a04-poc深信服上网行为管理测试方案v1.待完善

1、本文中出现的任何文字叙述、文档格式、插图、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及法保护。任何个人、机构深信服的，不得以任何方式或本文的任何片断。修订历史修订内容简述修订日期修订前版本号修订后版本号修订人批准人1目录第1章1.41.5第2章2.12.2第3章3.13.2前言4测试目的4测试设备4测试时间和.4测试项目4测试环境5测试准备6深信服准备6客户方准备6现场测试7设备部署7功能测试83.2.1用户可视可控8帐号认证8认证8认证9AD域单点登录103.2.2终端可视可控10防私接10基于终端类型策略控制113.2.3应用可视可控11全面准确的

2、可视11全面精准的应用可视12应用化管理12应用细分控制123.2.4流量可视可控13流量可视13度流量控制13P2P智能流控13动态流控14更人性化流量控制143.2.5内容可视可控15聊天内容审计15发贴审计和控制15加密邮件审计和控制163.2.6让数据更有价值16业务价值16合规价值16第4章4.14.2测试结束17结果反馈17测试汇报17第1章前言1.1 测试目的此方案介绍了项目测试准备工作和功能测试方法、效果展示方法。为保障上网行为管理（下称 AC）在通用场景环境测试顺利、体现产品价值，后续测试按照此方案测试。1.2 测试设备1.3 测试时间和1.4 测试项目类型测试测试项目是否需

3、要测试预计用时（分 钟）用户可视可视001帐号认证是3002认证按需测试6003认证免认证按需测试3004认证是6005AD 域单点登录按需测试6终端可视可控006防私接是10007基于终端类型策略控制是5应用可视可控008全面准确的可视是3测试时间测试地点测试测试测试邮箱产品名称设备型号软件版本数量1.5 测试环境通用场景中，内网主要有办公区，服务器区，会议室等公共场所及外来用户接入上网场景。现网同时部署了有线和无线网，有线网提供给办公区，会议室等公众区域及服务器区上网，无线网提供给外来用户上网，有线及无线区域。AC 单网桥部署，有线及无线上网流量经过设备，受设备管控。009全面精准的应用可

4、视是3010应用化管理是5011应用细分控制是5流量可视可控012流量可视是5013度流量控制是8014P2P 智能流控按需测试动态流控是更人性化流量控制是内容可视可控017聊天内容审计是8018发贴审计和控制按需测试5019加密邮件审计和控制是8让数据更有价值020业务价值是8021合规价值是8第2章测试准备2.1 深信服准备2.2 客户方准备准备工作详细描述确定项目测试、测试时间、测试地点确定项目测试、测试时间和测试地点，便于和厂商工程师对接。协助完成需求、方案确认协助厂商工程师完成需求和方案确认，便于现场测试顺利进行。测试环境准备提前准备测试环境，此方案中需要准备两台 PC,两台，一个家

5、用无线路由器、一个 8换机，便于现场测试顺利进准备工作详细描述确认客户方项目测试、测试时间、测试地点测试前和客户确认项目测试相关联系人信息、测试时间和测试地点。确认测试方案是否匹配测试前根据A02-POC-深信服上网行为管理-需求环境确认表 v1.0和A04-POC-深信服上网行为管理-测试方案 v1.0确认客户需求是否与方案匹配，匹配则使用此方案。确认测试环境并告诉客户测试风险点测试前 和客户确认测试环境需求及协调客户提前准备测试环境；并和客户说明测试过程涉及设备调试上架，会导致网络中断，建议搭建测试环境，避免在现网环境测试，影响现网业务。测试前设备例行烤机测试前需要在办事处进行例行烤机，烤

6、机结果和硬件部确认，如果烤机有异常，反馈市场申请更换测试设备。测试前设备例行检查测试前根据A03-POC- 深信服上网行为管理- 设备检查表v1.0对设备进行例行检查，检查异常并无法修复的联系产品处理。第3章现场测试3.1 设备部署3.2 全局配置这里列举整个测试过程中会使用的全局配置，在进行下一步功能测试前，请按要求先进行全局配置，全局配置如下：全局配置项目详细描述确保“认证选项”中已勾选了 “未认证或被冻结时允许 DNS 服务”，默认是勾选的。测试前需要检查此配置，如果没有勾选，帐号认证可能无法重定向。确保测试 PC 的 DNS 地址配置了可用的 DNS 地址测试前需要检查此配置，如果 D

