DCN安全项目验收测试手册.doc

2006年中国网通集团DCN网络整合改造项目安全系统工程初验验收测试手册中国网通集团系统集成有限公司2007年3月目 录1边界集成部分21.1产品及单系统测试验收21.2省内联调测试验收461.3全网联调测试验收502SOC集成部分（适用于集团、山东、天津、辽宁、内蒙古）662.1产品及单系统测试验收662.2省内联调测试验收1722.3全网联调测试验收1872.4集团SOC联调测试（适用于集团总部）1952.5评估服务验收测试2043终端集中管理系统集成部分2053.1产品及单系统测试验收2053.2省内联调测试验收2363.3全网联调测试验收238适用范围说明：本测试手册是DCN安全项目初验验收测试手册，适用于全国31省市和集团总部的工程初验验收。全国31省市及集团总部因部署设备不同，需要测试的测试项也不尽相同。请各省分公司根据本省市的设备部署状况依本手册进行测试验收，验收项的适用性参考各验收项后的适用说明。1 边界集成部分1.1 产品及单系统测试验收1.1.1 产品验收 机箱安装验收测试内容机箱安装验收测试组网图无。预置条件无。测试过程检查机箱安装工艺。预期结果机箱安装工整，牢固，外观无破损，位置端正，散热性好。测试说明无。测试结果通过 不通过 测试人员：_ 验收日期：_ 电缆安装验收测试内容电缆安装验收测试组网图无。预置条件无。测试过程检查电缆安装工艺。预期结果电缆安装工整，美观, 光纤无强烈扭曲，无破损, 标签清晰。测试说明无。测试结果通过 不通过 测试人员：_ 验收日期：_ 电源安装验收测试内容电源安装验收测试组网图无。预置条件无。测试过程检查电源安装规范性。预期结果电源分双路供电，线缆无破损，机箱双路电源指示灯亮。测试说明无。测试结果通过 不通过 测试人员：_ 验收日期：_ 产品规格和数量验收测试内容产品规格和数量验收测试组网图无。预置条件无。测试过程检查设备到货清单内产品规格和数量与合同是否相符。预期结果与合同、验收清单相符。测试说明无。测试结果通过 不通过 测试人员：_ 验收日期：_1.1.2 网络设备（NE40）功能和性能验收（适用于内蒙古） 单板热插拔测试内容验证路由器的热插拔功能对系统的影响测试组网图无预置条件路由器NE40-8配置了进行测试的单板，且正常运行，路由器NE40-8的有接口连接到其他的网络设备。测试过程1、配置NE40-8的接口IP地址以及对段设备IP地址，使能互相ping通；2、从NE40持续ping对端设备，例如执行命令ping -c 100000 ipaddress；3、在路由器NE40所连的终端上，执行命令display switchover state slot-number 查看主控板的主备倒换状态机的状态；4、在SRU为实时备份状态的情况下，热插拔主用SRU板。同时观察对接设备1上ping命令的显示信息；5、在SRU为实时备份状态的情况下，热插拔备用SRU板。同时观察对接设备1上ping命令的显示信息；6、热插拔LPU板。同时观察对接设备1上ping命令的显示信息。预期结果在测试过程的第3步，查看SRU的主备倒换状态机的状态，如下： disp switchover state 6HA FSM State: Realtime and routine backup在测试过程的第4步，发生主备倒换，但观察到ping命令的显示信息，没有网络中断；在测试过程的第5步，有SRU不在位的告警信息，但观察到ping命令的显示信息，没有网络中断；在测试过程的第6步，如果热插拔的不是正在通信的LPU板，有LPU不在位的告警信息，但观察到ping命令的显示信息，没有网络中断；如果热插拔的是正在通信的LPU板，观察到ping命令的显示信息，发现丢包，网络并中断；但LPU板再次热插入并注册完成后，网络恢复，例如：Reply from 03: bytes=56 Sequence=1361 ttl=254 time = 7 msReply from 03: bytes=56 Sequence=1362 ttl=254 time = 6 msReply from 03: bytes=56 Sequence=1363 ttl=254 time = 7 msReply from 03: bytes=56 Sequence=1364 ttl=254 time = 7 msReply from 03: bytes=56 Sequence=1365 ttl=254 time = 7 msReply from 03: bytes=56 Sequence=1366 ttl=254 time = 6 msRequest time outRequest time outRequest time outRequest time