Citrix NetScaler WAF测试计划.docx

1、Citrix NetScaler WAF测试计划 网页应用防火墙设备测试方案客户名称：测试厂商：测试日期：目录目录 21 测试概要 11.1 测试目的 11.2 测试内容 11.3 测试计划 21.3.1 测试人员 21.3.2 测试时间 21.3.3 测试地点与联系人 22 测试环境 32.1 测试设备 32.2 IP地址分配 33 功能测试 43.1 设备部署能力测试 43.1.1 Reverse Proxy架构部署测试 43.1.2 L2 In-line架构能力测试 53.1.3 L3 In-line架构测试 63.1.4 L2和L3 In-line混合模式架构测试 73.2 WAF防护

2、功能测试 83.2.1 设备自学习功能测试 83.2.2 协议合规性检查测试 93.2.3 统一入口访问限制 103.2.4 OWASP TOP 10弱点防护 113.2.5 敏感性资料防护 183.2.6 阻拦和模拟阻拦（只告警） 193.2.7 告警中敏感信息的掩码 203.2.8 阻拦页面自定义 213.2.9 告警中敏感信息的掩码 223.2.10 导入扫描工具结果 233.2.11 特征库自动和手动更新 243.2.12 应用内容重写 253.2.13 链接分析 263.3 阻断式攻击防护功能测试 273.3.1 基于4-7层的访问控制 273.3.2 HTTP请求速率控制 283.

3、3.3 HTTP SLOW POST攻击防护能力（可选测试） 293.3.4 网站内容爬取防护 303.3.5 SSL (HTTPS)加速功能测试 313.4 报告功能 323.4.1 定制报告功能测试 323.4.2 日志或者报告的外发 333.4.3 法规遵从报告 343.4.4 访问性能报告 353.5 管理维护功能测试 353.5.1 系统升级功能测试 363.5.2 监控报表功能测试 373.5.3 分级分权管理 383.6 高可靠性测试 383.6.1 Active-Standby模式 383.6.2 Active-Active模式 404 性能测试 414.1 HTTP网页防护流

4、量吞吐性能 414.2 HTTP网页防护请求速率性能 424.3 SYN Flood攻击防护性能 431 测试概要1.1 测试目的为确保应用防火墙设备能符合各项系统要求，并提供DDOS防御，故进行本次测试。项目涵盖各项日后将启用的功能，重点在验证设备能力和厂商专业表现。1.2 测试内容在机房内架设Web测试环境，在客户端和服务器中间安放应用防火墙，测试设备的功能和效能。在测试中将比较各家产品对应用防火墙安全方面的能力。本次测试内容主要包括两个主要方面内容，功能测试和性能测试。应用防火墙功能测试部分内容包括：1. 设备部署方式能力测试2. 应用防火墙功能测试3. 阻断攻击防护测试阻4. 管理维护

5、功能测试应用防火墙性能测试部分内容包括：1. HTTP应用防护流量吞吐性能2. HTTP应用防护请求速率性能3. Syn Flood攻击防护性能1.3 测试计划1.3.1 测试人员本次测试，由XXXX厂商和XXXX双方工程师参与，主要人员包括： XXXX： XXXX：1.3.2 测试时间测试将分为两个阶段进行，第一阶段进行功能测试，第二阶段进行性能测试。在正式测试工作启动之前还需要前期准备，具体落实测试方案，测试计划和测试环境准备工作。1.3.3 测试地点与联系人 测试地点： 测试环境联系人：2 测试环境2.1 测试设备用途设备数量型号安装软件WEB应用防火墙测试 厂商自行准备1压力测试工具1

6、三层交换机L3 Switch1PC服务器通用Web服务器1Badstore包含大量漏洞的服务器PC客户端通用PC1包含多种Web攻击工具2.2 IP地址分配设备IP地址段三层交换机测试设备服务器客户端3 功能测试3.1 设备部署能力测试3.1.1 Reverse Proxy架构部署测试测试编号测试日期被测设备型号测试目的检查在此架构下，WAF功能是否正确运作测试项目SQL Injection和服务器版本资料删除测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP网页服务器；3. 配置设备IP地址；4. 配置客

