信息安全-云盾-网站安全服务测试方案

.信服云盾用户业务安全背景网站是企事业单位信息化建设的重要内容，主要实现信息公开、在线办事等功能。在信息化发展、“互联网+”等变革发展中承担重要角色，具备较高的资产价值，极易成为黑客攻击目标，造成篡改网页、上级通报等一系列问题，其安全问题受到了国家的高度关注。近年来，国家相关部门针对政府网站组织了多次安全检查，并推出了一系列政策文件。传统解决方案对于新形势下的应用安全威胁应对乏力。通过对网站的构建综合“动态防御”安全体系，实现对网站安全一体化交付。信服云盾网站安全防护方案由安全专家在云端进行云端防护策略的更新调整，保证安全策略有效且处于最佳状况，为网站提供持续有效的云端立体化防护，不让网站因为安全而失控出问题。.测试说明测试背景本着实事求是的态度，在项目建设前对厂商提供自主研发的网站安全服务进行测试，目标是通过严格的测试，来验证各项功能和性能能否满足此次项目建设的实际需求，通过各方面的能力测试，明确适合应用环境的优秀网站安全服务。根据Gartner的研究报告，未来的安全应该是防御、检测、响应三者并存，立体化联动防御机制。目前信息安全攻击有75%以上都是发生在Web应用层，而目前超过2/3的Web站点都相当脆弱，易受攻击，这些攻击形式多种多样，手法也越来越隐匿，我们往往需要去对多台安全设备中记录的日志进行大量的日分析，进而去配置针对性的策略，这无疑对安全运维人员的水平提出了很高的要求。很多单位会采购第三方的安全服务，这种雇佣兵式的安全服务，确实在某种程度上解决了短期的问题。但是单位的安全能力长期依赖第三方运维人员，一旦运维人员离职调动等不确定因素会让单位的安全水平直线下降，另一方面传统安全服务所需的成本无疑也是很高的。在新形势下，需要一种更便捷、更有效、性价比更高的安全交付方式。测试目标通过对实际的网站测试来评选出测试效果最佳的厂商，并且选出最佳厂商以合作共赢的形式开展之后的工作。期间网站安全的测试过程中需要各厂商模拟攻击、渗透方式来体现测试的效果。测试方法网站监测测试环境为云端测试，客户提供相应域名信息，厂商云端对网站进行实时扫描并监控，并根据测试用例最终形成测试报告。测试资源清单.IP资源资源旁挂CR旁挂SR网络接口3个机房的万兆接口或千兆接口3个机房的万兆接口或千兆接口运营平台IP云平台：4个公网IPIP地址或256个存在地址复用云平台：4个公网IP平台租户服务地址：256个存在地址复用.硬件资源设备名称设备型号数量用途X86服务器CPUE5-2630*2V4,128G内存，8*SATA/SAS盘位，默认128G系统盘，1*480GSSD缓存盘，6个GE接口，4块SSD硬盘1云防护清洗节点

HCIKey深信服超融合授权硬件key1一个用与清洗节点应用分发器硬件为标准1U设备，8电，吞吐量为1.5Gbps2服务器流量分发器，两台主备或集群交换机48个10/100/1000Base-T以太网端口，4个10GSFP+以太网端口，交换容量256Gbps，包转发率132Mpps，1U，m层交换，带堆叠功能1业务交换机运营平台CPUE3-1230V3,32G内存，4*SATA盘位，默认128G系统盘，1*240GSSD缓存盘，6个GE接口，机械盘-2T-SATA1运营平台管理交换机24个10/100/1000Base-T以太网端口，4个10GSFP+以太网端口，交换容量256Gbps，包转发率96Mpps，15三层交换，不带堆叠功能1运营平台管理交换机网线/光模块按需

部署方案机史上连交换机.本地部署方案一主咎佛辔一乖玄(Peer-Lnk)4S(Peer-1ink)机E机史上连交换机.本地部署方案一主咎佛辔一乖玄(Peer-Lnk)4S(Peer-1ink)机E上隹交接机舌捶交拱运维谈苦存防交接存徜交掖it务交摭止苦交接业务网络：将客户业务流量迁移至业务网络，流量清洗完之后再转发给客户源站运维网络：给深信服运维使用，包括升级、配置下发等HCI集群运行流量清洗服务，集群部署，可以随业务增长进行动态扩容