outReply from 03: bytes=56 Sequence=1375 ttl=254 time = 6 msReply from 03: bytes=56 Sequence=1376 ttl=254 time = 6 ms测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 使用Telnet登录测试内容验证路由器NE40-8 Telnet功能正常测试组网图无预置条件1、正确连接路由器NE40-8和PC机的以太网口；2、通过超级终端正确配置路由器以太网接口的IP地址；3、配置各PC机的IP地址，使各PC能够正常Ping通路由器上各个相应接口的IP地址；4、在路由器上正确配置Telnet参数。测试过程PC1上启动Telnet客户端程序，从路由器主控板上的以太网接口登录路由器，执行配置命令；PC2上启动Telnet客户端程序，从路由器接口板上的以太网接口登录路由器，执行配置命令。预期结果步骤1、2的Telnet均执行成功，可以配置路由器。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 使用FTP加载和备份数据测试内容验证路由器NE40-8 FTP软件加载功能正常测试组网图无预置条件超级终端设置正确；路由器NE40-8的以太网口与终端PC以太网口可以正常ping通；路由器NE40-8正常启动。测试过程1、在路由器上创建FTP用户，启动FTP Server服务；2、在客户PC上启动FTP客户端，通过put命令将PC上正确的系统软件包上传到路由器的硬盘中；3、在路由器上指定路由器的启动版本；4、重启路由器，通过命令display version查看当前运行软件的版本。预期结果通过FTP升级软件系统重新启动后，运行的软件版本为新加载的软件。测试说明在存在主、备两块主控板时，注意对于master和slave板均需要进行版本软件的升级加载，可使用copy命令将主板上的文件复制到备用板上，并重新指定备用板的启动boot文件测试结果通过 不通过 测试人员：_ 测试日期：_ 配置文件查询与保存测试内容验证路由器NE40-8数据保存功能正常测试组网图无预置条件路由器主控板的Console口与终端计算机串口连接正确；超级终端设置正确；路由器正常启动。测试过程1、在超级终端上进行路由器的各种参数配置及修改，如IP地址、MTU参数值、链路帧格式等；2、在用户视图下执行save命令；3、通过复位所有主控板或整机断电的方法重新启动路由器；4、待路由器正常启动后，再次使用超级终端，运用display current-configuration、display interface等命令检查系统参数。预期结果所配置的任何系统数据均可以通过save命令进行保存，保存后的配置数据在系统重启后不会丢失。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 以太网功能验收测试内容验证路由器NE40-8支持三种以太网帧格式封装的功能测试组网图无预置条件路由器NE40-8与终端计算机连接正确；将两路由器接口板的以太网接口使用交叉网线直接相连；配置路由器NE40-8，使以太网口正常工作。测试过程在路由器接口视图下将接口板的以太网口的帧格式依此更改为：ethernet_II、ethernet_SAP、ethernet_SNAP，期间使用display interface interface-name命令进行查看；在两路由器上互相ping对方的相应端口地址。预期结果可以看到与配置对应的封装类型的显示；互ping均能够正常ping通对端。测试说明本测试用例的封装为发送报文的封装，对于接受报文不进行限制，即任意封装类型的以太网帧都能够被路由器识别测试结果通过 不通过 测试人员：_ 测试日期：_ 端口镜像功能测试内容验证验证路由器产品端口镜像的基本功能测试组网图无预置条件路由器通过三条链路与SmartBits测试仪连接正确。测试过程从SmartBits的Port1端口向Port2端口发送流量，具体流量大小随意。在RTA通过命令observing-port将Port3端口配置作为镜像的观察端口。通过命令Port-mirroring 将Port1的ingress流量镜像出来。通过SmartBits的Capture功能将Port3上的流量抓下分析。通过命令Port-mirroring 将Port2的egress流量镜像出来。重复步骤4。预期结果步骤4中，看到Port3上抓到的流量报文与从Port1发入的流量一致。步骤6中，看到Port3上抓到的流量报文与从Port2发出的流量一致。