NSG系列安全网关测试方案V10-20110731

第32页NSG系列安全网关功能测试方案目录1 功能测试 11.1 网络管理 11.2 支持预定义服务类型测试 21.3 网络地址转换 41.4 用户认证（Web认证） 51.5 带宽管理测试 51.6 内容安全测试 61.7 路由负载均衡 81.8 多ADSL拨号 91.9 连接管理 101.10 P2P控制 101.11 系统监控 131.12 纯透明多子桥/网口联动 141.13 WEB重定向 151.14 基于域名的包过滤 161.15 网络IP地址冲突检测 161.16 DNS中继 171.17 SSLVPN 181.18 防火墙安全扫面功能 191.19 记录URL日志 201.20 提供集中管理软件 201.21 防火墙自身抗扫描攻击 211.22 防火墙VPN隧道冗余 21

功能测试网络管理（可测）测试子项目管理员三权管理分立测试原理测试是否对管理员权限进行三权分立测试说明网络安全设备的管理员权限应分为三类超级管理员：只能够创建配置管理员和审计管理员，不能对设备的配置进行修改，不能查看日志信息配置管理员：只能够修改防火墙配置，不能对管理员的行为进行审计，无权创建用户审计管理员：只能够查看日志，审计管理员动作，不能修改防火墙配置，无权创建用户测试步骤测试的管理员权限是否按三权分立标准来设定的预期结果超级管理员只能够创建配置管理员和审计管理员，不能对设备的配置进行修改，不能查看日志信息配置管理员只能够修改防火墙配置，不能对管理员的行为进行审计，无权创建用户审计管理员只能够查看日志，审计管理员动作，不能修改防火墙配置，无权创建用户实际测试结果厂家功能界面截图测试子项目系统配置管理1测试原理考察安全网关产品是否具备灵活的配置管理功能，是否支持通过加密方式(SSH或HTTPS)进行管理以及功能模块的管理控制，是否通过集中监控来管理多台设备。测试步骤支持通过Console口登录设备并进行配置管理支持通过Telnet进行配置管理支持通过SSH进行配置管理支持通过加密的HTTPS方式进行配置管理支持以上登陆方式外，特殊情况下，可设定安全区域的其他服务开启。支持通过集中管理中心对多台设备进行集中监控与配置预期结果支持上述各种管理方式实际测试结果厂家功能界面截图测试子项目系统配置管理2测试原理考察安全网关产品是否具备灵活的配置管理功能，是否支持配置导出、导入，配置备份。测试步骤支持配置导入导出支持手动、自动配置备份基于时间的配置自动备份支持FTP、邮件等模式的自动配置备份预期结果支持上述各种配置导入导出与备份实际测试结果厂家功能界面截图测试子项目Web界面具备CLI终端操作测试原理考察安全网关产品是否具备灵活的CLI操作配置管理功能，是否支持通过Web方式对设备命令行下的配置，方便管理员多种配置。测试拓扑测试步骤登录安全网关Web管理界面；点击CLI控制台功能预期结果可在Web管理页面下，使用CLI终端对设备经行命令行配置实际测试结果厂家功能界面截图测试子项目设备双系统切换测试原理考察安全网关产品是否具备对系统出现故障时切换系统，以保证设备的正常运行。测试拓扑测试步骤登录安全网关Web管理界面；使用双系统切换功能预期结果在当先系统下，切换至另一版本备份系统实际测试结果厂家功能界面截图测试子项目功能模块支持开启与关闭测试原理考察安全网关产品在不需要部分不能时，可根据需求关闭该模块功能，以减少对设备资源的占用。