7、户端使用WAF上配置的VIP5. WAF设备分别启用防护功能，包括 SQL Injection 服务器版本资料删除（如在服务器回应的HTTP Header中Server:IIS6.0的资料移除）预期结果SQL Injection攻击被阻挡，服务器版本资料被移除测试结果SQL Injection防护是否符合服务器版本资料刪除是否符合是/否是/否备注后端服务器仅启用HTTP服务，相关凭证请服务器厂商依需求配置测试员签名用户_ 厂商_3.1.2 L2 In-line架构能力测试测试编号测试日期被测设备型号测试目的检查在此架构下，WAF功能是否正确运作测试项目SQL Injection和服务器版本资料

8、删除测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP网页服务器；3. 配置设备IP地址；4. 配置客户端使用WAF上配置的VIP；5. WAF设备分别启用防护功能，包括 SQL Injection 服务器版本资料删除（如在服务器回应的HTTP Header中Server:IIS6.0的资料移除）预期结果SQL Injection攻击被阻挡，服务器版本资料被移除测试结果SQL Injection防护是否符合服务器版本资料刪除是否符合是/否是/否备注后端服务器仅启用HTTP服务，相关凭证请服务器厂商依需求配置

9、测试员签名用户_ 厂商_3.1.3 L3 In-line架构测试测试编号测试日期被测设备型号测试目的检查在此架构下，WAF功能是否正确运作测试项目SQL Injection和服务器版本资料删除测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP网页服务器；3. 配置设备IP地址；4. 配置客户端使用WAF上配置的VIP；5. WAF设备分别启用防护功能，包括 SQL Injection 服务器版本资料删除（如在服务器回应的HTTP Header中Server:IIS6.0的资料移除）预期结果SQL Injec

10、tion攻击被阻挡，服务器版本资料被移除测试结果SQL Injection防护是否符合服务器版本资料刪除是否符合是/否是/否备注后端服务器仅启用HTTP服务，相关凭证请服务器厂商依需求配置测试员签名用户_ 厂商_3.1.4 L2和L3 In-line混合模式架构测试测试编号测试日期被测设备型号测试目的检查在此架构下，WAF功能是否正确运作测试项目SQL Injection和服务器版本资料删除测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP网页服务器；3. 配置设备IP地址；4. 配置客户端使用WAF上配置

11、的VIP 和Subnet A之后端服务器通讯；5. WAF设备分别启用防护功能，包括 SQL Injection 服务器版本资料删除（如在服务器回应的HTTP Header中Server:IIS6.0的资料移除）预期结果SQL Injection攻击被阻挡，服务器版本资料被移除测试结果SQL Injection防护是否符合服务器版本资料删除是否符合是/否是/否备注后端服务器仅启用HTTP服务，相关凭证请服务器厂商依需求配置测试员签名用户_ 厂商_3.2 WAF防护功能测试3.2.1 设备自学习功能测试测试编号测试日期被测设备型号测试目的网页应用中包含了大量的URL、参数、方法、Cookie等元

12、素，如果通过手工根据各个元素来设定安全规则将有非常大的工作量，而且容易出现错误。因此，需要进行自动网站模型学习。测试WAF是否能正确的自动的学习到网站建构模型测试项目设备自学习功能测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP；5. 在WAF上针对每个防护类别对象开启Learning功能6. 发起到后台服务器的应用访问预期结果在启用学习功能后，设备会自动列出学习到的URL，表单，Cookie等信息测试结果自动学习功能是否符合是/否备注

