(完整版)WAF功能测试方案

PAGEPAGEii密密级：内部文档编号：控制编号：WAF功能测试方案2011年8月1日

修改页序号版本号修改人修订原因批准人批准日期备注注意事项若本方案打印成册后用笔记录，无测试人签字无效；纸质的原始记录复印件没有测试人签字无效；纸质的原始记录涂改、夹页必须有测试人签字，否则无效；本测试记录仅对所测试的对象负责。PAGEi目录TOC\o"1-2"\h\z\u1 测试基本情况 11.1 测试时间 11.2 测试地点 11.3 测试参与人员 12 测试依据 23 测试样品登记表 14 测试环境 14.1 测试拓扑图 14.2 测试用设备及软件 24.3 环境确认 35 标准测试用例 15.1 基本攻击防护功能测试 15.2 爬虫防护功能测试 55.3 盗链攻击防护功能测试 65.4 扫描防护功能测试 95.5 CC攻击防护功能测试 95.6 请求限制功能测试 105.7 错误过滤功能测试 115.8 黑白名单功能测试 125.9 服务器隐身 145.10 管理页面防护 155.11 DDOS攻击防护 165.12 网页防篡改功能 165.13 站点加速功能 175.14 漏洞扫描功能 185.15 关键字统计功能 185.16 双机热备功能 195.17 邮件告警功能 205.18 日志报表功能 215.19 支持网络环境测试 255.20 管理测试 275.21 性能测试 326 记录审核单 1第6页共47页测试基本情况本次测试由XXXXX对XX公司的XXXX进行测试。测试时间环境准备：2011年8月1日实施测试：2011年8月1日～2011年10月1日测试地点XXXXX测试参与人员测试实施方：被测方：测试依据标准号标准名称备注GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》GBT20281-2006《信息安全技术防火墙技术要求和测试评价方法》测试样品登记表项目描述样品名称及型号生产集成厂商产品（系统）形态纯软件（）专用硬件（）软硬一体化（）代码来源自主开发（）改造（）引进国外产品（）产品速率100M（）1000M（√）100M/1000M自适应（）产品类型包过滤（）状态检测（）代理（）其他（协议分析、特征匹配）运行环境被测防火墙配置处理器内存硬盘网络接口类型及数量规格操作系统类型及版本体系结构其他管理控制台处理器内存硬盘操作系统类型及版本网络接口类型其他产品升级方式厂家协助升级（√）在线升级（√）配置说明书及管理界面语言类型中文（√）英文（）其他（）配套软件曾通过了何种相关测试认证相关配件提供相关文档实物图测试环境测试拓扑图图4.1总体测试拓扑图图4.2HA测试拓扑图图4.3trunk测试拓扑图图4.4集群测试拓扑图图4.5性能测试拓扑图测试用设备及软件测试所需硬件设备名称说明数量/单位DCN-WAF功能测试若干/台PC机客户机、攻击机、服务器若干/台交换机用于连接组网，支持3层路由功能，支持vlan若干/台IXIA测试仪用于设备性能测试1/台测试所需软件名称说明数量/单位AppscanWEB攻击和扫描工具啊DSQL注入攻击工具明小子SQL注入攻击工具X-scanWEB攻击和扫描工具Hping3DDOS攻击工具Poster爬虫攻击工具Wireshark抓包工具环境确认被测方签字测试方签字日期日期标准测试用例基本攻击防护功能测试跨站脚本攻击防护测试项目跨站脚本攻击防护测试项目描述进行跨站脚本攻击，WAF应正确给予防护并记录攻击日志测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集在攻击机上使用appscan进行跨站脚本攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确阻断攻击并记录攻击日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期远程文件包含攻击防护测试项目远程文件包含攻击防护测试项目描述进行远程文件包含攻击，WAF应正确给予防护并记录攻击日志测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集在攻击机上使用appscan进行远程文件包含攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确阻断攻击并记录攻击日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期目录遍历攻击防护测试项目目录遍历攻击防护测试项目描述进行目录遍历攻击，WAF应正确给予防护并记录攻击日志测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集在攻击机上使用appscan进行目录遍历攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确阻断攻击并记录攻击日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期SQL注入攻击防护测试项目SQL注入攻击防护测试项目描述进行SQL注入攻击，WAF应正确给予防护并记录攻击日志测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集在攻击机上使用啊D或者明小子进行SQL注入攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确阻断攻击并记录攻击日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期操作系统命令注入攻击防护测试项目操作系统命令注入攻击防护测试项目描述进行SQL注入攻击，WAF应正确给予防护并记录攻击日志测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集在攻击机上使用appscan进行操作系统命令注入攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确阻断攻击并记录攻击日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期基于用户自定义安全策略的基本攻击防护测试项目基于用户自定义安全策略的基本防护测试项目描述基本攻击防护功能支持用户自定义安全防护策略测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表进入防护—>基本攻击防护—>新建策略a，编辑新建的策略a—>新建一条策略项（规则组可选择跨站脚本、动作选择审计且阻止、源地址组目的URL组时间段都选择所有）—>点击确定完成进入整体防护策略集，新建一条整体防护策略集z，编辑z将基本攻击防护中的策略a应用进入站点编辑被保护服务，防护策略选择z在攻击机上使用appscan进行跨站脚本攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期基于时间、源地址、目的URL的基本攻击防护测试项目基于时间、源地址、目的URL的基本攻击防护测试项目描述WAF支持基于时间、源地址、目的URL的防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表进入对象，分别新建时间对象e、源地址对象f、目的URL对象g进入防护—>基本攻击防护—>新建策略a，编辑新建的策略a—>新建一条策略项（规则组可选择跨站脚本、动作选择审计且阻止、源地址组选择f、目的URL组选择g、时间段选择e）—>点击确定完成进入整体防护策略集，新建一条整体防护策略集z，编辑z将基本攻击防护中的策略a应用进入站点编辑被保护服务，防护策略选择z在攻击机上根据建立的时间、源地址、目的URL使用appscan进行跨站脚本攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果能依据时间、源地址、目的URL正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期爬虫防护功能测试测试项目自定义爬虫策略，并能基于时间源目的进行防护测试项目描述爬虫防护功能应能允许用户自定义策略，并能基于时间、源、目的进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表进入对象，分别新建时间对象e、源地址对象f、目的URL对象g进入防护—>爬虫防护—>新建策略a，编辑新建的策略a—>新建一条策略项（规则组可选择跨站脚本、动作选择审计且阻止、源地址组选择f、目的URL组选择g、时间段选择e）—>点击确定完成进入整体防护策略集，新建一条整体防护策略集z，编辑z将基本攻击防护中的策略a应用进入站点编辑被保护服务，防护策略选择z在攻击机上根据建立的时间、源地址、目的URL使用poster进行爬虫攻击攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次攻击的情况预期结果正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期盗链攻击防护功能测试图片盗链攻击防护测试项目图片盗链攻击防护测试项目描述能对图片盗链行为进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[盗链防护]，新建防护策略A，编辑A，动作为“审计且阻止”，算法为“Cookie防护”，保护文件类型添加“jpg”，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，盗链防护模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；客户端在浏览器中输入url访问保护服务某目录下的jpg图片文件（如http://serverip/admin/xx.jpg），应该显示访问被阻止；预期结果正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期视频音频文件盗链防护测试项目视频音频文件盗链防护测试项目描述能对视频音频文件的盗链行为进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[盗链防护]，新建防护策略A，编辑A，动作为“审计且阻止”，算法为“Cookie防护”，保护文件类型添加“mp3”，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，盗链防护模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；客户端在浏览器中输入url访问保护服务某目录下的mp3音频文件（如http://serverip/admin/xx.mp3），应该显示访问被阻止；预期结果正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期其他类型文件的盗链防护测试项目其他类型文件的盗链防护测试项目描述能对其他类型的文件的盗链行为进行访问控制测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[盗链防护]，新建防护策略A，编辑A，动作为“审计且阻止”，算法为“Cookie防护”，保护文件类型添加“php”，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，盗链防护模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；客户端在浏览器中输入url访问保护服务某目录下的php文件（如http://serverip/admin/xx.php），应该显示访问被阻止；预期结果正确防护并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期扫描防护功能测试测试项目扫描防护测试项目描述WAF具有扫描防护功能，能准确识别扫描行为并进行阻断测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[扫描防护]，新建防护策略A，编辑A，动作为“审计且阻止”，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，扫描防护模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；用APPSCAN对保护服务进行扫描攻击；5．