USG上网行为管理测试方案.doc

资源描述

USG上网行为管理测试方案 USG上网行为管理产品测试方案淄博泰德计算机科技日期：2008-11-21 目录一、概述 (3) 1.1 背景 (3) 1.2 测试环境 (3) 1.3 测试设备 (4) 1.4 测试目的 (4) 1.5 测试人员 (4) 1.6 测试时间 (4) 二、USG上网行为管理设备功能测试项目及结果 (5) 三、测试总结性结论 (8) 一、概述 1.1 背景随着信息技术的发展和进步，尤其是网络的兴起和普及，组织和个人的联网条件得到了很大的改善，而组织内部员工已经不限于通过与同事闲聊来打发上班时间，网上购物、与好友通过IM工具在线聊天、在线欣赏音乐和电源、通过BT等P2P工具下载、收发个人邮件、在论坛上舞文弄墨，只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣，由此严重的降低了工作效率。除了因上班时间无心工作所带来的直接损失外，组织还面临着承当法律责任和泄密风险。部分员工利用上班时间访问内容不当的网站〔如色情、反动等〕、发表不负责任的网络言论、甚至组织或参加非法网络活动，例如网上诈骗、网络攻击，这些行为将使组织名誉受损、蒙受牵连。组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首，由于互联网行为复杂且难以预料，无论是故意还是意外，一个居心莫测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。值得庆幸的是，越来越多务实、具备安全意识的管理者发现了问题所在，并希望通过有效而可靠的途径实现对员工的上网行为进行管理，深信服科技推出的天清汉马USG系列产品为用户提供了从用户终端到网关安全，涵括行为+内容的完整上网行为管理解决方案。 1.2 测试环境 A：产品布暑模式：网关模式 B：布暑拓扑图： 1.3 测试设备 USG-300B 1台 1.4 测试目的测试USG产品对上网行为的管理效果。 1.5 测试人员朱晓林 1.6 测试时间二、USG上网行为管理设备功能测试项目及结果功能测试项目具体指标结果备注布暑方式网关模式测试设备是否支持以路由/网关模式布暑，并能够实现NAT代理上网和基本的路由转发功能满足不满足网桥模式必需在不更改原有网络IP配置状况下，验证设备是否能以网桥模式布暑满足不满足旁路模式以获取镜像数据的方式，在丝毫不影响原有网络性能和结构状况下，验证设备的旁路布暑模式满足不满足多线路复用设备可以同时连接最多四条公网线路，从而扩大公网带宽满足不满足多线路智能选路用户访问公网流量，支持自动优选最快的外网线路进行传输满足不满足路由设置多线路选路策略：按剩余下行带宽分配按每条线路的剩余下行带宽优先选择线路满足不满足多线路选路策略：按剩余上行带宽分配按每条线路的剩余上行带宽优先选择线路满足不满足多线路选路策略：平均分配流量平均分配所有流量到每条线路满足不满足多线路选路策略：优先选择第一条线路优先选择第一条公网线路用于流量传输满足不满足多路接入网关模式下，支持两个LAN口、两个WAN口的布暑方式满足不满足多路桥接网桥模式下，支持至少两个LAN口、两个WAN口的布暑方式满足不满足双机布暑支持双机方式布暑，提升可靠性满足不满足 Bypass功能意外断电时，设备仍能通过Bypass功能，透传数据包，不影响原有网络的可用性满足不满足设备管理 Web管理界面设备支持以SSL加密方式，通过Web界面对设备进行管理满足不满足分权限+IP限制管理管理员支持分权限管理；且支持限制管理员访问设备时的源IP地址满足不满足 DOS攻击自动告警设备在发现DOS攻击后，支持通过邮件告知管理员，自动告警满足不满足 ARP欺骗自动告警设备发现内网跨网段的ARP欺骗后，支持通过邮件自动告警满足不满足病毒自动告警设备在发现网络中有病毒时，自动发送邮件告警满足不满足泄密自动告警设备在发现用户通过网页上传、文件上传、邮件外发方式泄密时，支持自动告警满足不满足防病毒模块功能，必需购买策略故障排查通过设备管理界面辅助，支持排查策略配置错误满足不满足认证方式测试密码方式认证用户访问公网时，自动弹出Web窗口进行认证；且支持指定IP范围用户无必需Web认证满足不满足支持使用第三方POP3邮件服务器的认证满足不满足支持使用第三方PROXY服务器的认证满足不满足支持与LDAP、AD服务器结合的认证，且无必需客户端安装任何组件满足不满足支持使用第三方Radius服务器的认证满足不满足USB-Key认证用户使用USB-Key标示身份，进行认证满足不满足自动认证：以IP地址为用户名未创建用户、自动以IP地址为用户名创建帐户，并分配到指定用户组，授予指定权限满足不满足自动认证：以计算机名为用户名未创建用户、自动以其计算机名为用户名创建帐户，并分配到指定用户组，授予指定权限满足不满足自动认证：自动绑定IP 