.域名接入原理图当前深信云盾支持CNAME、NS两种接入方式，在云盾界面配置好业务之后，到用户域名所在运营商上面将域名对应的CNAME或NS修改成深信云盾提供的即可。.测试内容网站防御序号测试类别测试内容测试功能项支持HTTP1.0/1.1，HTTPS协议的安全威胁检测；支持抵御SQL注入、XSS、系统命令注入等各种web攻击安全防护Web应类型；支持跨站请求伪造CSRF攻击防护1用安全防护支持关联上下文，对webshell脚本上传动作进行语法，语义匹配和过滤支持对服务器已经被植入webshell后门之后的通信动作进行识别和阻断

支持上传文件类型识别，防止文件后缀名修改绕过支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等支持针对网站的漏洞扫描进行防护，能够拦截漏洞扫描设备或软件对网站漏洞的扫描探测入侵防护入侵防护漏洞规则特征库数量在4000条以上针对web服务漏洞攻击的防护，比如IIS,apache等服务器各种漏洞防护；支持对web应用服务口令暴力破解防护功能支持同访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则独享防护支持为每个用户分配一个独享网站防御平台，针对自身业务风险，实现个性化防护防绕过支持TTL合法性检测，防止利用TTL过期进行绕过支持TCP校验和检测，如标志位合法性检测，时间戳检测，数据包重叠检测，握手/结束状态跟踪检测，应答随机序列号检测，RESET包序列号检测等异常数据报文绕过手段的检测失陷监测网页黑链检测，对目标站点提供7义24小时网页黑链监测能力，每5分钟检测1次。发现网页黑链事件第一时间通过微信通知用户，监测内容能够在周报、月报中进行呈现

webshell检测，对目标站点提供webshell后门脚本监测能力，发现webshell后门脚本第一时间通知用户，并辅助用户在线清除安全可视化支持对经过网站防御平台的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析支持在首页多维度的展示发现的安全威胁，如攻击风险，漏洞风险，终端安全威胁和数据风险等，并支持将所有发现的安全问题进行归类汇总，并针对给出相应的解决方法指引2高级防护动态防护专家协助用户开通账号、业务防护配置，开启相关防护策略，包括4-7层基础防护服务，恶意行为对抗服务，持续监测服务，专属防护服务，紧急处置服务；具备全球共享威胁情报快速封锁攻击源能力，有效防止成为第二个受害者；对上线业务进行全面的风险评估，对新增资产引入的风险进行评估，实现动态跟踪业务风险，并针对业务风险生成对应的防护策略，自适应业务风险的变化；定向防护漏洞加固，当PVS和风险监测模块发现高危漏洞后，由安全专家在线确认漏洞危害，并采用虚拟补丁进行修复；应急对抗实时分析双向流量，监测异常事件，一旦发现立即阻断传播，并进行恢复。3高可用丢包测试在节点出现故障时，进行主备切换的情况下，测试丢包情况

故障测试在节点出现故障时，测试业务是否可以保障正常访问。延迟测试测试在访问流量经过云盾，与未经过云盾的延迟对比大流量经过云盾防御，测试在进行大流量并发的情况的下，是并发测否会影响平台以及其他业务的稳定性。试4.测试单元4.1.用户上线4.1.1.用户注册测试编号测试项目用户注册测试描述用户通过自行在saas首页进行注册，开启网站防护以及扫描功能测试步骤1.打

普通用户注册器号： 请输入1£号 6设置密码： &T6个字符，区分大小写 e密码耦让： 请再次输入密码单位名称:请辅人单位名称单位坦址：所在*份 i所在城市 ：联系人： 请输入联系人联系电话：靖摘人联事电话 谙输人验跟部箱地址：请籍人郊箱地址同意《深信股用户信息保步放境》3.点击提交，进行用户注册预期结果注册完成后，所注册的邮箱会收到用户名和密码测试结果口通过 口未通过备注4.1.2.修改DNS引流测试编号测试项目修改客户域名DNS（以DNSPOD为例）测试描述通过修改客户域名的DNSCNAME记录，将客户网站接入云盾测试步骤.登录dnspod官网.选择“域名解析”，点击自己的域名