测试说明如果测试现场没有SmartBits或类似功能测试仪器，可以使用3台PC机代替测试仪器的三个测试端口，按照测试例中的流量发送方向进行长时间的ping操作，造成持续的已知流量，用于测试分析。测试结果通过 不通过 测试人员：_ 测试日期：_1.1.3 网络设备（S3528G）功能和性能验收（适用于内蒙古、黑龙江、陕西、广东、四川） 通过Console口登录交换机项目验收测试内容设置通过Console口登录的认证方式后，验证通过Console口登录交换机是否成功。测试组网图预置条件如图所示，将PC机连接到交换机的Console口。测试过程1、PC机通过Console口连接到交换机，可以看到结果1；2、PC机通过Console口连接到交换机，设置通过Console口登录交换机的认证方式为scheme认证，添加本地用户“user”，密码为“test”，并设置该用户的service-type为telnet：Quidway user-interface console 0Quidway-ui-console0 authentication-mode schemeQuidway-ui-console0 local-user userQuidway-luser-user password simple testQuidway-luser-user service-type telnet level 33、退出登录，之后按键，可以看到结果2。预期结果1、步骤1中，用户可以立即登录，不需要输入用户名或密码的过程；2、步骤3中，用户需输入正确用户名和密码才可登录。测试说明缺省情况下，Console口登录用户不需要进行验证。测试结果通过 不通过 测试人员：_ 测试日期：_ 通过Telnet登录交换机项目验收测试内容设置通过Telnet登录的认证方式后，验证通过Telnet登录交换机是否成功。测试组网图预置条件如图所示，PC1通过Console口登录交换机，PC2的网口与交换机的端口2/1/1相连，设置PC2的IP地址为。测试过程1、PC1通过Console口连接到交换机，设置通过Telnet登录交换机的认证方式为不认证：Quidway-ui-vty0-4 authentication-mode none2、通过PC1设置VLAN1接口的IP地址为，并设置与PC2相连的端口属于VLAN 1：Quidway interface Vlan-interface 1Quidway-Vlan-interface1 ip address Quidway-Vlan-interface1 vlan 1Quidway-vlan1 port ethernet 2/1/13、在PC2上执行telnet ，可以看到结果1；4、PC1通过Console口连接到交换机，设置通过Telnet登录交换机的认证方式为password认证，并设置验证密码为“test”：Quidway-ui-vty0-4 authentication-mode password Quidway-ui-vty0-4 set authentication password simple test5、在PC2上执行telnet ，可以看到结果2；6、PC1通过Console口连接到交换机，设置通过Telnet登录交换机的认证方式为scheme认证，添加本地用户“user1”，密码为“test1”，并设置该用户的service-type为telnet：Quidway-ui-vty0-4 authentication-mode schemeQuidway-ui-vty0-4 quitQuidway local-user user1Quidway-luser-user1 password simple test1Quidway-luser-user1 service-type telnet7、在PC2上执行telnet ，可以看到结果3；预期结果1、步骤3中，用户可以立即登录，不需要输入用户名或密码；2、步骤5中，用户需输入正确密码才可登录，但无需输入用户名；3、步骤7中，用户需输入正确用户名和密码才可登录。测试说明1、缺省情况下，通过Telnet登录交换机需要进行口令认证；2、交换机允许同时有5个Telnet连接，可以对其分别配置，也可一起配置（如上所示）；3、缺省情况下，Telnet用户可以访问的命令级别为0级的命令，如果想要登录后访问3级的命令，需要在PC1上进行下面的配置：Quidway-ui-vty0-4 user privilege level 3测试结果通过 不通过 测试人员：_ 测试日期：_ 显示端口信息项目验收测试内容验证是否能够正确显示以太网端口的相关信息测试组网图预置条件按照测试组网图连接设备测试过程在超级终端上，输入下面的命令：Quidway display interface gigabitethernet1/1/1预期结果从超级终端上可以看到以太网端口信息中包括：以太网端口当前开启或关闭状态、以太网帧格式、端口硬件地址、最大传输单元、介质类型、端口环回测试状态、端口硬件类型、端口双工和速率、流控状态、端口允许通过的最大以太网帧长度、端口是否允许巨大帧通过、广播风暴抑制比率、端口缺省VLAN ID、网线类型、端口链路类型、标识在该端口有哪些VLAN的报文需要打Tag标记、所属于的VLAN、端口报文统计信息等。