checkpoint测试方案模板CheckPoint安全项目

字体颜定黑一般内黄底黑可更改选项,需要根据具体情况设<红色需要客户填入或者补青底黑产品中菜单或命蓝章节抬头（未用版本变版本变更描时作下一代测试方案模板初sNGTPS增 点对多点和专线备 场S注：如果有发现此文档有错误，请联系CheckPoint技术人员协助更正，并更新版本引通过测试，让用户了解CheckPoint安全网关整体解决方案功能特征，展示CheckPoint在安全网测试背<请用户补充测试时间<请用户补充被测系统(硬件/软件)介<插入被测系统描述被测版本被测系统<插入被测系统拓扑测试人甲方测试人角邮件地厂商及乙方测试人角邮件地测试资源Console固定公网代表需要代表不需网IP等>测试功能序12345678PCPCLom功能测试项硬件功能带外管理功编R77.20测试项带外管理功能测测试目验证设备带外管理开有完全独立的带外管理功测试说明与条程开机，关机，固件安装，工作状态查看，错误日志查看与收测试拓配置步IPPCLom卡地址查看硬件状可以查看到CPU，电压，风扇等硬件息Console重定打开JViewer客户端，选择RemoteControl>ConsoleRedirection登录虚拟窗口Java程序可以看到当console输出情况，并可以进行键盘入操挂载虚拟设Media>VirtualMediaWizardCPISO文件，connectISORemoteControlServerPowerthepowerPerformActionresetPerformAction中PowerOffserverImmediatePerfromActionPowerOn通 ☐部分通 ☐未通 ☐未测备面板按钮重编R77.20测试项面板按钮重测试目测试是否能从面板上重启机器，以达到没有console线的情况下重启机测试说与条配置步LEDEnterNetworkLEDRebootEnter预期结果(截图点按方向按键，调整到菜reboot，并确认重设备成功重通 ☐部分通 ☐未通 ☐未测备USB恢复出厂功编R77.20测试项USB复出厂功测试目测试使用U盘恢复硬件出厂设测试说与条使用默认恢复U盘恢复出厂设置，或者制作恢复U盘进行恢复出厂设测试拓配置步PCUISOmorphic工具SelectsourceISOfile:ISOSelectdestinationdriverUInstallationtypeRegularGoYesU盘，U盘数据已经备份使用U盘接USB口，出现启动boot：提示时填入serial，然后回设备成功启动，并且选择从Serial进行恢复，等通 ☐部分通 ☐未通 ☐未测备Bypass功系统健壮编R77.20测试项系统健壮测试目验证被测系统在意外环境下的健壮测试在下列情况下系统恢复后仍能正常工1.关2.空间用测试拓配置步通 ☐部分通 ☐未通 ☐未测备单机硬件冗余编R77.20测试项单机硬件冗余测试目验证被测设备源冗余，风扇冗余，冗余等,掉电测测试说与条测试拓配置步通 ☐部分通 ☐未通 ☐未测备网络与系统功能测透明模编R77.20测试项透明模式支测试目测试系统是否支持数据透明测试说与条建立测试拓扑并设定策略进测试拓配置步GaiaNetworkManagementNetworkInterfaceAdd->在AddBridge框中，点击Bridge选项卡，选择eth1与eth2接口，然后点AddBridgeGroup0IPv4UserthefollowingIPv4addressIPv4address:Subnetmask:SmartDashboardNetworkObjectsCheckPoint-->网关对象名称TopologyTopologyEth1，并完成下列选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto选择⦿Internal(leadstothelocalIPaddressesbehindthisinterfacesnetworkdefinedbyinterfaceIPandNet勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto Server返回成功，查看日志看到 Server的日志，并且在日志上显示没有做NAT在上使用浏览器Serverwww服务www页面返回成功，查看日志看到Serverhttp服务，并在日志上显示没有做NAT，Server上看到源地址为网卡地Server返回成功，查看日志看到 Server的日志，并且在日志上显示没有做NAT，在上抓包看到icmp数据源地址为Server网卡地通 ☐部分通 ☐未通 ☐未测12ICMP3ICMP4备跨板卡端编R77.20测试项Port-Channel链路功能测测试目测试Port-channel链路功能，并能在跨板卡的情况下进行端口设置Eth1Eth2个板卡上，Eth3Eth4在另外一个板卡上,并Eth1Eth3绑，Eth2与Eth4，并且让的线路实现LACP的负载均衡功能，在出现端口故障测试拓配置步GaiaNetworkManagementNetworkInterfaceAdd在AddBond框中，点击Bond选项卡，选择eth1与eth3接口，然后点击Add，BondGroup1，OperationMode802.3adIPv4UserthefollowingIPv4addressIPv4address:Subnetmask:重复上述操作添加Bond2，在AddBond框中，点击Bond选项卡，选择eth2与eth4AddBondGroup2，OperationMode表单中设802.3adIPv4UserthefollowingIPv4addressIPv4address:Subnetmask:SmartDashboardNetworkObjectsCheckPoint-->网关对象名称TopologyTopologyBond1，并完成下列设置选择⦿External(leadsouttotheInternet)勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto选择⦿Internal(leadstothelocalIPaddressesbehindthisinterfacesnetworkdefinedbyinterfaceIPandNet勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto在server配置http服务器， 设备安装浏览switch1Switch2端口 上打开浏览器 上ServerIP地返回Serverweb页面成功，并且查看到日返回成功，并且可以查看到日志 上通过浏览器到Server上文件，查看Eth1/Eth2，可以看到Eth1Eth2网卡接口流量大致相同，Eth3Eth4网卡接口流量大致相同拔掉Eth1，并重复上一测试步骤操作，恢复Eth1，再重复上一测试步返回Serverweb页面均成功，并且查看到日返回成功，并且可以查看到日志，如果使用长可以看到丢包不超过3Eth2/Eth3/Eth4上重复上一操作返回Serverweb页面均成功，并且查看到日返回成功，并且可以查看到日志，如果使用长可以看到丢包不超过3通 ☐部分通 ☐未通 ☐未测备12ICMP3静态路编R77.20测试项静态路由与路由检测功能测测试目测试静态路由功能与路由检测功测试说与条建立测试拓扑验证功测试拓配置步GaiaWebNetworkManagementIPv4StaticRoutes，IPv4AddDestinationSubnetmaskAddGatewayAddGatewayIPAddressIPv4在AddGateway表单中勾选 SmartDashboardNetworkObjectsCheck->网关对象名称TopologyTopologyEth1，并选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto选择⦿Internal(leadstothelocalIPaddressesbehindthisinterfacesSpecific勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto4)在策略列表设定以下策略1ICMP34在上Server返回正常使用命令showroutestatic查看设定的静态路由拔掉Routereth1网等待约2分钟，使用showroutestatic查看设的静态路由已经Routereth1showroutestatic备动态路由协编R77.20测试项OSPF路由协议测测试目测试是否支持OSPF路由协测试说与条建立测试拓扑验证功测试拓配置步RouterEth1ospfFWEth2ospfArea0GaiaAdvancedRoutingGlobalSettingsRouterID:Interface:Eth2在被测设备console上运行命令showospfneighbors可以看到邻居在被测设备console上运行命令Show可以看到被测设备学的网段路通 ☐部分通 ☐未通 ☐未测备组播功能支IGMPPIM-SM/PIM-编R77.20测试项PIM/IGMP组播协议功能支测试目测试是否支持PIM/IGMP组播协议，并在组播环境下能正常工测试说与条建立测试拓扑验证功测试拓配置步sender服务器发送组播数receiver客户端正确收到组播数通 ☐部分通 ☐未通 ☐未测备其他路由功编R77.20测试项其他路由功能支测试目验证被测设备支持下列路由功能下一条路由检路由注测试拓配置步通 ☐部分通 ☐未通 ☐未测备Vlan子接编R77.20测试项与交换机之间实现VLAN对接测测试目测试接口VLAN与交换机之间实现对接功建立测试拓扑验证功测试拓配置步Server1Server2webTrunk2FWVlanGaiaNetworkManangement>Network在interfaces表单中点击Add-->Vlan，在AddVlan框中，点击Vlan选VLANID:MemberOf:IPv4UsethefollowingIPv4address:设定下列参数IPv4address:Subnetmask:在interfaces表单中点击Add-->Vlan，在AddVlan框中，点击Vlan选VLANID:MemberOf:IPv4UsethefollowingIPv4address:设定下列参数IPv4address:Subnetmask:SmartDashboardNetworkObjectsCheck->网关对象名称TopologyTopologyEth1，并选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionisset选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto6)在策略列表设定以下策略 上使用浏览器浏浏览器返回Server1web页 上使用浏览器浏浏览器返回Server2web页在Server1上返回成功通 ☐部分通 ☐未通 ☐未测备1ICMP34ICMP4DHCP编R77.20测试项Dhcp发功测试目测试设备是否具有DHCP转发功测试说与条建立测试拓扑验证功测试拓SettoGetfrom配置步DHCP_ServerDHCPFWDHCPGaiaAdvancedRoutingDHCP在BOOTP/DHCP表单中点击Add按钮，出现AddBOOTP/DHCPRelayInterfaceRelaysAddRelayToServerSaveBOOTP/DHCP设置防地址功把客户端机器接入客户网客户端能拿到dhcp服务器分配的地查看设备Dhcp转发日能在设备日志中查看到dhcp转发的日通 ☐部分通 ☐未通 ☐未测备1234编R77.20测试项流量测测试目测试验证能够接受并分析网络设备镜像过来的流量,并验证流量报告的准确性及细程度测试说与条需要网络设备在相应的接口上配置流量镜像，对接收到的流量进行分析和记录,验证到的流量方向与实际流量的方向是否一致,验证记录到的流量是否有缺测试拓配置步SWSW.InSW.SpanbothGaiaEth1IP44确认Eth2并没有IP地址，则删掉IP并保持端口为UPNetworkManagementHostsandDNSPrimaryDNSServer6确认在console上能 这个在Gaia界面双击Eth2接口，出现EditEth2框，点击Ethernet选项卡，勾Monitor启用Firewall,IPS,URLFiltering,AppControl, ,Anti-Bot功SmartDashboardNetworkObjectsCheckPoint-->网关对象名称GeneralPropertiesNetworkSecurity选项卡中勾选：Anti-ApplicationURLInterfaceNetworkObjectsCheckPoint-->网关对象名称Topology，点GetInterfaceswithTopologyInterfaceEth1，点击TopologyAnti-Spoofing表单中，取消勾选口PerformAnti-SpoofingBasedonInterfaceIPSNetworkObjectsCheckPoint-->网关对象名称IPSProfileAssignmentAssign 1SpanSW.intoInternal可以看到不同刀片都产日通 ☐部分通 ☐未通 ☐未测备GRE编R77.20测试项GRE隧道功测试目验证被测设备支持GRE隧道功建立测试拓扑验证功能，被测设备能与对端建立GRE通道，并且测试通信正测试拓配置步通 ☐部分通 ☐未通 ☐未测备NATNATHidebehind策略路由功编R77.20策略路由功能测测试的测试设备是否支持策略路由功测试建立测试拓扑验证功能，被测设备能根据源地址转发数ISP1打开浏览器，登录Gaia系统，点击AdvancedRouting--> BasedActionTablesAdd在Add TablewithStaticRoute 框按下表填入TableName；ISP1DefaultRoute：NextHopType：AddGateway,AddGatewayIP在AddGatewayAddress框填入下列信息并点击确GatewayPriority：ISP2打开浏览器，登录Gaia系统，点击AdvancedRouting--> BasedActionTablesAdd在Add TablewithStaticRoute 框按下表填入TableName；ISP2DefaultRoute：NextHopType：AddGateway,AddGatewayIP在AddGatewayAddress框填入下列信息并点击确GatewayAddress：Priority：ISP1打开浏览器，登录Gaia系统，点击AdvancedRouting--> Based在Rules表单点击Add按在Add ⃝⃝Table: 口 Subnet 口DestinationSubnetmask口Service口ISP2打开浏览器，登录Gaia系统，点击AdvancedRouting--> Based在Rules表单点击Add按在AddRule框填入下列信息，然后点击 ⃝⃝Table: 口 Subnet 口DestinationSubnetmask口Service口根据环境设定地址，设置参考防地址测试项NAT，NATNAT在客户端PC1端互联PC1经由ISP1出互联网，并且ISP1的地址，并且有相应日志记在客户端PC2端互联PC2经由ISP2出互联网，并且ISP2的地址，并且有相应日志记测试果通 ☐部分通 ☐未通 ☐未测备123SNMP测编R77.20测试项测试设备是否支持测试目测试验证能够接受外部第SNMP的信息获建立SNMP应用服务器，并能在SNMP应用服务器中获取到被测设备CPU/内存/空间/测试拓配置步被测设备数据准被测设备内数据准被测设备并数据准被测设备流数据准备Netflow支编R77.20测试项NetFlow支测试目验证被测设备支持NetFlow功测试说与条建立Netflow服务器，并配置被测设备发送流量信息到Netflow服务测试拓配置步通 ☐部分通 ☐未通 ☐未测备AAA认编R77.20测试项AAA认测试目验证设备支持AAA服务器，可对用户以及管理级用户进行验证,和行为统计的外部务器测试说与条建立Radius服务器，并配置被测设备把验证请求发送到Radius设备，确认验证结测试拓配置步配置Radius服务器使其能正常工作，配置用户 ，共享密钥GaiaRadiusGaiaUserManagement-->AuthenticateServerAdd添加AAA服务器，填入下列内容Priority