备注3.点击添加记录，将解析指向云盾分配的别名地址G!KZTn*B=4lffl- EE=*BI1mTW*UM.L，血F-W-HilJkIMEW*一 f-UF-IPIL・预期结果成功接入后，网站访问的流量将通过云盾平台测试结果主机记是记寻信标更 MJfflt先图1TL汜录美理 桂猎娄宝口通过口备注3.点击添加记录，将解析指向云盾分配的别名地址G!KZTn*B=4lffl- EE=*BI1mTW*UM.L，血F-W-HilJkIMEW*一 f-UF-IPIL・预期结果成功接入后，网站访问的流量将通过云盾平台测试结果主机记是记寻信标更 MJfflt先图1TL汜录美理 桂猎娄宝口通过口未通过|班蚂阪阻蝴色i己餐隹理 域名没* 例;后统计 邑上-www KUh卜源加云庙分配的甘格最近域名全割汨理融医未分组⑵CKS&Hj]1,用品£美于殖立SRiE无互盘同站房宅10・用程度31通SB显乐廨名氏利鹏将曲将玲事上力M花口系名受审麻r\曜iW巧增行口牧，的存在上避雨"由*明用，工店第囱，建赵霞舞姮L了第更夯2.RW5E2OLeSF2^13：o-i)C*SSWtF?iRStt^;ifla^^S.津鼻特Zffi：*音再滞t才干.上注IL作对己MflfWE腐*:胃.flWSLXlfflifflDNSPOD与腾i盒携手打造域名注册服弱那山记事新增业务测试编号测试项目用户新增业务测试描述通过在云盾页面新增业务接入云盾测试步骤.登录saas官网，选择云盾.点击上方配置，然后点击新增业务

1总深信服云盾的.树£ 麻安全 事件中心 报黑 诞 1史品弗康［斗就叫端］Qnjk3.按照提示进行填写需要提供域名、源站IP、端口等信息新增业房 X1业资信息峥告域名： mwMdnmH冲 IP«HLhSD： |®强条: SHTTP eo% ®输人单个端口后.按-Enier即潮口匚HTTP3 ⑦谪导入证书 导入证书三耽由准资⑼HDP,FTP当）包，|安至配置HFF更至配置取消预期结果添加业务成功后，业务可以被云盾平台防护测试结果口通过 口未通过备注网站防御网站安全防护.SQL注入攻击测试编号

测试项目SQL注入攻击测试描述SQL注入攻击是WEB应用系统最为严重的攻击之一，通过SQL注入可能导致信息泄露、网站被篡改等恶性事件的产生。测试步骤（%0b绕过）l.client向内网服务器发送http请求，body字段为：id=1%0band%0b1=12.查看报文是否被拦截，查看网站防御平台是否产生SQL注入防护日志。测试步骤（unionselect绕过）.client向内网服务器发送http请求http:〃[server]/sql_1.php?id=1%0bunion%0bselect~1%0b,%0buser（%0b）.查看报文是否被拦截，查看网站防御平台是否产生SQL注入防护日志。测试步骤（生僻函数绕过）.client向内网服务器发送http请求http://[server]/sql.php?id=1orlpad（user,7,1）.查看报文是否被拦截，查看网站防御平台是否产生SQL注入防护日志。预期结果网站防御平台可防护SQL注入攻击。测试结果口通过 口未通过备注.XSS跨站脚本攻击测试编号测试项目xss攻击测试描述跨站脚本攻击主要利用网站交互和电子邮件等特性进行发起攻击

测试步骤在输入框中插入可执行脚本：<script>alert(111)</script>.输入提交后，即将执行命令插入到数据库；.查看报文是否被拦截，查看网站防御平台是否产生XSS防护日志。预期结果3.网站防御平台可防护XSS攻击，产生对应的日志测试结果口通过 口未通过备注.系统命令注入测试编号测试项目命令注入测试描述网站程序与服务器操作系统进行交互，会导致黑客可以直接对操作系统进行命令注入。测试步骤在DVWA“CommandExecution”输入框中输入内容是"&&ifconfig".输入提交后，即将执行命令；.查看报文是否被拦截，查看网站防御平台是否产生系统命令注入的日志。预期结果3.网站防御平台可以防护命令注入攻击，并产生对应的日志测试结果口通过 口未通过备注

.请求敏感文件测试编号测试项目请求敏感文件测试描述bak,dmp,old,backup,asa等文件可能存在网站源代码等关键信息测试方法.通过浏览器尝试下载网站中以bak,dmp,old,backup,asa为后缀的文件.查看文件下载是否被拦截，查看网站防御平台是否产生相应日志。预期结果2.网站防御平台拦截这些文件的下载操作，并产生相应的日志测试结果口通过 口未通过备注.WEB溢出攻击测试编号测试项目WEB溢出攻击测试描述防止黑客通过构造超长的URL链接或者提交绕过参数值进行溢出攻击测试步骤.使用Fiddler构造一个get请求长度为2049的数据.查看报文是否被拦截，查看网站防御平台是否产生相应日志。预期结果2.网站防御平台盾拦截WEB溢出攻击，并产生对应日志测试结果口通过 口未通过备注