测试说明显示的内容根据具体的端口设置情况而不同测试结果通过 不通过 测试人员：_ 测试日期：_ 端口汇聚配置项目验收测试内容验证以太网端口聚合是否能够成功测试组网图预置条件按照测试组网图连接设备测试过程1、设置端口聚合：Quidway link-aggregation gigabitethernet1/1/1 to gigabitethernet1/1/2 both2、显示聚合端口的相关信息：Quidway display link-aggregation summary预期结果通过步骤2中显示的聚合端口的信息中，可以看见聚合的主端口以及各子端口，还有聚合模式。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 为VLAN中添加/删除端口项目验收测试内容验证为VLAN中添加/删除端口是否成功测试组网图预置条件如上图所示，设置SWA和SWB互连的端口为Trunk端口。测试过程在交换机SWA上创建VLAN10，并将端口1加入VLAN10：SWAvlan 10SWA-vlan10 port ethernet1/1/12、查看VLAN10的配置情况，可得预期结果1；SWA display vlan 103、将端口1从VLAN10中删除：SWA-vlan10 undo port etherent1/1/14、查看VLAN10的配置情况，可得预期结果2；SWA display vlan 10预期结果1、VLAN10包含端口Port1；2、VLAN10不包含端口Port1。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ VLAN接口配置项目验收测试内容验证是否能够正确的配置VLAN接口的IP地址测试组网图预置条件如上图所示，将PC机连接到交换机的Console口。测试过程1、创建VLAN10SWA vlan 102、进入VLAN接口视图SWA interface vlan-interface 103、设置VLAN接口的IP地址为0SWA -Vlan-interface10 ip address 0 预期结果在测试过程中，如果该VLAN接口对应的VLAN中有一个或一个以上的端口处于UP状态，那么在以上两步测试中将分别显示VLAN接口改变为UP状态的信息。测试说明注意：如果交换机上已有相同网段的VLAN接口，则会显示地址冲突。测试结果通过 不通过 测试人员：_ 测试日期：_ 显示VLAN接口信息项目验收测试内容验证是否能够正确显示VLAN接口的相关信息测试组网图预置条件如图所示，将PC机连接到交换机的Console口。测试过程在超级终端上，输入下面的命令：SWAdisplay interface vlan-interface 10预期结果从超级终端上可以看到VLAN接口信息包括：VLAN接口的物理状态与链路状态、发送帧格式、VLAN接口对应的MAC地址、IP地址及子网掩码、VLAN接口描述字符串及MTU等。测试说明根据VLAN接口设置的不同，显示的内容也不同。测试结果通过 不通过 测试人员：_ 测试日期：_ FTP 连接及验证功能项目验收测试内容FTP 连接及验证测试组网图预置条件如上图所示，PC通过console口配置交换机VLAN接口IP地址为，设置PC网卡IP为，并与交换机接口直接相连。测试过程1、配置VLAN接口地址：Quidwayinterface Vlan-interface 1Quidway-Vlan-interface1ip address 2、在交换机上启动ftp服务：Quidwayftp server enable3、建立用户，设置用户名为“user”，密码为“test”，ftp路径为“flash:”：Quidway local-user userQuidway-luser-userservice-type ftp ftp-directory flash:Quidway-luser-userpassword simple test4、在PC上启动DOS窗口，输入命令进行FTP登录：C:WINDOWSftp 5、尝试输入错误的用户名和密码登录6、用正确的用户名与密码登录7、DOS窗口上输入quit命令或bye命令退出登录8、输入命令关闭ftp服务器：Quidwayundo ftp server9、重复步骤310、在PC上启动FTP服务软件，建立用户，设置用户名为“user”，密码为“test”11、User view（用户视图）下输入命令进行FTP登录：ftp 12、尝试输入错误的用户名和密码登录13、用正确的用户名与密码登录14、控制台上输入quit命令或bye命令退出登录。