上网行为管理产品测试方案.doc
- 文档编号:232748
- 上传时间:2022-10-07
- 格式:DOC
- 页数:45
- 大小:669KB
上网行为管理产品测试方案.doc
《上网行为管理产品测试方案.doc》由会员分享,可在线阅读,更多相关《上网行为管理产品测试方案.doc(45页珍藏版)》请在冰豆网上搜索。
密级:
文档编号:
海源学院xx上网行为管理设备测试方案
海源xx学院
2008年12月
目录
一、 前言 3
1、用户简介 3
2、需求分析 3
二、测试方法简介 4
1、测试目标 4
2、测试环境要求 4
2.1硬件要求 4
2.2软件要求 4
2.3网络配置 4
三、测试汇总 5
四、详细功能测试 7
1. 部署模式 7
2. 用户识别测试 8
3. 终端识别测试 15
4. 应用识别测试 18
5. 上网策略管理 23
6. 流量管理功能测试 23
7. 邮件过滤与审计 25
8. 行为记录与审计 29
9. 网络可靠性、可用性保障能力 34
五、测试结论 36
一、前言
1、用户简介
随着信息技术,特别是网络技术的进步和发展,不管是在家还是在单位都能够方便的连接互联网进行访问,而单位员工在内部发生的各种互联网访问行为,对公司的内部信息安全、工作效率、法律风险等等的影响正在逐步显现,这一点逐渐引起了高层领导和网络信息中心的关注,而且公安部82号令、公安部33号令等的相关法律法规,也要求各我单位对内网用户的互联网访问行为进行管控和记录。
我单位内网现有1000多用户,对于众多用户的上网行为管控和审计要求越来越迫切,本文档即对上网行为管理设备进行全面、公正的测试。
2、需求分析
为了更好的使用互联网资源为组织单位产生更多的价值和效益,必须能够对内网用户的互联网访问行为进行有效的管理、引导和规范。
由于上网行为是由用户使用终端设备访问互联网各种资源所形成,所以必须要能够精准的识别用户身份、识别终端设备、识别互联网应用,进而提供包括封堵、流控、审计在内的多种管理措施,全面的管理用户的上网行为。
二、测试方法简介
1、测试目标
通过此次测试,能够对上网行为管理设备的功能和管理特性等进行一个详细的了解,为XXX提供初步解决方案的思路,并作为公司领导进行决策的依据。
2、测试环境要求
2.1硬件要求
l上网行为管理设备一台;
lLDAP服务器、POP3服务器、Proxy服务器(请根据客户实际情况选择不同认证服务器),电脑若干;
2.2软件要求
PC的操作系统建议为Windows2000、WindowXP或Windows2003,安装有Foxmail或Outlook,QQ、MSN和BT软件、PPLIVE或PPstream、FTP客户端工具;在服务器上安装数据中心。
2.3网络配置
局域网内测试PC的网络配置:
pc1:
×.×.×.10/24,pc2:
×.×.×.11/24,网关:
×.×.×.2
服务器:
×.×.×.254/24网关:
×.×.×.2;该服务器上按照测试要求,模拟LDAP、域控服务器、POP3服务器、Radius服务器等应用环境。
测试环境网络部署图如下(根据客户网络环境设计):
三、测试汇总(可根据实际情况进行调整)
测试项目
测试分项
测试结果
备注
部署模式
旁路部署
£满足£不满足
多路桥接
£满足£不满足
用户认证与管理
三层IP/MAC绑定
£满足£不满足
USB-Key认证
£满足£不满足
无需客户端软件的AD单点登录
£满足£不满足
强制用户必须用域帐号登录操作系统
£满足£不满足
指定IP段用户必须使用单点登录
£满足£不满足
POP3认证及其单点登录
£满足£不满足
Proxy认证及其单点登录
£满足£不满足
未创建账号用户的认证
£满足£不满足
认证未通过用户的处理
£满足£不满足
从AD服务器读取用户组织结构
£满足£不满足
用户组织结构与AD的自动同步
£满足£不满足
冻结用户及管理
£满足£不满足
管理员分级管理
£满足£不满足
终端识别
终端操作系统补丁识别
£满足£不满足
对注册表键值的识别
£满足£不满足
对硬盘文件的检查和识别
£满足£不满足
识别终端的进程
£满足£不满足
应用控制
SSL加密网址的识别与封堵
£满足£不满足
非80端口网页访问行为的识别
£满足£不满足
搜索引擎输入关键字的过滤
£满足£不满足
网页正文关键字识别和过滤
£满足£不满足
非TCP21端口FTP传输文件的过滤
£满足£不满足
禁止QQ传文件、封堵QQ登录和记录QQ聊天内容
£满足£不满足
识别和控制移动飞信的使用
£满足£不满足
Skype的封堵及聊天内容监控
£满足£不满足
不常见P2P软件的识别和封堵
£满足£不满足
新浪视频的识别与封堵
£满足£不满足
识别客户端私装代理软件
£满足£不满足
上网策略管理
上网时长控制
£满足£不满足
子组支持继承父组的上网策略
£满足£不满足
子组从父组强制继承的上网策略将不能修改、删除、绕过
£满足£不满足
流量管理
多线路测试
£满足£不满足
基于应用类型的流控
£满足£不满足
基于文件类型的流控
£满足£不满足
基于网站类型的流控
£满足£不满足
每天、每月限制用户的上网总流量
£满足£不满足
Wan->lan的流控
£满足£不满足
以公网IP为用户的带宽划分与分配
£满足£不满足
邮件过滤与审计
根据发件人地址进行邮件过滤
£满足£不满足
仅允许指定后缀的邮件地址发送邮件
