SSL VPN测试方案.docx
- 文档编号:7065259
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:53
- 大小:38.65KB
SSL VPN测试方案.docx
《SSL VPN测试方案.docx》由会员分享,可在线阅读,更多相关《SSL VPN测试方案.docx(53页珍藏版)》请在冰豆网上搜索。
SSLVPN测试方案
..
SSLVPN
测试方案
第1章测试项目列表
项目
功能项
详细指标
结果
管理性测试
用户管理
本地用户组/用户设置
通过控制台新建本地用户/用户组,支持用户组16级树形结构设置
£满足£不满足
外部导入用户
支持通过文件/数字证书/LDAP批量导入用户
£满足£不满足
用户、用户组权限管理
支持通过用户角色实现对用户、用户组的资源访问权限进行管理
£满足£不满足
实时断开用户
可实时监控系统运行状况、用户接入情况,可断开指定用户连接
£满足£不满足
用户流量管理
支持基于用户和用户组的流量管理
£满足£不满足
用户会话限制
支持基于用户和用户组的会话管理;支持全局会话控制
£满足£不满足
用户超时时间
支持基于用户和用户组配置超时时间
£满足£不满足
管理员管理
管理员分级管理
支持管理员16级树形结构建立,进行分级分权限管理
£满足£不满足
管理员权限设置
上级管理员可对其下属受限管理员进行权限分配,配置管理的模块,资源,用户及角色
£满足£不满足
设备管理
设备日志
支持控制台直接查看设备服务日志和管理日志
£满足£不满足
配置备份及恢复
支持整体设备配置的备份及恢复;支持SSLVPN配置的单独备份及恢复,支持配置的回滚
£满足£不满足
外置数据中心
支持外置数据中心,并与SSLVPN设备实时同步,提供细粒度审计日志
£满足£不满足
安全性测试
用户身份安全
用户名、密码认证
支持用户名、密码认证
£满足£不满足
防暴力破解
支持基于IP、用户名的防暴力破解,支持暴破锁定的定时解锁或手动解锁
£满足£不满足
密码安全策略
图形验证码(数字字母组合)、软键盘;设定密码位数、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置
£满足£不满足
短信认证
支持结合短信猫、移动/联通/电信短信网关进行用户随机码短信认证
£满足£不满足
动态令牌认证
支持结合动态令牌认证进行用户身份认证
£满足£不满足
硬件特征码认证
支持硬件特征码认证;支持硬件特征码的自动审批;支持不同用户设置不同硬件特征码个数
£满足£不满足
USBKey认证
支持有驱、无驱DKey认证
£满足£不满足
自建CA中心
支持自建CA证书的默认配置,CA证书过期时间配置
£满足£不满足
第三方CA中心结合
支持与第三方CA中心结合,支持根据第三方CA授权字段进行用户授权
£满足£不满足
RADIUS结合
支持RADIUS认证;支持读取RADIUS的手机号码和虚拟IP;支持映射规则设置;支持多地址配置
£满足£不满足
LDAP结合
支持LDAP认证,导入用户/用户组结构;读取虚拟IP、手机号码、分组权限;支持映射规则设置;支持多地址配置
£满足£不满足
混合认证
支持认证方式的与或组合,至多可设置5种认证方式的捆绑认证
£满足£不满足
匿名登录
支持匿名用户登录SSLVPN,仅提供SSLVPN加密隧道;支持匿名用户结合客户端安全检查、角色进行权限配置
£满足£不满足
客户端安全
客户端登录配置修改权限控制
允许或禁止私有用户客户端配置私人密码、手机号码、用户描述
£满足£不满足
客户端安全检查
客户端安全检查规则与或组合设置,登录前、登录后组合进行安全策略的检查
£满足£不满足
