上网行为管理测试方案.docx
- 文档编号:23254440
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:65
- 大小:46.29KB
上网行为管理测试方案.docx
《上网行为管理测试方案.docx》由会员分享,可在线阅读,更多相关《上网行为管理测试方案.docx(65页珍藏版)》请在冰豆网上搜索。
上网行为管理测试方案
上网行为管理测试方案
第1章功能测试汇总
测试项目
测试分项
测试结果
备注
部署模式
旁路部署
满足不满足
多路桥接
满足不满足
用户认证与管理
三层网络环境中无插件实现IP-MAC绑定
满足不满足
USB-Key认证
满足不满足
无需客户端软件的AD单点登录
满足不满足
指定IP段用户必须使用单点登录
满足不满足
未创建账号用户的认证
满足不满足
认证未通过用户的处理
满足不满足
从AD服务器读取用户组织结构
满足不满足
用户组织结构与AD的自动同步
满足不满足
冻结用户及管理
满足不满足
管理员分级管理
满足不满足
终端识别
终端操作系统补丁识别
满足不满足
对注册表键值的识别
满足不满足
对硬盘文件的检查和识别
满足不满足
识别终端的进程
满足不满足
多条规则关系或/与
满足不满足
应用控制
SSL加密网址的识别与封堵
满足不满足
非80端口网页访问行为的识别
满足不满足
搜索引擎输入关键字的过滤
满足不满足
网页智能学习与分类
满足不满足
基于特征的外发文件识别和告警
满足不满足
URL地址的动作过滤
满足不满足
网页正文关键字识别和过滤
满足不满足
禁止QQ传文件、封堵QQ登录和记录QQ聊天内容
满足不满足
识别和控制移动飞信的使用
满足不满足
Skype的封堵及聊天内容监控
满足不满足
不常见P2P软件的识别和封堵
满足不满足
语音视频识别
满足不满足
目标域名免控制
满足不满足
新浪视频的识别与封堵
满足不满足
上网策略管理
上网时长控制
满足不满足
子组支持继承父组的上网策略
满足不满足
子组从父组强制继承的上网策略将不能修改、删除、绕过
满足不满足
流量管理
基于应用类型的流控
满足不满足
基于文件类型的流控
满足不满足
基于网站类型的流控
满足不满足
Wan->lan的流控
满足不满足
以公网IP为用户的带宽划分与分配
满足不满足
邮件过滤与审计
根据发件人地址进行邮件过滤
满足不满足
仅允许指定后缀的邮件地址发送邮件
满足不满足
过滤含有指定关键字的邮件
满足不满足
过滤含有指定类型附件的邮件
满足不满足
根据收件人地址对邮件进行延迟审计
满足不满足
根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计
满足不满足
应用审计与报表
管理员分级审计用户日志
满足不满足
记录被访问网页的网页标题
满足不满足
记录含有指定关键字的网页内容
满足不满足
非TCP21端口行为的识别和记录
满足不满足
QQ聊天内容记录
满足不满足
Skype聊天内容记录
满足不满足
MSNShell聊天内容记录
满足不满足
时间审计
满足不满足
Webmail附件的记录和审计
满足不满足
WAN->LAN行为审计
满足不满足
数据中心认证key测试
满足不满足
内容检索功能测试
满足不满足
主题订阅功能测试
满足不满足
基于硬件方式的免审计功能
满足不满足
对比报表功能测试
满足不满足
将报表、统计等自定义成链接测试
满足不满足
网络可靠、可用的保障能力
防火墙功能
满足不满足
ARP欺骗防护功能
满足不满足
防DOS攻击功能
满足不满足
第2章
功能测试用例
2.1部署模式
被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式,才能够更加完善的满足客户复杂的网络环境。
2.1.1旁路模式
测试编号
测试时间
测试项目
部署模式
测试人员
测试分项
旁路部署
测试目的
部分组织结构网络环境复杂,或者新设备的部署并不想对现有网络做任何更改,因为网络的更改必然存在发生故障的风险,同时在网络中串接设备不仅影响网络还可能因为设备的宕机而中断整个网络。
在这种情况下,旁路部署方式为用户提供了理想的解决方案:
既不对网络结构做任何改动,又能实现全面的行为审计记录和部分控制功能。
测试方法
1、搭建网络环境,设备以旁路模式部署;
2、配置设备开启审计功能;
3、内网用户访问外网资源,如访问,在设备上查看访问日志;
4、配置设备URL过滤,禁止访问;
