网络安全测试方案

第1章内网安全测试1.1基础安全端口隔离MAC安全IP绑定ARP绑定1.2身份认证AAA802.1xPPPOEPotal、CTP、认证代理1.3内网准入控制（盈高解决方案）Pc状态检测（）主机外设控制第2章安全设备测试方案—防火墙、AC、安全网关、IPS、UTM2.1功能测试基本功能测试默认安全规则功能验证测试目的测试设备是否支持基本功能测试条件1、设备上电启动正常；2、通过直连网线将设备LAN口与PC相连。测试过程1、设备开启防火墙功能；2、查看从内向外的ping、web或telnet、DNS业务是否正常。3、查看从外向内的ping、web或telnet、DNS业务是否正常。预期结果1、步骤2中，ping、telnet、web业务均正常；2、步骤3中，ping、telnet、web业务均不正常；其它说明和注意事项本测试任务测试防火墙对ICMPTCPudp等处理行为测试结果TCP状态检测功能测试测试目的测试TCP状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1接口加入防火墙Inside域，将终端PC2接口加入防火墙outside域；2、在PC2上开启HTTPserver和FTPserver。测试过程1、在防火墙上配置安全规则，允许从PC1到PC2的HTTP协议报文通过（默认高级别到低级别为允许）；2、PC1向PC2请求HTTP页面，可以得到结果1；3、使用相关命令查看防火墙的conn或session表信息，可以得到结果2；4、关闭IE，断开web连接，再查看防火墙session表信息，可以得到结果3；5、PC1向PC2发起FTP请求，可以得到结果4。预期结果1、PC1可以通过防火墙正常访问HTTP页面；2、可以看到防火墙上建立了HTTPsession表项；3、防火墙上session表项已经删除；4、默认开启ftp深度检测ALG，则FTP请求能成功建立，其它说明和注意事项pc2下载安装好HTTP和FTP服务软件测试结果UDP状态检测功能测试测试目的测试udp状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1接口加入防火墙Inside域，将终端PC2接口加入防火墙outside域；2、在PC2上开启系统DNSserver。测试过程1、在防火墙上配置安全规则，允许从PC1到PC2的UDP协议报文通过（默认高级别到低级别为允许）；2、PC1配置IP地址、DNS地址（为PC2的IP）后,在CMD命令行中执行nslookup（PC2中有DNS映射），是否得到dns映射中的IP；结果13、使用相关命令查看防火墙的conn或session表信息，可以得到结果2；4、关闭CMD，再查看防火墙session表信息，可以得到结果3；预期结果1、PC1可以得到DNS映射的IP2、可以看到防火墙上建立了UDPsession表项；3、防火墙上仍存在session表项；等待空闲时间超时再删除。其它说明和注意事项pc2系统为服务版，安装好DNS服务并建立DNS映射测试结果支持session连接数的限制测试目的验证防火墙设备支持Sessions连接数的控制测试条件1、设备上电启动正常；2、PC1和PC2互联到防火墙，防火墙作为网关与公网相连；4、PC1和PC2均能访问公网应用FTP、http、qq、迅雷等。测试过程1、针对PC1不开启Sessions数控制，观察Sessions建立的状况及数值，得出结果1；2、开启防火墙的Sessions数控制的设置，针对PC2设置数值为10个；观察Sessions建立的状况及数值，得出结果2；预期结果1、结果1：Sessinos连接可以正常建立；2、结果2：Sessinos连接控制在10个以内。