7、NS 异常，终端无法，无法上网。用例标题单网桥部署测试目的搭建测试环境，为后续的功能测试提供测试环境测试工具AC 设备、PC预制条件准备好 AC 设备、2 台 PC、2 部、一个家用无线路由器/随身 wifi、一个 8换 机测试环境需要能够互联网测试步骤设备加电开机使用交叉线将PC 和设备eth0 口直连，电脑 IP 配置为 50/24通过浏览器登录设备，用户名为 admin，为 admin配置设备为单网桥模式，配置设备桥地址、网关地址和 DNS 地址按 1.5 章节搭建好测试环境预期结果1测试环境搭建完成，电脑通过 AC 可以互联网。截图备注行，AD 域控。设备地址规划为深信服设备提供接入网

8、络用到的 IP 地址，并确保该 IP 地址可以互联网，便于功能测试需要。实施工程师进入机房向深信服说明实施工程师进入机房需要准备带哪些证件及注意事项3.3 功能测试3.3.1用户可视可控 帐号认证认证测试002用例标题认证（“扫一扫”一键关注）测试工具预制条件确保已获取客户的名称、原始 ID、ap 、appsecret确保 3.2 章节全局配置已按要求配置测试步骤1新建认证服务器，命名为“认证服务器”，启用扫一扫上网方案，填测试001用例标题帐号认证测试工具PC预制条件确保测试 PC 当前没有通过 AC 认证（即 AC用户管理中没有测试 PC 信息）确保 3.2 章节全局配置已按要求配置测试步

9、骤新建本地用户，用户为 test，为 test，并设置 test 用户为“允许多人同时使用该帐号登录”新建认证策略，根据测试 PC 的 IP 地址范围设置为认证，认证服务器选择“本地用户”测试PC 打开网页测试预期结果测试 PC 没有通过认证时，打开网页，弹出认证页面；用户输入test/test 帐号认证，自动跳转并打开网页。打开 AC 设备“用户管理”，能看到测试用户 test 已，并且认证方式显示为认证。查看上网行为，能看到测试用户实时上网日志。截图备注新建全局审计策略，对所有用户生效测试前建全局审计策略，“未识别的网络应用 ”不启用，其它均启用，对所有用户生效， 测试过程中产生的日志，便

10、于最后展示数据价值。确保测试环境中设备可以互联网测试前确保设备本身可以上网，在测试认证（扫一扫“一键关注”）方案时，需要确保设备可以上网。认证测试004用例标题认证测试工具PC、预制条件作为审核员，且已通过 AC 认证PC 作为外来用户，没有通过认证，需要经过审核员扫描后才能认证确保 3.2 章节全局配置已按要求配置测试步骤新建认证服务器，命名为“认证服务器”，选择已通过认证机用户作为审核人；审核过程选择“弹出审核页面，并备注上网信息”新建认证策略，地址范围为测试 PC 地址，认证方式选择认证，认证服务器选择刚新建的“认证服务器”。测试 PC 打开网页测试预期结果1.测试 PC 未通过认证时，

11、打开网页，弹出认证页面测试003用例标题认证免认证测试工具预制条件确保测试已通过认证确保认证配置和 002 测试用例配置保持一致确保 3.2 章节全局配置已按要求配置测试步骤认证选项，启用自动注销无流量用户，且无流量时间设置为 10 分钟（10 分钟是最小值）。测试断开 wifi，等待 10 分钟以上，观察设备用户管理，直到测试PC 从设备上自动注销。测试从设备注销后，再接入wifi，打开网页测试预期结果测试能够直接打开网页，不需要再次扫描认证，实现免认证设备用户管理能够看到测试免认证上线截图备注写 原始 ID，ap 和 appsecret，配置 回调 ；启用 认证免认证，即勾选“已通过 认证

12、的用户在有效期内免认证”，并设置免认证时间 为 30天。登录 管理 ，配置“网页 获取用户基本信息”和设备“ 回调 ”保持一致。修改认证页面公众帐号名称，从认证页面定制中修改公众帐号名称为客户的微信名称。新建认证策略，选择认证，认证服务器选择刚才新建的“认证服务器”从认证服务器页面（用于认证时扫）测试打开网页测试预期结果测试打开网页，弹出需要认证的提示页面，按提示打开，扫描从设备上的，并后，可以正常上网。打开 AC 设备“用户管理”，能看到测试机以 openid 作为用户名上线，认证方式为证。查看上网行为，能看到测试用户实时上网日志。截图备注 AD 域单点登录3.3.2终端可视可控 防私接测试

13、006用例标题共享接入管理测试工具PC、预制条件确保PC 和是通过共享上网的，且已通过 AC 认证及可以正常打开网页确保 3.2 章节全局配置已按要求配置测试步骤启用共享接入检测，“统计方式”选择“统计所有终端”；自动冻结配置为“终端数量达到 2 台及以上时，自动冻结 5 分钟”；冻结选项配置为“冻结 IP 地址”。测试 PC 和测试连续打开网页测试。预期结果设备用户管理列表中能看到通过设备上网的PC 和终端类型电脑和打开网页均弹出发现共享上网的页面，无法上网在 AC 共享状态列表能看到共享上网的终端类型并被截图测试005用例标题AD 域单点登录（IWA）测试工具PC预制条件准备好 AD 环境

