网络准入控制系统软件上线运行测试报告Word文档下载推荐.docx
- 文档编号:14678695
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:23
- 大小:25.12KB
网络准入控制系统软件上线运行测试报告Word文档下载推荐.docx
《网络准入控制系统软件上线运行测试报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《网络准入控制系统软件上线运行测试报告Word文档下载推荐.docx(23页珍藏版)》请在冰豆网上搜索。
备注
1
6、8
深度完善,适合用户需求
/2007-4-16
注:
对本文档内容增加、删除或修改均需填写此变更记录,详细记载变更信息,以保证其可追溯性。
1.引言
1.1系统概述
用户网络准入控制系统使用802.1x协议从交换机端口对认证客户端进行入网控制,并通过对终端主机的安全检查策略,进行计算机安全健康状况检查,确保入网计算机的安全性和可控性,系统建设主要目标如下:
1、实时认证:
终端计算机每登陆一次网络,均需要经过交换机、radius服务器的认证。
2、精确控制:
精确实现对终端计算机的认证控制,任何未经认证的计算机无法进入工作区网络。
3、强制安装:
确保网络中每台计算机强制安装安全客户端程序进行安全管理,包括对当前已注册客户端认为或其他情况(如重新安装操作系统)导致客户端的非正常卸载,对漏安装或未来新增计算机的客户端注册情况提供了保障,也可保证注册率。
4、授权入网:
可对非注册客户端进行入网控制,防止非授权计算机入网。
5、系统加固:
对当前客户端系统进行加固,主要为补丁,杀毒软件及用户名密码权限功能。
1.2文档概述
本文档主要用于记录测试系统时所用到的测试方法、测试时间、测试数据、测试结果和测试人,详细记录了系统在测试中所产生的各类错误;
最后通过对测试结果系统、全面的分析对所测试的软件进行评估,以便在今后的工作中对该系统进行改进。
2.引用文档
《网络准入系统白皮书》
《网络准入控制系统实施方案》
《统使用手册》
3.相关定义
802.1x协议认证:
IEEE为了解决基于端口的接入控制(Port-BasedAccessControl)而定义的一个标准。
802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略;
802.1X是基于端口的认证策略;
802.1X的认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;
如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。
802.1X认证体系结构:
SupplicantSystem——客户端(PC主机/网络设备等)、AuthenticatorSystem——认证系统(主要是交换机)、AuthenticationServerSystem——认证服务器(radius服务器)。
管理器标识:
是指管理器的标记,当服务器迁移时需要设置与之相同的管理器标识,客户端只与有该标识的管理器进行相应数据交换等工作。
信任:
系统管理员通过整体策略进行“信任”操作,也可通过单击选择此项进行设备信任操作,被信任机器无论是否注册,未阻断操作对信任的计算机为无效状态。
保护:
系统管理员通过“保护”操作对客户端机器进行设置,将交换机、路由器等不需要注册IP地址单独划分出来,并对MAC以及IP地址不进行绑定;
建议将重要的服务器和其它网络相关设备不进行注册,并设置为保护状态,用来保证其运行的稳定性。
阻断:
系统管理员在应用整体“阻断”策略操作外,可对其中任意一台客户端机器通过此项操作进行单独内部网络阻断。
(该网段需有已注册且工作正常的客户端)
机构代码:
标志机构代码编号的数字,用于多级级联构架网络中上级和各下级之间的机构编号。
自定义组:
为进行任务规则应用、任务执行而设置的网络客户端编组,可自行组合,适用不同管理策略。
数据重整:
类似于刷新功能,提供对数据库中数据的重新整理,每隔一段时间对系统数据库进行重整。
4.测试环境
环境一:
硬件环境
系统名称
数量
说明
USC-NAC服务器:
即策略服务器(VRVEDP-SERVER),配置如下,PentiumⅢ800以上CPU,1G以上内存,硬盘80G,10/100BaseTX网络接口。
Windows2000/2003server(ServicePack4.0)操作系统、IE6.0、SQLserver2000或2005。
1台
管理客户端Agent支持:
Windows95、Windows98、WindowsMe、Windows2000Professional、Windows2000Server、Windows2000AdvanceServer、WindowsXP、WindowsXPServer、WindowsVista等。
RADIUS服务器:
(IntelPentium4,内存RAM3G以上,硬盘80G以上,DVD光驱)
2台
分别作为主从RADIUS服务器,一台安装IASRadius服务用于主Radius验证服务器,一台同时安装IASRadius服务用于Radius验证备用服务器(硬盘200G以上)。
重定向服务器:
(IntelPentium4,内存RAM2G以上,硬盘40G以上)
安装Cc客户端下载程序及重定向服务程序,部署在访客区域实施重定向下载服务,并配置DHCP服务功能。
网络接入设备,需要支持802.1x认证和GuestVLAN划分
3-4台
CEMS使用的华3交换机。
HUB集线器
若干
基于MAC的认证测试.
