1、密 级:文档编号:海源学院xx上网行为管理设备测试方案海源xx学院2008年12月目录一、前言31、用户简介32、需求分析3二、测试方法简介41、测试目标42、测试环境要求42.1 硬件要求42.2 软件要求42.3 网络配置4三、测试汇总5四、详细功能测试71.部署模式72.用户识别测试83.终端识别测试154.应用识别测试185.上网策略管理236.流量管理功能测试237.邮件过滤与审计258.行为记录与审计299.网络可靠性、可用性保障能力34五、测试结论36一、 前言1、用户简介随着信息技术,特别是网络技术的进步和发展,不管是在家还是在单位都能够方便的连接互联网进行访问,而单位员工在内
2、部发生的各种互联网访问行为,对公司的内部信息安全、工作效率、法律风险等等的影响正在逐步显现,这一点逐渐引起了高层领导和网络信息中心的关注,而且公安部82号令、公安部33号令等的相关法律法规,也要求各我单位对内网用户的互联网访问行为进行管控和记录。我单位内网现有1000多用户,对于众多用户的上网行为管控和审计要求越来越迫切,本文档即对上网行为管理设备进行全面、公正的测试。2、需求分析为了更好的使用互联网资源为组织单位产生更多的价值和效益,必须能够对内网用户的互联网访问行为进行有效的管理、引导和规范。由于上网行为是由用户使用终端设备访问互联网各种资源所形成,所以必须要能够精准的识别用户身份、识别终
3、端设备、识别互联网应用,进而提供包括封堵、流控、审计在内的多种管理措施,全面的管理用户的上网行为。二、测试方法简介1、测试目标通过此次测试,能够对上网行为管理设备的功能和管理特性等进行一个详细的了解,为XXX提供初步解决方案的思路,并作为公司领导进行决策的依据。2、测试环境要求2.1 硬件要求l 上网行为管理设备一台;l LDAP服务器、POP3服务器、Proxy服务器(请根据客户实际情况选择不同认证服务器),电脑若干;2.2 软件要求PC的操作系统建议为Windows 2000、Window XP或Windows2003,安装有Foxmail或Outlook,QQ、MSN和BT软件、PPLI
4、VE或PPstream、FTP客户端工具;在服务器上安装数据中心。2.3 网络配置局域网内测试PC的网络配置:pc1 : . . .10/24 , pc2: . . .11/24,网关: . . .2服务器:. . .254/24 网关: . . .2 ;该服务器上按照测试要求,模拟LDAP、域控服务器、POP3服务器、Radius服务器等应用环境。测试环境网络部署图如下(根据客户网络环境设计):三、测试汇总(可根据实际情况进行调整)测试项目测试分项测试结果备注部署模式旁路部署满足 不满足多路桥接满足 不满足用户认证与管理三层IP/MAC绑定满足 不满足USB-Key认证满足 不满足无需客户端
5、软件的AD单点登录满足 不满足强制用户必须用域帐号登录操作系统满足 不满足指定IP段用户必须使用单点登录满足 不满足POP3认证及其单点登录满足 不满足Proxy认证及其单点登录满足 不满足未创建账号用户的认证满足 不满足认证未通过用户的处理满足 不满足从AD服务器读取用户组织结构满足 不满足用户组织结构与AD的自动同步满足 不满足冻结用户及管理满足 不满足管理员分级管理满足 不满足终端识别终端操作系统补丁识别满足 不满足对注册表键值的识别满足 不满足对硬盘文件的检查和识别满足 不满足识别终端的进程满足 不满足应用控制SSL加密网址的识别与封堵满足 不满足非80端口网页访问行为的识别满足 不满
6、足搜索引擎输入关键字的过滤满足 不满足网页正文关键字识别和过滤满足 不满足非TCP 21端口FTP传输文件的过滤满足 不满足禁止QQ传文件、封堵QQ登录和记录QQ聊天内容满足 不满足识别和控制移动飞信的使用满足 不满足Skype的封堵及聊天内容监控满足 不满足不常见P2P软件的识别和封堵满足 不满足新浪视频的识别与封堵满足 不满足识别客户端私装代理软件满足 不满足上网策略管理上网时长控制满足 不满足子组支持继承父组的上网策略满足 不满足子组从父组强制继承的上网策略将不能修改、删除、绕过满足 不满足流量管理多线路测试满足 不满足基于应用类型的流控满足 不满足基于文件类型的流控满足 不满足基于网站
7、类型的流控满足 不满足每天、每月限制用户的上网总流量满足 不满足Wan-lan的流控满足 不满足以公网IP为用户的带宽划分与分配满足 不满足邮件过滤与审计根据发件人地址进行邮件过滤满足 不满足仅允许指定后缀的邮件地址发送邮件满足 不满足过滤含有指定关键字的邮件满足 不满足过滤含有指定类型附件的邮件满足 不满足根据收件人地址对邮件进行延迟审计满足 不满足根据外发邮件大小、附件个数及邮件标题和内容所含指定关键字延迟审计满足 不满足应用审计与报表管理员分级审计用户日志满足 不满足记录被访问网页的网页标题满足 不满足记录含有指定关键字的网页内容满足 不满足非TCP 21端口行为的识别和记录满足 不满足
