2022年网络安全测试方案 .pdf-淘文阁

资源描述

《2022年网络安全测试方案 .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全测试方案 .pdf（16页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 第1章内网安全测试1.1 基础安全端口隔离MAC 安全IP 绑定ARP 绑定1.2 身份认证AAA 802.1x PPPOE Potal、CTP、认证代理1.3 内网准入控制（盈高解决方案）Pc 状态检测（）主机外设控制第2章安全设备测试方案防火墙、 AC 、安全网关、IPS、UTM2.1 功能测试基本功能测试默认安全规则功能验证测试目的测试设备是否支持基本功能测试条件1、设备

2、上电启动正常；2、通过直连网线将设备LAN 口与 PC 相连。测试过程1、设备开启防火墙功能；2、查看从内向外的ping、web 或 telnet、DNS 业务是否正常。3、查看从外向内的ping、web 或 telnet、DNS 业务是否正常。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 16 页 - - - - - - - - - 预期结果1、步骤 2 中， ping、telnet、web 业务均正常；2、步骤 3 中， ping、telnet、web 业务均不

3、正常；其它说明和注意事项本测试任务测试防火墙对ICMP TCP udp 等处理行为测试结果TCP状态检测功能测试测试目的测试 TCP 状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1 接口加入防火墙 Inside 域，将终端 PC2 接口加入防火墙 outside 域； 2、在PC2 上开启 HTTP server 和 FTP server 。测试过程1、在防火墙上配置安全规则，允许从PC1 到PC2 的HTTP 协议报文通过（默认高级别到低级别为允许）； 2、PC1 向PC2 请求HTTP 页面，可以得到结果 1； 3、使用相关命令查看防火墙的conn或session 表信息，可

4、以得到结果 2； 4、关闭IE，断开web 连接，再查看防火墙 session 表信息，可以得到结果 3； 5、PC1 向PC2 发起FTP 请求，可以得到结果 4。预期结果1、PC1 可以通过防火墙正常访问 HTTP 页面； 2、可以看到防火墙上建立了HTTP session表项； 3、防火墙上 session 表项已经删除； 4、默认开启 ftp 深度检测 ALG ，则FTP 请求能成功建立，其它说明和注意事项pc2下载安装好 HTTP 和FTP 服务软件测试结果UDP状态检测功能测试测试目的测试 udp状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1 接口加入防火墙 In

5、side 域，将终端 PC2 接口加入防火墙 outside 域；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - - - - - 2、在PC2 上开启系统 DNS server。测试过程1、在防火墙上配置安全规则，允许从PC1 到PC2 的UDP 协议报文通过（默认高级别到低级别为允许）； 2、 PC1配置 IP 地址、 DNS地址（为 PC2的 IP ）后 , 在 CMD 命令行中执行 nslookup （PC2

6、中有DNS 映射），是否得到 dns映射中的 IP；结果1 3、使用相关命令查看防火墙的conn或session 表信息，可以得到结果 2； 4、关闭CMD ，再查看防火墙 session 表信息，可以得到结果 3；预期结果1、PC1 可以得到 DNS 映射的IP 2、可以看到防火墙上建立了UDP session表项； 3、防火墙上仍存在 session 表项；等待空闲时间超时再删除。其它说明和注意事项pc2系统为服务版，安装好 DNS 服务并建立 DNS 映射测试结果支持 session 连接数的限制测试目的验证防火墙设备支持 Sessions 连接数的控制测试条件1、设备上电启动正

7、常； 2、PC1 和PC2 互联到防火墙，防火墙作为网关与公网相连； 4、PC1 和PC2 均能访问公网应用 FTP 、http 、qq、迅雷等。测试过程1、针对PC1 不开启Sessions数控制，观察 Sessions建立的状况及数值，得出结果1；2、开启防火墙的 Sessions数控制的设置，针对 PC2 设置数值为 10个；观察 Sessions建立的状况及数值，得出结果2；预期结果1、结果1：Sessinos连接可以正常建立； 2、结果2：Sessinos连接控制在 10个以内。其它说明和注意事项测试结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