未创建用户自动创建帐号后，支持自动绑定IP地址满足不满足自动认证：自动绑定MAC 未创建用户自动创建帐号后，支持自动绑定MAC地址满足不满足自动认证：IP-MAC自动绑定未创建用户自动创建帐号后，支持自动实现IP-MAC绑定满足不满足IP-MAC绑定支持跨三层设备的IP-MAC绑定功能满足不满足公用帐号支持创建公用帐号，同意多人共用同一帐号满足不满足帐号过期支持账号的自动过期功能满足不满足POP3、Proxy单点登选用户在通过POP3、Proxy认证后，无必需再通过设备认证满足不满足LDAP、AD单点登录必需无必需在AD、LDAP服务器和客户端上安装任何插件，实现 LDAP、AD的单点登录功能满足不满足用户导入：文本导入支持将含有用户信息的文本导入设备，导入信息至少包括：用户名、组名、密码、IP地址、MAC地址、描述、认证方式等满足不满足用户导入：AD导入支持将AD服务器上用户信息导入满足不满足未认证通过用户管理支持给未认证通过用户授予除外的基本网络权限满足不满足免审计key 支持内网领导通过USB-Key方式免除其在设备上的一切网络行为记录满足不满足借助设备内置库，测试对新闻类网站news.sina .cn，搜索引擎类SSL加密网址过滤同意访问招商银行： s:// bchina ，但禁止访问非法网满足不满足搜索引擎输入关键字过滤过滤用户在百度中搜索“艳照门〞等关键字满足不满足网页正文关键字过滤基于网页正文中的“艳照门〞等关键字进行网页过滤满足不满足网页上传关键字过滤基于用户向公网公布帖子当中的关键字进行过滤满足不满足文件类型过滤URL中含有文件名及通过页面跳转方式的文件下载，基于文件类型进行过滤满足不满足 FTP文件过滤同一个FTP会话中，先下载后上传，支持分别进行文件类型过滤满足不满足邮件管控对发件人地址的过滤不同意含有指定后缀地址的发件人发送邮件满足不满足过滤邮件正文、标题关键字基于邮件正文及内容指定的关键字进行邮件过滤满足不满足对邮件附件类型的过滤依据邮件附件类型进行邮件过滤满足不满足SSL加密邮箱控制控制用户端Foxmail/Outlook配置使用SSL加密的Gmail邮箱〔不能采用封堵443等端口的形式〕满足不满足Webmail的管控封堵用户使用mail.163 等常见Webmail；基于Webmail正文关键字的过滤满足不满足邮件延迟审计测试依据收件人邮件地址进行邮件拦截和审计满足不满足依据邮件大小进行外发邮件的拦截和审计满足不满足依据附件个数进行外发邮件的拦截和审计满足不满足依据外发邮件的标题和正文关键字进行外发邮件的拦截和审计满足不满足有邮件必需要审计时，自动通知审计人员满足不满足垃圾邮件过滤关于来自外网的邮件提供垃圾邮件过滤功能满足不满足网络权限控制封堵聊天软件封堵主流IM聊天软件：、MSN、ICQ 满足不满足封堵Skype等加密的聊天软件满足不满足其他IM聊天软件的封堵：网易泡泡、POCO、卡盟、新浪UC、雅虎通、阿里旺旺等满足不满足必需更新封堵P2P工具常见P2P的封堵：BT、电骡、百度下吧、kugoo、Foxy、Gnutella、百宝、POCO、PP点点通、Bagaa、Kugou等满足不满足加密BT、加密电骡和未知版本P2P工具的智能封堵满足不满足封堵在线流媒体封堵包括：沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、 Live、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、 PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等满足不满足封堵炒股软件封堵包括：大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、将来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等满足不满足封堵网络游戏封堵包括：联众游戏、游戏中心、浩方、游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU棋牌、远航游戏等满足不满足邮件权限对邮件收发的控制满足不满足 FTP权限控制支持对非标准端口FTP行为的识别和封堵满足不满足权限控制可分别控制上传和下载，及多线程下载行为满足不满足文件传输控制对迅雷、传文件、MSN传文件等行为进行封堵满足不满足上网时间限制不仅实现上班/下载时间限制；对用户一天内总上网时间进行限制满足不满足防止私用代理对用户端私自使用代理软件进行识别和控制满足不满足对 / S端口数据的识别防止用户通过 / S端口传输非网页数据〔如通过80端口传输〕满足不满足流量管理功能用户组带宽分配为指定的用户组执行上班时间的带宽分配策略满足不满足应用类型流量管理对BT、电骡、迅雷进行带宽限制策略满足不满足为接收Email邮件和发送Email邮件分别进行带宽确保策略满足不满足网站类型流量管理对用户访问新闻类网站的流量进行带宽限制策略满足不满足访问管理员自建的行业网站的行为进行带宽确保策略满足不满足文件传输流量管理上传下载非业务类文件进行带宽限制策略满足不满足上传下载业务相关类型文件进行带宽确保策略满足不满足静态和动态带宽策略既支持静态的带宽划分确保策略，也支持动态带宽确保策略满足不满足单用户流量管理支持为指定组内每用户进行流量管理：平均分配或自由竞争满足不满足WAN LAN的流控对外网用户访问内网服务器的行为也提供流量管理功能满足不满足监控和审计Web浏览跟踪记选用户访问的URL地址满足不满足记选用户访问网页的网页标题满足不满足记选用户访问的整个网页的网页内容满足不满足只记录含有指定关键字的网页的网页内容满足不满足记选用户向BBS、论坛、博客公布的内容满足不满足邮件监控记选用户通过Webmail发送的邮件正文及附件满足不满足记选用户通过邮件客户端发送的所有邮件，包括附件满足不满足记选用户通过邮件客户端接收的所有邮件，包括附件满足不满足 IM聊天内容监控记录MSN、雅虎通的聊天内容满足不满足记录聊天内容满足不满足文件传输监控记录通过上传的文件及文件名，及下载的文件名信息满足不满足记录通过FTP上传的文件及文件名，及下载的文件名信息满足不满足 Telnet监控记选用户的Telne行为及Telnet命令满足不满足 WAN-LAN的审计公网用户访问内网服务器的行为记录和监控满足不满足公网用户访问内网FTP服务器的行为记录和监控满足不满足公网用户访问内网Email服务器的行为记录和监控满足不满足其他监控记选用户的网络游戏、P2P、炒股等其他网络行为满足不满足流量审计统计指定用户在指按时间段内产生的总流量满足不满足统计指定用户在指按时间段，使用指定应用协议产生的流量满足不满足时间审计统计指定用户在指按时间段内产生的总上网时间满足不满足统计指定用户在指按时间段，使用指定应用协议的上网时间满足不满足日志审计、报表、内容检索日志集中管理一个网络访问行为日志中心，可以以WEB方式查看多台网关设备的日志监控数据满足不满足内置日志中心设备本身支持行为日志存储和图形化审计功能满足不满足独立日志中心设备必需支持第三方独立日志中心功能，实现日志海量存储满足不满足转存于第三方的日志必需以数据库形式存储，方便查询和二次提取满足不满足独立日志中心必需提供图形化的行为审计、绘图、统计工具满足不满足自动报表依据管理员设定，日志中心能自动将指按时间段的指定统计结果汇总成PDF等报表文件，发送到指定Email邮箱满足不满足内容检索支持类似百度的搜索工具，实现对海量日志的内容检索满足不满足支持对日志中所记录附件：OFFICE、TXT、PDF等文档的正文内容的检索满足不满足支持将管理者感兴趣的内容检索结果周期性的自动形成报表结果，发送到指定邮箱满足不满足安全性加强客户端安全级别检查可以检查接入终端设备的操作系统版本及补丁状况满足不满足可以检查接入终端设备是否安装指定杀毒软件、防火墙软件并更新满足不满足可以检查接入终端设备的硬盘指定目录下的文件状况满足不满足可以检查接入终端设备的系统当前运行的进程状况满足不满足可以检查接入终端设备的注册表信息满足不满足防火墙相关功能具有基本的防火墙策略设置，能够对多网口之间的流量进行基于防火墙策略的过滤和管控满足不满足支持以源IP地址、目标IP地址、协议、源端口、目标端口为条件的策略路由功能满足不满足支持DHCP功能，为接入用户动态分配IP地址满足不满足网关杀毒功能对网页流量进行病毒查杀满足不满足、FTP传输的文件进行病毒查杀满足不满足对SMTP、POP3邮件中潜藏的病毒进行查杀满足不满足对ZIP、RAR等压缩包内的病毒进行查杀满足不满足防DOS攻击防范来自公网的DOS攻击满足不满足防范来自内网的DOS攻击满足不满足防ARP欺骗能够防范跨网段环境下的ARP欺骗问题满足不满足入侵防御业界最完善的攻击特征库，包括50多类，超过1800项的入侵攻击特征，漏洞机理分析技术，准确抵抗黑客攻击、蠕虫、木马、后门应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥网络异常分析技术，全面防止拒绝服务攻击满足不满足必需购买功能模块 VPN功能IPSEC Vpn 双USG设备通过互联网构建VPN 满足不满足SSL VPN WEB代理模式满足不满足隧道模式〔安装客户端〕满足不满足L2TP 支持第二层隧道协议满足不满足证书认证VPN登录必需要证书认证满足不满足网络使用实时查看功能会话统计实时查看ip会话连接满足不满足流量统计实时查看IP流量统计满足不满足会话管理会话具体实时查看满足不满足临时阻断依据非法会话，确定其IP，对IP进行封堵满足不满足三、测试总结性结论 1，依据IP,时间，服务，端口进行网络访问控制和非法外联控制能力强大，采纳先设置对象，然后在防火墙策略针对对象加载安全列表的方法来实现。 2，没有内置硬盘，必需单独安装数据中心服务器进行上网审计。 8

展开阅读全文