5、内网用户访问,查看是否能够正常访问。
预期结果
被测设备支持旁路模式部署,并且能够实现全面的行为记录和部分控制功能
测试结果
用户访问XX网站的行为被设备全面记录,记录内容包括URL地址、网页标题、网页内容£满足£不满足
用户不能访问被过滤的网站£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.1.2多路桥接
测试编号
测试时间
测试项目
部署模式
测试人员
测试分项
多路桥接
测试目的
网络已经在组织的日常运作中扮演着越来越重要的角色,因此部分组织内部网络往往采用双防火墙、双交换机、VRRP、HSRP等双机、双线路冗余部署,从而避免单机、单线路可能成的网络可靠性下降的问题。
对于此类双机、双线路网络环境下部署上网行为管理设备显然需要能够至少支持网桥模式下的“双进双出”功能,从在双链路上实现上网行为的全面管控。
测试方法
1、搭建网络环境,设备的LAN1、WAN1接口分别连接PC1、PC2;LAN2、WAN2接口则分别连接PC3、PC4
2、配置设备开启多路桥接功能;
3、用PC1pingPC2;
4、用PC3pingPC4;
预期结果
PC1pingPC2成功;PC3pingPC4成功。
测试结果
PC1pingPC2成功£满足£不满足
PC3pingPC4成功£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.2用户识别测试
上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成,所以对用户的身份识别是进一步管理的就基础。
对用户身份的识别必须支持多种方式,以便于组织机构灵活采用和部署实施。
2.2.1三层IP/MAC绑定
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
三层IP/MAC绑定
测试目的
传统的IP/MAC绑定是指二层网络环境下的绑定,但大型组织往往是三层网络环境,此时二层IP/MAC绑定无法有效的满足高端客户的需求。
而IP/MAC绑定又是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网络管理、用户识别和认证。
测试方法
1、设备以网关模式部署,内网口连接三层设备,三层设备下接用户A;
2、在设备上创建用户帐号,并启用IP/MAC绑定,填写三层设备下A用户的IP和其对应的MAC地址;
3、配置设备以确保A用户访问外网资源,且访问成功;
4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功
5、用户B使用另一台终端设备下接于三层设备,设置B的IP为A的IP;
5、用户B访问外网资源,测试访问结果是否成功。
预期结果
在高端客户的三层网络环境中也能够实现终端设备的IP/MAC绑定功能,方便设备的实际部署和对接入用户的身份识别
测试结果
A用户在更改IP后不能访问Internet£满足£不满足
B用户使用A用户的IP地址访问Internet不成功£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.2.2USB-Key认证
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
USB-Key认证
测试目的
为了防范高层领导、高访问权限用户的帐号被恶意用户窃取和破解,有必要采用类似网上银行的USB-Key硬件身份认证方式以提供更安全的保护手段,USB-Key内包含了用户的相关身份认证信息,高层领导、高访问权限的用户可以方便的实现即插即用的身份认证
测试方法
1、设备上创建用户,启用USB-Key认证方式,并输入相关密码等身份认证信息写入USB-Key;
2、内网用户不使用USB-Key直接访问外网,失败;
3、内网用户使用USB-Key访问外网资源,成功;
4、内网用户再插入USB-Key后多次输入错误的PIN码,模仿暴力破解过程,验证该USB-Key是否因多次密码错而自动锁定;
预期结果
用户采用USB-Key身份认证方式确保身份的唯一性和防猜解性,同时暴力猜解USB-Key的PIN码将导致该USB-Key锁定。
测试结果
不使用USB-Key访问外网失败£满足£不满足
使用USB-Key通过认证后访问外网成功£满足£不满足
