下一代防火墙测试方案

下一代防火墙测试方案目录一、测试环境 41.1测试组网 41.2测试工具 4二、测试内容 41.1部署方式 41.1.1支持路由模式 41.1.2支持网桥模式 41.1.3支持旁路模式 51.1.4支持混合模式 51.2Web攻击防护 61.2.1HTTP方法过滤 61.2.2缓冲区溢出检测 61.2.3BASE64解码 71.2.4Web扫描防护 71.2.5SQL注入攻击防护 71.2.6XSS跨站脚本攻击 81.2.7OS命令注入攻击 81.2.8目录遍历攻击 91.2.9信息泄露攻击 91.2.10Webshell上传攻击防护 101.2.11服务器信息隐藏 101.2.12Web登录明文传输检测 111.2.13Web登录弱口令防护 111.2.14URL黑白名单防护 121.2.15口令暴力破解防护 121.2.16CSRF攻击防护 131.2.17自学习白名单功能 131.2.18网页防篡改 131.2.19敏感数据泄密防护 141.2.20用户登录权限防护 141.2.21网络爬虫防护 151.2.22攻击响应功能 151.2.23安全事件分析 161.2.24联动防御 171.2.25IPv6协议支持 171.3Web底层漏洞防护 171.4漏洞风险评估 191.4.1实时漏洞分析 191.4.2Web漏洞扫描 191.5僵尸网络检测 201.6异常流量检测 201.7管理功能 201.7.1图形界面 201.7.2带外管理 211.7.3用户管理 211.7.4身份鉴别 211.7.5系统日志管理 231.7.6产品升级 231.7.7自定义报表 231.7.8自定义规则库 241.7.9安全风险报表 241.8系统可靠性测试 251.8.1Bypass功能 251.8.2双机热备-主从 251.8.3双机热备-主主 261.8.4设备安全漏洞扫描评估 27一、测试环境测试组网测试工具序号名称1.客户端PC一台2.Web服务器一台（Webgoat）3.Burpsuit测试工具，预装在客户端PC上二、测试内容部署方式支持路由模式项目：部署方式分项目：路由模式部署方式用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备支持路由模式部署方式预置条件：1、被测设备置为路由模式，客户端和服务器分别连被测设备的接口测试步骤1、将被测设备的接口配置为路由模式，验证其通信是否正常。预期结果1、可以正常进行通信。测试结果口通过口部分通过口未通过口未测试备注支持网桥模式项目：部署方式分项目：网桥模式部署方式用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备支持网桥模式部署方式预置条件：1、被测设备置为网桥模式，客户端和服务器分别连被测设备的接口测试步骤1、在被测设备的接口配置为透明模式，将WAF设备的两个接口配置为交换接口，验证其通信是否正常。预期结果1、可以正常进行通信。测试结果口通过口部分通过口未通过口未测试备注支持旁路模式项目：部署方式分项目：旁路模式部署方式用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备支持旁路模式部署方式预置条件：测试拓扑2、交换机设置端口镜像测试步骤1、在被测设备上创建一个旁路监听接口，监听来自交换机的镜像数据，验证其通信是否正常。预期结果1、可以正确进行旁路检测。测试结果口通过口部分通过口未通过口未测试备注支持混合模式项目：部署方式分项目：混合模式部署方式用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备支持混合模式，即同时支持路由、交换等模式预置条件：1、拓扑见测试组网测试步骤1、将被测设备接客户端接口配置为透明模式，接服务器端接口配置为路由模式，验证客户端和服务端通信是否正常。预期结果1、被测设备能够支持混合部署。测试结果口通过口部分通过口未通过口未测试备注Web攻击防护Web扫描防护项目：Web攻击防护分项目：恶意扫描防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备针对恶意扫描软件的防护预置条件：1、测试拓扑见测试组网测试步骤禁用被测设备的web扫描防护功能使用appscan扫描工具扫描被测网站（webgoat）启用被测设备的web扫描防护功能使用appscan扫描工具扫描被测网站（webgoat）对比2次扫描的结果预期结果5、开启扫描防护功能后无法扫描出安全漏洞测试结果口通过口部分通过口未通过口未测试备注HTTP方法过滤项目：Web攻击防护分项目：HTTP方法过滤用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：阻止一些恶意的Http请求方法对服务器造成攻击。