£满足£不满足
过滤含有指定关键字的邮件
£满足£不满足
过滤含有指定类型附件的邮件
£满足£不满足
根据收件人地址对邮件进行延迟审计
£满足£不满足
根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计
£满足£不满足
应用审计与报表
管理员分级审计用户日志
£满足£不满足
记录被访问网页的网页标题
£满足£不满足
记录含有指定关键字的网页内容
£满足£不满足
非TCP21端口行为的识别和记录
£满足£不满足
QQ聊天内容记录
£满足£不满足
Skype聊天内容记录
£满足£不满足
MSNShell聊天内容记录
£满足£不满足
时间审计
£满足£不满足
Webmail附件的记录和审计
£满足£不满足
WAN->LAN行为审计
£满足£不满足
数据中心认证key测试
£满足£不满足
内容检索功能测试
£满足£不满足
主题订阅功能测试
£满足£不满足
基于硬件方式的免审计功能
£满足£不满足
对比报表功能测试
£满足£不满足
将报表、统计等自定义成链接测试
£满足£不满足
网络可靠、可用的保障能力
防火墙功能
£满足£不满足
ARP欺骗防护功能
£满足£不满足
防DOS攻击功能
£满足£不满足
对Email中病毒的查杀测试
£满足£不满足
对网页中病毒查杀测试
£满足£不满足
对FTP文件传输中病毒查杀测试
£满足£不满足
检测桌面杀毒软件的安装情况
£满足£不满足
检测桌面杀毒软件的运行情况
£满足£不满足
检测桌面杀毒软件的更新情况
£满足£不满足
四、详细功能测试
以下为对XX厂商提供的XX设备进行详细的功能测试。
1.部署模式
被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式,才能够更加完善的满足客户复杂的网络环境。
测试编号
测试时间
测试项目
部署模式
测试人员
测试分项
旁路部署
测试目的
部分组织结构网络环境复杂,或者新设备的部署并不想对现有网络做任何更改,因为网络的更改必然存在发生故障的风险,同时在网络中串接设备不仅影响网络还可能因为设备的宕机而中断整个网络。
在这种情况下,旁路部署方式为用户提供了理想的解决方案:
既不对网络结构做任何改动,又能实现全面的行为审计记录和部分控制功能。
测试方法
1、搭建网络环境,设备以旁路模式部署;
2、配置设备开启审计功能;
3、内网用户访问外网资源,如访问,在设备上查看访问日志;
4、配置设备URL过滤,禁止访问;
5、内网用户访问,查看是否能够正常访问。
预期结果
被测设备支持旁路模式部署,并且能够实现全面的行为记录和部分控制功能
测试结果
1.用户访问百度网站的行为被设备全面记录,记录内容包括URL地址、网页标题、网页内容£满足£不满足
2.用户不能访问被过滤的网站£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
测试编号
测试时间
测试项目
部署模式
测试人员
测试分项
多路桥接
测试目的
网络已经在组织的日常运作中扮演着越来越重要的角色,因此部分组织内部网络往往采用双防火墙、双交换机、VRRP、HSRP等双机、双线路冗余部署,从而避免单机、单线路可能成的网络可靠性下降的问题。
对于此类双机、双线路网络环境下部署上网行为管理设备显然需要能够至少支持网桥模式下的“双进双出”功能,从在双链路上实现上网行为的全面管控。
测试方法
1、搭建网络环境,设备的LAN1、WAN1接口分别连接PC1、PC2;LAN2、WAN2接口则分别连接PC3、PC4
2、配置设备开启多路桥接功能;
3、用PC1pingPC2;
4、用PC3pingPC4;
预期结果
PC1pingPC2成功;PC3pingPC4成功。
测试结果
1.PC1pingPC2成功£满足£不满足
2.PC3pingPC4成功£满足£不满足
测试结论
所测试产品是否满足该项功能要求
£满足£不满足
2.用户识别测试
上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成,所以对用户的身份识别是进一步管理的就基础。
对用户身份的识别必须支持多种方式,以便于组织机构灵活采用和部署实施。
测试编号
测试时间
测试项目
用户认证方式
测试人员
测试分项
三层IP/MAC绑定
测试目的
传统的IP/MAC绑定是指二层网络环境下的绑定,但大型组织往往是三层网络环境,此时二层IP/MAC绑定无法有效的满足高端客户的需求。
而IP/MAC绑定又是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网络管理、用户识别和认证。
测试方法
1、设备以网关模式部署,内网口连接三层设备,三层设备下接用户A;
2、在设备上创建用户帐号,并启用IP/MAC绑定,填写三层设备下A用户的IP和其对应的MAC地址;
3、配置设备以确保A用户访问外网资源,且访问成功;
4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功
5、用户B使用另一台终端设备下接于三层设备,设置B的IP为A的IP;
5、用户B访问外网资源,测试访问结果是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 上网 行为 管理 产品 测试 方案