应阻断扫描，并记录日志预期结果阻断扫描，并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期CC攻击防护功能测试测试项目CC攻击防护功能测试测试项目描述WAF具有CC攻击防护能力测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[CC防护]，新建防护策略A，编辑A，动作为“审计且阻止”，请求数为“5”或者更小的值，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，CC防护模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；用APPSCAN或者其它CC攻击工具对保护服务进行CC攻击；5．应该正确阻止攻击并记录日志预期结果应该正确阻止攻击并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期请求限制功能测试测试项目请求限制功能测试测试项目描述WAF可检查HTTP头字段、URL参数、表单字段、方法、Cookie等HTTP元素测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[请求限制]，新建防护策略A，编辑A，将“url最大长度”改小为“40”，其它为默认值，点击确定；进入[防护]-[整体防护策略集]，新建策略集B，编辑B，请求限制模块选择策略A，其它防护模块选择关闭策略，点击确定；进入[站点]-[站点管理]，添加保护服务，应用策略集B；客户端在浏览器中输入一条长度大于40的url访问保护服务，应显示访问被阻止；查看[日志]-[WEB日志]-[请求限制日志]中是否记录了刚才的访问，应该有日志；修改请求限制策略A的其他参数，重复步骤1-5，验证对HTTP其他元素的检查预期结果正确防护，并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期错误过滤功能测试测试项目错误过滤测试项目描述WAF支持服务器错误状态码过滤测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[错误过滤]，选择404状态码错误过滤，点击确定；客户端在浏览器中请求保护服务上不存在的一个页面，应显示重定向页面；查看[日志]-[WEB日志]-[错误过滤日志]中是否记录了刚才的访问，应该有日志；选择其他状态码，重复步骤1-5，验证对其他状态码过滤的检查预期结果正确执行动作，并记录日志测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期黑白名单功能测试IP黑名单测试项目IP黑名单功能测试测试项目描述测试WAF能依据IP黑名单进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[黑白名单]-[IP黑名单]，新建一条IP黑名单，地址为攻击机IP地址，点击确定；在攻击机上访问保护服务；这时访问应被WAF阻止不能正常访问预期结果阻止访问测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期IP白名单测试项目IP白名单测试项目描述测试WAF能依据IP白名单进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[黑白名单]-[IP白名单]，新建一条IP白名单，地址为攻击机IP地址，点击确定；2．在攻击机上对保护服务进行web攻击，均能攻击成功预期结果正确执行动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期URL黑名单测试项目URL黑名单测试项目描述测试WAF能依据URL黑名单进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[黑白名单]-[URL黑名单]，新建一条URL黑名单，URL地址保护服务的URL地址，点击确定；2．在攻击机上对该URL进行访问，应该阻止其访问预期结果正确执行动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期URL白名单测试项目URL白名单测试项目描述测试WAF能依据URL白名单进行防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[黑白名单]-[URL白名单]，新建一条URL白名单，URL地址保护服务的URL地址，点击确定；2．在攻击机上对该URL进行访问和攻击，均能攻击成功预期结果正确执行动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期服务器隐身测试项目服务器隐身测试项目描述测试WAF能隐藏服务器信息内容测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[服务器隐身]，点击开启服务器隐身；2．在攻击机上访问保护服务进行，用wireshark抓包查看，看不到server信息预期结果正确执行动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期管理页面防护测试项目管理页面防护测试项目描述测试WAF能禁止或运行特定IP访问WEB服务器后台管理页面测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[WEB防护]-[管理页面防护]，新建一条管理页面防护，IP地址填入客户端地址点击确定；在攻击机上访问保护服务的后台管理页面是不能访问的在客户机上访问时可以访问的预期结果正确执行动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期DDOS攻击防护测试项目DDOS攻击防护测试项目描述WAF支持网络层的DDOS攻击防护测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