SANGFORACV20上网行为管理测试方案模板全面版文档格式.docx
《SANGFORACV20上网行为管理测试方案模板全面版文档格式.docx》由会员分享,可在线阅读,更多相关《SANGFORACV20上网行为管理测试方案模板全面版文档格式.docx(36页珍藏版)》请在冰点文库上搜索。
网页智能学习与分类
基于特征的外发文件识别和告警
URL地址的动作过滤
网页正文关键字识别和过滤
不常见P2P软件的识别和封堵
语音视频识别
新浪视频的识别与封堵
上网策略管理
上网时长控制
子组支持继承父组的上网策略
流量管理
基于应用类型的流控
基于文件类型的流控
基于网站类型的流控
用户的带宽划分与分配
邮件过滤与审计
根据发件人地址进行邮件过滤
仅允许指定后缀的邮件地址发送邮件
过滤含有指定关键字的邮件
过滤含有指定类型附件的邮件
应用审计与报表
管理员分级审计用户日志
记录被访问网页的网页标题
记录含有指定关键字的网页内容
非TCP21端口行为的识别和记录
时间审计
Webmail附件的记录和审计
WAN->
LAN行为审计
报表功能
网络可靠、可用的保障能力
防火墙功能
ARP欺骗防护功能
防DOS攻击功能
1、多路桥接
测试编号
测试时间
测试人员
多路桥接
测试目的
为了网络更安全,内网段、DMZ段和VPN段全部桥接到上网行为管理设备
测试方法
1、1和2口桥接VPN;
2、3和4口桥接内网;
3、5和6口桥接DMZ
预期结果
内网ping外网成功;
内网pingDMZ成功;
DMZping外网成功。
内网ping外网成功满足不满足
内网pingDMZ满足不满足
DMZping外网满足不满足
测试结论
所测试产品是否满足该项功能要求
2、三层IP/MAC绑定
用户认证方式
三层IP/MAC绑定
IP/MAC绑定是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网络管理、用户识别和认证。
1、选择内网的任意用户,假如用户名为A;
2、在设备上创建用户帐号,并启用IP/MAC绑定,填写A用户的IP和其对应的MAC地址;
3、配置设备以确保A用户访问外网资源,且访问成功;
4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功
5、用户B的IP为A的IP,此时用户B访问外网资源,测试访问结果是否成功。
用户A和B改变IP地址上网都不成功
A用户在更改IP后不能访问Internet满足不满足
B用户使用A用户的IP地址访问Internet不成功满足不满足
3、未创建账号用户的认证
未创建账号用户的认证
组织单位往往会有第三方合作伙伴、新员工等未及时创建帐号的用户接入网络,这就需要被测设备能够自动添加未创建帐号的用户信息,并且同时能够将新用户自动分组、自动授权、实现方便性和可控性的统一。
1、设备具有未创建账号的处理方式,并且此功能可选;
2、未创建帐号的用户至少具有两种以上的处理方式,如以IP为新账号并绑定IP地址和MAC地址、以计算机名为新账号并绑定IP地址和MAC地址;
3、配置设备将未创建账户的用户自动以IP地址作为新用户名,同时绑定IP-MAC;
4、配置设备将未创建账号的用户自动添加到设备后可以分配到指定的用户组,从而继承相应的上网权限:
禁止访问
5、内网用户A使用终端电脑访问互联网,访问是否成功;
6、内网用户A访问www.baidu.cim是否成功;
7、内网新用户B修改自己IP为A的IP,访问外网资源测试是否成功
被测设备能够以IP地址、计算机名等作为未创建用户的新帐号名,同时绑定IP、MAC等,同时自动分配到指定用户组,继承相应的权限。
被测设备支持对未创建帐号用户的处理满足不满足
设备支持以IP地址作为新用户名自动添加帐号满足不满足
用户A支持自动创建帐号且支持同时绑定IP、MAC等信息
满足不满足
用户A自动创建的帐号享有指定的网络访问权限满足不满足
用户B通过更改IP地址方式不能冒充A的身份满足不满足
所测试产品是否满足该项功能要求满足不满足
4、冻结用户管理
冻结用户管理