8、- - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 16 页 - - - - - - - - - ICMP状态检测功能测试测试目的测试是否支持 ICMP状态检测功能测试条件1、按照网络拓扑进行组网，将终端PC1 接口加入防火墙 Inside 域，将终端 PC2 接口加入防火墙 outside 域；测试过程1、在防火墙上配置安全规则，允许从PC1 到PC2 的ICMP 协议报文通过（默认高级别到低级别为允许）； 2、未开启 icmp状态检测， PC 1向PC 2发ping包，可以得到结果 1； 3、开启icmp状态检测， PC 1向PC 2发pin

9、g包，可以得到结果 2； 4、使用相关命令查看防火墙的session 表信息，可以得到结果 3； 5、PC 2向PC 1发ping包，可以得到结果 4。 6、在防火墙上配置 ACL 允许outside 到Inside 的ICMP 协议报文， PC 2向PC 1发ping包，可以得到结果 5. 预期结果1、PC1 不可以ping通PC2 ； 2、PC1 可以ping通PC2 3、未开启，则防火墙上建立不了真正session 表项；开启则建立状态表项 4、PC2 不能ping通PC1 。 5、PC2 能ping通PC1 。其它说明和注意事项过程当中，开启相关的抓包软件，看数据报文结构。测试结果N

10、AT功能测试测试目的测试是否支持 NAT 功能测试条件1、设备上电启动正常； 2、通过直连网线将设备 LAN 口与PC 相连。测试过程1、防火墙配置为路由模式，配置好相应的DPAT/DNAT策略 2、配置终端内部的 IP地址段等参数； 3、连接到 Inside 口的 PC机，PC 是否可以正常访问外部的服务器； 4、防火墙内部放置一台 Web Server ，在防火墙上进行相应的 SNAT/SPAT 地址映射设名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 -

11、 - - - - - - - - 置； 5、通过外网用户访问 Web Server ，观察是否成功。 6、在防火墙上配置好 ACL 策略，放通 outside 到inside 的访问流量，再看外网用户访问 Web Server ，观察是否成功。预期结果1、步骤 3 中，Inside 口的 PC 机可以正常上网，同时通过外部服务器上的抓包，看到NAT 后的地址； 2、步骤5中，外网用户不可以访问内网 Web Server ， 3、步骤6中，外网用户可以成功访问内网 Web Server ，同时通过内部 PC 上的捉包，看到NAT 后的地址。其它说明和注意事项开启NAT-control 测试结

12、果用户认证功能测试测试目的测试是否支持用户认证功能以及AAA 功能测试条件1、按照网络拓扑进行组网，配置防火墙接口，如IP地址、安全区域、安全级别等；2、PC 安装Radius服务器（ cisco ACS软件）。测试过程1、在防火墙中 PC1 访问PC2 的安全策略中引用 CTP 用户认证功能； 2、防火墙配置好认证方式 (Radius) ；如：AAA 的IP、安全协议、 KEY 等 3、PC1 访问PC2 ，记录防火墙 CTP 认证过程 4、尝试使用防火墙的其他认证方式：本地DB 认证 5、在AAA 服务器里配置下发 ACL ，控制PC1 能访问PC2 的telnet ，其他不能访问。 6

13、、防火墙上开启计费功能。预期结果1、 PC1 通过Radius 认证或本地 DB 认证才能访问 PC2 的资源。 2、认证通过后， AAA 服务器下发 ACL 给防火墙并控制了除 telnet 以外的流量 3、 AAA 服务器上记录了防火墙的流量信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 其它说明和注意事项可以使用 radius 或 tacacs+ 测试结果脚本过滤功能测试测试目的测试是否支持基于脚本的内容过滤功