测试拓扑测试步骤Web管理页面操作对部分功能模块进行关闭与开启预期结果可对功能模块进行开启与关闭实际测试结果厂家功能界面截图测试子项目设备在线抓包测试原理考察安全网关产品在网络故障时，能够使用安全网关产品在线抓包，并可直接在管理页面查看抓包详细信息，不需要将数据包导出设备使用工具查看测试拓扑测试步骤Web管理页面操作抓包功能预期结果可查看设备抓包信息，包括数据包信息以及数据包详细信息实际测试结果厂家功能界面截图测试子项目WAN口连通性状态显示测试原理考察安全网关产品是否具备对链路状态检测，显示实时连通性状态测试拓扑测试步骤Web管理界面查看链路连通性状态预期结果可显示WAN口链路连通性状态实际测试结果厂家功能界面截图测试子项目基于防火墙策略的流量统计测试原理考察安全网关产品对防火墙策略的监控，及时了解所配置的策略的正确性测试拓扑测试步骤Web管理界面查看防火墙策略预期结果可显示每条策略的流量统计实际测试结果厂家功能界面截图支持预定义服务类型测试本测试项目测试安全网关系统预定义所能支持的服务类型，支持的类型多少影响了网络设备同其它系统的兼容性，重点考察对目前业务网络系统及将来需要扩展的业务协议支持能力。预定义协议测试结果AH是/否AOL是/否BGP是/否DHCP是/否DNS是/否ESP是/否FINGER是/否FTP是/否GOPHER是/否GRE是/否H323是/否HTTP是/否HTTPS是/否ICMP是/否IGMP是/否IKE是/否IMAP是/否INFO_ADDRESS是/否INFO_REQUEST是/否IPv6_Over_IPv4是/否IRC是/否L2TP是/否LDAP是/否NFS是/否NNTP是/否NTP是/否OSPF是/否PC-Anywhere是/否PING是/否POP3是/否PPTP是/否QUAKE是/否RAUDIO是/否RIP是/否RLOGIN是/否SAMBA是/否SIP是/否SIP-MSNmessenger是/否SMTP是/否SSH是/否SNMP是/否SYSLOG是/否TALK是/否TCP是/否TELNET是/否TFTP是/否TIMESTAMP是/否UDP是/否UUCP是/否VDOLIVE是/否WAIS是/否WINFRAME是/否X-WINDOWS是/否动态协议支持FTP是/否TFTP是/否PPTP是/否H.323是/否SIP是/否对未提供的协议是否可以自定义是/否协议自定义支持测试结果支持协议自定义TCP任意是/否UDP任意是/否IP协议任意是/否ICMP任意是/否预期结果可以显示以上所有类型，以及可以根据用户自定义实际测试结果厂家功能界面截图网络地址转换（可测）测试子项目安全网关对网络地址转换的支持测试拓扑测试原理网络地址转换可以解决正式注册IP不足的问题，可以对进入的IP包进行转换，实际应用为地址映射和重定向。安全网关系统的地址转换规则分为地址映射和重定向两种。测试步骤配置安全网关NAT规则PC1可正常转换访问外网地址；配置IP地址映射规则，Clinet访问安全网关外网接口IP可正常访问内网相关服务，同时内网PC1可通过安全网关外网接口映射IP地址与服务器真实地址访问相应服务；配置端口映射规则，Clinet访问安全网关外网接口IP的相应端口可正常访问内网相关服务，同时内网PC1可通过安全网关外网接口映射IP地址与服务器真实地址访问相应服务。预期结果实际测试结果厂家功能界面截图用户认证（Web认证）测试子项目安全网关提供客户端接入网络认证（Web认证）测试拓扑测试原理测试目的在于考察待测系统是否具有使用WEB（无客户端）进行用户认证的功能。