SSL VPN测试方案Word文档格式.docx
- 文档编号:20090652
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:53
- 大小:38.65KB
SSL VPN测试方案Word文档格式.docx
《SSL VPN测试方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《SSL VPN测试方案Word文档格式.docx(53页珍藏版)》请在冰豆网上搜索。
配置备份及恢复
支持整体设备配置的备份及恢复;
支持SSLVPN配置的单独备份及恢复,支持配置的回滚
外置数据中心
支持外置数据中心,并与SSLVPN设备实时同步,提供细粒度审计日志
安全性测试
用户身份安全
用户名、密码认证
支持用户名、密码认证
防暴力破解
支持基于IP、用户名的防暴力破解,支持暴破锁定的定时解锁或手动解锁
密码安全策略
图形验证码(数字字母组合)、软键盘;
设定密码位数、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置
短信认证
支持结合短信猫、移动/联通/电信短信网关进行用户随机码短信认证
动态令牌认证
支持结合动态令牌认证进行用户身份认证
硬件特征码认证
支持硬件特征码认证;
支持硬件特征码的自动审批;
支持不同用户设置不同硬件特征码个数
USBKey认证
支持有驱、无驱DKey认证
自建CA中心
支持自建CA证书的默认配置,CA证书过期时间配置
第三方CA中心结合
支持与第三方CA中心结合,支持根据第三方CA授权字段进行用户授权
RADIUS结合
支持RADIUS认证;
支持读取RADIUS的手机号码和虚拟IP;
支持映射规则设置;
支持多地址配置
LDAP结合
支持LDAP认证,导入用户/用户组结构;
读取虚拟IP、手机号码、分组权限;
混合认证
支持认证方式的与或组合,至多可设置5种认证方式的捆绑认证
匿名登录
支持匿名用户登录SSLVPN,仅提供SSLVPN加密隧道;
支持匿名用户结合客户端安全检查、角色进行权限配置
客户端安全
客户端登录配置修改权限控制
允许或禁止私有用户客户端配置私人密码、手机号码、用户描述
客户端安全检查
客户端安全检查规则与或组合设置,登录前、登录后组合进行安全策略的检查
零痕迹访问
支持配置用户退出SSLVPN自动清除临时文件、表单信息、Cookie、浏览器历史记录
SSLVPN专线
支持用户接入后自动断开其余互联网链接,避免终端成为黑客进攻内网的跳板
应用权限安全
基于角色的授权
基于角色进行用户/用户组细致到IP、端口、服务、URL级别的授权
主从用户绑定
支持SSLVPN账号与应用系统账号的对应绑定,防止越权访问
服务器安全
支持服务界面资源隐藏;
支持B/S应用服务器地址伪装
速度性测试
多线路
多线路智能选路
多线路智能选路(含单臂下的自动选路)
压缩
流压缩
支持LZO、GZIP压缩对TCP应用、L3VPN应用进行传输优化
B/S应用提速
启用WEB压缩
启用WEB压缩,进行传输
Web优化
启用Web优化技术
WebCache
启用WebCache选择性动态缓存Web页面
无线提速
无线优化技术
启用无线优化技术(自动选择)
资源优化
资源负载均衡
根据不同的权值实现负载接入
易用性测试
平台兼容性
操作系统
支持Windows2000/XP/2003/Vista/Win7、Linux、MacOS
浏览器
支持IE、Firefox、Opera、Safari、GoogleChrome
应用支持性
应用支持
全部支持各种IP层以上的B/S、C/S应用;
支持虚拟IP池设置,可为用户/用户组分配虚拟IP,支持Web、TCP、L3VPN应用以虚拟IP方式访问
Web文件共享
支持纯Web方式的文件服务器发布及操作,无需安装插件
智能递推
支持动态嗅探页面内的链接,真正防止资源漏访
SSLVPN反向连接
支持SSLVPN反向连接,将用户端资源通过SSLVPN发布
域名解析
HOST设置
支持HOST设置,通过SSLVPN进行内网域名解析
内网DNS
支持内网DNS服务器
虚拟门户
支持虚拟门户设置,可为不同过的使用用户配置独立的登录地址、登录方式、登录界面、独立的资源访问
远程应用发布
支持远程应用发布功能,无需安装客户端即可访问服务器的C/S应用,网络中仅传输鼠标键盘屏幕等数据