8、QQ聊天内容记录满足 不满足Skype聊天内容记录满足 不满足MSNShell聊天内容记录满足 不满足时间审计满足 不满足Webmail附件的记录和审计满足 不满足WAN-LAN行为审计满足 不满足数据中心认证key测试满足 不满足内容检索功能测试满足 不满足主题订阅功能测试满足 不满足基于硬件方式的免审计功能满足 不满足对比报表功能测试满足 不满足将报表、统计等自定义成链接测试满足 不满足网络可靠、可用的保障能力防火墙功能满足 不满足ARP欺骗防护功能满足 不满足防DOS攻击功能满足 不满足对Email中病毒的查杀测试满足 不满足对网页中病毒查杀测试满足 不满足对FTP文件传输中病毒查杀测试
9、满足 不满足检测桌面杀毒软件的安装情况满足 不满足检测桌面杀毒软件的运行情况满足 不满足检测桌面杀毒软件的更新情况满足 不满足四、详细功能测试以下为对XX厂商提供的XX设备进行详细的功能测试。1. 部署模式被测设备只有支持包括旁路模式、多路桥接在内的多种部署方式,才能够更加完善的满足客户复杂的网络环境。测试编号测试时间测试项目部署模式测试人员测试分项旁路部署测试目的部分组织结构网络环境复杂,或者新设备的部署并不想对现有网络做任何更改,因为网络的更改必然存在发生故障的风险,同时在网络中串接设备不仅影响网络还可能因为设备的宕机而中断整个网络。在这种情况下,旁路部署方式为用户提供了理想的解决方案:既
10、不对网络结构做任何改动,又能实现全面的行为审计记录和部分控制功能。测试方法1、搭建网络环境,设备以旁路模式部署;2、配置设备开启审计功能;3、内网用户访问外网资源,如访问,在设备上查看访问日志;4、配置设备URL过滤,禁止访问;5、内网用户访问,查看是否能够正常访问。预期结果被测设备支持旁路模式部署,并且能够实现全面的行为记录和部分控制功能测试结果1. 用户访问百度网站的行为被设备全面记录,记录内容包括URL地址、网页标题、网页内容 满足 不满足2. 用户不能访问被过滤的网站 满足 不满足测试结论所测试产品是否满足该项功能要求满足 不满足测试编号测试时间测试项目部署模式测试人员测试分项多路桥接
11、 测试目的网络已经在组织的日常运作中扮演着越来越重要的角色,因此部分组织内部网络往往采用双防火墙、双交换机、VRRP、HSRP等双机、双线路冗余部署,从而避免单机、单线路可能成的网络可靠性下降的问题。对于此类双机、双线路网络环境下部署上网行为管理设备显然需要能够至少支持网桥模式下的“双进双出”功能,从在双链路上实现上网行为的全面管控。测试方法1、搭建网络环境,设备的LAN1、WAN1接口分别连接PC1、PC2;LAN2、WAN2接口则分别连接PC3、PC42、配置设备开启多路桥接功能;3、用PC1 ping PC2;4、用PC3 ping PC4;预期结果PC1 ping PC2成功;PC3
12、ping PC4成功。测试结果1. PC1 ping PC2成功 满足 不满足2. PC3 ping PC4成功 满足 不满足测试结论所测试产品是否满足该项功能要求满足 不满足2. 用户识别测试上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成,所以对用户的身份识别是进一步管理的就基础。对用户身份的识别必须支持多种方式,以便于组织机构灵活采用和部署实施。测试编号测试时间测试项目用户认证方式测试人员测试分项三层IP/MAC绑定测试目的传统的IP/MAC绑定是指二层网络环境下的绑定,但大型组织往往是三层网络环境,此时二层IP/MAC绑定无法有效的满足高端客户的需求。而IP/MAC绑定又是高端客户所必须的功能,所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题,便于高端客户的网络管理、用户识别和认证。测试方法1、设备以网关模式部署,内网口连接三层设备,三层设备下接用户A;2、在设备上创建用户帐号,并启用IP/MAC绑定,填写三层设备下A用户的IP和其对应的MAC地址;3、配置设备以确保A用户访问外网资源,且访问成功;4、更改A用户的IP地址,然后再访问互联网资源,测试是否成功5、用户B使用另一台终端设备下接于三层设备,设置B的IP为A的IP;5、用户B访问外网资源,测试访问结果是