预期结果1、步骤4中，显示连接成功，并提示输入用户名2、步骤5中，提示FTP连接被服务器关闭3、步骤6中，登录成功4、步骤7中，退出登录连接断开5、步骤9中，提示无法进行FTP登录6、步骤11中，显示连接成功，并提示输入用户名7、步骤12中，提示登录失败，FTP连接被服务器关闭8、步骤13中，登录成功9、步骤14中，退出登录，连接断开测试说明测完之后，必须清除掉本测试项中对所有交换机所做的配置，以防对以后的测试产生影响。测试结果通过 不通过 测试人员：_ 测试日期：_1.1.4 IDS设备功能和性能验收 Sensor应用测试测试内容Sensor应用测试测试组网图无预置条件IDS-sensor已安装部署完毕测试过程传感器是否能够正常加电传感器系统启动后能否正常显示缺省状态监控界面。是否能够通过CONSOLE口登录，配置传感器，或者通过使用键盘、显示器登录配置传感器。预期结果操作使用正常测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 冗余链路支持测试测试内容冗余链路支持测试测试组网图预置条件IDS-sensor已安装部署完毕测试过程首先确认链路是否是冗余的方式。在冗余的链路环境中，如图，从ISP1发起攻击包，从ISP2接受攻击包，看IDS是否能够检测到此攻击包。如果能够检测到，则说明支持对不对称路由的检测。预期结果能够检测测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_1.1.5 漏洞扫描设备功能和性能验收（适用于北方十省及集团总部） 用户管理测试内容用户管理测试组网图无预置条件天镜脆弱性扫描与管理系统已安装部署完毕测试过程1、“开始”/“程序”/“启明星辰”/“天镜脆弱性扫描与管理系统”/“用户管理”； 2、用户名“Admin”，口令“venus60”可以登录进行配置；3、点“添加用户”，用户名“test”，密码“venus60”，密码必须大于6位且数字和字母混合，配置相关的用户权限。预期结果可以登录进“用户管理”并添加账号测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 系统登录测试测试内容系统登录测试测试组网图无预置条件天镜脆弱性扫描与管理系统已安装部署完毕测试过程“开始”/“程序”/“启明星辰”/“天镜脆弱性扫描与管理系统”/“控制中心”；用户名“test”，口令“venus60”可以登录进行配置。预期结果可以登录进“管理控制中心”测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 系统基本管理功能测试测试内容系统基本管理功能测试测试组网图无预置条件天镜脆弱性扫描与管理系统已安装部署完毕测试过程登录“控制中心”后，进行各组件添与配置操作。预期结果可以正常添加管理中心、扫描引擎、显示中心等组件。 测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 扫描策略配置及建立扫描任务测试内容验证天镜产品的功能，对天镜扫描策略定义及建立扫描任务功能进行验证测试组网图无预置条件完成基本管理操作。测试过程1、在管理控制中心界面，上方的窗口“策略任务”中，选择“漏洞扫描”，点击“策略管理”。在打开的策略管理器窗口中选择“新建”，可以创建新的扫描策略，达到预期结果1；2、在管理控制中心界面，上方的窗口“策略任务”中，选择“漏洞扫描”，点击“策略管理”。在打开的策略管理器窗口中选择修改 “高强度扫描”编辑策略，可以对扫描策略进行细节调整，并另存为新的扫描策略，预期结果2；3、在管理控制中心界面，上方的窗口“策略任务”中，选择“漏洞扫描”，点击“任务管理”， 在打开的任务管理器窗口中选择新建，创建新的扫描任务，预期结果3；4、在管理控制中心界面，上方的窗口“策略任务”中，选择“漏洞扫描”，点击“任务管理”。 在打开的任务管理器窗口中选择某已有的扫描任务，再点击“修改”按钮。可以修改已有的扫描任务，预期结果4。预期结果预期结果1：新建扫描策略成功；预期结果2：修改扫描策略成功；预期结果3：新建扫描任务成功；预期结果4：修改扫描任务成功。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 天镜漏洞扫描功能的测试测试内容进行天镜漏洞扫描功能的测试测试组网图无预置条件连通性测试已通过，策略任务功能已通过。