多次暴力猜解USB-Key的PIN码导致该Key锁定£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.2.3AD单点登录
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
无需客户端软件的AD单点登录
测试目的
大型组织机构内网往往采用了AD域控体系实现集中认证、集中授权,内网员工通常需要以域帐号登录操作系统、访问内网不同的业务系统等。
在部署了上网行为管理设备后,如果能够实现员工通过域帐号登录操作系统后自动通过上网行为管理设备的认证,将极大的方便员工使用。
但是如果在实现AD单点登录时如果需要终端用户安装客户端软件,那么该客户端软件的分发、安装、更新、维护等必将给IT部门带来极大工作负担。
所以本次事项测试被测设备是否无需客户端软件即可实现AD单点登录功能。
测试方法
配置设备AD服务器的相关设置
配置设备上AD单点登录的相关设置
用户操作系统无需安装任何AD单点登录客户端软件
用户采用域帐号登录操作系统,再访问互联网,测试是否需要上网行为管理设备的认证
测试是否能够成功访问互联网
预期结果
用户在使用域帐号登录操作系统后即可直接访问互联网,无需再次通过上网行为管理设备的认证。
测试结果
用户操作系统无需安装任何客户端软件£满足£不满足
用户采用域帐号登录操作系统后无需再通过上网行为管理设备认证
£满足£不满足
用户成功访问互联网£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.2.4域帐号登录
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
强制用户必须使用域帐号登录操作系统
测试目的
大型组织单位构建的AD认证体系如何确保得到良好的运用?
如何确保内网用户都能够使用域帐号登录操作系统?
通过上网行为管理网关限制不采用域帐号登录操作系统的用户访问互联网,将帮助组织在内网推行域帐号登录操作系统的IT政策。
测试方法
配置设备AD服务器的相关设置
配置设备,要求用户必须使用域帐号登录操作系统,否则不允许访问互联网
用户不使用域帐号登录操作系统,并尝试访问互联网
预期结果
用户在没有使用域帐号登录操作系统时,访问互联网失败。
测试结果
用户不使用域帐号登录操作系统,访问互联网失败
£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.2.5指定IP段用户必须使用单点登录
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
指定IP段用户必须使用单点登录
测试目的
大型组织内网部署的AD域控体系与即将部署的上网行为管理网关完善融合将极大的方便上网行为管理方案的部署。
其中对于内网不同VLAN、不同网段、不同部门的用户启用不同的认证方式,如强制员工网段必须使用单点登录否则不允许访问互联网将强化AD域控体系在组织内网的应用。
测试方法
配置设备AD服务器的相关设置
配置设备,要求来自员工网段的用户必须使用单点登录
用户A在非员工网段不通过域帐号登录操作系统,再访问互联网测试是否成功
用户B在员工网段不通过域帐号登录操作系统,再访问互联网测试是否成功
用户C在员工网段通过域帐号登录操作系统,再访问互联网测试是否成功
预期结果
用户在强制要求必须使用单点登录的网段如果不用域帐号登录操作系统将无法访问互联网。
测试结果
用户A访问互联网成功£满足£不满足
用户B访问互联网失败£满足£不满足
用户C访问互联网成功£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.6AD域认证及其单点登录
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
AD域认证及其单点登录
测试目的
越来越多的组织机构出于安全性、方便性考虑,要求内网用户需要先登录AD域之后才能上网,同时基于AD域的单点登录功能可减少内网用户输入帐号密码的次数;AD域单点登录必须通过数据包监听方式实现,而非通过向AD服务器安装插件方式实现,避免插件对AD服务器稳定性的潜在影响。
测试方法
1、配置Ldap的服务器IP、端口等信息;
2、创建用户,启用Ldap认证方式,
3、用户A访问外网,在弹出的认证框中输入A用户的域帐号和密码,验证是否可以成功访问外网;
4.不采用向AD服务器装插件的方式配置启用Ldap单点登录功能;