13、测试员签名用户_ 厂商_3.2.2 协议合规性检查测试测试编号测试日期被测设备型号测试目的系统可对HTTP协议进行检查，发现不规范的HTTP协议数据。HTTP协议检查应该至少包括，非法的Http版本、非法主机名、过长的Http请求、过长的Http参数、未知的Http方法等等测试项目HTTP协议检查测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP；5. 使用浏览器发起到后台服务器的应用访问6. 通过HTTP Profie及其Rewrite

14、功能设置协议合规性检查预期结果对于HTTP协议进行合规性检查测试结果合规性检查功能是否符合是/否备注测试员签名用户_ 厂商_3.2.3 统一入口访问限制测试编号测试日期被测设备型号测试目的应用中包含了不同的URL，提供不同的内容给客户端，只允许用户从首页进行登陆后在访问其他页面，不允许直接访问其它页面。避免敏感信息泄露和暴力攻击测试项目统一访问入口限制测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP；5. 在WAF上开启Start UR

15、L（Enforce）功能6. 客户端访问首页后观察是否可以访问其他页面7. 结束访问，退出浏览器8. 重新打开浏览器，访问非首页的任何一个页面预期结果在启用该能后，设备仅允许用户从首页登陆后访问其它页面测试结果功能是否符合是/否备注测试员签名用户_ 厂商_3.2.4 OWASP TOP 10弱点防护测试编号测试日期被测设备型号测试目的测试WAF是否能正确阻挡攻击测试项目OWASP TOP 10弱点防护测试地点测试工具有弱点的网站，如Badstore，和弱点扫面工具W3AF或者IBM AppScan测试连接图测试步骤7. 按照测试连接图连接测试设备和测试服务器；8. 测试服务器为HTTP服务；9

16、. 配置设备IP地址；10. 配置客户端访问WAF上配置的VIP；11. WAF在不启用防护功能时，用扫描工具进行扫描，并记录弱点数量，并标记为VA12. WAF在启用防护功能时，用扫描工具进行扫描，并记录弱点数量，并标记为VP预期结果在启用防护功能后，查找到的弱点数量应该比启用之前少测试结果OWASP TOP 10防护是否符合防护能力比分(VA-VP)/VA x 100%)是/否得分：_%备注防护能力比分较高者，防护能力较佳测试员签名用户_ 厂商_3.2.4.1 SQL Injection防护测试编号测试日期被测设备型号测试目的测试WAF是否能正确阻挡攻击测试项目SQL Injection测

17、试地点测试工具有弱点的网站，如Badstore，SQL Injection语句测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP；5. 开启SQL Injection防护功能，在网页表单或者URL参数中提交SQL注入语句预期结果WAF能够识别并进行拦截测试结果SQL Injection防护是否符合是/否备注测试员签名用户_ 厂商_3.2.4.2 跨站脚本防护测试编号测试日期被测设备型号测试目的测试WAF是否能正确阻挡攻击测试项目跨站脚本攻击测试地点测试工具有弱点的网站，如Badstor

18、e，和跨站脚本测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP；5. 在网页的表单中将跨站脚本录入进去6. 开启XSS保护功能预期结果WAF可以对包含恶意脚本的请求进行拦截测试结果XSS防护是否符合是/否备注测试员签名用户_ 厂商_3.2.4.3 Cooike篡改防护测试编号测试日期被测设备型号测试目的测试WAF是否能正确阻挡攻击测试项目Cookie防篡改测试地点测试工具有弱点的网站，如Badstore，和MantraPortable浏览器（集成多种攻击攻击，在OWASP.org网站

19、中下载）测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端使用下载的浏览器访问WAF上配置的VIP；5. 通过浏览器附带的Cookies Manager插件工具进行原始Cookie修改（Tools-Application Auditing-Cookies Manager+）6. 开启Cookie防篡改保护功能预期结果WAF可以保护Cookie避免被篡改测试结果Cookie篡改防护是否符合是/否备注测试员签名用户_ 厂商_3.2.4.4 Cooike代理/加密防护测试编号测试日期被测设备型号测试目的测试WAF是