预置条件：1、测试拓扑见测试组网2、客户端预装burpsuiteprofessional测试工具测试步骤开启被测设备的http方法过滤功能，只允许GET和POST方法使用测试工具burpsuite，发送HTTP的PUT方法检查该方法是否可以被阻断并记录日志预期结果3、PUT方法被阻断，并可以记录该方法的日志测试结果口通过口部分通过口未通过口未测试备注缓冲区溢出检测项目：Web攻击防护分项目：缓冲区溢出检测用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：攻击者可能构造超过限制长度的http数据、造成服务器的异常或者是拒绝服务预置条件：1、测试拓扑见测试组网2、客户端预装burpsuiteprofessional测试工具测试步骤开启被测设备的缓冲区溢出检测、限制cookie长度为256、url长度为1024.使用测试工具burpsuite构造http的请求头部cookie长度超过256,发送该请求使用测试工具burpsuite构造http的请求url长度超过1024，发送该请求预期结果2、3、超过限制长度的http请求都会被阻断测试结果口通过口部分通过口未通过口未测试备注BASE64解码项目：Web攻击防护分项目：BASE64解码用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：攻击者可能通过对攻击语句使用Base64进行编码来绕过防火墙的检测攻击服务器预置条件：1、测试拓扑见测试组网2、客户端预装burpsuiteprofessional测试工具测试步骤开启被测设备的sql注入检测使用burpsuite工具发送如下攻击语句：/dvwa/vulnerabilities/sqli/?id=c2VsZWN0ICogZnJvbSB0YWJsZSBhIHdoZXJlIGlkID0xIA==预期结果2、发送失败，被测设备可以成功检测到sql注入攻击测试结果口通过口部分通过口未通过口未测试备注SQL注入攻击防护项目：Web攻击防护分项目：SQL注入攻击防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备对手工测试情况下SQL注入攻击的防护预置条件：1、测试拓扑见测试组网测试步骤1、客户端访问被测网站：/dvwa/vulnerabilities/sqli/?id=-1'%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8检查是否可以获取到相应的数据库信息开启被测设备的sql注入防护功能再次访问如下url:/dvwa/vulnerabilities/sqli/?id=-1'%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A85、查看是否可以成功获取到数据库信息预期结果可以成功获取数据库的表信息4、无法获取到数据库的表信息，且被测设备有日志记录测试结果口通过口部分通过口未通过口未测试备注XSS跨站脚本攻击项目：Web攻击防护分项目：XSS跨站脚本攻击用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备对手工测试情况下XSS攻击的防护预置条件：测试步骤1、登陆dvwa测试网站2、访问/dvwa/vulnerabilities/xss_s/3、在信息内容中输入<script>alert(“xss”)</script>后提交，查看是否有xss提示框4、开启被测设备的xss攻击防护功能5、再在信息内容中输入<script>alert(“xss”)</script>后提交预期结果3、可以成功提交，并有xss的提示框5、无法提交成功测试结果口通过口部分通过口未通过口未测试备注OS命令注入攻击项目：Web攻击防护分项目：OS命令注入攻击用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备对OS命令注入攻击的防护预置条件：1、测试环境见测试组网测试步骤1、访问/dvwa/vulnerabilities/exec/2、禁用被测设备的命令注入功能3、在输入框内输入&&cat/etc/passwd并提交，查看是否能够查看到服务器的用户信息4、启用被测设备的命令注入功能5、在输入框内输入&&cat/etc/passwd并提交，查看是否能够查看到用户信息预期结果可以查看到服务器的用户信息5、无法查看到用户信息，该请求被阻断测试结果口通过口部分通过口未通过口未测试备注目录遍历攻击项目：Web攻击防护分项目：目录遍历攻击用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备目录遍历攻击的识别效果预置条件：1.