14、能测试条件1、设备上电启动正常； 2、通过直连网线将终端 LAN口与PC 机以太网接口连接。测试过程1、配置终端和 PC ，使PC 能上网浏览； 2、防火墙上启用针对 ActiveX 、Java脚本的过滤功能； 3、查看是否可以成功过滤 ActiveX 和 Java 脚本。预期结果1、可以成功过滤 ActiveX 和Java脚本。其它说明和注意事项测试结果支持应用控制测试目的验证ASA 或 sinfor AC 设备支持应用控制测试条件1、设备上电启动正常； 2、PC1 和PC2 互联到AC 设备，AC 作为网关与公网相连； 4、PC1 和PC2 均能访问公网应用 FTP 、http 、q

15、q、迅雷等。测试过程1、开启AC 的应用控制设置，针对 PC1地址只能 QQ 和http ， 2、开启AC 的应用控制设置 , 针对 PC2地址能访问 QQ 、http 、迅雷等，但设置其 HTTP下载速率低于 40kBytes/s ； 3、开启AC 的应用控制设置 ,针对PC1 和PC2 地址禁止搜索美女、性等关键字。预期结果1、 PC1 只能访问 QQ 和HTTP 2、 PC2 能访问所有的公网应用，而且HTTP 下载速度得到设置 3、 PC1 和PC2 不能搜索美女、性等关键字。其它说明和注意事项需要下载 sinfor 设备 AC 配置手册测试结果URL过滤测试目的考察UTM 的U

16、RL 过滤功能名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 16 页 - - - - - - - - - 测试条件1、PC 终端上电启动正常； 2、PC 终端通过防火墙隔离与 Internet相通。测试过程1、配置终端和 PC ，使PC 能上网浏览； 2、UTM 启用黑名单并添加 URL 关键字，如“ sina ”； 3、在浏览器内分别输入 URL 包含“sina ”和不包含“ sina ”的网址，浏览网络； 4、UTM 启用内容过滤功能，如“邪教”等； 5、在PC1

17、上访问 baidu ，并输入“邪教”进行搜索； 6、查看访问 URL 的信息统计。预期结果1、步骤3中，PC 无法浏览 URL 包含“sina ”的网页，可正常访问其他网页； 2、步骤5中，PC 无法浏览网页； 3、步骤6中，能针对所有 URL 进行访问次数的统计、能针对特定IP用户对URL 访问的信息统计、能针对用户对特定 URL 访问次数的统计。其它说明和注意事项无测试结果IM/P2P控制功能测试目的验证 AC设备应用控制功能测试条件1、设备上电启动正常； 2、设备串接在 PC与Internet间，PC 能正常访问 Internet。测试过程1、在AC 上开启应用控制功能； 2、在

18、线下载并更新特征库； 3、分别安装 QQ 、MSN 、BT 、eDonkey 、Skype 等应用软件的最新版本； 4、为各应用软件设置相应的策略（如禁止QQ 、MSN ，允许BT 、eDonkey ；上班时全部禁止QQ 、MSN 、BT 、eDonkey 、Skype 等操作；针对特定 IP 地址允许 QQ 、MSN 、BT 、eDonkey 、Skype等操作）； 5、记录AC 对应用程序控制的手段（限速、阻断或均支持）。预期结果1、下载特征库成功，不需要重启设备； 2、更新特征库同时不影响业务； 3、从日志信息中可以看到相应策略的执行记录； 4、按照预设策略执行操作。其它说明和注意事

19、项需要下载 sinfor 设备 AC 配置手册测试结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 2层/3层功能支持测试路由协议支持测试目的测试防火墙对路由协议的支持能力测试条件测试过程1、按上图组网连接好设备； 2、在防火墙设备上配置 RIP V1 V2、OSPF 、BGP （可选）等动态路由，设置全通策略；3、Router（inside 区）配置好相应的 RIP V1 V2、OSPF 、BGP 等动态路由； 4、PC1

20、与PC2 互访。预期结果1、防火墙与 Router间的动态路由能正常建立，PC1 与PC2 能互通。其它说明和注意事项PIX防火墙ospf接口类型改为点对点测试结果透明、网桥模式组网测试目的考察UTM 串接组网模式测试条件测试过程1、按上图组网连接好设备；在防火墙设备上配置透明工作模式，设置相应的安全策略； 2、内外网在同一个网段上； 3、从用户端向服务器发起请求。预期结果1、防火墙工作在透明模式，相应的安全策略起作用。其它说明和注意事项防火墙对三层 IP包和二层非 IP包的处理测试结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -

21、- - - - - 名师精心整理 - - - - - - - 第 9 页，共 16 页 - - - - - - - - - VLAN trunk 支持功能测试目的验证防火墙 LAN 侧接口可为业务流量添加标签，WAN 口对带有 VLAN 标签的业务流可成功转发测试条件1、终端上电启动正常； 2、SW1 与SW2 划分vlan 10 与 vlan 20 （SW1 与SW2 不起三层功能）； 3、PC1 、PC3 配置同一网段的 IP 地址1； 4、PC2 、PC4 配置同一网段的 IP 地址2。测试过程1、防火墙设置透明模式，并开启 VLAN trunk ； 2、PC1 通过安全终端与 PC3

22、通信； 3、PC2 通过安全终端与 PC4 通信。预期结果1、PC1 通过安全终端与 PC3 通信； 2、PC2 通过安全终端与 PC4 通信。其它说明和注意事项使用sinfor 、网域、迪普等设备测试，CISCO7.0 和8.0版本支持不佳。测试结果多个端口链路捆绑功能（可选，设备做不了）测试目的考察UTM 多端口捆绑能力测试条件测试过程1、按上图组网连接好设备； 2、在设备上配置透明工作模式，设置相应的安全策略； 3、多个物理端口（ 2-4个）捆绑成一条逻辑链路； 4、内外网在同一个网段上； 5、从用户端向服务器发起请求。预期结果1、UTM 工作在透明模式，捆绑链路成为一条逻辑通

23、道传送数据流，相应的安全策略起名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - 作用。其它说明和注意事项无测试结果特殊功能支持测试虚拟化组网测试目的考察防火墙对虚拟化组网的支持测试条件测试过程1、按上图组网连接好设备；防火墙设备上配置多模式； 2、针对不同的虚拟防火墙配置相应的安全策略； 3、外网不同的 PC 通过虚拟防火墙访问内网的服务器。预期结果1、在多模式下，防火墙相应的安全策略起作用，能正常工作其它说明和注意事项

24、采用ciscoPIX 和ASA 设备测试结果主备、 AS模式测试目的考察防火墙主备模式功能测试条件1、按图组网连接好设备；在防火墙设备上配置单模式策略，设置相应的安全策略；。测试过程1、配置好Failover 组，防火墙1为组的活动 active 设备，防火墙2为组的stanby 设备，内网中任意两台 PC1 PC2 与外网中任意一台 PC3ping以及TCP 连接测试，得到结果 1；2、登录防火墙 2查看添加的安全规则是否同步过来以及session 状态是否同步；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师

25、精心整理 - - - - - - - 第 11 页，共 16 页 - - - - - - - - - 3、 PC1 与PC3 、PC2 与PC3 相互长ping，若开启接口 monitor ，断开断掉 Link2 或Link4链路，得到结果 2； 4、登录防火墙 2查看是否为 active 状态。预期结果1、在切换过程中， ICMP 丢包但能很快恢复，同时防火墙的配置和session 状态能通过心跳线同步。其它说明和注意事项防火墙采用路由模式测试结果双主、 AA模式测试目的考察防火墙 AA 模式功能测试条件1、按图组网连接好设备；在防火墙设备上配置多工作模式，设置相应的安全策略；测试过

26、程4、配置好两个 Failover 组，防火墙 1为组1的活动设备，防火墙 2为组2的活动设备，内网中任意两台 PC1 PC2 与外网中任意一台 PC3ping测试，得到结果 1； 5、登录防火墙 2查看添加的安全规则是否同步过来以及session 状态是否同步； 6、 PC1 与PC3 、PC2 与PC3 相互长ping，若开启接口 monitor ，断开断掉 Link2 或Link4链路，得到结果 2； 7、恢复刚才所断链路的连接，重复ping； 8、若开启接口 monitor ，断掉Link1 或 Link 3 链路，重复 ping。得到结果 3 预期结果1、结果1：PC1 可