操作易用性
单点登录功能
B/S、C/S单点登录,可允许用户自行修改SSO登录帐号
快捷登录
支持SSLVPN开机自动登录、桌面快捷方式启动、C/S客户端启动
系统托盘/悬浮窗口
支持系统托盘、悬浮窗口,关闭IE窗口最小化,防止因误关操作导致的SSLVPN中断
即时广播消息
管理员可对在线所有用户/指定用户发布即时消息
自定义的SSLVPN
Portal页面定制
Portal页面定制,可用定制:
企业LOGO,产品名称,版权信息,帮助链接等
页面完全定制
页面完全定制上传
资源图标化显示
支持服务界面资源以图标方式显示,支持图标自定义上传
默认服务页面
支持登录后跳转到默认服务页面
稳定性测试
隧道稳定性
断线自动重连
支持SSLVPN隧道自动监测,并进行断线自动重连
线路稳定性
多线路备份及自动切换
支持线路状态的自动监测并完成故障线路的自动切换,切换过程中保持用户SSLVPN不中断
第2章测试用例
2.1管理性测试
2.1.1用户管理
2.1.1.1本地用户组/用户设置
测试编号:
SSL-1
相关功能编号:
用例标题:
通过控制台新建用户组、用户,支持用户组16级树形结构设置
前置条件:
无
测试步骤:
1.进入控制台:
SSLVPN设置->
用户管理->
新建用户组
2.输入用户组名称及描述,选择所属上级组为根组,设置认证方式为用户名/密码方式,点击确定。
3.新建用户组,输入用户组名称及描述,选择所属上级组为2中设置用户组,设置认证方式为用户名/密码方式,点击确定。
可根据需要建立下级用户组或平级用户组
4.SSLVPN设置->
新建用户,设置用户名、描述、密码、手机号码(可作为短信认证只用),根据需要设置用户认证方式(具体认证设置需要配置选项可参照“安全性测试”中的“用户身份安全”设置),点击确定。
5.完成配置,点击配置生效。
预期结果:
可根据组织架构设置用户组树形分组结构,可成功设置用户
测试结果:
2.1.1.2外部导入用户
2.1.1.2.1通过文件导入用户
通过csv文件批量导入用户
导入->
从文件导入
2.选择【从文件中(*.csv)导入用户】选项,点击下一步
3.点击【下载示例文件】,下载.csv格式示例文件,并按照预设格式设置需要导入的用户信息。
4.选择编辑好的.csv格式文件,勾选【用户所属组不存在时,自动创建】,点击下一步
5.从预览中校对用户信息是否正确,点击完成将用户导入设备
用户导入成功,在用户管理中可见.csv中设置的用户组,用户组下包含导入的用户
测试结果;
2.1.1.2.2通过证书导入用户
通过证书导入用户
预先生成证书
新建用户组,填入用户组名,在认证方式中勾选用户名密码认证、数字证书认证
2.导入->
从文件导入->
从数字证书中导入用户,在【选择文件】中选择需要导入用户的证书文件,输入证书密码
3.选择用户需要导入的目标组
4.勾选【指定用户信息】,填入用户描述、用户密码、手机号码等信息,点击完成进行证书用户的导入
在用户管理中可查看到导入的用户,并与导入的证书进行了绑定;
认证方式中继承上级用户组的用户名密码认证及数字证书认证
2.1.1.2.3通过LDAP导入用户
从LDAP导入用户
已设置了LDAP服务器
1.进入控制台:
从LDAP导入
2.在LDAP认证服务器设置页面,勾选需要导入用户的LDAP服务器,点击【导入用户到本地】
3.点击【选择导入用户】,勾选需要导入用户的OU结构;
在【选择导入到的本地目标组】
4.在【自动导入设置】中,启用自动导入,选择【每隔__分钟自动导入】
5.点击【保持并立即同步】
在用户管理中,查看目标组,可查看到从LDAP导入的用户;
每隔__分钟,自动进行用户的导入,保持用户的更新
2.1.1.3用户/用户组权限管理
用户/用户组权限管理
已设置了用户(用户组)、资源(资源组)
角色授权->
新建角色
2.输入角色名称和描述
3.选择授权用户
4.选择授权策略
5.编辑授权资源列表
6.添加完成后点击保存设置生效
属于该角色的用户、用户组登录成功后,在资源列表中看到关联到该角色相应的资源
2.1.1.4断开用户SSLVPN连接
管理员手动断开用户接入SSLVPN
测试用户已经正常登录SSLVPN
运行状态->
SSLVPN运行状态->
在线用户,查看在线用户状态
2.勾选需要断开连接的用户
3.点击断开连接