测试拓扑见测试组网测试步骤1、开启被测设备的目录遍历防护功能2、访问/dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd3、禁用被测设备的目录遍历防护功能4、再次访问/dvwa/vulnerabilities/fi/?page=../../../../../etc/passwd预期结果访问失败无法访问该页面4、可以成功访问该页面，并可以读取/etc/passwd文件的内容测试结果口通过口部分通过口未通过口未测试备注信息泄露攻击项目：Web攻击防护分项目：信息泄露攻击用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：一些服务器在出错时可能会泄露一些可用的信息，而这些信息可能会给攻击者提示攻击的方向预置条件：1、测试拓扑见测试组网测试步骤开启被测试备的信息泄露防护功能2、访问/dvwa/phpinfo.php预期结果2、访问失败，无法获取到该页面的内容测试结果口通过口部分通过口未通过口未测试备注Webshell上传攻击防护项目：Web攻击防护分项目：Webshell上传攻击防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备Webshell文件上传过滤功能，由于Web应用系统在开发时并没有完善的安全控制，对上传至Web服务器的信息进行检查，从而导致Web服务器被植入病毒、木马成为黑客利用的工具，为防止黑客或内部人员通过某种攻击方式强行获取服务器权限之后，或服务器存在上传漏洞时，通过已有的权限或借助漏洞上传恶意文件构造僵尸网络、破坏网络安全等，需通过文件上传过滤进行防护。预置条件：1、测试拓扑见测试组网测试步骤1、开启被测设备文件Webshell防护功能；2、访问/dvwa/vulnerabilities/upload/3、在本地选择一个webshell文件进行上传4、查看文件是否可以上传成功，查看返回的信息是否可以访问上传的webshell文件预期结果上传webshell失败4、文件无法上传，也无法访问上传的webshell文件测试结果口通过口部分通过口未通过口未测试备注服务器信息隐藏项目：Web攻击防护分项目：服务器信息隐藏用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：该功能是用来隐藏http服务器返回给客户端请求中一些特殊字段信息，可以通过httpwatch或者是firefox中安装httpwatch来查看这些字段的值。预置条件：1、测试拓扑见测试组网测试步骤1、在被测设备开启应用隐藏功能2、添加要隐藏的字段（Server、X-Powered-By）3、访问测试网站/dvwa/index.php4、通过抓包查看页面响应的头部信息是否被替换为***预期结果4、用户配置的字段内容被成功替换为***测试结果口通过口部分通过口未通过口未测试备注项目：Web攻击防护分项目：HTTP错误信息隐藏用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：防止因为服务器出现一些错误的信息而对外提供了服务器使用的数据库或者是服务版本信息预置条件：1、测试拓扑见测试组网测试步骤1、打开被测设备http错误隐藏功能2、/dvwa/vulnerabilities/sqli/?id=1'&Submit=Submit#3、访问以上URL查看是否可以看到服务器的出错信息预期结果3、无法查看到服务器的出错信息测试结果口通过口部分通过口未通过口未测试备注Web登录明文传输检测项目：Web攻击防护分项目：Web登录明文传输检测用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：为防止一些Web服务器因为密码设置过于简单而带来一定的风险，需要对Web弱口令进行防护。预置条件：1、测试拓扑见测试组网测试步骤1、打开被测设备Web登录明文传输检测功能；2、使用burpsuite工具构造如下的登录请求发送到服务端POST

/upload/admin/index.php?path=login&menu=login_action

HTTP/1.1Content-Type:

application/x-www-form-urlencodedusername=admin&passwd=12345678；3、在被测设备查看是否能够检测出明文登录日志。预期结果3、被测设备可以记录到明文登陆日志。测试结果口通过口部分通过口未通过口未测试备注Web登录弱口令防护项目：Web攻击防护分项目：Web登录弱口令防护用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：为防止一些Web服务器因为密码设置过于简单而带来一定的风险，需要对Web弱口令进行防护。预置条件：1、测试拓扑见测试组网测试步骤1、在被测备上开启登录弱口令防护功能；2、登陆/dvwa/login.php3、输入用户名admin、密码为admin进行登陆预期结果3、查看被测设备的日志可以发现web弱口令的日志测试结果口通过口部分通过口未通过口未测试备注URL黑白名单防护项目：Web攻击防护分项目：URL黑白名单防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：Web应用系统中通常会包含有系统管理员管理界面以便于管理员远程维护Web应用系统，但是这种便利很可能会被黑客利用从而入侵应用系统。URL防护功能允许用户选择特定URL的开放对象，防止由于过多的信息暴露于公网产生的威胁。预置条件：1、测试拓扑见测试组网测试步骤在被测设备上开启url黑白名单功能配置所有攻击用户禁止访问/dvwa/security.php页面3、客户端访问如下/dvwa/security.php预期结果3、客户端无法访问该页面，但可以访问其他页面测试结果口通过口部分通过口未通过口未测试备注口令暴力破解防护项目：Web攻击防护分项目：暴力口令破解防护用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：黑客可能通过暴力破解的方式来达到攻击效果，如果密码过于简单就很容易被破解出来。WAF设备应具备暴力口令破解防护功能。预置条件：1、测试拓扑见测试组网2、客户端预装burpsuiteprofessional测试工具测试步骤1、在被测设备上打开防暴力口令破解防护功能；2、使用测试工具burpsuite，设定字典文件进行暴力破解3、查看结果是否可以成功猜解到服务器的密码4、关闭暴力口令破解功能再次尝试破解预期结果无法猜解出来可以成功猜解出来测试结果口通过口部分通过口未通过口未测试备注CSRF攻击防护项目：Web攻击防护分项目：CSRF攻击防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备对CSRF攻击的防护预置条件：1、测试拓扑见测试组网测试步骤开启被测设备的csrf防护功能登陆/dvwa/login.php客户端访问如下:/dvwa/vulnerabilities/csrf/?password_new=admin&password_conf=1&Change=Change4、退出重新登陆该页面，使用用户名admin、密码1查看是否可以登陆成功预期结果提交失败4、无法使用密码1进行登陆测试结果口通过口部分通过口未通过口未测试备注自学习白名单功能项目：Web攻击防护分项目：自学习白名单用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：测试WAF设备是否具备自主学习正常http访问请求中的参数类型，并形成防护白名单。预置条件：1、测试环境见测试组网测试步骤1、浏览器持续正常访问WebGoat的页面；2、生成自学习结果后，建立白名单防护策略；3、发送违背白名单策略的http请求。预期结果2、自学习后看到学习结果，包括请求的url、参数、目录树等信息3、根据学习结果建立白名单策略后，能防护违背白名单策略的HTTP请求并告警测试结果口通过口部分通过口未通过口未测试备注网页防篡改项目：Web攻击防护分项目：网页篡防篡改用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：B测试目的：测试WAF设备能够对被篡改的网页进行拦截，网页恢复后能够正常访问。预置条件：1、测试环境见测试组网测试步骤1、Web服务器根目录下放置一个index.html文件；2、被测设备配置防篡改策略，检测和拦截篡改数据；3、修改index.html文件一个字节；4、客户端访问index.html网页；预期结果4、WAF设备具备对篡改的网页检测和恢复，客户端无法访问被篡改的网页，篡改数据被拦截。测试结果口通过口部分通过口未通过口未测试备注敏感数据泄密防护项目：Web攻击防护分项目：敏感数据泄密防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：黑客可能通过http方法下载已经窃取的商业信息、比如信用卡、客户信息等预置条件：测试步骤1、在WAF设备上开启敏感信息防护功能；2、新增敏感信息组合策略为银行卡号，最低命中次数1次；3、访问一个带有手机号码的页面（可自行构造）；4、查看WAF设备日志记录。预期结果4、WAF设备能检测并查看服务器外发的信息中包含的银行卡号信息的日志记录。测试结果口通过口部分通过口未通过口未测试备注用户登录权限防护项目：Web攻击防护分项目：用户登录权限防护用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：测试WAF设备可针对客户的敏感登录页面的访问进行短信验证码的二次加强认证。