用户端无需安装任何认证软件测试步骤1、新建一个用户：test，密码为test，选择好其他属性2、增加一条认证的防火墙策略：源地址pc1，目的地址防火墙地址，服务：3、配置一条HTTP的防火墙规则，开启身份认证选项并选择验证类型4、Pc1访问server的http服务：通过IE浏览器打开server的http，pc1的IE界面弹出认证，输入用户名test、密码test5、在PC1上打开一个Server网页，访问正常6、不执行第7步骤，pc1无法访问server的http服务7、用户成功登陆后记录用户登陆日志8、记录在线用户流入和流出流量记录预期结果通过web方式可以灵活认证通过认证后用户才能访问指定范围区域实际测试结果厂家功能界面截图搜索引擎使用记录（可测）测试子项目安全网关提供搜索引擎搜索使用及搜索关键字记录功能测试拓扑测试原理测试目的在于考察系统是否支持上网行为管理，对客户端使用的搜索能够提供记录。测试步骤防火墙策略中开始网页过滤的记录功能。使用Google搜索测试字段内容。从安全网关页面查看Google搜索过的内容已被记录。预期结果可从安全网关中查看使用Google搜索的内容实际测试结果厂家功能界面截图内容安全测试测试子项目防火墙提供深层内容过滤功能（URL过滤）测试拓扑测试原理测试目的在于考察系统对于内容安全的支持情况，对待测系统的URL过滤功能、基于域名以象过滤。测试步骤1、设置URL过滤策略，指定不可访问的URL_______________,模拟URL____________的访问。2、在对象定义中建立URL域名，模拟URL的访问。3、察看访问是否被阻止。4、设置代码过滤策略。5、访问含有代码的页面。察看相关代码是否被过滤。预期结果不能访问（黑名单）或者只能访问（白名单）指定的URL实际测试结果厂家功能界面截图测试子项目防火墙提供专业蠕虫攻击防御测试测试原理考察防火墙针对蠕虫传播的所提供的防御功能测试拓扑测试步骤1．按上图搭建测试环境2．通过Web界面配置蠕虫过滤功能3．重放蠕虫病毒网络包4．观察蠕虫过滤日志变化预期结果可以检测蠕虫事件并上报日志实际测试结果厂家功能界面截图测试子项目防火墙提供深层内容过滤功能（SMTP\POP3病毒过滤功能）测试拓扑测试原理测试目的在于考察系统对于内容安全的支持情况，对待测系统针对应用协议的病毒过滤功能测试步骤开启防病毒功能；添加病毒过滤规则；实际测试病毒功能是否生效；实际测试结果厂家功能界面截图测试子项目IPS防御测试测试原理考察安全网关针对Syn_flood等攻击的所提供的防御功能测试拓扑测试步骤按上图搭建测试环境通过Web界面配置IPS功能，阻断Syn_Flood攻击3．采用Syn_Flood攻击连接控制的网络包4．观察是否能被阻断并上报日志。预期结果可以检测IPS事件并阻断，同时上报日志实际测试结果厂家功能界面截图路由负载均衡测试子项目防火墙支持路由负载均衡功能测试原理路由负载均衡功能主要用户多出口环境，比如同时拥有电信、网通、铁通的Internet出口。路由负载均衡支持将几个出口捆绑同时使用，并且当某个出口故障时，能通过其他出口正常通讯。测试拓扑测试步骤1、查看是否支持路由负载均衡的设置2、设置出口最多支持多少个3、检查链路失效探测方式都有哪些4、测试各种链路失效是否都有效5、是否支持多跳设备之后故障的探测预期结果支持大于≥3条线路的路由负载均衡当其中一条或者2条出现故障时，能够切换到正常的线路上为保证链路是否正常，防火墙是否支持icmp、tcp、arp、http探测，且可以定义指定远端服务器探测支持路由负载均衡最多到几条链路负载实际测试结果厂家功能界面截图多ADSL拨号测试子项目防火墙支持多条ADSL拔号能力测试原理而针对一些中小企业及分支机构网络建设而言无非增加了不少的开支。因此ADSL拨号上网是最实惠、最好的解决方案。但是ADSL本身也存在一些缺点：服务质量差、带宽无法增加等。