显示所有接入用户的用户名、描述、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、所属组;
对测试用户断开连接后,该用户SSLVPN资源页面被重新定位到登录页面
2.1.1.5用户/用户组流量管理
基于用户和用户组的流量管理
已经建立了用户组、用户
策略组管理->
新建策略组
2.设置策略名称、描述,在客户端选项卡中,启用带宽限制,设置发送、接受流速上下限值
3.SSLVPN设置->
编辑相应用户组/用户,在接入策略组中勾选前面设置的策略组
测试用户登录SSLVPN并使用文件下载等大流量资源,可查看SSLVPN运行状态,发送、接收流速,流速受限于策略中设置的流速
2.1.1.6用户/用户组会话限制
基于用户和用户组的会话管理,支持全局会话控制
2.设置策略名称、描述,在客户端选项卡中,启用TCP应用会话限制,设置会话数限值
TCP会话限制设置成功,用户在终端发起过多的会话请求,将收到限制
2.1.1.7用户超时时间
基于用户和用户组配置超时时间
设置了测试用户A、B
2.设置策略名称、描述,在账号控制选项卡中,设置用户超时时间为5分钟
测试用户登录SSLVPN,5分钟内不进行任何操作,SSLVPN自动注销
2.1.2管理员管理
支持管理员16级树形结构建立,进行分级分权限管理;
系统设置->
管理员账号
2.新建管理员组test,填入管理组名字、描述,选择所属管理组为根组;
在【管理权限】面板中,配置test管理组享有所有模块权限,允许创建下级管理组、允许创建角色、允许创建资源;
在【管理内容】面板中,享有所有用户、资源、角色管理权限,点击保存
3.在test组下新建管理组test1,填入管理组名字、描述,选择所属管理组为test;
在【管理权限】面板中,配置test管理组享有SSLVPN设置模块管理权限;
在【管理内容】面板中,享有指定用户、指定资源、指定角色管理权限,点击保存
4.根据需要新建参照上述方法设置多级管理员组
5.新建管理员Admintest,填入管理员名称、描述、密码,配置【管理员类型】为管理员;
所属管理组选择test,点击保存
6.新建管理员Admintest1,填入管理员名称、描述、密码,配置【管理员类型】为访客;
所属管理组选择test1,点击保存
7.根据需要参照上述方法设置管理员
以管理员Admintest的账号登陆SSLVPN控制台,Admintest享有所有模块、用户、资源、角色的配置权限,可在其管理权限范围内建立用户、资源、角色;
以管理员Admintest1的账号登陆SSLVPN控制台,在左边管理目录树中仅可见SSLVPN设置模块,其余配置不可见,点击进入配置页面仅可查看不可编辑,在用户管理、资源管理、角色授权中,仅可见测试步骤中设置的用户、资源、角色,其余不可见。
2.1.3日志管理
2.1.3.1设备运行日志
查看设备服务日志和管理日志
进入控制台->
系统维护->
日志查看
1.日志类型选择管理日志,需要查看的日期
2.日志类型选择服务日志,需要查看的日期
1.在管理日志中可以查看到管理员登陆的记录
2.在服务日志中可以查看到设备的信息、错误、告警、调试日志
2.1.3.2配置备份及恢复
整体设置、SSLVPN配置的备份及恢复
1.进入控制台->
配置备份/恢复->
全局配置备份,点击【下载当前配置】,将设备整体配置下载到本地主机。
2.在【配置还原】中,选择已经下载的配置文件,点击【开始还原】,可进行整机设备配置的还原
3.系统维护->
SSLVPN配置备份,点击【下载当前配置】,将SSLVPN配置部分下载到本机。
4.在【配置还原】中,选择已经下载的配置文件,点击【开始还原】,可进行SSLVPN设置部分的还原
5.在【自动备份配置】中,可查看到近7天内的系统配置备份,可点击还原到指定配置
可进行整体设备配置的备份及恢复;
可进行SSLVPN配置的单独备份及恢复,设备可进行自动的配置备份,可回滚到近7天内指定配置。
2.1.3.3独立日志中心
支持第三方独立的数据中心记录详细的用户接入日志、资源访问日志、安全日志、管理员日志、流量日志等各种日志,支持记录的查看、搜索和日志的导出
正确配置好数据中心,并在SSLVPN设备控制台->
系统配置->
外置数据中心中,设置好外置数据中心服务器与SSL设备进行同步
登陆数据中心->
选择相应的节点
1.支持用户日志、管理员日志、系统日志、告警日志的按条件查询和日志搜索结果的报表导出