零痕迹访问
支持配置用户退出SSLVPN自动清除临时文件、表单信息、Cookie、浏览器历史记录
£满足£不满足
SSLVPN专线
支持用户接入后自动断开其余互联网链接,避免终端成为黑客进攻内网的跳板
£满足£不满足
应用权限安全
基于角色的授权
基于角色进行用户/用户组细致到IP、端口、服务、URL级别的授权
£满足£不满足
主从用户绑定
支持SSLVPN账号与应用系统账号的对应绑定,防止越权访问
£满足£不满足
服务器安全
支持服务界面资源隐藏;支持B/S应用服务器地址伪装
£满足£不满足
速度性测试
多线路
多线路智能选路
多线路智能选路(含单臂下的自动选路)
£满足£不满足
压缩
流压缩
支持LZO、GZIP压缩对TCP应用、L3VPN应用进行传输优化
£满足£不满足
B/S应用提速
启用WEB压缩
启用WEB压缩,进行传输
£满足£不满足
Web优化
启用Web优化技术
£满足£不满足
WebCache
启用WebCache选择性动态缓存Web页面
£满足£不满足
无线提速
无线优化技术
启用无线优化技术(自动选择)
£满足£不满足
资源优化
资源负载均衡
根据不同的权值实现负载接入
£满足£不满足
易用性测试
平台兼容性
操作系统
支持Windows2000/XP/2003/Vista/Win7、Linux、MacOS
£满足£不满足
浏览器
支持IE、Firefox、Opera、Safari、GoogleChrome
£满足£不满足
应用支持性
应用支持
全部支持各种IP层以上的B/S、C/S应用;支持虚拟IP池设置,可为用户/用户组分配虚拟IP,支持Web、TCP、L3VPN应用以虚拟IP方式访问
£满足£不满足
Web文件共享
支持纯Web方式的文件服务器发布及操作,无需安装插件
£满足£不满足
智能递推
支持动态嗅探页面内的链接,真正防止资源漏访
£满足£不满足
SSLVPN反向连接
支持SSLVPN反向连接,将用户端资源通过SSLVPN发布
£满足£不满足
域名解析
HOST设置
支持HOST设置,通过SSLVPN进行内网域名解析
£满足£不满足
内网DNS
支持内网DNS服务器
£满足£不满足
虚拟门户
虚拟门户
支持虚拟门户设置,可为不同过的使用用户配置独立的登录地址、登录方式、登录界面、独立的资源访问
£满足£不满足
远程应用发布
远程应用发布
支持远程应用发布功能,无需安装客户端即可访问服务器的C/S应用,网络中仅传输鼠标键盘屏幕等数据
£满足£不满足
操作易用性
单点登录功能
B/S、C/S单点登录,可允许用户自行修改SSO登录帐号
£满足£不满足
快捷登录
支持SSLVPN开机自动登录、桌面快捷方式启动、C/S客户端启动
£满足£不满足
系统托盘/悬浮窗口
支持系统托盘、悬浮窗口,关闭IE窗口最小化,防止因误关操作导致的SSLVPN中断
£满足£不满足
即时广播消息
即时广播消息
管理员可对在线所有用户/指定用户发布即时消息
£满足£不满足
自定义的SSLVPN
Portal页面定制
Portal页面定制,可用定制:
企业LOGO,产品名称,版权信息,帮助链接等
£满足£不满足
页面完全定制
页面完全定制上传
资源图标化显示
支持服务界面资源以图标方式显示,支持图标自定义上传
£满足£不满足
默认服务页面
支持登录后跳转到默认服务页面
£满足£不满足
稳定性测试
隧道稳定性
断线自动重连
支持SSLVPN隧道自动监测,并进行断线自动重连
£满足£不满足
线路稳定性
多线路备份及自动切换
支持线路状态的自动监测并完成故障线路的自动切换,切换过程中保持用户SSLVPN不中断
£满足£不满足
第2章测试用例
2.1管理性测试
2.1.1用户管理
2.1.1.1本地用户组/用户设置