因此，防火墙提出通过多ADSL拨号的方案来解决这一问题。测试拓扑测试步骤1、将防火墙三个端口分别连接电信、铁通、网通线路2、分别设置防火墙三条ADSL拨号配置，拨号3、设置内网访问外网的NAT安全规则4、拨号成功后，内网是否可以正常访问外网服务5、拔掉任意一条或者两条线路，内网是否仍然可以访问外网服务通过系统监控查看：ADSL信息、3个端口分别是否有持续访问流量、路由监控信息预期结果支持≥3条ADSL拨号当一条或者两条出现故障时，访问可以顺利切换到正常线路可以通过监控各条线路路由信息、访问流量，以及ADSL信息实际测试结果厂家功能界面截图连接管理测试子项目防火墙提供针对终端及服务器的新建连接数与并发连接数限制测试拓扑测试原理由于网络应用的复杂会导致防火墙状态表数目资源有限和服务器连接资源有限问题变得比较严重，比如在出现蠕虫或者攻击对服务器和防火墙进行大量连接攻击时，防火墙必须具有连接限制的功能，否则将导致自身状态表满或者服务器连接资源被消耗干净。测试步骤1、查看是否支持连接限制的设置2、支持哪些连接限制的类型3、设置测试是否支持并发连接和新建连接4、连接是否支持查询/阻断/统计/排序预期结果支持限制主机、限制服务、保护主机、保护服务四种类型支持限制并发和新建连接，且类型可以支持tcp、udp可以指定网段、打个IP地址的并发和新建连接支持共享和独享的方式支持查询/阻断/统计/排序实际测试结果厂家功能界面截图P2P控制测试子项目防火墙提供针对P2P协议的控制能力测试拓扑测试原理目前互联网的P2P应用达到了空前繁荣的阶段，但随之而来的是造成了大量网络资源被占用，导致一些重要应用由于网络资源不足而无法进行，给正常业务和应用带来了严重的影响。测试步骤1、查看是否支持P2P控制的设置2、支持哪些P2P类型3、P2P控制都有哪些方式预期结果分别启用p2p中下载类型禁止时，该软件无任何流量下载分别启用p2p中下载类型允许时，该软件有流量下载分别启用p2p中下载类型允许但流量限制时，该软件有流量下载，但是下载速度控制带宽限制范围内实际测试结果厂家功能界面截图测试项目测试结果P2P控制类型Apple是/否Ares是/否bt是/否dc是/否edonkey是/否gnu是/否kazza是/否soul是/否winmx是/否P2P控制方式禁止是/否带宽控制是/否不作限制是/否测试子项目测试防火墙对迅雷的实际控制能力测试拓扑测试原理迅雷是现阶段互联网应用中最好普遍与重要的应用，同时也是最为消耗网络资源的应用，安全产品应该有实际控制此应用的能力测试步骤设备迅雷控制的安全规则；使用相关迅雷下载工具下载；查看下发规则后实际控制能力；预期结果禁止迅雷使用，则迅雷下载无法完成，无任何流量下载允许使用且无限制时，迅雷下载一切正常允许受流量控制时，可以下载，但是流量在带宽限制内实际测试结果厂家功能界面截图测试子项目测试防火墙对即时通信软件（QQ、MSN、Skype）的实际控制能力测试拓扑测试原理即时通信软件是现阶段互联网应用中最好普遍与重要的应用，同时也是影响工作交流的应用，安全产品应该有实际控制此应用的能力测试步骤设备即时通信控制的安全规则；使用相关软件工具登录；查看下发规则后实际控制能力；预期结果禁止QQ、MSN、SKYPE，其软件无法登陆允许使用QQ、MSN、SKYPE，则其软件不受限制允许使用但是受流量控制，那么软件可以登陆使用，但是被流量控制在范围内实际测试结果厂家功能界面截图系统监控测试子项目测试防火墙能否提供非常的系统监控能力测试原理提供丰富的监控手段对安全管理员对网络运行情况与设备运行情况提供丰富的可视化分析提供依据测试步骤查看相关的监控选项；能看到相关的实际