.Webshell脚本上传检测测试编号测试项目Webshell检测测试描述利用上传漏洞危害网站是最为严重的一种入侵方式之一，如上传执行文件或直接上传Webshell，从而导致网站被完全控制。测试文件毒PHP恶怠代码Br1.附件为php木马脚本（网站防御平台默认禁止上传php文件，把后缀改成其它上传）测试步骤.准备将要上传的恶意代码，见“测试文件”，.寻找DVWA系统中的“文件上传”的注入点，.上传提交附件中木马文件，.查看报文是否被拦截，查看网站防御平台是否产生相应日志。预期结果4、网站防御平台能够拦截webshell上传攻击，并产生防护日志；测试结果口通过 口未通过备注.主流扫描器扫描测试编号测试项目主流扫描器扫描测试描述使用appscan、wvs等主流的扫描器工具扫描防护站点，

查看是否被网站防御平台拦截。测试工具l.AppScan扫描工具2.AcunetixWebVulnerabilityScanner扫描工具测试步骤.使用appscan、wvs工具扫描防护站点；.查看扫描结果是否存在中高危漏洞；.查看网站防御平台是否有扫描日志。预期结果.扫描结果无中高危漏洞；.网站防御平台中有扫描日志。测试结果口通过 口未通过备注.文件包含攻击测试编号测试项目文件包含攻击测试描述防止黑客构造语句非法调用服务器本地文件和脚本，如../../目录穿越漏洞.客户访问.查看报文是否被拦截，查看网站防御平台是否产生相应日志。预期结果2.能被网站防御平台拦截，并产生告警日志测试结果口通过 口未通过备注

.目录遍历测试编号测试项目目录遍历测试描述目录遍历攻击会泄露敏感页面信息测试步骤.DVWA系统寻找有漏洞的url，常见特征是url后跟参数"page"或者"file"；j,r：：.:r-.. ::;: t：,l:： .：jj r.::■：.::: ''：:；"：：__ 二二匚”丁匚「•.上丁：:二匚二对二_.：m::::：二二二二一：J.;：：,it.i：.：■■:..z-'."T.y.7二 .…^...….一.has« .猜测服务器的文件路径，进行遍历，使用”..”（windows和linux下都表示上级目录）。http://website/dvwa/vulnerabilities/fi/?page=../../../../../../../etc/passwd.查看报文是否被拦截，查看网站防御平台是否产生相应日志。预期结果3.网站防御平台可防护目录遍历攻击测试结果口通过 口未通过备注0.HTTP方法攻击测试编号测试项目HTTP方法攻击

测试描述通过高危HTTP方法可对WEB服务器产生攻击测试步骤.使用burpsuite工具，模拟http请求，请求方法分别改成OPTIONS，DELETE，MOVE，COPY等方法.查看网站防御平台是否拦截这些高危的HTTP方法。预期结果2.网站防御平台可防护HTTP方法攻击测试结果口通过 口未通过备注1.应用层防绕过测试编号测试项目应用层防绕过攻击描述米特定编码骗过防火墙的攻击检测unicode编码绕过client向服务器发送http请求，url带以下字段：/dvwa/attack?id=1un%u0069onsel%u0065ctpassf%u0072omadminli%u006dit12.client向服务器发送http请求，url带以下字段：/dvwa/attack?test=1234"/>%uff1cscript%uff1ealert%uff0816231%uff09%uff1c/script%uff1e预期结果网站防御平台可识别应用层防绕过，记录到SQL注入日志网站防御平台可识别应用层防绕过，记录到XSS攻击日志测试结果口通过 口未通过备注

2.Webshell后门识别测试编号测试项目webshell检测，对目标站点提供webshell后门脚本监测能力，发现webshell后门脚本第一时间通知用户，并辅助用户在线清除测试文件webth回后门.w1.附件压缩包里的为webshell后门的php文件测试步骤.将webshell后门文件放置到web服务器后台（注：测试后请清除此文件）.使用浏览器访问此weshell文件.深安全专家审核上报的高危事件.查看网站防御平台是否产生相应日志。预期结果4.经专家确认审核后才会上报到网站防御平台，并产生防护日志；测试结果口通过 口未通过备注3.Web口令爆破（需要联系网站防御平台客服开启功能）测试编号测试项目Web口令爆破测试描述防止黑客猜测枚举web登录密码测试步骤1.登录客户vAF，编辑客户WAF策略，在口令暴力破解防护中启用”WEB登录”在输入框中添加：/dvwa/login.php,爆破次数10次/分钟，提交