14、已获取到 AD 域的administrators 组的帐号测试 PC 已登录域确保 3.2 章节全局配置已按要求配置测试步骤配置 ldap 服务器（注意管理员帐号建议配置成形式）配置 AD 域单点登录，启用集成windows验证并完成配置新建认证策略，地址范围为测试 PC 地址，认证方式选择单点登录。将域服务器的 IP 地址添加到全局排除地址中测试PC 打开网页测试预期结果测试 PC 可以正常打开网页设备用户管理看到测试 PC 以域用户作为用户点登录上线查看上网行为，能看到测试用户实时上网日志。截图备注审核员使用扫描测试 PC，并备注上网信息后，测试 PC 可以网站设备用户管理能看到测试PC

15、以审核员备注的用户信息上线查看上网行为，能看到测试用户实时上网日志。截图备注 基于终端类型策略控制3.3.3应用可视可控 全面准确的可视测试008用例标题展示内置URL 库、自定义URL、测试个别展示识别情况测试工具PC预制条件确保测试 PC 已通过 AC 认证确保 3.2 章节全局配置已按要求配置测试步骤展示内置 URL 库，重点介绍URL 库分类展示自定义 URL，创建自定义URL 组名称为“网易”，自定义 url 为“”测试 PC 打开.com预期结果1.打开数据中心，查询测试 PC日志，能够显示 PC ，且分类为自定义的“网易”；能够显示 PC，且分类为内置的“门户”备注测试007用例

16、标题基于终端类型策略控制测试工具PC、预制条件确保测试 PC 和使用同一个用户（如 test 帐号）通过 AC 认证，并且可以打开网页确保 3.2 章节全局配置已按要求配置测试步骤新建“PC 上网策略”，全天使用，允许，并将策略同时关联用户和终端类型，用户选择PC 认证时使用用户（如test），终端类型选择 PC。新建“上网策略”，全天，允许使用，并将策略同时关联用户和终端类型，用户选择PC 认证时使用用户（如test），终端类型选择移动终端。测试 PC 和分别打开网页及登录测试。预期结果设备用户管理列表中能看到通过设备上网的 PC 和终端类型测试 PC 无法登录，但可以，测试无法，但可以登录

17、，即同一个用户使用不同的终端上网匹配不同的管控策略截图备注 全面精准的应用可视 应用化管理 应用细分控制测试011用例标题网盘细分控制测试工具PC预制条件测试 PC 已通过 AC 认证测试 PC 已安装云管家确保 3.2 章节全局配置已按要求配置测试步骤展示应用的细分控制，重点展示“”、“”、“邮件”、“网盘”等登录，上传，发贴等细分控制。新建上网策略，应用控制设置网盘只允许“浏览”和“”，不允许“上测试010用例标题降低工作效率测试工具PC预制条件测试 PC 已通过 AC 认证确保 3.2 章节全局配置已按要求配置测试步骤展示 AC 应用化管理，重点展示“安全风险”、“高带宽消耗”、“降低工

18、作效率”、 “外件泄密风险”和自定义。新建上网权限策略，应用控制选择“降低工作效率”，并将上网权限策略关联给测试 PC。测试 PC 打开购物和登录测试，购物和是属于“降低工作效率”。预期结果1.测试 PC 无法打开购物，也无法登录截图备注测试009用例标题展示内置应用识别库、自定义应用识别、测试个别应用展示识别情况测试工具PC预制条件确保测试 PC 已通过 AC 认证确保 3.2 章节全局配置已按要求配置测试步骤展示内置应用识别库，重点介绍 IM、P2P 流、移动端应用等展示自定义应用，创建自定义应用名称为“新浪测试”，根据自定义应用，如 “”测试 PC 打开和登录预期结果1.打开数据中心，查

19、询测试 PC 所有行为日志，有 PC 使用“”和“新浪测试”这两个应用的日志截图备注流量可视可控3.3.4 流量可视度流量控制 P2P 智能流控测试013用例标题P2P 智能流控测试工具PC预制条件确保测试 PC 已通过 AC 认证确保流控通道中只有默认通道确保只有一台测试 PC 通过AC 上网测试测试015用例标题基于用户、应用、文件类型、终端类型、时间度流控测试工具PC预制条件确保测试 PC 已通过 AC 认证确保流控通道中只有默认通道确保 3.2 章节全局配置已按要求配置测试步骤展示 度流量控制，重点展示可以基于用户、应用、文件类型、终端类型、时间和目标地址维度进行流控。流量管理中线路带