为了规范内网用户的互联网访问行为,被测的上网行为管理设备不仅能够预先给不同用户分配上网权限和策略,同时对于IT管理者实时发现的存在异常网络行为的用户应该能够进行手工干预,包括在指定时间段内阻断该用户的网络连接,并能够在超时后自动回复该用户的网络访问权限,达到冻结用户与自动解冻,从而强化IT管理者对用户上网行为的管理。
1、在设备上配置接入用户的帐号、密码等信息;
2、通过设备可以查看得到当前在线用户名单等信息;
3、选中指定的用户A实施冻结三分钟,验证该用户A是否能访问互联网;
4、三分钟后用户A再次尝试访问互联网;
被测设备应该支持将指定用户临时冻结,并在超时后自动为给用户解冻,恢复其互联网访问权限。
实施冻结后,用户A不能访问互联网满足不满足
超时后用户A自动具有互联网访问权限满足不满足
5、管理员分级管理
对于存在多个部门的大中型组织机构,由于不同部门差异化的互联网访问权限,如果为不同部门分配不同的设备管理员,不仅简化了IT部门的工作,同时让各部门、各用户的访问权限管理更灵活。
但必须避免A部门的管理员却能够对B部门的上网权限、用户组织结构进行编辑、修改等。
1、在设备上配置配置不同管理员,其中管理员A1可以编辑用户组A的权限、成员等;
管理员A2只能够查看用户组A的权限、成员等。
2、通过管理员A1账户登录被测设备,验证是否能够对用户组A的上网权限、组成员进行编辑和调整;
3、通过管理员A2账户登录被测设备,验证是否能够对用户组A的上网权限、组成员进行编辑和调整;
;
不同权限管理员登录被测设备后只具有授权的权限,包括针对不同用户组的Read-Only权限、和Read-Write权限。
管理员A1可以修改用户组A的配置满足不满足
管理员A2不能修改用户组A的配置满足不满足
5、终端操作系统补丁识别
内网终端如果没有及时更新操作系统补丁而接入互联网,则极易感染病毒、木马等威胁,进而传染给内网更多终端设备,影响网络的可靠性和可用性,所以需要通过终端识别功能找出内网没有及时安装操作系统补丁的终端设备
配置设备禁止使用WindowsXP操作系统但没有安装SP2补丁的终端访问互联网;
使用安装WindowsXP操作系统但没有安装SP2补丁的终端接入互联网,测试是否可以正常访问互联网。
被测设备能够识别终端设备的操作系统版本及操作系统补丁,对不符合信息技术部要求的终端将禁止接入互联网
设备具有识别终端操作系统版本及补丁的功能配置项满足不满足
使用windowsxp操作系统而没有安装SP2补丁的终端不能访问互联网
6、对注册表键值的识别
内网终端如果安装了非法软件往往会在注册表中留下指定的键值等痕迹、而没有安装指定的安全软件则不会在注册表中留下指定的键值等痕迹;
所以通过检查注册表可以保证信息技术部统一IT政策的贯彻和落实,避免风险终端接入互联网感染病毒,进而传染到内网的问题。
1、配置设备,通过检测注册表中指定键值是否含有“诺顿杀毒软件”,实现只有安装诺顿杀毒软件的终端才能访问互联网;
2、终端电脑安装诺顿杀毒软件后,测试是否可以成功访问互联网;
3、删除终端电脑上的诺顿杀毒软件后,测试是否可以访问互联网。
被测设备可以通过检查接入终端的注册表相关键值实现对终端的识别和网络准入功能
1.配置设备,实现对客户端诺顿杀毒软件的检测,终端安装有诺顿杀毒软件,成功访问互联网满足不满足
4.删除终端上的诺顿后,终端不能访问互联网满足不满足
7、对硬盘文件的检查和识别
内网终端如果安装了非法软件、或没有安装指定的安全软件而接入互联网,是对信息技术部门统一IT政策的违反,同时可能极易感染病毒、木马等威胁,进而传染给内网更多终端设备,影响网络的可靠性和可用性,所以需要通过终端识别功能找出内网安装了非法软件、不安装指定软件的终端设备。
1、完成设备相关配置,禁止安装QQ.exe文件的终端访问互联网;
2、终端电脑安装QQ.exe文件后访问互联网,测试是否可以成功访问;
3、终端电脑删除QQ.exe文件再访问互联网,测试是否可以成功访问;
4、再配置设备,禁止不安装NOD32.exe(NOD32杀毒软件的进程)文件的终端访问互联网;
5、终端电脑安装NOD32.exe文件后,测试是否可以成功访问互联网;
6、删除终端电脑上的NOD32.exe文件,测试是否可以访问互联网。
被测设备能够检查接入终端的硬盘文件情况,从而实现终端识别和有效的网络准入控制