运行情况；测试项目测试结果系统监控内容基于IP连接统计是/否基于IP流量统计是/否HA状态是/否日志信息是/否资源状态：CPU、内存、当前并发连接是/否网络接口状态与流量是/否网络接口接收发送数据包是/否VPN隧道（包括PPTP、L2TP）是/否DHCP用户信息是/否在线用户是/否在线管理员是/否ARP表是/否透明桥转发表是/否IP地址冲突检测是/否防火墙路由表监控是/否防火墙配置WEB查询是/否预期结果支持以上各种类型实际测试结果厂家功能界面截图纯透明多子桥/网口联动测试子项目测试目的在于考察防火墙对多透明桥的支持，及支持能达到多路透明桥测试拓扑测试原理现有网络运行平稳，不愿意对现有网络做改造，因此，防火墙以桥模式接入的情况比较普遍。然而往往有很多实际环境决定了一个设备一个桥透明接入是不够的，并且也不灵活。因此一台设备多透明桥功能的支持是普遍需求。测试步骤1、设置防火墙两个纯透明桥，如拓扑方式连接2、设置防火墙规则：3、允许pc1访问server1；允许pc2访问server24、以上测试完成后，设置大于2路的纯透明桥方式预期结果pc1访问server1；允许pc2访问server，规则未允许的情况下，不能交叉访问支持大于2路的纯透明桥实际测试结果厂家功能界面截图测试子项目测试目的在于考察防火墙网口联动功能，如果联动中的一个端口失去物理连接，那么另一个端口将down状态，然后链路数据转向另一组，保证网络正常通信。测试拓扑测试原理在实际应用中，为了保证网络的稳定性与冗余性，经常要求防火墙的一组接口保持同样的状态。也就是说，只要这组中的某个接口断线后，也要相关的接口全部达到断线的效果，这样其他外围设备通过端口状态来判断链路是否正常，通过切换链路来达到网络畅通，保证业务能够正常运行。测试步骤1、设置防火墙:将port1和port2为一个网口联动组；将port3和port4为一个网口联动组2、设置防火墙规则：3、允许pc1访问server4、防火墙设置路由负载功能5、路由器1、2通过metric值得不同来选择路由，且开启端口6、状态检测功能：即路由器发现与其连接的端口为down的状态，那么重新选择新的路由方式7、模拟链路故障，拔掉port1（或者port3），检查port2（或者port4）是否为down的状态模拟故障后，检察路由器2是否选择的新的路由故障发生时，pc是否仍然可以访问server预期结果当port1或者port3出现故障时，port2或者port4联动功能立即停止工作。那么路由器2立即重新选择新的路由。减少由于port2或port4仍然正常，而导致路由不可达的丢包现象实际测试结果厂家功能界面截图WEB重定向测试子项目测试目的在于考察防火墙WEB重定向功能是否生效测试拓扑测试原理根据网络访问的需要，将用户访问外网的WEB服务首先总是强制定义跳向另一个WEB服务，然后才允许用户访问其他WEB服务。 测试步骤1、内网设置一个WEB服务器2、防火墙设置允许内网可以访问外网的NAT安全规则3、设置开启防火墙重定向功能：要求内网pc访问WEB服务时，第一次总是制定跳向内网WEB服务器页面，可以根据IP地址、域名、URL路径、端口等进行定义WEB重定向，根据源目的地址进行限制WEB重定向预期结果指定时间内首次访问外网某网页时被指定到内网web实际测试结果厂家功能界面截图基于域名的包过滤测试子项目测试目的在于考察防火墙基于域名过滤的功能测试拓扑测试原理互联网中域名与IP地址是一一相对应，是通过DNS服务器解析来实现IP地址的访问。然而，互联网的发展迅速也存在了不同地点、不同时间、不同运营商而导致同一域名对应的IP地址不相同，因此防火墙此功能为了解决这一问题而提出的。