20、否能将服务器返回给客户端的Cookie进行二次处理，以保护原始Cookie避免遭受窃取测试项目Cookie代理/加密测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端使用下载的浏览器访问WAF上配置的VIP；5. 开启Cookie代理功能（可对原始服务器返回的Cookie进行加密，替换等）预期结果WAF可以对原始Cookie进行加密或者安全替换测试结果Cookie代理是否符合是/否备注测试员签名用户_ 厂商_3.2.4.5 表单一致性防护测试编号测试日期被测设备

21、型号测试目的测试WAF是否能正确阻挡隐藏表单恶意篡改测试项目表单防篡改测试地点测试工具有弱点的网站，如Badstore，和MantraPortable浏览器（集成多种攻击攻击，在OWASP.org网站中下载）测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端使用下载的浏览器访问WAF上配置的VIP；5. 通过浏览器附带的TamperData插件工具进行隐藏表单参数值修改（Tools-Application Auditing-Tamper Data）6. 开启表单一致性保护功能预期结果WAF可以对隐藏表单参数进

22、行保护测试结果表单参数篡改防护是否符合是/否备注测试员签名用户_ 厂商_3.2.4.6 Buffer Overflow防护测试编号测试日期被测设备型号测试目的测试WAF是否能正确阻挡Buffer Overflow测试项目Buffer Overflow测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端使用下载的浏览器访问WAF上配置的VIP；5. 在浏览器地址栏中，输入一个较长的URL参数值,或者在表单中提交一个较长的查询请求6. 开启Buffer Overflo

23、w保护功能预期结果WAF可以防止Buffer Overflow测试结果Buffer Overflow防护是否符合是/否备注测试员签名用户_ 厂商_3.2.5 敏感性资料防护测试编号测试日期被测设备型号测试目的测试WAF是否能防范敏感性资料外泄测试项目信用卡资料隐藏测试地点测试工具有弱点的网站，如Badstore测试连接图测试步骤1. 按照测试连接图连接测试设备和测试服务器；2. 测试服务器为HTTP服务；3. 配置设备IP地址；4. 配置客户端访问WAF上配置的VIP，访问包含信用卡信息的页面；5. WAF开启信用卡资料防护功能预期结果网页所显示的信用卡号码有部分被屏蔽掉测试结果信用卡资料外泄

24、防护是否符合是/否备注测试员签名用户_ 厂商_3.2.6 阻拦和模拟阻拦（只告警）测试编号测试日期被测设备型号测试目的在系统初始或者异常情况下，可以进行模拟运行，只提供真实告警，但是不进行阻拦，保证业务的持续性测试项目阻拦和模拟阻拦测试地点测试工具测试连接图测试步骤1. 测试各种部署模式下的阻断效果2. 设置系统为模拟阻断，测试是否可以同样生成告警，但是不对业务造成任何影响预期结果可有效阻止和模拟阻断测试结果是否实现可有效阻止和模拟阻断是/否备注测试员签名用户_ 厂商_3.2.7 告警中敏感信息的掩码测试编号测试日期被测设备型号测试目的对于告警事件中出现的敏感信息进行掩码，例如信用卡信息等，用

25、户名及其密码等，掩去的信息使用星号代替测试项目敏感信息掩码测试地点测试工具测试连接图测试步骤1. 设备开启Confidentail Form功能2. 访问信用卡信息相关页面预期结果对敏感信息成功掩码测试结果是否实现对敏感信息成功掩码是/否备注测试员签名用户_ 厂商_3.2.8 阻拦页面自定义测试编号测试日期被测设备型号测试目的可自定义阻断页面测试项目阻断页面的自定义测试地点测试工具测试连接图测试步骤1. 自定义阻断页面2. 触发阻断，观察阻断页面的效果预期结果有效自定义阻断页面，阻断页面还可以提供违规相关的信息，例如，事件ID、会话ID、相关违规提示等等测试结果是否实现如上需求是/否备注测试员签名用户_ 厂商_