测试编号:
SSL-1
相关功能编号:
用例标题:
通过控制台新建用户组、用户,支持用户组16级树形结构设置
前置条件:
无
测试步骤:
1.进入控制台:
SSLVPN设置->用户管理->新建用户组
2.输入用户组名称及描述,选择所属上级组为根组,设置认证方式为用户名/密码方式,点击确定。
3.新建用户组,输入用户组名称及描述,选择所属上级组为2中设置用户组,设置认证方式为用户名/密码方式,点击确定。
可根据需要建立下级用户组或平级用户组
4.SSLVPN设置->用户管理->新建用户,设置用户名、描述、密码、手机号码(可作为短信认证只用),根据需要设置用户认证方式(具体认证设置需要配置选项可参照“安全性测试”中的“用户身份安全”设置),点击确定。
5.完成配置,点击配置生效。
预期结果:
可根据组织架构设置用户组树形分组结构,可成功设置用户
测试结果:
2.1.1.2外部导入用户
2.1.1.2.1通过文件导入用户
相关功能编号:
用例标题:
通过csv文件批量导入用户
前置条件:
无
测试步骤:
1.进入控制台:
SSLVPN设置->用户管理->导入->从文件导入
2.选择【从文件中(*.csv)导入用户】选项,点击下一步
3.点击【下载示例文件】,下载.csv格式示例文件,并按照预设格式设置需要导入的用户信息。
4.选择编辑好的.csv格式文件,勾选【用户所属组不存在时,自动创建】,点击下一步
5.从预览中校对用户信息是否正确,点击完成将用户导入设备
预期结果:
用户导入成功,在用户管理中可见.csv中设置的用户组,用户组下包含导入的用户
测试结果;
2.1.1.2.2通过证书导入用户
相关功能编号:
用例标题:
通过证书导入用户
前置条件:
预先生成证书
测试步骤:
1.进入控制台:
SSLVPN设置->用户管理->新建用户组,填入用户组名,在认证方式中勾选用户名密码认证、数字证书认证
2.导入->从文件导入->从数字证书中导入用户,在【选择文件】中选择需要导入用户的证书文件,输入证书密码
3.选择用户需要导入的目标组
4.勾选【指定用户信息】,填入用户描述、用户密码、手机号码等信息,点击完成进行证书用户的导入
预期结果:
在用户管理中可查看到导入的用户,并与导入的证书进行了绑定;认证方式中继承上级用户组的用户名密码认证及数字证书认证
测试结果:
2.1.1.2.3通过LDAP导入用户
相关功能编号:
用例标题:
从LDAP导入用户
前置条件:
已设置了LDAP服务器
测试步骤:
1.进入控制台:
SSLVPN设置->用户管理->导入->从LDAP导入
2.在LDAP认证服务器设置页面,勾选需要导入用户的LDAP服务器,点击【导入用户到本地】
3.点击【选择导入用户】,勾选需要导入用户的OU结构;在【选择导入到的本地目标组】
4.在【自动导入设置】中,启用自动导入,选择【每隔__分钟自动导入】
5.点击【保持并立即同步】
预期结果:
在用户管理中,查看目标组,可查看到从LDAP导入的用户;每隔__分钟,自动进行用户的导入,保持用户的更新
测试结果:
2.1.1.3用户/用户组权限管理
相关功能编号:
用例标题:
用户/用户组权限管理
前置条件:
已设置了用户(用户组)、资源(资源组)
测试步骤:
1.进入控制台:
SSLVPN设置->角色授权->新建角色
2.输入角色名称和描述
3.选择授权用户
4.选择授权策略
5.编辑授权资源列表
6.添加完成后点击保存设置生效
预期结果:
属于该角色的用户、用户组登录成功后,在资源列表中看到关联到该角色相应的资源
测试结果:
2.1.1.4断开用户SSLVPN连接
相关功能编号:
用例标题:
管理员手动断开用户接入SSLVPN