2.支持用户活跃程度、主从用户名非法访问、暴破登录、资源活跃程度、无效资源、流量统计、流速趋势的按条件查询和日志搜索结果的报表导出
完整的支持多种日志的查询和导出,方便管理员清晰的了解内网资源的使用情况
2.2安全性测试
2.2.1用户身份安全
2.2.1.1用户名/密码认证
用户名/密码认证
1.进入控制台,SSLVPN设置->
新建用户
2.填入用户名、密码,在【认证选项】中的【主要认证】方式中,选择用户名/密码认证,点击保存生成测试用户
3.SSLVPN设置->
资源管理,新建资源(根据测试资源类型选择Web应用、TCP应用、L3VPN应用、远程应用),填入名称、类型、地址等资源设置,点击保存生成资源(根据需要设置Host、内网域名解析、终端服务器等设置)
角色授权,新建角色,填入角色名,选择关联用户为测试用户,编辑授权资源列表,选择测试资源,点击保存
5.配置生效
打开SSLVPN登录界面,输入测试用户的用户名及密码,点击登录,可成功通过认证登录到资源列表界面,界面显示为授权资源
2.2.1.2防暴力破解
支持基于用户的暴力破解锁定,设置自动解锁时间或手动进行解锁;
支持基于IP的暴力破解锁定,设置锁定时间,并可配置自动启用图形校验码功能
设置测试用户
认证设置->
密码认证选项设置
2.设置同名用户登录连续出错3次后锁定用户120秒
3.设置同IP用户登录连续出错5次后,启用图形校验码认证,并在120秒后恢复正常状态
4.点击确定生效配置
1.用户A登录SSLVPN,密码连续输错3次后,页面显示账户已被锁定的出错提示,该用户两分钟后自动解锁后才能再次登录;
在封锁时间中,在运行状态->
在线用户->
锁定用户查看中,可查看到锁定的用户,点击解锁,被锁定的用户立即解锁可再次进行SSLVPN身份验证
2.采用用户A、B账号轮流在同一台主机上登录SSLVPN,用户名密码连续输错5次后,再次打开SSLVPN登录界面,除了用户名密码认证之外启用了图形校验码认证,需通过用户名密码认证和图形校验码认证才可登录SSLVPN
2.2.1.3密码安全策略
图形验证码(数字字母组合)、软键盘
已设置测试用户
密码认证选项
2.选择【启用软键盘】,勾选【字母键随机变化】、【数字键随机变化】
3.选择【启用图形校验码】
4.点击保存配置生效
1.用户登录SSLVPN,在登录界面上显示图形验证码。
点击密码输入框右侧的键盘图标,弹出软键盘,使用软键盘按照图形校验码输入验证码及用户名密码,点击登录可成功登陆SSLVPN
2.用户再次打开SSLVPN,点击软键盘,软键盘的字母键及数字键排序较上一次变动
设定密码最小长度、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置
新建测试用户
本地密码认证设置,启用密码安全策略
2.在设定密码位数、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置选项中进行相应设置
1.测试用户首次登录SSLVPN,页面提示修改密码,并根据密码安全设置里设置的条目进行密码要求
2.定时提醒用户修改密码
2.2.1.4硬件特征码认证
已设置测试用户认证方式为用户名密码认证,关联了相应资源
硬件特征码
2.选择【启用硬件特征码认证】,根据需要自定义硬件特征码提示信息3.SSLVPN设置->
策略组管理,新建策略组,在【客户端选项】中设置每个用户可拥有1对硬件特征码,点击保存
用户管理,编辑测试用户,在【辅助认证】中选择硬件特征码认证,在【接入策略组】中选择2中设置的策略,点击保存
4.配置生效
1.测试用户登录SSLVPN,通过密码认证后,页面提示用户提交硬件特征码,点击【提交硬件特征码】。
2.管理员登陆控制台,在SSLVPN设置->
特征码审批中,筛选【未审批】,可查看到测试用户及其提交的硬件特征码。
选择该条记录,点击【批准】,该记录状态转变为已审批
3.测试用户同一台终端主机再次登录SSLVPN,在通过用户名密码之后可直接登录到SSLVPN资源服务界面
4.测试用户使用另一台主机登录SSLVPN,硬件特征码认证失败,拒绝登陆
硬件特征码自动审批
已完成硬件特征码相应配置,并设置测试用户使用用户名密码硬件特征码方式验证
1.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL VPN测试方案 VPN 测试 方案