测试过程1、综合信息显示：“开始”/“程序”/“启明星辰”/“综合信息显示”。或者，在管理控制中心上方的“视图选择”点“综合信息显示”，预期结果1；2、漏洞扫描测试：在管理控制中心界面，右键点击“扫描引擎”，在弹出菜单中选择“发送任务”，在弹出的窗口中选择某项任务后点击确定即可，预期结果2。预期结果预期结果1：打开综合信息显示窗口；预期结果2：可以成功对目标主机扫描并在综合信息显示中心中显示扫描信息。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 控制中心进行升级及下发测试测试内容对天镜网络漏洞扫描系统升级功能进行验证测试组网图无预置条件天镜漏洞扫描系统产品已安装并正常连接在网络中，连通性测试已通过。测试过程1、智能升级：在天镜管理控制中心界面，选择菜单“更新升级”“漏洞扫描”“智能升级”，按提示操作，达到预期结果1；2、升级包管理：在天镜管理控制中心界面，选择菜单“更新升级”“漏洞扫描”“升级包管理”，按提示操作，达到预期结果2；3、自动升级：在天镜管理控制中心界面，选择菜单“更新升级”“漏洞扫描”“升级设置”，按提示操作，可以达到预期结果3。预期结果预期结果1：可以成功升级；预期结果2：可以对升级包进行管理，并且可以从网页下载升级包进行手动升级；预期结果3：可以定时自动升级。测试说明 无测试结果通过 不通过 测试人员：_ 测试日期：_ 对天镜网络漏洞扫描系统日志管理功能进行验证测试内容对天镜网络漏洞扫描系统日志管理功能进行验证测试组网图无预置条件已通过扫描测试，扫描任务结果已入库。测试过程1、在天镜管理控制中心，打开“日志管理”-“漏洞扫描”-“分析报表”。打开脆弱性分析报告界面，达到预期结果1；2、在脆弱性分析报告界面中，选择“报表”/“导出”。导出文件格式为XML，目标为磁盘文件，根据提示导出成功后，打开导出的文件，达到预期结果2。预期结果预期结果1：可以成功查看各种扫描任务报表；预期结果2：报表内容导出正常。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 进行天镜控制中心操作审计测试测试内容进行天镜控制中心操作审计测试测试组网图无预置条件设备使用中，有审计报表。测试过程在用户管理器中，可以正常显示每个账户的操作日志。预期结果可以正常显示。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_1.1.6 IPS设备功能和性能验收（适用于辽宁省） IDP设备和LICENSE验收测试内容IDP设备和LICENSE验收测试组网图无预置条件IDP上电，采用串口线连接到IDP的CONSOLE口。测试过程1、串口线连接到IDP的CONSOLE口上,缺省用用户root,密码abc123登陆，进入探测器的命令行；2、输入ifconfig eth0 ,查看系统的初始管理口地址；3、输入scio lic list ，查看系统的license的状况；4、查看各个端口是否正常。预期结果系统LICENSE正常，硬件正常。测试说明 无测试结果通过 不通过 测试人员：_ 测试日期：_ IDP可管理性的测试测试内容IDP可管理性的测试测试组网图对IDP的管理口配置相应的管理IP地址，在单独的LINUX服务器上安装Netscreen NSM管理软件，在用户的客户端上安装NSM UI客户端软件，保证IDP管理口、NSM服务器和用户的客户端可以正常的通讯。预置条件无特殊要求测试过程1、用IE浏览器登陆,缺省用用户root,密码abc123登陆，进入探测器的配置界面ACM，配置相应的IDP探测器配置；2、用户登陆NSM UI, 查看是否可以添加IDP探测器，策略下发是否可以完成；3、利用数据包的侦听，可以判断IDP系统的探测器，管理服务器和管理控制台三个组件直接的传输是否加密。预期结果各个组件通讯正常，数据传输加密。测试说明 无测试结果通过 不通过 测试人员：_ 测试日期：_ 网络可用性的测试测试内容网络可用性的测试测试组网图1、IDP采用透明模式，在线部署，两个端口分别接入外部的路由器和内部的交换机；2、通过对两台分别位于IDP两侧的主机进行通讯，检查各种应用的连通性，如HTTP，FTP，TELNET，PING还有其他的一些网络中特有的应用。预置条件IDP采用透明模式在线部署，预设标准系统推荐的攻击检测策略。测试过程1、通过对两台分别位于IDP两侧的主机进行通讯，PING检查网络的连通性；2、尝试其他服务，如HTTP，FTP，TELNET，还有其他的一些网络中特有的应用。预期结果应用可以正常使用。