前置条件:
测试用户已经正常登录SSLVPN
测试步骤:
1.进入控制台:
运行状态->SSLVPN运行状态->在线用户,查看在线用户状态
2.勾选需要断开连接的用户
3.点击断开连接
预期结果:
显示所有接入用户的用户名、描述、发送流速、接收流速、发送流量、接收流量、接入时间、并发会话数、所属组;对测试用户断开连接后,该用户SSLVPN资源页面被重新定位到登录页面
测试结果:
2.1.1.5用户/用户组流量管理
相关功能编号:
用例标题:
基于用户和用户组的流量管理
前置条件:
已经建立了用户组、用户
测试步骤:
1.进入控制台:
SSLVPN设置->策略组管理->新建策略组
2.设置策略名称、描述,在客户端选项卡中,启用带宽限制,设置发送、接受流速上下限值
3.SSLVPN设置->用户管理->编辑相应用户组/用户,在接入策略组中勾选前面设置的策略组
预期结果:
测试用户登录SSLVPN并使用文件下载等大流量资源,可查看SSLVPN运行状态,发送、接收流速,流速受限于策略中设置的流速
测试结果:
2.1.1.6用户/用户组会话限制
相关功能编号:
用例标题:
基于用户和用户组的会话管理,支持全局会话控制
前置条件:
已经建立了用户组、用户
测试步骤:
1.进入控制台:
SSLVPN设置->策略组管理->新建策略组
2.设置策略名称、描述,在客户端选项卡中,启用TCP应用会话限制,设置会话数限值
3.SSLVPN设置->用户管理->编辑相应用户组/用户,在接入策略组中勾选前面设置的策略组
预期结果:
TCP会话限制设置成功,用户在终端发起过多的会话请求,将收到限制
测试结果:
2.1.1.7用户超时时间
相关功能编号:
用例标题:
基于用户和用户组配置超时时间
前置条件:
设置了测试用户A、B
测试步骤:
1.进入控制台:
SSLVPN设置->策略组管理->新建策略组
2.设置策略名称、描述,在账号控制选项卡中,设置用户超时时间为5分钟
3.SSLVPN设置->用户管理->编辑相应用户组/用户,在接入策略组中勾选前面设置的策略组
预期结果:
测试用户登录SSLVPN,5分钟内不进行任何操作,SSLVPN自动注销
测试结果:
2.1.2管理员管理
相关功能编号:
用例标题:
支持管理员16级树形结构建立,进行分级分权限管理;上级管理员可对其下属受限管理员进行权限分配,配置管理的模块,资源,用户及角色
前置条件:
无
测试步骤:
1.进入控制台:
系统设置->管理员账号
2.新建管理员组test,填入管理组名字、描述,选择所属管理组为根组;在【管理权限】面板中,配置test管理组享有所有模块权限,允许创建下级管理组、允许创建角色、允许创建资源;在【管理内容】面板中,享有所有用户、资源、角色管理权限,点击保存
3.在test组下新建管理组test1,填入管理组名字、描述,选择所属管理组为test;在【管理权限】面板中,配置test管理组享有SSLVPN设置模块管理权限;在【管理内容】面板中,享有指定用户、指定资源、指定角色管理权限,点击保存
4.根据需要新建参照上述方法设置多级管理员组
5.新建管理员Admintest,填入管理员名称、描述、密码,配置【管理员类型】为管理员;所属管理组选择test,点击保存
6.新建管理员Admintest1,填入管理员名称、描述、密码,配置【管理员类型】为访客;所属管理组选择test1,点击保存
7.根据需要参照上述方法设置管理员
预期结果:
以管理员Admintest的账号登陆SSLVPN控制台,Admintest享有所有模块、用户、资源、角色的配置权限,可在其管理权限范围内建立用户、资源、角色;以管理员Admintest1的账号登陆SSLVPN控制台,在左边管理目录树中仅可见SSLVPN设置模块,其余配置不可见,点击进入配置页面仅可查看不可编辑,在用户管理、资源管理、角色授权中,仅可见测试步骤中设置的用户、资源、角色,其余不可见。