.客户端访问http://website/dvwa/login.php,在1分钟尝试10次错误密码登录.查看网站防御平台是否记录WEB口令爆破日志预期结果3.网站防御平台记录WEB口令爆破日志测试结果口通过 口未通过备注入侵防护入侵防护规则库数量测试编号测试项目入侵规则库数量测试描述网站防御平台的入侵防护规则库数量测试步骤到客户对应vAF管理前台中要看IPS漏洞特征库“安全防护对象”--“IPS漏洞特征规则库”中查看规则库数量预期结果入侵防护漏洞规则特征库数量在4000条以上测试结果口通过 口未通过备注.Web漏洞攻击防护测试编号测试项目Web漏洞攻击防护测试步骤客户端访问http://website/dvwa//spywall/pbcontrol.php?filename=CSah%22%3bls%3b%22&stage=0

查看网站防御平台是否有对应的拦截日志预期结果2.网站防御平台中对应的拦截日志测试结果口通过 口未通过备注.攻击联动封锁测试编号测试项目HTTP方法攻击测试描述黑客发起http攻击后，被网站防御平台检测拦截并自动封锁攻击IP测试样本.客户端访问http://website/dvwa/spywall/pbcontrol.php?filename=CSah%22%3bls%3b%22&stage=0.查看网站防御平台的黑色单中有封锁的攻击IP.客户端口再次访问客户测试的域名网站，检查访问效果测试步骤网站防御平台中黑色单中记录了封锁的源IP客户端不能再访问测试的域名网站预期结果网站防御平台可防护HTTP方法攻击测试结果口通过 口未通过备注.动态防护测试编号测试项目

攻击描述1.网站防御平台具有动态生成黑色单功能，彻底封锁攻击源IP测试步骤1、将网站接入网站防御平台；查看网站防御平台是否具备专家值守服务：具备危情响应、专家对抗功能；具体快速封锁攻击源能力：动态生成黑名单功能；预期结果发现连续攻击后可以自动生成黑名单，并且进行联动防护测试结果口通过 口未通过备注,应急对抗测试编号测试项目应急对抗测试步骤实时分析双向流量，监测异常事件，一旦发现立即阻断传播，并进行恢复。预期结果发现异常事件，进行阻断并恢复测试结果口通过 口未通过备注.境外攻击对抗测试编号测试项目境外攻击对抗测试步骤1.1分钟之内，三个外网ip同时攻击域名A，次数要大于10次2.门户-＞配置-＞黑名单页面，查看黑名单列表（独享vAF用户才能看得到）

.紧急0day防护测试编号测试项目紧急0day防护测试步骤1.千里眼发现紧急0day，云盾会第一时间更新规则库预期结果网站不会被检测出紧急0day测试结果口通过 口未通过备注4.2.3.防篡改.网站副本替换测试编号测试项目网站副本替换测试步骤网站系统故障或网络中断导致源站无法使用时，自动检测并跳转到

网站副本，保障业务静态网页正常访问。预期结果网站故障或关加以正常访问静态页面测试结果口通过口未通过备注.篡改恢复替换测试编号测试项目篡改恢复替换测试步骤被防护系统出现篡改问题后，自动检测并跳转到网站副本，展示静态网页。预期结果网站被篡改可以访问正常静态页面测试结果口通过 口未通过备注.整站锁测试编号测试项目整站锁测试步骤1.门户配置页面保证域名存在替身（如果不存在或缓存失败，点击更新缓存）1号随 业自中O 风陶中心 EX 窄和f 户 爰13始神侬母|卑1IE：B“noEFrgpi3'Pi1MJU.7.1Q 出甘因|量■例■-।站■于抑对凶-./斤|2.门户配置页面域名开启整站锁，并设置时间