[DDOS防护]，点击启用DDOS攻击防护功能将DDOS配置中的参数调整小一些，以便于更快出现攻击统计结果在攻击机上使用hping3对保护服务进行如下攻击synflood、ackflood、rstflood、udpflood、icmpflood、tcpfloodWAF应能正确防护此类攻击预期结果正确执行防护动作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期网页防篡改功能测试项目网页防篡改测试项目描述WAF应具有防篡改功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[防护]-[防篡改]，点击配置与初始化进行初始化操作参数默认即可；初始化完成后，点击开启防篡改保护这时篡改WEB服务器上的某页面在客户端访问web服务上更改的页面，看到的还是更改前一段时间后，在篡改检测日志中应检测到网页被篡改预期结果正确执行防篡改动作，并检测到篡改测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期站点加速功能测试项目站点加速功能测试项目描述WAF具有WEB页面加速功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[站点加速]，点击开启站点加速；打开WAS软件，并录制访问web服务上的页面用WAS录制完毕后，设置测试压力3010，并运行运行结束后，登录WAF关闭站点加速功能，再次运行运行结束后，比较两次运行结果开启加速的网页响应时间应该小于没有开启加速时的预期结果网页被加速测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期漏洞扫描功能测试项目漏洞扫描功能测试项目描述WAF应具有对网站漏洞检测的功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[检测]-[漏洞扫描]，新建扫描任务，将保护服务器IP端口填入，选择立即扫描扫描完成后，进入日志查看扫描结果此功能还支持周期扫描和定时扫描预期结果正确执行漏洞扫描，扫描完成后提供详细的网站漏洞报告测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期关键字统计功能测试项目关键字统计功能测试项目描述WAF应具有敏感信息过滤功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[对象]-[关键字]添加一个保护服务中有的关键字，并将此关键字加入到默认组进入[检测]-[关键字统计]，新建统计任务，选择默认关键字组，立即执行任务任务执行完毕后，查看统计结果，应有扫描出的关键字信息可将某一条信息进行审核，审核后的页面禁止用户访问的预期结果能正确扫描出存在的关键字，并且经过关键字审核后的页面禁止用户访问测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期双机热备功能测试项目双机热备测试项目描述WAF应具备双机热备HA功能测试环境图4.2预置条件两WAF上都添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务，且两台WAF的配置完全相同（包括WAN、LAN口IP地址）测试步骤确认两台WAFeth5口上的线已经连接，登录WAF进入[配置]-[网络配置]，配置管理口地址一台WAF为，一台WAF为，其余配置两台WAF完全相同；进入[配置]-[HA配置]，设置其中一台WAF为主设备并进行相应的IP配置，另一台WAF为从设备并设置对应IP，点击保存，并开启HA功能这时在客户端访问web服务，均正常，给其中一台WAF断电，在客户端访问WEB服务也应该能正常访问，不受影响预期结果任意一台WAF宕机都不影响客户端对web服务的访问测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期邮件告警功能测试项目邮件告警测试项目描述WAF应具有对各类攻击及设备运行故障的邮件告警功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[配置]-[邮件发送配置]，配置相应的发送服务器，此配置类似foxmail和outlook；进入[配置]-[告警配置]，设置WAF上的7种告警为开启配置配置告警邮箱这时对WEB服务器进行相应的攻击，就会有告警邮件发送到指定邮箱预期结果当有攻击时能及时邮件告警测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期日志报表功能日志导出测试项目日志导出测试项目描述WAF应具有日志手动导出、自动导出功能测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤登录WAF，进入[配置]-[日志配置]，点击手动导出或者自动导出并配置相应的FTP服务器参数，手动导出会立即导出日志到FTP服务器自动导出会按照设置自动导出日志到FTP服务器预期结果WAF日志能准确导出测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持日志集中管理测试项目支持日志集中管理测试项目描述日志应该可以发送到日志服务器上集中管理测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤在客户机上搭建syslog服务器登录WAF，进入[配置]-[日志配置]，设置syslog服务器，并开启在攻击机上访问WEB服务，应能正确输出日志到syslog服务器预期结果syslogserver上可以正常接收WAF产生的日志信息测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持日志的管理测试项目支持日志的管理测试项目描述WAF管理员应支持对日志存档、清空的权限测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤以管理员身份登录WAF，进入[配置]-[日志配置]在此可进行日志归档的设置和日