SANGFOR-ac测试方案.docVIP

Ac2200测试 测试方案 目录 一、 前言 3 1、用户简介 3 2、需求分析 3 二、测试方法简介 3 1、测试目标 3 2、测试环境要求 3 2.1 硬件要求 3 2.2 软件要求 3 二、 测试环境网络部署图如下（根据客户网络环境设计） 4 四、详细功能测试 4 1、部署模式 4 2、用户识别测试 5 3、应用识别测试 6 4、流量管理功能测试 9 5、邮件过滤与审计 10 6、行为记录与审计 13 四、测试结论 16 前言 1、用户简介 随着信息技术，特别是网络技术的进步和发展，不管是在家还是在单位都能够方便的连接互联网进行访问，而单位职工在内部发生的各种互联网访问行为，对单位的内部信息安全、工作效率、法律风险等等的影响正在逐步显现，这一点逐渐引起了高层领导和网络信息中心的关注，而且公安部82号令、公安部33号令等的相关法律法规，也要求各单位对内网用户的互联网访问行为进行管控和记录。 2、需求分析 为了更好的使用互联网资源为组织单位产生更多的价值和效益，必须能够对内网用户的互联网访问行为进行有效的管理、引导和规范。由于上网行为是由用户使用终端设备访问互联网各种资源所形成，所以必须要能够精准的识别用户身份、识别终端设备、识别互联网应用，进而提供包括终端控制、流量控制、安全审计在内的多种管理措施，全面的管理用户的上网行为。 二、测试方法简介 1、测试目标 通过此次测试，能够对上网优化网关设备的功能和管理特性一个详细的了解设备一台 电脑若干；PC的操作系统建议为Windows 2000、Window XP或Windows2003，安装有Foxmail或Outlook，QQ、MSN和BT软件、PPLIVE或PPstream、FTP客户端工具；在服务器上安装数据中心。 四、详细功能测试 以下为对深信服科技提供的ac2200进行详细的功能测试。 1、部署模式 被测设备只有支持包括旁路模式在内的多种部署方式，才能够更加完善的满足客户复杂的网络环境。 测试编号 测试时间 测试项目 部署模式 测试人员 测试分项 桥接部署 2、用户识别测试 上网行为即内网用户使用终端设备如电脑访问和使用各种互联网资源而形成，所以对用户的身份识别是进一步管理的就基础。对用户身份的识别必须支持多种方式，以便于组织机构灵活采用和部署实施。 测试编号 测试时间 测试项目 用户认证方式 测试人员 测试分项 三层IP/MAC绑定 测试目的 传统的IP/MAC绑定是指二层网络环境下的绑定，但大型组织往往是三层网络环境，此时二层IP/MAC绑定无法有效的满足高端客户的需求。而IP/MAC绑定又是高端客户所必须的功能，所以在三层网络环境中实现IP/MAC绑定将帮助高端客户解决跨网段的IP和MAC绑定问题，便于高端客户的网络管理、用户识别和认证。配置的时候开启snmp协议我们默认的团体字符串是public 要求核心交换机和其他三层交换机都开启snmp 测试方法 1、设备以网关模式部署，内网口连接三层设备，三层设备下接用户A； 2、在设备上创建用户帐号，并启用IP/MAC绑定，填写三层设备下A用户的IP和其对应的MAC地址； 3、配置设备以确保A用户访问外网资源，且访问成功； 4、更改A用户的IP地址，然后再访问互联网资源，测试是否成功 5、用户B使用另一台终端设备下接于三层设备，设置B的IP为A的IP； 5、用户B访问外网资源，测试访问结果是否成功。 预期结果 在高端客户的三层网络环境中也能够实现终端设备的IP/MAC绑定功能，方便设备的实际部署和对接入用户的身份识别 测试结果 A用户在更改IP后不能访问Internet (满足 (不满足 B用户使用A用户的IP地址访问Internet不成功 (满足 (不满足 测试结论 所测试产品是否满足该项功能要求 (满足 (不满足 测试编号 测试时间 测试项目 用户认证方式 测试人员 测试分项 未创建账号用户的认证 测试目的 组织单位往往会有第三方合作伙伴、新员工等未及时创建帐号的用户接入网络，这就需要被测设备能够自动添加未创建帐号的用户信息，并且同时能够将新用户自动分组、自动授权、实现方便性和可控性的统一。 测试方法 1、设备具有未创建账号的处理方式，并且此功能可选； 2、未创建帐号的用户至少具有两种以上的处理方式，如以IP为新账号并绑定IP地址和MAC地址、以计算机名为新账号并绑定IP地址和MAC地址或者到第三方服务器上认证身份； 3、 配置设备将未创建账户的用户自动以IP地址作为新用户名，同时绑定IP-MAC； 4、配置设备将未创建账号的用户自动添加到设备后可以分配到指定的用户组，从而继承相应的上网权限：禁止访问 5、内