测试步骤1、如拓扑所示连接设置：防火墙连接互联网2、防火墙设置禁止内网访问外网的安全规则：目的地址是某互联网域名服务器，例如3、内网pc通过IE浏览器打开域名地址，试图连接该互联网网址预期结果内网pc无法访问该域名服务器的任何服务实际测试结果厂家功能界面截图网络IP地址冲突检测测试子项目测试目的在于考察防火墙检查网段内pc是否IP地址与防火墙IP地址相同，且提示报警信息。测试拓扑测试原理防火墙检测与其连接的局域网段内pcIP地址。如果有pc的IP地址与防火墙的接口IP地址相同，那么防火墙将提示报警，建议用户修改。对网络管理员针对网络问题及ARP欺骗有很大帮助。测试步骤1、如拓扑所示，将多台pc连接二层交换机，二层交换机与防火墙连接,将防火墙与交换机连接的接口设置IP地址：/24，且开启防火墙IP地址冲突检测功能设置内网pc地址，pc1IP地址是/24；pc2IP地址是/24，模拟用户故障，设置pc3的IP地址是：/24。设置完成后分别连接到交换机上2、查看防火墙系统监控->IP地址冲突监控，查看是否IP地址冲冲突报警信息，报警信息是否包含：报警时间、pc的IP地址、pc的MAC3、同时检查防火墙console终端是否同时有报警信息预期结果可以在防火墙查看到报警信息，包括pc的IP地址、mac地址等信息同时防火墙作出响应：防止该pc造成arp欺骗。pc1、pc2仍然可以访问外网实际测试结果厂家功能界面截图DNS中继测试子项目测试目的在于考察防火墙启用DNS中继后，内网pc配置DNS服务器地址为防火墙地址，内网pc能够顺利访问外网。测试拓扑测试原理网段上的DNS服务器有经常改动或者要借助ISP运营商的DNS服务器时，内部用户不必再逐一修改DNS配置。测试步骤1、防火墙连接互联网线路，同时设置防火墙DNS服务器开启防火墙DNS中继功能2、设置防火墙规则：（1）内网允许访问外网的安全规则（2）允许内网pc到防火墙的DNS服务安全规则3、内网pc的DNS服务器地址设置为防火墙地址4、内网pc访问外网域名服务器，观察是否可以正常访问5、DNS中继是否支持手动寻址和自动寻址两种方式预期结果内网pc通过防火墙访问外网任何域名实际测试结果厂家功能界面截图SSLVPN测试子项目测试目的在于考察防火墙启用SSLVPN后，外网pc通过SSLVPN认证后访问内网数据，且数据在网络传输是加密的。测试拓扑测试原理SSLVPN，即基于SSL(安全套接层)协议的VPN，可以提供基于应用层的访问控制，具有数据加密、完整性检测和认证机制，而且客户端无需特定软件的安装，容易配置和管理等特点，相对于网络层的IPSec，SSLVPN更适合于远程用户的安全接入。测试步骤1、如拓扑所示连接防火墙2、开启防火墙SSLVPN功能；建立用户列表：用户名，密码，虚拟IP地址3、设置防火墙规则：1允许移动客户端pc到我防火墙SSLVPN服务的安全规则2允许移动客户端获得的虚拟ip地址访问内网服务器的安全规则4、移动客户端是否打开SSLVPN认证页面，且能获得虚拟IP地址，获得虚拟IP地址后，是否可以访问内网服务器，内网pc机抓包，分析检查源地址是否为虚拟地址预期结果移动pc可以正确登陆防火墙认证界面正确获得虚拟IP地址，可以访问内网资源，且数据加密实际测试结果厂家功能界面截图防火墙安全扫面功能测试子项目该功能主要是为了方便管理员了解内网主机的运行情况，方便管理员添加地址、服务、静态ARP、IP/MAC绑定等，主要有如下四个功能：1、活动主机探测2、开放服务探测3、服务版本探测4、操作系统探测测试拓扑测试步骤方便管理员添加地址、服务、静态