正 业括晒心 网£中心 推出配片 恢KWq •* SMS"Q业再3ApittSt( can,eh|F1 114.113.7/143事品：nq阳泡可dm"।西仔田U占西15S3?9基地时港免型烟限曰g日研麻用的典W.flU：M±BUSSHH —日对IQ应急中直黜i中生冏.揖‘考巳螃的内啷井网.无蹲日啊可两双好E±4-0JI 篁挣珏：任・石百姐■:九场小W孝兴■国压d!<X8±^KrPTTRSLFLHA中iMI不Jffl里*5用*1.US1E用于RW博!1VmW蛆野1班江用主丽1#«副 URL：1阳t ^T)A蟹曲吟?(E.■门第1：口十曲、开口蓼*.隔到E*0L用金amxs cqk肘司■不总量I设J5在：开云».¥句翻IWdHSS.«£=MSHP?预期结果整站锁定时间内访问域名，返回的是替身页面测试结果口通过口未通过备注.后台锁测试编号测试项目后台锁测试步骤1.门户配置页面配置后台锁策略，url为A，放通ip为B，允许访问时间为C1至UC2

.一键断网测试编号测试项目一键断网测试步骤.门户-＞紧急断网，开启域名一键断网装:鼻斯网G忸?CEM//出H中心K词的4t[•SBflM @9， 和性效…全陶田而去血 /.nX虫rtu®F早1令…WJrSliiMmitJS.升两T«=«带元汪诟百 插巴驻近35见B»Lfik*a3=■干nsi"1 oTfltih随 rfc*护甲1~F—距

预期结果网站无法访问测试结果口通过口未通过备注.紧急断网测试编号测试项目紧急断网测试步骤.关注微信公众号（深信服安全云）.登录微信公众号.服务管理点击深信服云盾，域名开启紧急断网（保护中的域名）X 深信服云盾 ♦一续者《已配6个/上限1Q） Qwww.teach.coiTi产： 172.168.11服务；http（ao）业音名：演示业劳 0未接入v/ww.xLiyangLcn,Pi 119-2375.180服桀；http（3306,21）♦保护中）以紧急断网4?3i预期结果访问网站是个友好页面测试结果口通过 口未通过备注

,一键维护测试编号测试项目一键维护测试步骤1.门户-＞紧急断网，开启域名一键维护俱急的网43 1A目EEE，!耐世世好中心上胸的相。 G) g)困fflfll式 iffi界一 W生效_ B—I o网5— 404列呷个捋；同蛀耳T卜饵月尸得无注缶司 田阳¥恒业百口HlHa加rtBlF中工面—W®f网 。T■审护中1上一曲下预期结果访问网站是个友好页面测试结果口通过 口未通过备注.页面阻断测试编号测试项目页面阻断测试步骤1.门户配置页面，域名A未开启应急处置或者篡改策略为仅首页

.防中断测试编号测试项目防中断测试步骤.门户配置页面，域名开启应急处置功能.域名发生断网事件，访问域名.域名断网事件修复，访问域名预期结果域名存在可用替身：发生断网，访问的是静态页面断网恢复，访问的是客户真实网站域名不存在可用替身：发生断网，访问的是友好页面断网恢复，访问的是客户真实网站测试结果口通过 口未通过备注

4.2.4.可视化.可视化报表测试编号测试项目可视化报表测试步骤1.除了定期报表（日报，周报），还可以生成并下载自定义报表上福强云E™工 地毒 让中心 用国中心 坤 国， ■豆** 1* 1皂迪里邈引&rqmQm-> H-T#i 3rMs部即3S6 dtlVFCTKrAMri. " |"? |PP+n STEA 卷隼配Zfr询E 由忻ufl用B*的得尸於无・^忖；■密・^工物 胃0f.预期结果可以生成并下载自定义时间的报表测试结果口通过 口未通过备注,安全可视化测试编号测试项目安全可视化测试步骤1、将网站接入网站防御平台；2、查看网站防御平台是否具备网站可视化监控能力，如业务安全的监控统计、防护状态、攻击趋势；业务可用性的业务流速趋势、业务访问趋势；危险响应的检测时间，处理建议等信息预期结果网站防御平台具有安全可视化监控能力测试结果口通过 口未通过备注

4.2.5.基础服务,防火墙策略白名单测试编号测试项目防火墙策略白名单测试步骤1.门户-＞配置-＞白名单页面，添加白名单ipA（独享vAF的用户）卜服匚盾皿- 总冤 岭P心 砥中俘 糠 配s ]配互 u名单|*希璃|乂删琼Q.居斯（S早色里字号门里 S32.A发起sql注入预期结果注入成功测试结果口通过 口未通过备注.