预置条件：1、测试拓扑2、GSM/CDMA短信猫一个测试步骤1、 设置需要进行访问限制的网页或者其他类型的服务器；2、 配置好短信网关以及需要通知到的手机号码；3、 访问设置的敏感页面；4、 输入正确的短信验证码已经登录密码。预期结果访问敏感页面时，WAF设备能够发送短信验证码进行二次加强认证后才可以访问敏感信息页面。测试结果口通过口部分通过口未通过口未测试备注网络爬虫防护项目：Web攻击防护分项目：联动防御用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备的网络爬虫防护功能。网络爬虫是一种按照一定的规则，自动的抓取万维网信息的程序或者脚本。一些自制的爬虫会极大地消耗服务器带宽和资源，造成服务器负载过高。预置条件：1、测试拓扑见测试组网测试步骤1、开启网络爬虫防护功能，动作设置为阻断；2、客户端使用网络爬虫软件Webdup去访问http服务器，查看结果；预期结果2、爬虫请求被阻断，并有阻断日志记录。测试结果口通过口部分通过口未通过口未测试备注攻击响应功能项目：攻击响应功能分项目：攻击响应功能用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备检测到Web应用攻击时，应该允许用户定义特定安全策略规则的动作：阻断、允许、仅检测等；预置条件：1、测试拓扑见测试组网测试步骤1、登陆WEB应用防火墙设备进行查看和配置各条策略规则；2、针对某条策略规则的防护对被保护的web站点进行正常和非法攻击访问；3、登陆WEB应用防火墙管理界面，查看告警日志。预期结果3、当策略规则配置为“阻断”时，客户端非法访问失败；当配置为“仅检测”时，客户端非法访问成功，且有安全日志记录；当配置为“允许”时，非法访问将通过。测试结果口通过口部分通过口未通过口未测试备注项目：攻击响应功能分项目：攻击告警方式用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备检测到Web应用攻击时，应该具备邮件告警告警、短信告警，syslog告警等。预置条件：1、测试拓扑见测试组网测试步骤1、登陆WEB应用防火墙设备进行多种告警方式的设置：邮件告警，短信告警；2、对被保护的web站点进行正常和非法攻击访问；3、登陆WEB应用防火墙管理界面，查看告警日志。预期结果3、可以看到非法访问的攻击告警日志。测试结果口通过口部分通过口未通过口未测试备注安全事件分析项目：Web攻击防护分项目：安全事件分析用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备对记录到的攻击日志具备可读性和可分析性，从而定位攻击事件。预置条件：1、测试拓扑见测试组网测试步骤1、对被保护的web站点进行正常和非法攻击访问；2、登陆WEB应用防火墙管理界面，查看告警日志。预期结果2、告警日志记录了攻击事件的详细信息，包括源/目的IP、源/目的端口、攻击类型、遭受攻击的URL等，并且可以记录攻击数据包，并高亮显示其中的攻击内容。测试结果口通过口部分通过口未通过口未测试备注联动防御项目：Web攻击防护分项目：联动防御用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备在受到WEB攻击的时候能够自动阻断攻击源后续的攻击流量。验证WEB应用防火墙设备的网络爬虫防护功能。网络爬虫是一种按照一定的规则，自动的抓取万维网信息的程序或者脚本。一些自制的爬虫会极大地消耗服务器带宽和资源，造成服务器负载过高。预置条件：1、测试拓扑见测试组网测试步骤1、指定用户对WAF防护的服务器发动Web攻击；2、查看被测设备是否阻断该用户3、该用户放弃其他资源查看是否可以成功访问预期结果2、可以成功阻断该用户的攻击流量3、该用户在限定的时间内都无法访问其他资源测试结果口通过口部分通过口未通过口未测试备注IPv6协议支持项目：Web应用防护分项目：IPv6协议支持用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：WEB应用防火墙应支持IPV6协议。预置条件：测试环境见测试组网测试客户端及目标网站服务器、WEB应用防火墙均配置IPV6地址测试步骤WEB应用防火墙开启攻击防护策略；2、通过浏览器发起SQL注入攻击；3、通过浏览器发起XSS跨站攻击。预期结果2/3、攻击可以被阻断，并且记录告警日志；测试结果口通过口部分通过口未通过口未测试备注Web底层漏洞防护项目：系统底层漏洞防护分项目：CVE-2013-4547Ngnix文件解析漏洞防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：B测试目的：测试WAF设备是否能够防护CVE编号为CVE-2013-4547的漏洞攻击。