20、宽配置为 2Mbps（如果在真实环境中测试，应根据实际带宽配置，客户测试环境应至少有 2Mbps 可用）新建一级通道，名为“测试文件类型 流控”，设置为“限制通道”，限制上行和下行最大带宽为 20%，优先级为低；通道适用应用选择所有“文件类型”，适用对象选择测试 PC测试 PC 使用 IE 浏览器单线程 exe 文件测试（即 IE 浏览器右键目标别存为 方式）。预期结果测试 PC 使用 IE 浏览器单线程exe 文件实时流速在流控限制范围内观察流量通道实时状态，名为“测试文件类型流控”通道的实时流速在限制范围内截图备注传”，并关联给测试 PC3.测试 PC 打开网盘上传文件及文件测试预期结果1

21、.测试 PC 无法向网盘上传文件，但可以从网盘文件截图备注 动态流控 更人性化流量控制测试016用例标题流控测试工具PC预制条件确保测试 PC 已通过 AC 认证确保 3.2 章节全局配置已按要求配置测试步骤1. 流量管理中线路带宽配置为 2Mbps（如果在真实环境中测试，应根据实际带宽配测试014用例标题动态流控测试工具PC预制条件确保测试 PC 已通过 AC 认证确保流控通道中只有默认通道确保 3.2 章节全局配置已按要求配置测试步骤流量管理中线路带宽配置为 2Mbps（如果在真实环境中测试，应根据实际带宽配置，客户测试环境应至少有 2Mbps 可用）新建一级通道，名为“P2P 智能流控”

22、，设置为“限制通道”，限制上行和下行最大带宽为 10%，优先级为低，同时选择“抑制 P2P 下行丢包”及“当线路空闲时，允许突破限制”；通道适用应用选择“P2P 和P2P 流 ”，适用对象选择测试 PC测试 PC 使用 P2P 流 软件，如“迅雷看看”，观察流控通道状态。测试 PC 同时通过“ 网盘” 文件，再观察流控通道状态预期结果测试 PC 使用“迅雷看看”，此时带宽空闲，观察流控通道状态，“P2P智能流控”通道实时流量突破了限制，向上浮动。测试 PC 同时通过“网盘”文件，此时带宽繁忙，再观察流控通道状态， “P2P 智能流控”通道实时流量在向下浮动，并下降到限制范围内。截图备注4. 确

23、保 3.2 章节全局配置已按要求配置测试步骤流控未启用时，测试 PC 使用 “迅雷看看”，同时观察设备 wan 口接收流量大小。启用流控，流量管理中线路带宽配置为 2Mbps（如果在真实环境中测试，应根据实际带宽配置，客户测试环境应至少有 2Mbps 可用）新建一级通道，名为“动态流控”，设置为“限制通道”，限制上行和下行最大带宽为 50%，优先级为低，同时选择“抑制 P2P 下行丢包”；通道适用应用选择“P2P 和 P2P 流 ”，适用对象选择测试 PC启用流控后，测试 PC 再使用 “迅雷看看”，同时观察设备 wan 口接收流量大小。对比步骤 1 和步骤 4 观察到的设备wan 口流量大小

24、预期结果1.启用流控前后，通过观察设备 wan 口接收流量大小并对比，发现启用流控后设备wan 口接收流量要明显小于启用流控前设备wan 口的流量，且在流量控制范围内。截图备注内容可视可控3.3.5聊天内容审计测试019用例标题发贴审计测试工具PC预制条件测试 PC 已通过 AC 认证确保 3.2 章节全局配置已按要求配置测试步骤新建上网审计策略，应用审计除了“未识别的网络应用”不勾选，其它全部选择，并将审计策略关联给测试 PC测试 PC 打开贴吧，发贴测试预期结果1.在日志中心“发贴/发”能查询到发贴内容截图备注测试018用例标题聊天内容审计测试工具PC预制条件确保测试 PC 已通过 AC 认证，并且可以打开网页确保 3.2 章节全局配置已按要求配置测试步骤新建准入策略，启用 IM 聊天内容审计,并将准入策略关联给客户测试PC测试 PC 打开任意，弹出安装准入控件提示，并完成安装测试 PC 登录发送和接收聊天信息测试预期结果1.通过日志中心中即时通讯日志查询能查询到测试 PC 的聊天内容截图备注置，客户测试环境应至少有 2Mbps 可用）新建“惩罚通道”，命名为“流控”，限制上行和下行最大带宽为 20%，优先级为低，其它流控配置保持默认。新建用户限额策略，启用时长，时长类型为“应用时长”，统计时间为“全天”，统计应用为“全部”，时长为“1 分钟/天”，