被测设备具有检查终端硬盘文件的功能配置项满足不满足
终端安装QQ后访问互联网失败满足不满足
终端删除QQ后再访问互联网成功满足不满足
终端安装NOD32后访问互联网成功满足不满足
终端删除NOD32后访问互联网失败满足不满足
8、识别终端的进程
内网终端如果运行了非法软件、或没有运行指定的安全软件而接入互联网,是对信息技术部门统一IT政策的违反,同时可能极易感染病毒、木马等威胁,进而传染给内网更多终端设备,影响网络的可靠性和可用性,所以需要通过终端识别功能找出内网运行了非法软件、不运行指定软件的终端设备
1、完成设备相关配置,禁止运行QQ.exe进程的终端访问互联网;
2、终端电脑运行QQ.exe后访问互联网,测试是否可以成功访问;
3、终端电脑关闭QQ.exe再访问互联网,测试是否可以成功访问;
4、再配置设备,禁止不运行NOD32KRN.exe(NOD32杀毒软件的进程)进程的终端访问互联网;
5、终端电脑运行NOD32KRN.exe进程,测试是否可以成功访问互联网;
6、关闭终端电脑的NOD32KRN.exe进程,测试是否访问互联网。
被测设备能够检查接入终端的后台进程情况,从而实现终端识别和有效的网络准入控制
被测设备具有检查终端进程的功能配置项满足不满足
终端运行QQ.exe进程后访问互联网失败满足不满足
终端停止QQ.exe进程后再访问互联网成功满足不满足
终端运行NOD32KRN.exe进程后访问互联网成功满足不满足
终端停止NOD32KRN.exe进程后访问互联网失败满足不满足
9、多条准入规则的与/或
准入规则
多条准入规则的与/或
传统的设备对于准入规则应用只能进行单一的进行检测,灵活性较差,而要实现对于如必须开启诺顿杀毒软件或者是卡巴斯基软件,不能运行QQ软件和迅雷软件这样的复杂的组合就无能为力,该项测试可以验证设备对于符合多项策略的组合检查
1、新建“必须运行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程,新建“必须运行杀毒软件2”准入规则选择用户需运行“诺顿杀毒”进程
2、选择“必须运行杀毒软件1”和“必须运行杀毒软件2”进行组合规则,选择任一条件成立允许用户上网,并命名为“需启用杀毒软件”
3、新建“禁止运行QQ”准入规则选择用户需运行“QQ”进程,“必须运行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程
4、选择“禁止运行QQ”和“必须运行杀毒软件1”进行组合规则,选择当所有条件成立的时候允许用户上网
5、在上网策略对象中新建“准入规则1”项执行有任一杀毒软件即可上网,并运用到用户A
6、在上网策略对象中新建“准入规则2”项执行必须运行“卡巴斯基”和不能运行“QQ“才能上网上网,并运用到用户B
用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网
用户B启用“卡巴斯基“和不运行”QQ“才能上网,否则不允许上网
1.用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网
2.用户B启用“卡巴斯基“和不运行”QQ“才能上网,否则不允许上网
10、SSL网址识别与封堵
应用识别
SSL网址识别与封堵
互联网网页正在逐渐由明文形式转化为SSL加密的密文形式,这其中就包括为数众多的假冒网上银行的钓鱼网站、近期假冒地震捐款的网站、网上基金/证券/炒股/购物/博彩网站等,如果不能对SSL加密网站进行识别和管理,显然无法实现对用户的网页访问行为的全面管理
1、完成设备相关配置,禁止用户访问;
2、内网用户打开IE,尝试访问站点,测试是否可以正常访问;
3、再打开测试是否可以成功访问;
被测设备能够实现对SSL加密网页的识别,通过非封堵TCP443端口方式实现对指定SSL加密网站的过滤,同时放开其他SSL加密网页的访问行为
设备支持SSL加密网页识别的配置功能项满足不满足
内网用户不能访问被封堵的满足不满足
内网用户可以访问没有被封堵的满足不满足
11、非80端口网页访问行为的识别