预置条件：1、测试环境见测试组网测试步骤1、获取CVE-2013-4547号漏洞的攻击报文；2、利用第三方的数据报文回放工具回放上述攻击数据包；3、查看被测设备能否检测出以上攻击行为。预期结果3、被测设备能够检测并阻断该攻击行为并可查看该漏洞攻击日志。测试结果口通过口部分通过口未通过口未测试备注项目：系统底层漏洞防护分项目：CVE-2009-4444IIS畸形文件扩展名绕过漏洞防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：B测试目的：测试WAF设备是否能够防护CVE编号为CVE-2009-4444的漏洞攻击。预置条件：1、测试环境见测试组网测试步骤1、获取MicrosoftIIS畸形文件扩展名绕过漏洞攻击报文；2、利用第三方的数据报文回放工具回放上述攻击数据包；3、查看被测设备能否检测出以上攻击行为。预期结果3、被测设备能够检测并阻断该攻击行为并可查看该漏洞攻击日志。测试结果口通过口部分通过口未通过口未测试备注项目：系统底层漏洞防护分项目：CVE-2013-1966、CVE-2013-2115：ApacheStrutsIncludeParamsIncompleteFixSecurityBypassVulnerability漏洞防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：B测试目的：测试WAF设备是否能够防护CVE编号为CVE-2013-1966、CVE-2013-2115的漏洞攻击。预置条件：1、测试环境见测试组网测试步骤1、获取ApacheStrutsIncludeParamsIncompleteFixSecurityBypass漏洞攻击报文；2、利用第三方的数据报文回放工具回放上述攻击数据包；3、查看被测设备能否检测出以上攻击行为。预期结果3、被测设备能够检测并阻断该攻击行为并可查看该漏洞攻击日志。测试结果口通过口部分通过口未通过口未测试备注项目：系统底层漏洞防护分项目：CVE-2013-2251：ApacheStrutsMultiple远程命令执行漏洞防护用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：B测试目的：测试WAF设备是否能够防护CVE编号为CVE-2013-2251的漏洞攻击。预置条件：1、测试环境见测试组网测试步骤1、获取ApacheStrutsMultiple远程命令执行漏洞攻击报文；2、利用第三方的数据报文回放工具回放上述攻击数据包；3、查看被测设备能否检测出以上攻击行为。预期结果3、被测设备能够检测并阻断该攻击行为并可查看该漏洞攻击日志。测试结果口通过口部分通过口未通过口未测试备注漏洞风险评估实时漏洞分析项目：漏洞风险评估分项目：实施漏洞分析用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：WAF设备能够对经过的流量中的HTTP请求进行检测，并通过分析服务器回复内容来确定服务器是否存在已知或未知的漏洞风险。预置条件：1、测试环境见测试组网测试步骤在被测设备上开启实时漏洞分析功能、不要开启其他的功能检测功能使用appscan扫描工具扫描/dvwa网站检查实时风险分析的报表是否可以展示出服务器的风险漏洞预期结果3、可以成功展示服务器的风险漏洞测试结果口通过口部分通过口未通过口未测试备注Web漏洞扫描项目：漏洞风险评估分项目：Web漏洞扫描用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备具备Web漏洞扫描功能，为Web服务进行一个全面的安全威胁扫描并通告当前Web业务所存在的漏洞风险以及建议的解决方案。预置条件：1、测试拓扑见测试组网测试步骤1、在被测设备配置Web漏洞扫描策略，扫描测试网站webgoat。2、扫描完成过后导出扫描报告。预期结果2、被测设备可对Web服务器存在漏洞进行扫描并输出报告。测试结果口通过口部分通过口未通过口未测试备注僵尸网络检测项目：僵尸网络检测分项目：僵尸网络检测用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：服务器存在被黑客植入远控木马的风险，从而能够窃取服务器上的敏感信息，测试WAF设备能够对僵尸主机进行检测，并阻断可疑流量。预置条件：1、测试环境见测试组网测试步骤1、在Web服务器上植入远程控制木马病毒，如灰鸽子；2、通过外网终端连接服务器上的木马；3、查看被测设备日志查看是否检测到木马病毒。预期结果3、被测设备能够查看阻拦木马的日志记录。测试结果口通过口部分通过口未通过口未测试备注异常流量检测项目：异常流量检测分项目：异常流量检测用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：对于网络中的异常流量进行检测，防止一些黑客使用正常的业务进行数据的传输。