27、以访问 PC3 ，PC2 可以访问 PC3 2、结果2: 当down 掉Link2 或 Link4 或防火墙1不能正常工作时；在切换过程中，ICMP 丢包但能很快恢复，同时防火墙间的配置和session 状态能通过心跳线同步； 3、结果3:当down 掉Link3 或 Link1 或防火墙2 不能正常工作时，在切换过程中，ICMP 丢包但能很快恢复，同时防火墙间的配置和session 状态能通过心跳线同步。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 16

28、页 - - - - - - - - - 其它说明和注意事项配置好相关的策略测试结果2.2 安全性测试拦截基本攻击验证测试目的验证网域星云安全网关对 DOS 攻击防御能力测试条件1、内网中任意一台 PC1 及外网中任意一台 PC2 ，且能正常互访。测试过程1、PC1 对PC2 进行连接访问； 2、PC2 对PC1 进行连接访问； 3、安全网关设置基本攻击防御，并开启记录功能； 4、PC1 对PC2 进行Syn 、UDP Flood 攻击； 5、PC2 对PC1 进行Syn 、UDP Flood 攻击； 6、查看攻击记录； 7、查看UTM 对于 LAND 、SYN Flooding 、ICMP

29、 Redirection 、Smurf、Winnuke、Ping of Death， Ping Sweep ，Teardrop等基本的 DOS 攻击是否有相应的拦截措施，并记录。预期结果1、除1、2能建立连接，其他 DOS 攻击，防火墙均能拦截并能记录。其它说明和注意事项使用原联想网域设备测试，下载相关设备手册参考；攻击模拟软件统一管理使用测试结果安全性扫描测试测试目的测试cisco 、网域、 sinfor 软件及其使用的操作系统的安全程度测试条件1、设备上电启动正常； 2、PC 与安全网关设备相连；测试过程1、利用Internet Scanner或Xscan、Nmap 等免费scanne

30、r对处于工作状态的防火墙仿真黑客攻击； 2、统计检测到的漏洞。预期结果1、开放端口。其它说明和注意事项下载nmap 软件安装测试结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 16 页 - - - - - - - - - IPS功能测试目的考察UTM 的IPS功能测试条件测试过程1、开启UTM 的IPS功能； 2、新增包过滤策略，引用 IPS功能； 3、PC1 对PC2 发起攻击，有结果 1； 4、关闭IPS功能，再次发起攻击，有结果2。预期结果1、步骤3中

31、，UTM 阻断攻击，攻击不成功； 2、步骤4中，UTM 不阻断攻击，攻击成功。其它说明和注意事项无测试结果AV功能测试目的考察UTM 的防病毒能力测试条件1、终端上电启动正常； 2、激活防病毒功能； 3、终端设定透明模式 ,安全终端串接在病毒样本机器和Client PC 中间。测试过程1、启用防病毒功能； 2、下载并更新当前最新的病毒库； 3、针对HTTP/ FTP 访问进行深度检测； 4、PC 打开IE浏览器访问病毒测试页面。预期结果1、当访问病毒文件的时候终端一旦侦测到病毒的存在，清除的同时会警告用户该事件； 2、步骤2，能够成功更新病毒库，无需重启设备； 3、没有防病毒前，

32、病毒文件可以自动下载下来。打开防病毒功能后，该病毒文件无法下载。其它说明和注意事项无测试结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 16 页 - - - - - - - - - 2.3 性能测试（厂商测试）工作环境测试支持并发连接数和新建连接数测试带宽和吞吐量测试VPN连接数以及吞吐量测试防病毒吞吐量测试第3章VPN 原理技术测试Ipsec原理测试SSL原理测试第4章信息管理案例测试流量控制管理设备管理第5章用户需求及应用案例测试防火墙应用案例VPN应用案例内网安全控制案例名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 16 页 - - - - - - - - - 测试时间年月日测试人员（签字）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 16 页 - - - - - - - - -

展开阅读全文