其它说明和注意事项测试结果ICMP状态检测功能测试测试目的测试是否支持ICMP状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1接口加入防火墙Inside域，将终端PC2接口加入防火墙outside域；测试过程1、在防火墙上配置安全规则，允许从PC1到PC2的ICMP协议报文通过（默认高级别到低级别为允许）；2、未开启icmp状态检测，PC1向PC2发ping包，可以得到结果1；3、开启icmp状态检测，PC1向PC2发ping包，可以得到结果2；4、使用相关命令查看防火墙的session表信息，可以得到结果3；5、PC2向PC1发ping包，可以得到结果4。6、在防火墙上配置ACL允许outside到Inside的ICMP协议报文，PC2向PC1发ping包，可以得到结果5.预期结果1、PC1不可以ping通PC2；2、PC1可以ping通PC23、未开启，则防火墙上建立不了真正session表项；开启则建立状态表项4、PC2不能ping通PC1。5、PC2能ping通PC1。其它说明和注意事项过程当中，开启相关的抓包软件，看数据报文结构。测试结果NAT功能测试测试目的测试是否支持NAT功能测试条件1、设备上电启动正常；2、通过直连网线将设备LAN口与PC相连。测试过程1、防火墙配置为路由模式，配置好相应的DPAT/DNAT策略2、配置终端内部的IP地址段等参数；3、连接到Inside口的PC机，PC是否可以正常访问外部的服务器；4、防火墙内部放置一台WebServer，在防火墙上进行相应的SNAT/SPAT地址映射设置；5、通过外网用户访问WebServer，观察是否成功。6、在防火墙上配置好ACL策略，放通outside到inside的访问流量，再看外网用户访问WebServer，观察是否成功。预期结果1、步骤3中，Inside口的PC机可以正常上网，同时通过外部服务器上的抓包，看到NAT后的地址；2、步骤5中，外网用户不可以访问内网WebServer，3、步骤6中，外网用户可以成功访问内网WebServer，同时通过内部PC上的捉包，看到NAT后的地址。其它说明和注意事项开启NAT-control测试结果用户认证功能测试测试目的测试是否支持用户认证功能以及AAA功能测试条件1、按照网络拓扑进行组网，配置防火墙接口，如IP地址、安全区域、安全级别等；2、PC安装Radius服务器（ciscoACS软件）。测试过程1、在防火墙中PC1访问PC2的安全策略中引用CTP用户认证功能；2、防火墙配置好认证方式(Radius)；如：AAA的IP、安全协议、KEY等3、PC1访问PC2，记录防火墙CTP认证过程4、尝试使用防火墙的其他认证方式：本地DB认证5、在AAA服务器里配置下发ACL，控制PC1能访问PC2的telnet，其他不能访问。6、防火墙上开启计费功能。预期结果1、PC1通过Radius认证或本地DB认证才能访问PC2的资源。2、认证通过后，AAA服务器下发ACL给防火墙并控制了除telnet以外的流量3、AAA服务器上记录了防火墙的流量信息其它说明和注意事项可以使用radius或tacacs+测试结果脚本过滤功能测试测试目的测试是否支持基于脚本的内容过滤功能测试条件1、设备上电启动正常；2、通过直连网线将终端LAN口与PC机以太网接口连接。测试过程1、配置终端和PC，使PC能上网浏览；2、防火墙上启用针对ActiveX、Java脚本的过滤功能；3、查看是否可以成功过滤ActiveX和Java脚本。预期结果1、可以成功过滤ActiveX和Java脚本。其它说明和注意事项测试结果支持应用控制测试目的验证ASA或sinforAC设备支持应用控制测试条件1、设备上电启动正常；2、PC1和PC2互联到AC设备，AC作为网关与公网相连；4、PC1和PC2均能访问公网应用FTP、http、qq、迅雷等。测试过程1、开启AC的应用控制设置，针对PC1地址只能QQ和http，2、开启AC的应用控制设置,针对PC2地址能访问QQ、http、迅雷等，但设置其HTTP下载速率低于40kBytes/s；3、开启AC的应用控制设置,针对PC1和PC2地址禁止搜索‘美女、性’等关键字。