设置设置用户密码复杂性,必须在8 位以上,设置后,更改用户密 码,如不能满足要求,不能更 改密码。如密码复杂性不能达到系统 要求,更改密码时会接收到提 示。帐户锁定设置设置帐户锁定阀值为3次。设置帐户锁定时间为2分钟。成功锁定。屏保设置在客户端设置屏保在恢复时不 需要输入密码。重新启动系统 后,从服务器端
17、设置启用屏幕成功设置,在恢复是要求输入 密码。保护功能,规定时间为3分钟,要求在恢复时输入密码。用户权限策略用户权限改变新建用户test,并反复修改权 限。接收到用户test权限发生改 变提示信息,系统重新启动 后,成功接收到提示信息。用户组权限改变新建用户组test,并反复修改 权限。接收到用户组test权限发生 改变提示信息,系统重新启动 后,成功接收到提示信息系统用户(组)增加新建用户test,新建用户组test。接收到系统用户组增加提示 信息系统用户(组)减少删除用户test,删除用户组test。接收到系统用户组减少提示 信息,系统重新启动后,成功 接收到提示信息1、杀毒软件安装检测(
18、kill瑞星)将杀毒软件卸载后,下发检测 策略,重新启动后系统提示未 按安装杀毒软件。接收到系统提示未安装杀毒软件信息补丁与杀 毒软件策略2、杀毒软件未运行提示(重 定向强制安装)将杀毒软件卸载后,打开网页, 或重新启动电脑时,会自动弹 出下载杀毒软件界面。打开网页时,系统会将网址重 定向到下载界面。3、未安装杀毒软件限制网络 访问在策略中设置未安装杀毒软件 情况下,阻断联网,但允许对 服务器进行访问。接收到策略后,终端计算机无 法与外界进行联网,可以与服 务器进行通信。日志查询1、违规外联(按照参数执行)使用本机进行外联测试查询本机上报到服务器的信 息,上报时间、内容准确。2、密码&权限(按
19、照参数执 行)使用本机进行测试查询本机上报到服务器的信 息,上报时间、内容准确。6.2兼容性测试测试终端接入环境描述:测试功能项测试步骤预期结果测试结果备注操作系统兼容性Windows2OO0 Windows2003Win dowsXP Win dows VISTA将以上策略下发到不同操作系 统的主机时,检测计算机运行、系统运行正常,日志查询时, 信息准确。使用状况。应用环境兼容性见附录见附录见附录HUB集 线器兼容测试HUB集线器连接终端基 于MAC地址认证的可用性将H3C交换机测试连接HUB的 端口认证模式改为基于 MAC的 认证,然后将注册并下发 802.1X认证策略的计算机和未 注册的
20、计算机逐个接入 HUB已注册计算机将自动完成认 证接入内网,未注册计算机在 未完成认证之前将无法接入 内网。WINDOWS自验证;测试WINDOW自带的验证功能是否冲突启用 WINDOWS带认证功能(打 开本地连接属性-验证-勾选 802.1X认证,选择加密为MD5, 然后注册客户端。注册成功后,待EDPXCL进程 启用后,打开本地连接属性- 验证,看勾选是否被自动取 消。6.3安全性测试测试终端接入环境描述:测试功能项测试步骤预期结果测试结果备注备用RADIUS务器备用RADIUS服务器同主RADIUS艮务器的快速切换当前主RADIUSK务器为备份服 务器。测试只许将主服务器网 络断开或停掉
21、in ternet验证服 务即可,然后使用客户端进行 认证。认证客户端可正常完成认证, 时长不会超过5-15秒。到备 份服务器上打开事件查看器 对系统日志查看,可从日志的 时间以及内容中认证的客户 端的MAC地址判断是否为测 试机的认证事件日志,如匹配 则表示备份服务器正常运行。6.4压力测试测试终端接入环境描述:测试功能项测试步骤预期结果测试结果备注主机资源占用测试802.1X认证策略起用 后,终端主机系统资源占用情 况(见表-1)分别对802.1X认证通过的主机 启用安检策略,并记录,观察5-10台主机的EdpXclt.exe 进程的cup、内存占用情况,并按资源占用几乎不影响系统运 行表
22、格要求记录。主机认证时间测试终端主机启动认证按钮 后,通过服务器认证的时间(windows系列5种类操作系统)(见表-1)在windows系列5种类操作系统上分别观察EdpXclt.exe进程认证通过的时间。认证时间不超过20秒RADIUS务器资源占用测试日常终端主机认证RADIUS服务器资源占用情况(CPU内存、流量)观察100-200台以上计算机同 时认证时候RADIUS艮务器资源 占用情况。RADIUS服务器资源占用无异 常可以不测试网络流量测试测试RADIUS服务器认证流量、测试终端主机策略数据流量观察100-200台以上计算机同 时认证时候RADIUS服务器流 量,以及网络认证流量。
23、是否对网络产生影响可以不测试6.5应急预案测试测试终端接入环境描述:测试功能项测试步骤预期结果测试结果备注服务器瘫痪主服务器瘫痪,立即起用 备份服务器。修改从服务器IP为主服务器地 址(此时,需要快速修复原服 务器)。系统正常运行建议备份服务器 IP能够更换为原 服务器IP。(此 时,不能进行移 动存储设备标签 制作)RADIUS!务器备份切换主RADIUS艮务器瘫痪,立 即起用从RADIUS艮务器。自动启用从RADIUS务器。客户端计算机正常进行RADIUS!证交换机一键恢复客户端所接交换机端口快速停止802.1X认证功能。按给定Cc一键恢复工具操作执 行。该交换机所有端口停止802.1X认
24、证功能,计算机直接进入工作网络7.综合评论请测试人员填写8.附录附录一、EdpXcIt进程资源占用信息采集表设备配置内容启用后策略启用情况备注IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间IP:CPU内存认证时间采集日期: 采集人:附录二、802.1X认证客户端与办公环境兼容性测试时间:机型:系统序号分类评测项目满分得分测试人1常规525354IE使用5556阅读器5758office兼容性59510511个人存储系统512513514mail 邮箱515516517打印机518519OE邮520件521522Outlook邮件523524525portal网站526527528529530远程培训531532533网络视频会议系统534535客服系统536537538数字图书馆539540远程移动办公系统541542OA使用54354454554654754854955055155255355455555655755855956056156256356456556656
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 