通常网页访问通过TCP80端口实现,但互联网上存在为数众多的非80端口访问的网页、网站等,典型如“碧海银沙”在线聊天室等可以通过随机的端口提供访问,如果不能对此类非80端口的网页访问行为进行识别和管理,将无法有效管理用户的网页访问行为
1、打开IE访问碧海银沙网站:
2、被测设备配置过滤对http:
//202.96.140.8网址的访问行为
3、内网用户访问http:
//202.96.140.8:
32462/,验证是否可以访问成功
4、内网用户访问http:
38611/,验证是否可以访问成功
被测设备并不以网页访问行为的端口进行行为识别和过滤,从而实现对同一URL地址多个端口都能进行识别和过滤
设备配置后,用户不能访问http:
32462/满足不满足
用户亦不能访问http:
38611/满足不满足
11、搜索引擎输入关键字的过滤
网页访问行为通过静态URL库可以实现部分控制功能,但由于互联网URL地址数十亿条,每天新增近百万,为实现对网页访问行为的全面管理,必须具备对搜索引擎输入指定关键字的过滤技术,如禁止通过XX、Google搜索“艳照门”。
1、完成设备相关配置,禁止通过搜索引擎搜素“艳照门”关键字;
2、通过IE访问XX搜索“艳照门”,验证搜索结果;
3、访问Google、雅虎搜索等,搜索“艳照门”,验证搜索结果;
被测设备可以实现对XX、Google等搜索引擎中输入的指定关键字的过滤技术,用以弥补静态URL库的缺陷
被测设备具有搜索引擎输入关键字过滤功能满足不满足
用户不能通过XX搜索“艳照门”满足不满足
用户不能通过Google、雅虎搜索“艳照门”满足不满足
12、网页正文关键字识别和过滤
网页访问行为通过静态URL库可以实现部分控制功能,但由于互联网URL地址数十亿条,每天新增近百万,为实现对网页访问行为的全面管理,必须能够识别网页正文含有的指定关键字,根据该关键字实现对网页访问行为的控制和过滤。
1、完成设备相关配置,禁止用户访问含有“艳照门”关键字的网页;
2、通过访问XX、Google等寻找含有艳照门内容的网页;
3、点击打开含有“艳照门”关键字的网页,测试是否能够成功访问;
被测设备可以通过识别网页正文含有的指定关键字实现对网页访问行为的管理
1.内网用户将不能访问含有“艳照门”关键字的网页满足不满足
13、不常见P2P软件的识别和封堵
组织在封堵常见的BT、eMule等P2P软件后,却又面临着众多未知P2P、不常见P2P行为的威胁,网络上的P2P软件层出不穷、版本泛滥,不可能通过被测设备内置的应该识别库实现对所有P2P行为的管理,所以必须具有P2P智能识别方式,根据P2P的行为特征从根本上识别和封堵P2P行为。
内网用户通过Google搜索安装不常见的P2P工具
配置设备,启用设备的P2P智能识别功能
再次使用应用协议库没有的、不常见的P2P软件(比如Maze)进行资源下载,测试下载速度
内网用户使用不常见的P2P工具滥用带宽资源的情况被识别并封堵,有效的提升了组织单位的带宽使用效率
被测设备含有P2P智能识别功能满足不满足
内网用户首先可以通过应用协议识别库中没有的P2P工具下载资源
在配置设备启用智能P2P识别功能后,再次使用以上P2P工具将不能下载资源满足不满足
14、新浪视频的识别与封堵
随着YouTube的流行,国内的视频网站也越来越多。
上班时间访问新浪视频等网站观看视频不仅影响工作效率,同时对带宽的严重占用也不容忽视。
如何实现允许用户访问新浪视频网站但不允许观看在线视频已经成为众多客户的要求。
配置被测设备,封堵在线视频的使用
内网用户访问
内网用户尝试观看在线视频的行为被禁止
用户无法观看新浪视频资源满足不满足
15、网页智能学习与分类
网页识别与过滤
面对互联网过万亿的URL地址,而且URL地址还在不断的增多,静态的URL库已经不能完整的解决URL地址的分类与过滤了,那么通过智能的学习与识别则是URL过滤的最佳解决途径,通过关键字特征来识别网页并进行过滤
在设备中添加关键字“法轮功,共匪,真相,反党”等,启用过滤,然后通过IE访问已知的反动网址
通过学习以后反动网址被自动过滤,输入的反动网址无法访问
用户在输入反动网址时无法访问满足不满足
16、URL地址的动作过滤
URL地址过滤
测试
升级会员 