志清空的操作预期结果允许管理员进行日志归档和清空操作测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持记录WAF的管理行为测试项目支持记录WAF的管理行为测试项目描述记录登录WAF管理操作和管理身份鉴别请求测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤以管理员身份登录WAF，登录时会验证管理员用户身份登录成功后进行相应的功能操作，都会记录进管理员操作日志预期结果登录和功能操作都会有日志记录测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期审计记录内容测试项目审计记录内容测试项目描述发生的时间，日期必须包括年、月、日，协议类型、源地址、目标地址等测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤进行WEB攻击和DDOS攻击，都会记录攻击日志进入日志进行查看，审计内容就包含日志、源、目的等信息预期结果正确记录和显示审计内容测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持丰富的日志报表统计分析并能导出和打印测试项目支持丰富的日志报表统计分析并能导出和打印测试项目描述WAF应支持对日志的统计分析和生成报表的功能，能在不同的角度对访问情况进行统计测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤访问WEB服务或者对WEB服务进行攻击，使之产生大量的攻击日志和访问日志登录WAF进入[报表]可以看到WAF能在四个纬度对web访问进行详细的分析统计：对攻击的统计、对访问者的统计、对流量的统计对内容的统计针对每一种日志报表都能进行导出成htm和pdf格式，并支持打印预期结果可生成丰富的报表并支持导出和打印测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持网络环境测试VLANTRUNK网络环境测试测试项目VLANtrunk网络环境测试测试项目描述WAF应支持vlantrunk测试环境图4.3预置条件两组服务器分别处于vlan100和vlan200，两台PC机分别处于vlan100和vlan200，WAF的WAN口和LAN口分别连接两台交换机的trunk口测试步骤登录WAF，进入[配置]-[网络配置]，点击高级网络配置新建一个vlan100；进入站点添加一个处于vlan100的web服务，并关联新建的vlan100在客户端访问处于vlan100的web服务，这时WAF应进行安全检查在攻击机上攻击处于vlan100的web服务，WAF应进行安全检查并阻断攻击预期结果正确识别vlanid测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期负载均衡测试测试项目支持对WEB服务器负载均衡测试测试项目描述查看WAF对WEB服务器负载均衡的支持能力测试环境图4.2预置条件WAF配置为反向代理模式，WAF与两端交换机的链接由trunk方式更改为路由点对点方式，保证客户端到服务器的地址是PING通的测试步骤登录WAF，进入[站点]新建一个服务在有2台以上主机的情况下可使用负载均衡功能；负载均衡方式有轮转和根据源IP选择两种方式预期结果支持对web服务的负载均衡测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持集群工作模式测试项目支持集群工作模式测试项目描述WAF应具备基于集群工作模式的负载均衡功能，使得多台WAF能够协同工作均衡网络流量,增强各方面性能、可靠性和稳定性测试环境图4.4预置条件按照图4.4进行部署，4台WAF都处于反向代理模式下工作，其中前一组WAF按照HA模式部署，后一组WAF按照负载均衡模式部署测试步骤按照HA测试方法部署前一组WAF按照负载均衡测试方法部署后一组WAF在客户端访问web服务都能够正常访问宕掉其中一台WAF，在客户端仍然可以正常访问预期结果支持集群工作模式测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期管理测试支持对授权管理员的口令鉴别方式测试项目支持对授权管理员的口令鉴别方式测试项目描述支持对授权管理员的口令鉴别方式，且口令设置满足安全要求测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤将管理员口令长度设置为最短8位且字母和数字的组合添加管理员账号，设置口令长度小于8位字母和数字的组合。添加管理员账号，设置口令长度大于8位非字母和数字的组合。使用新添加的管理员账号登录防火墙预期结果添加管理员账号时如果口令长度小于8位或者大于8位非字母和数字的组合得都将无法添加使用错误的管理员口令将无法登陆测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持对授权管理员、可信主机、主机和用户进行身份鉴别测试项目支持对授权管理员、可信主机、主机和用户进行身份鉴别测试项目描述WAF应在所有授权管理员、可信主机、主机和用户请求执行任何操作之前，对每个授权管理员、可信主机、主机和用户进行惟一的身份识别测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤通过WEB登录WAF，设置管理WAF的可信主机地址为客户机的IP使用客户机通过HTTPS登陆防火墙使用攻击机通过HTTPS登陆防火墙预期结果客户机可以登陆管理防火墙攻击机无法登录管理防火墙测试结果备注说明测试结论通过部分通过未通过未测试结果确认被测方签字测试方签字日期日期支持本机和远程管理测试项目支持对授权管理员、可信主机、主机和用户进行远程管理测试项目描述WAF应支持通过console端口进行本地管理WAF应支持通过网络接口进行远程管理测试环境图4.1预置条件WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务测试步骤使用console对WAF进行本地管理配置好远程管理的条件，使用WEB对WAF进行远程管理预期结果WA