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 攻击特征码升级测试内容攻击特征码升级测试组网图1、IDP采用透明模式，在线部署，两个端口分别接入外部的路由器和内部的交换机；2、要求管理服务器可以连接到互联网上，能够连接到Juniper的安全网站进行更新。预置条件无特殊要求测试过程在NSM的管理控制台中，选择toolview/update NSM attack database , 根据系统的提示进行攻击特征码的升级。预期结果攻击特征码可以正常升级测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 攻击的识别与阻挡测试内容攻击的识别与阻挡测试组网图IDP采用透明模式，在线部署，两个端口分别接入外部的路由器和内部的交换机。预置条件无特殊要求测试过程1、在NSM的管理控制台中，选择Security Policy ,建立单独的IDP的安全策略；2、在IDP的策略当中，选择需要检测的攻击类型，以及系统采用的行为，如drop packets等；3、在NSM的管理控制台中，选择Security device下面的IDP设备,单击右键，选择update device，对IDP的策略进行更新；4、利用工具发送攻击特征包（也可以查看已有的数据流量），查看系统是否有攻击报告，是否进行了阻挡。预期结果IDP可以正常的检测出攻击，并且根据策略的配置，对攻击采用相应的行为。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 系统的攻击报警日志显示测试内容系统的攻击报警日志显示测试组网图IDP采用透明模式，在线部署，两个端口分别接入外部的路由器和内部的交换机。预置条件无特殊要求测试过程1、在NSM的管理控制台中，选择Security Policy ,建立单独的IDP的安全策略；2、在IDP的策略当中，选择需要检测的攻击类型（可以选为全部critical,high和medium级别），选择对攻击行为记录日志；3、在NSM的管理控制台中，选择Security device下面的IDP设备,单击右键，选择update device，对IDP的策略进行更新；4、利用工具发送攻击特征包（也可以查看已有的数据流量），查看系统是否有日志信息；5、查看日志信息包含的内容。预期结果IDP可以正常的检测出攻击，并且具有日志信息，日志信息丰富。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_ 系统的攻击报表功能测试内容系统的攻击报表功能测试组网图IDP采用透明模式，在线部署，两个端口分别接入外部的路由器和内部的交换机。预置条件建议在完成上面的测试以后进行。测试过程1、在NSM的管理控制台中选择report manager DI/IDP report,查看预定义的报表的内容；2、自定义report。预期结果可以提供内容丰富的报表。测试说明无测试结果通过 不通过 测试人员：_ 测试日期：_1.1.7 抗DDOS设备功能和性能验收（适用于内蒙古） SYN Proxy阻止半连接Flood测试内容DDoS攻击防护SYN Proxy阻止半连接Flood测试组网图预置条件无特殊要求测试过程1、抗DDOS设备设置为2层回退模式；2、通过secflood.tcp程序模拟大量的syn flood攻击（连续50次，地址伪造）；3、在被攻击侧进行抓包，符合预期结果1；4、将抗DDOS设备接入，并且配置DDoS防护功能；5、通过secflood.tcp程序模拟大量的syn flood攻击；6、在被攻击侧进行抓包，符合预期结果2。预期结果预期结果1：第3步可以受到所有的SYN报文；预期结果2：第6步由于SYN Proxy的机制，使得半连接SYN报文没有一个通过抗DDOS设备到达被攻击机。测试说明 无测试结果通过 不通过 测试人员：_ 测试日期：_ 全连接洪泛防护（Connection Flood）测试内容DDoS攻击防护全连接洪泛防护（Connection Flood）测试组网图预置条件无特殊要求测试过程1、抗DDOS设备设置为2层回退模式；2、使用特定的Perl脚本，向被攻击机在短时间内连续发起连接（最大5000）直到失败为止，记录建立成功的连接数；3、抗DDOS设备设置为正常模式，配置DDoS，设置CPS为500或者根据上一步的结果调整；4、重复第2步测试步骤，符合预期结果1；5、观察抗DDOS设备告警日志信息，符合预期结果2。预期结果预期结果1：第4步测试中能够建立的连接数被限制住（服务器性能得到保护）；预期结果2：第5步抗DDOS设备有相关告警信息。测试说明 无测试结果通过 不通过 测试人员：_ 测试日期：_ HTTP流量限制测试内容流量管理HTTP流量限制测试组网图预置条件无特殊要求测试过程