测试结果:
2.1.3日志管理
2.1.3.1设备运行日志
相关功能编号:
用例标题:
查看设备服务日志和管理日志
前置条件:
无
测试步骤:
进入控制台->系统维护->日志查看
1.日志类型选择管理日志,需要查看的日期
2.日志类型选择服务日志,需要查看的日期
预期结果:
1.在管理日志中可以查看到管理员登陆的记录
2.在服务日志中可以查看到设备的信息、错误、告警、调试日志
测试结果:
2.1.3.2配置备份及恢复
相关功能编号:
用例标题:
整体设置、SSLVPN配置的备份及恢复
前置条件:
无
测试步骤:
1.进入控制台->系统维护->配置备份/恢复->全局配置备份,点击【下载当前配置】,将设备整体配置下载到本地主机。
2.在【配置还原】中,选择已经下载的配置文件,点击【开始还原】,可进行整机设备配置的还原
3.系统维护->配置备份/恢复->SSLVPN配置备份,点击【下载当前配置】,将SSLVPN配置部分下载到本机。
4.在【配置还原】中,选择已经下载的配置文件,点击【开始还原】,可进行SSLVPN设置部分的还原
5.在【自动备份配置】中,可查看到近7天内的系统配置备份,可点击还原到指定配置
预期结果:
可进行整体设备配置的备份及恢复;可进行SSLVPN配置的单独备份及恢复,设备可进行自动的配置备份,可回滚到近7天内指定配置。
测试结果:
2.1.3.3独立日志中心
相关功能编号:
用例标题:
支持第三方独立的数据中心记录详细的用户接入日志、资源访问日志、安全日志、管理员日志、流量日志等各种日志,支持记录的查看、搜索和日志的导出
前置条件:
正确配置好数据中心,并在SSLVPN设备控制台->系统设置->系统配置->外置数据中心中,设置好外置数据中心服务器与SSL设备进行同步
测试步骤:
登陆数据中心->选择相应的节点
1.支持用户日志、管理员日志、系统日志、告警日志的按条件查询和日志搜索结果的报表导出
2.支持用户活跃程度、主从用户名非法访问、暴破登录、资源活跃程度、无效资源、流量统计、流速趋势的按条件查询和日志搜索结果的报表导出
预期结果:
完整的支持多种日志的查询和导出,方便管理员清晰的了解内网资源的使用情况
测试结果:
2.2安全性测试
2.2.1用户身份安全
2.2.1.1用户名/密码认证
相关功能编号:
用例标题:
用户名/密码认证
前置条件:
无
测试步骤:
1.进入控制台,SSLVPN设置->用户管理->新建用户
2.填入用户名、密码,在【认证选项】中的【主要认证】方式中,选择用户名/密码认证,点击保存生成测试用户
3.SSLVPN设置->资源管理,新建资源(根据测试资源类型选择Web应用、TCP应用、L3VPN应用、远程应用),填入名称、类型、地址等资源设置,点击保存生成资源(根据需要设置Host、内网域名解析、终端服务器等设置)
4.SSLVPN设置->角色授权,新建角色,填入角色名,选择关联用户为测试用户,编辑授权资源列表,选择测试资源,点击保存
5.配置生效
预期结果:
打开SSLVPN登录界面,输入测试用户的用户名及密码,点击登录,可成功通过认证登录到资源列表界面,界面显示为授权资源
测试结果:
2.2.1.2防暴力破解
相关功能编号:
用例标题:
支持基于用户的暴力破解锁定,设置自动解锁时间或手动进行解锁;支持基于IP的暴力破解锁定,设置锁定时间,并可配置自动启用图形校验码功能
前置条件:
设置测试用户
测试步骤:
1.进入控制台:
SSLVPN设置->认证设置->密码认证选项设置