预置条件：1、测试环境见测试组网测试步骤开启被测设备的异常流量检测功能在服务器上执行木马客户端在攻击客户端使用木马服务器进行文件的下载预期结果3、测试设备可以检查出异常的流量行为并进行告警测试结果口通过口部分通过口未通过口未测试备注管理功能图形界面项目：管理功能分项目：图形界面用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：测试WAF设备能否浏览器图形界面进行管理，系统应提供友好的用户界面用于管理、配置Web应用防火墙系统。管理配置界面应包含配置和管理产品所需的所有功能。预置条件：无测试步骤1、通过浏览器登陆WEB应用防火墙管理页面；2、输入正确的用户名和密码；预期结果2、成功登陆后可以进行图形化的界面管理。测试结果口通过口部分通过口未通过口未测试备注带外管理项目：管理功能分项目：带外管理用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：Web应用防火墙系统的探测器应配备不同的网络硬件接口分别用于产品管理和应用数据防护。预置条件：无测试步骤1、通过应用数据端口连接被保护站点网络接口卡以及访问客户端网络接口卡；2、通过web应用防火墙管理网络接口连接监控管理PC设备；3、管理IP段与被保护web站点IP段无关联关系。预期结果3、应用数据防护和Web应用防火墙独立管理。测试结果口通过口部分通过口未通过口未测试备注用户管理项目：管理功能分项目：用户管理用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：系统应默认设置三个角色，超级管理员、管理员、审计员。预置条件：无测试步骤1、建立一个用户；2、分别为其设置角色：用户管理员、审计员、管理员；3、设置角色后，用此用户登陆，执行相关操作。预期结果3、用户只能进行角色对应的相关操作。测试结果口通过口部分通过口未通过口未测试备注身份鉴别项目：身份鉴别分项目：用户鉴别用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：应在用户执行任何与安全功能相关的操作之前对用户进行鉴别预置条件：无测试步骤1、退出登陆；2、直接访问相关操作的功能页面。预期结果2、重定向到登录页面测试结果口通过口部分通过口未通过口未测试备注项目：身份鉴别分项目：鉴别失败的处理用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：当用户鉴别尝试失败连续达到指定次数后，系统应锁定该帐号，并将有关信息生成审计事件。最多失败次数仅由授权管理员设定。预置条件：无测试步骤1、退出登陆，进入登陆页面；2、输入错误的用户登陆信息；3、按指定次数重复步骤2的操作；4、输入正确的用户登陆信息；5、等待指定的锁定超时时间后；6、输入正确的用户登陆信息。预期结果2、应该重定向到登录页面3、系统应该锁定此帐号（关联源IP）一段时间4、应该重定向到登录页面6、可以正常登录测试结果口通过口部分通过口未通过口未测试备注项目：身份鉴别分项目：超时设置用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。预置条件：无测试步骤1、用户登陆；2、在设定的时间段内，不进行任何操作；3、点击任何操作页面。预期结果3、重定向到登录页面测试结果口通过口部分通过口未通过口未测试备注系统日志管理项目：管理功能分项目：系统日志管理用例编号：版本：1.0参考文档：参考组网：重要性：可选优先级：B测试目的：验证被测WEB应用防火墙设备是否支持系统日志管理。预置条件：无测试步骤1、使用审计员登陆管理平台；2、进入系统日志管理相关模块。预期结果系统应当可以对任何角色通过管理平台所作的操作记录详细的日志在每一个审计日志记录中记录事件发生的IP地址、日期、时间、用户标识、事件描述和结果管理平台需要提供基于IP地址，起始/结束时间等多条件的综合查询功能管理平台需要提供对系统日志的删除操作，并且支持按比例删除和按时间删除的功能测试结果口通过口部分通过口未通过口未测试备注产品升级项目：管理功能分项目：产品升级用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：系统应具有及时更新、升级产品和策略安全规则库的能力。预置条件：无测试步骤1、通过浏览器登陆管理界面；2、通过应用升级相关选项进行WEB应用防火墙前后台软件的升级。预期结果2、能够成功进行产品升级，且升级后系统运行正常测试结果口通过口部分通过口未通过口未测试备注自定义报表项目：管理功能分项目：自定义报表用例编号：版本：1.0参考文档：参考组网：重要性：必选优先级：A测试目的：系统应支持授权管理员按照自己的要求修改和定制报告内