5、用户A重启电脑,在登录windows时通过域帐号登录操作系统,再访问外网,测试是否无需二次输入帐号即可访问外网。
预期效果
被测设备实现与AD域控服务器的结合,完成接入用户身份认证;并且通过无插件方式支持AD单点登录功能
测试结果
用户通过在认证框中输入AD上的帐号密码,通过认证,正常访问Internet£满足£不满足
通过无插件方式启用AD单点登录功能£满足£不满足
通过AD单点登录,无需二次输入帐号密码即可访问Internet
£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.7未创建账号用户的认证
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
未创建账号用户的认证
测试目的
组织单位往往会有第三方合作伙伴、新员工等未及时创建帐号的用户接入网络,这就需要被测设备能够自动添加未创建帐号的用户信息,并且同时能够将新用户自动分组、自动授权、实现方便性和可控性的统一。
测试方法
1、设备具有未创建账号的处理方式,并且此功能可选;
2、未创建帐号的用户至少具有两种以上的处理方式,如以IP为新账号并绑定IP地址和MAC地址、以计算机名为新账号并绑定IP地址和MAC地址或者到第三方服务器上认证身份;
3、配置设备将未创建账户的用户自动以IP地址作为新用户名,同时绑定IP-MAC;
4、配置设备将未创建账号的用户自动添加到设备后可以分配到指定的用户组,从而继承相应的上网权限:
禁止访问
5、内网用户A使用终端电脑访问互联网,访问是否成功;
6、内网用户A访问www.baidu.cim是否成功;
7、内网新用户B修改自己IP为A的IP,访问外网资源测试是否成功
预期结果
被测设备能够以IP地址、计算机名等作为未创建用户的新帐号名,同时绑定IP、MAC等,同时自动分配到指定用户组,继承相应的权限。
测试结果
被测设备支持对未创建帐号用户的处理£满足£不满足
设备支持以IP地址作为新用户名自动添加帐号£满足£不满足
用户A支持自动创建帐号且支持同时绑定IP、MAC等信息
£满足£不满足
用户A自动创建的帐号享有指定的网络访问权限£满足£不满足
用户B通过更改IP地址方式不呢个冒充A的身份£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.8未通过用户的处理
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
认证未通过用户的处理
测试目的
认证未通过的原因有很多,如内网用户忘记账户密码、USB-Key用户丢失硬件Key等,如何为未认证通过的用户分配有限的互联网访问权限以实现人性化的管理成为各级组织单位需要考虑的问题之一。
测试方法
1、设备具有未通过认证的用户处理方式,并且此功能可选;
2、未通过认证的用户可以提供一定的上网权限,此权限不包括Http服务;
3、创建用户,启用身份认证,用户认证失败,是否可以使用Email邮件,是否可以访问等网页服务;
预期结果
被测设备应该支持对认证未通过用户的权限控制功能,实现人性化和方便性的上网行为管理。
测试结果
被测设备具有未认证通过用户的权限控制策略£满足£不满足
能够为未认证通过用户分配指定的网络访问权限(不包括HTTP权限)
£满足£不满足
内网用户在认证失败后可以收发Email,但不能访问等网站£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.9从AD服务器读取用户组织结构
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
从AD服务器读取用户组织结构
测试目的
大型组织机构已经部署的AD域控服务器上往往为内网不同用户划分了用户分组、访问权限等。
即将部署的上网行为管理设备如果能够读取该AD服务器上的用户分组结构将极大的方便部署。
测试方法
1、配置设备上AD服务器相关的设置;
2、配置设备按照OU读取AD服务器上的用户分组结构;
3、配置设备按照安全组(Group)读取AD服务器上的用户分组结构;
预期结果
被测设备应该能够分别按照OU、安全组完整读取AD域控服务器上的用户分组结构。
测试结果
被测设备能够按照OU读取AD上的用户分组结构£满足£不满足
被测设备能够按照安全组读取AD上的用户分组结构£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.10用户组织结构与AD的自动同步