预期结果1、PC1只能访问QQ和HTTP2、PC2能访问所有的公网应用，而且HTTP下载速度得到设置3、PC1和PC2不能搜索‘美女、性’等关键字。其它说明和注意事项需要下载sinfor设备AC配置手册测试结果URL过滤测试目的考察UTM的URL过滤功能测试条件1、PC终端上电启动正常；2、PC终端通过防火墙隔离与Internet相通。测试过程1、配置终端和PC，使PC能上网浏览；2、UTM启用黑名单并添加URL关键字，如“sina”；3、在浏览器内分别输入URL包含“sina”和不包含“sina”的网址，浏览网络；4、UTM启用内容过滤功能，如“邪教”等；5、在PC1上访问baidu，并输入“邪教”进行搜索；6、查看访问URL的信息统计。预期结果1、步骤3中，PC无法浏览URL包含“sina”的网页，可正常访问其他网页；2、步骤5中，PC无法浏览网页；3、步骤6中，能针对所有URL进行访问次数的统计、能针对特定IP用户对URL访问的信息统计、能针对用户对特定URL访问次数的统计。其它说明和注意事项无测试结果IM/P2P控制功能测试目的验证AC设备应用控制功能测试条件1、设备上电启动正常；2、设备串接在PC与Internet间，PC能正常访问Internet。测试过程1、在AC上开启应用控制功能；2、在线下载并更新特征库；3、分别安装QQ、MSN、BT、eDonkey、Skype等应用软件的最新版本；4、为各应用软件设置相应的策略（如禁止QQ、MSN，允许BT、eDonkey；上班时全部禁止QQ、MSN、BT、eDonkey、Skype等操作；针对特定IP地址允许QQ、MSN、BT、eDonkey、Skype等操作）；5、记录AC对应用程序控制的手段（限速、阻断或均支持）。预期结果1、下载特征库成功，不需要重启设备；2、更新特征库同时不影响业务；3、从日志信息中可以看到相应策略的执行记录；4、按照预设策略执行操作。其它说明和注意事项需要下载sinfor设备AC配置手册测试结果2层/3层功能支持测试路由协议支持测试目的测试防火墙对路由协议的支持能力测试条件测试过程1、按上图组网连接好设备；2、在防火墙设备上配置RIPV1V2、OSPF、BGP（可选）等动态路由，设置全通策略；3、Router（inside区）配置好相应的RIPV1V2、OSPF、BGP等动态路由；4、PC1与PC2互访。预期结果1、防火墙与Router间的动态路由能正常建立，PC1与PC2能互通。其它说明和注意事项PIX防火墙ospf接口类型改为点对点测试结果透明、网桥模式组网测试目的考察UTM串接组网模式测试条件测试过程1、按上图组网连接好设备；在防火墙设备上配置透明工作模式，设置相应的安全策略；2、内外网在同一个网段上；3、从用户端向服务器发起请求。预期结果1、防火墙工作在透明模式，相应的安全策略起作用。其它说明和注意事项防火墙对三层IP包和二层非IP包的处理测试结果VLANtrunk支持功能测试目的验证防火墙LAN侧接口可为业务流量添加标签，WAN口对带有VLAN标签的业务流可成功转发测试条件1、终端上电启动正常；2、SW1与SW2划分vlan10与vlan20（SW1与SW2不起三层功能）；3、PC1、PC3配置同一网段的IP地址1；4、PC2、PC4配置同一网段的IP地址2。测试过程1、防火墙设置透明模式，并开启VLANtrunk；2、PC1通过安全终端与PC3通信；3、PC2通过安全终端与PC4通信。预期结果1、PC1通过安全终端与PC3通信；2、PC2通过安全终端与PC4通信。其它说明和注意事项使用sinfor、网域、迪普等设备测试，CISCO7.0和8.0版本支持不佳。测试结果多个端口链路捆绑功能（可选，设备做不了）测试目的考察UTM多端口捆绑能力测试条件测试过程1、按上图组网连接好设备；2、在设备上配置透明工作模式，设置相应的安全策略；3、多个物理端口（2-4个）捆绑成一条逻辑链路；4、内外网在同一个网段上；5、