环境二:
网络环境
对所有交换机增加一个VLAN指定为GUESTVLAN,并在所有端口上开启802.1x认证,更改端口认证方式为PORDBASD(基于端口的方式用于GUESTVLAN的跳转)指定该VLAN作为GUESTVLAN(访客VLAN)。
对于集联HUB的端口则使用基于MAC的认证方式(默认为基于MAC的认证方式,否则接入HUB的客户端有一台认证通过该端口将放开其他接入该HUB的客户端),802.1x认证交换机基本配置见附录二。
服务器位置:
确保交换机同Radius服务器的通讯正常(UDP1812),Cc内网管理系统服务器所处逻辑位置须能PING通所有通过802.1x认证的客户端计算机,Radius服务器须能PING通所有交换机的管理IP。
AUTOGATE服务器所连接交换机端口应划分到GUESTVLAN内。
5.测试概要
测试内容
进度安排
测试目的
执行情况
基本功能测试(01)
功能内容,功能检验,功能冗余、遗漏功能
主要是验证功能是否符合需求,包括原定功能的检验、是否有冗余功能、遗漏功能
兼容性测试(02)
同环境和主机系统的兼容性
验证在各种环境是否稳定
安全性测试(03)
未授权用户对系统进行攻击或恶意破坏
系统在受到攻击和破坏时仍能保证数据的安全
性能测试(04)
系统各方面的性能
对系统进行压力测试
测试人员:
请测试人员填写。
6.测试内容
测试前,请阅读《Cc内网安全管理及补丁分发系统使用手册》。
6.1基本功能测试
测试终端接入环境描述:
测试功能项
测试步骤
预期结果
测试结果
802.1接入认证
交换机802.1X端口认证启用
配置交换机,对计算机所连接的端口进行802.1X启用端口配置,手动配置计算机IP地址,在计算机上安装注册客户端。
认证通过,计算机自动转入工作网络。
VLAN认证自动跳转
将未注册计算机连接到已开启802.1X的交换机端口,计算机将进入GUESTVLAN。
然后打开IE输入任意域名(如WWW.BAIDU.COM)来访问重定向注册页面,注册客户端。
客户端未注册前将进入GUESTVLAN,注册完成后自动通过认证进入正常工作区VLAN。
(注册将提示为“缺省注册成功”)
DHCP环境认证
在GUESTVLAN中架设DHCP服务器,使用DHCP方式获得IP地址的计算机在未安装客户端之前将获得该VLAN内DHCP服务器分配的IP地址,然后使用IE浏览任意域名如等将被重定向至注册页面进行注册。
客户端将在GUESTVLAN获得IP地址(当前GUESTVLAN内获得为100.100.0.0网段IP地址),注册完成并通过认证后将获得内网IP地址。
单用户名密码认证
将802.1X认证策略中的密码认证方式选择为单用户密码认证,然后观察客户端在重新启动计算机后是否自动进行认证。
可自动完成认证,右下脚托盘图表为绿色并提示认证用户名。
安检失败处理等是否正常
在管理平台中进入接入管理-补丁与杀毒软件安全策略,勾选杀毒软件检测,以及限制网络访问选项;
未运行杀毒软件执行的URL地址正确填写(当前为http:
//)。
限制网络后允许访问的地址任意填写(当前为)。
如未安装或运行杀毒软件,将给出提示,并弹出的IE框及限制访问允许IP地址以为的其他地址。
VPN接入管理
客户端能否正常注册
将802.1X认证策略中的密码认证方式选择为多用户密码认证,然后观察客户端在重新启动计算机后是否自动弹出认证窗口,弹出后输入指定认证帐户名及密码。
完成认证后,右下脚托盘图表为绿色并提示认证用户名。
客户端-服务器通讯状况
将未注册计算机连接到已开启802.1x的交换机端口,计算机将进入GUESTVLAN。
然后打开IE输入任意域名来访问从定向注册页面,注册客户端。
(注册将提示为“缺省注册成功”。
)
4种安全策略能否正常运行
//限制网络后允许访问的地址任意填写(当前)。
违规外联监控
拨号、ADSL、双网卡、无线、代理等方式支持种类
对下发违规外联策略的客户端使用以上几种方式进行外联测试即可。
客户端将正确根据策略中制定的处理方式进行处理。
非法连接互联网检测报警处置方式(同时连接内外网、仅在外网)
在违规外联策略中制定:
1.采用外网探测方法:
外网地址1和2分别填写域名如等。
外网特征字串填写中文关键词如XX等。
2.IE代理检测及禁用全部勾选
3.内外网同时连接和只连接外网处理由管理员选择处理方式及填写提示信息。
正确对同时连接和只连接外网的用户给予相应提示和处理。
用户密码策略
用户系统弱口令检测
新建用户,设置密码为空。
如用户不及时按要求更改,每次电脑开机时,接受到提示信息。
检测内容准确。
口令复杂性设置
设置用户密码复杂性,必须在8位以上,设置后,更改用户密码,如不能满足要求,不能更改密码。
如密码复杂性不能达到系统要求,更改密码时会接收到提示。
帐户锁定设置
设置帐户锁定阀值为3次。
设置帐户锁定时间为2分钟。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 准入 控制系统 软件 上线 运行 测试报告