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
用户组织结构与AD的自动同步
测试目的
大型组织机构已经部署的AD域控服务器上往往为内网不同用户划分了用户分组、访问权限等,并且内网员工的加入、离职、更换部门等都会在AD上的组织结构中得以体现。
如果被测的上网行为管理设备也能够自动保持与AD上的组织结构同步,将极大的方便IT管理者,同时确保客户内网组织结构的一致性。
测试方法
1、配置设备上AD服务器相关的设置;
2、将AD服务器上的用户A从原来的用户组B迁移到用户组C中;
3、手工触发被测设备的AD同步功能,并观察此时被测设备上的用户A是否属于用户组C;
4、将AD服务器上的用户D从用户组E删除;
5、手工触发被测设备的AD同步功能,并观察此时被测设备上用户D是否还在用户组E内存在。
预期结果
被测设备应该能够手动、自动同步AD域控服务器上的用户所属分组、用户组织结构等。
测试结果
被测设备上用户A属于用户组C£满足£不满足
被测设备上用户组E内已经没有用户D了£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.11冻结用户管理
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
冻结用户管理
测试目的
为了规范内网用户的互联网访问行为,被测的上网行为管理设备不仅能够预先给不同用户分配上网权限和策略,同时对于IT管理者实时发现的存在异常网络行为的用户应该能够进行手工干预,包括在指定时间段内阻断该用户的网络连接,并能够在超时后自动回复该用户的网络访问权限,达到冻结用户与自动解冻,从而强化IT管理者对用户上网行为的管理。
测试方法
1、在设备上配置接入用户的帐号、密码等信息;
2、通过设备可以查看得到当前在线用户名单等信息;
3、选中指定的用户A实施冻结三分钟,验证该用户A是否能访问互联网;
4、三分钟后用户A再次尝试访问互联网;
预期结果
被测设备应该支持将指定用户临时冻结,并在超时后自动为给用户解冻,恢复其互联网访问权限。
测试结果
实施冻结后,用户A不能访问互联网£满足£不满足
超时后用户A自动具有互联网访问权限£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.2.12管理员分级管理
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
管理员分级管理
测试目的
对于存在多个部门的大中型组织机构,由于不同部门差异化的互联网访问权限,如果为不同部门分配不同的设备管理员,不仅简化了IT部门的工作,同时让各部门、各用户的访问权限管理更灵活。
但必须避免A部门的管理员却能够对B部门的上网权限、用户组织结构进行编辑、修改等。
测试方法
1、在设备上配置配置不同管理员,其中管理员A1可以编辑用户组A的权限、成员等;管理员A2只能够查看用户组A的权限、成员等。
2、通过管理员A1账户登录被测设备,验证是否能够对用户组A的上网权限、组成员进行编辑和调整;
3、通过管理员A2账户登录被测设备,验证是否能够对用户组A的上网权限、组成员进行编辑和调整;;
预期结果
不同权限管理员登录被测设备后只具有授权的权限,包括针对不同用户组的Read-Only权限、和Read-Write权限。
测试结果
管理员A1可以修改用户组A的配置£满足£不满足
管理员A2不能修改用户组A的配置£满足£不满足
测试结论
所测试产品是否满足该项功能要求£满足£不满足
2.3终端识别测试
内网用户终端的安全风险和安全漏洞将直接导致内部网络安全级别的降低;使用版本陈旧的操作系统、不及时安装操作系统补丁、不安装杀毒/防火墙等信息技术部要求的软件,反而安装禁止的软件工具等,只有通过技术手段实现对此类终端设备的精准识别才能有效保障内部网络的可靠、可用,同时有利于信息技术部统一IT政策的实施。
2.3.1终端操作系统补丁识别
测试编号
测试时间
测试项目
终端识别
测试人员
测试分项
终端操作系统补丁识别
测试目的
内网终端如果没有及时更新操作系统补丁而接入互联网,则极易感染病毒、木马等威胁,进而传染给内网更多终端设备,影响
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上网 行为 管理 测试 方案