2.设置同名用户登录连续出错3次后锁定用户120秒
3.设置同IP用户登录连续出错5次后,启用图形校验码认证,并在120秒后恢复正常状态
4.点击确定生效配置
预期结果:
1.用户A登录SSLVPN,密码连续输错3次后,页面显示账户已被锁定的出错提示,该用户两分钟后自动解锁后才能再次登录;在封锁时间中,在运行状态->SSLVPN运行状态->在线用户->锁定用户查看中,可查看到锁定的用户,点击解锁,被锁定的用户立即解锁可再次进行SSLVPN身份验证
2.采用用户A、B账号轮流在同一台主机上登录SSLVPN,用户名密码连续输错5次后,再次打开SSLVPN登录界面,除了用户名密码认证之外启用了图形校验码认证,需通过用户名密码认证和图形校验码认证才可登录SSLVPN
测试结果:
2.2.1.3密码安全策略
相关功能编号:
用例标题:
图形验证码(数字字母组合)、软键盘
前置条件:
已设置测试用户
测试步骤:
1.进入控制台:
SSLVPN设置->认证设置->密码认证选项
2.选择【启用软键盘】,勾选【字母键随机变化】、【数字键随机变化】
3.选择【启用图形校验码】
4.点击保存配置生效
预期结果:
1.用户登录SSLVPN,在登录界面上显示图形验证码。
点击密码输入框右侧的键盘图标,弹出软键盘,使用软键盘按照图形校验码输入验证码及用户名密码,点击登录可成功登陆SSLVPN
2.用户再次打开SSLVPN,点击软键盘,软键盘的字母键及数字键排序较上一次变动
测试结果:
相关功能编号:
用例标题:
设定密码最小长度、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置
前置条件:
新建测试用户
测试步骤:
1.进入控制台:
SSLVPN设置->认证设置->本地密码认证设置,启用密码安全策略
2.在设定密码位数、密码不能包含用户名、首次登陆修改密码、新密码不能与旧密码相同、定时修改密码、密码过期前提醒、密码强度设置选项中进行相应设置
预期结果:
1.测试用户首次登录SSLVPN,页面提示修改密码,并根据密码安全设置里设置的条目进行密码要求
2.定时提醒用户修改密码
测试结果:
2.2.1.4硬件特征码认证
相关功能编号:
用例标题:
硬件特征码认证
前置条件:
已设置测试用户认证方式为用户名密码认证,关联了相应资源
测试步骤:
1.进入控制台:
SSLVPN设置->认证设置->硬件特征码
2.选择【启用硬件特征码认证】,根据需要自定义硬件特征码提示信息3.SSLVPN设置->策略组管理,新建策略组,在【客户端选项】中设置每个用户可拥有1对硬件特征码,点击保存
3.SSLVPN设置->用户管理,编辑测试用户,在【辅助认证】中选择硬件特征码认证,在【接入策略组】中选择2中设置的策略,点击保存
4.配置生效
预期结果:
1.测试用户登录SSLVPN,通过密码认证后,页面提示用户提交硬件特征码,点击【提交硬件特征码】。
2.管理员登陆控制台,在SSLVPN设置->用户管理->特征码审批中,筛选【未审批】,可查看到测试用户及其提交的硬件特征码。
选择该条记录,点击【批准】,该记录状态转变为已审批
3.测试用户同一台终端主机再次登录SSLVPN,在通过用户名密码之后可直接登录到SSLVPN资源服务界面
4.测试用户使用另一台主机登录SSLVPN,硬件特征码认证失败,拒绝登陆
测试结果:
相关功能编号:
用例标题:
硬件特征码自动审批
前置条件:
已完成硬件特征码相应配置,并设置测试用户使用用户名密码硬件特征码方式验证
测试步骤:
1.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL VPN测试方案 VPN 测试 方案