UDP Shared TimeoutIn 配置SmartDashboard认证登录SmartDashboard，点击左边对象树ServersandServers，选择New，然后选择Radius，填写框NamemyRadiusHostRadius_ServerServiceudpRadiusSharedSecretProtocolPAP点击左边对象树Usersand邮件点击Administrators，选择New，点击permissionprofiles旁边的按填写Permission名称为S Admin，permission选择Read/WriteAll然回到Administraors属性页面，在PermissionProfiles中选择 重新登录Gaia界面，使用录用户登录成重新登录SmartDashboard界面，使 用户登登录成备命令行管理编R80测试项测试设备是否支持命令行管测试目验证被测设备支持命令行管理模测试说与条用SSH/Console登录被测设备进行策略设置，并验证策略生效，命令能自动补测试拓配置步SSHCP使用SSH工具直接连接到CP设CLI中输出相关内通 ☐部分通 ☐未通 ☐未测备11Web管理编R77.20测试项Web管理模式支测试目验证设备支Web管理模测试说与条用SSH登录被测设备进行策略设置，并验证策略生测试拓配置步输 ，然后会显示Web管理的认证登录页输入账 能正常登录到Web管理界浏览器输入,并输入账号能正常登录到Web管页通 ☐部分通 ☐未通 ☐未测备命令行和图形界面配置的一致命令行/web欢迎界面功编R77.20测试项设备支持欢迎界测试目验证被测设备支持欢迎界面测试说与条在被测设备上设置欢迎词语，通过web/console/ssh三种方式登录，欢迎词语能正常示测试拓配置步使用https登录web界能看到预先设置的欢迎界使用console口登能看到预先设置的欢迎界ssh能看到预先设置的欢迎界通 ☐部分通 ☐未通 ☐未测备备份与恢复功编R77.20测试项设备配置的备份与恢测试目验证被测设备支持配置备份与恢复，并能支持自动备测试说与条建立外部FTP服务器，配置被测设备备份到Ftp服务器，验证备份情况，并对备份包进测试拓配置步执行备备份成功,能查看到备包任意修改设置，然后执行恢恢复成功,能看到原来设ftp服务器备配置跨版本迁移功编R77.10GaiatoR77.30测试项配置跨版本迁移功测试目测试系统的配置能否进行迁移，并支持不同软件版本下迁测试说与条备份低版本被测设备的配置，重装或升级被测设备（升级后恢复出厂配置），并把备的配置倒入升级后的被测设备，并验证被测设备正测试说配置步CLIexpert进入迁移工具 upgrade_exportupgrade_import然后运行./upgrade_exportFTPSMC.tgz进入新版的设备，同样进入到使用upgrade_export导出一个配置文upgrade_import通 ☐部分通 ☐未通 ☐未测备Standlone部署方式和Distributed部署方式的SMC不能互相迁NTP时间同步功编R77.20测试项NTP时间自动同步功测试目验证被测设备支持NTP协议自动同测试说与条配置被测设备指向时间服务器，并验证时间是否同测试拓配置步showntpactiveNTPNTPversionNTPsetntpactiveshowntpactiveNTP服务使用showclock命令查看当前时与标准的时间一通 ☐部分通 ☐未通 ☐未测备syslog系统信编R77.20测试项外送syslog系统信测试目测试能否对第的syslogserver发送系统日测试说与条配置被测设备发送系统日志到外部syslog服务器中，并在syslog服务器验证内测试拓Syslog配置步Clisyslogserver.addsysloglog-remote-address00levelsave查看Syslog日志收集情Syslogserver会收到相日备恢复功编R77.20测试项恢复功测试目验证被测设备支持当忘记或丢失时,恢复或者绕开管理员的功测试说与条测试拓配置步将UUSBexpertemergendisk,U盘中原有数进入expert模式，将Emergendisk盘插入设备USB接口，执行命令reboot重启，重启后Emergendisk菜单，选择ResetAdminPassword，输入新的。拔出Emergendisk盘，重启按上述操作恢复被重通 ☐部分通 ☐未通 ☐未测备设备固件更编R77.20测试项设备固件更测试目验证被测设备支持固件更新，并能实现自动更测试说与条手工更新设备固件，确认更新成功后设备正常运配置被测设备固件自动更新，等待并验证自动更测试拓设备能够正常上配置步webUIUpgrades(CPUSE)→Statusand选择相关的Hotfix，然后点击Down该Hotfix，完成会自动提示InstallUpdateOK直接登录到webUI查Upgrades(CPUSE)–>Statusand查看状态packageisinstalled,self-test通 ☐部分通 ☐未通 ☐未测备FWFW安全功能测安全策略功编R77.20测试项安全策略功测试目基于源/目标地址/协议/端口等网络元素的控测试说与条定义允许的方向，根据源地址,目的地址以及协议端进行扩展的ACL控流量，验证控制结测试拓配置步SmartDashboardNetworkObjectsPC1，点NAT勾选AddAutomaticAddressTranslationTranslationHidebehindGatewayorIPIPv4ObjectIPnNAT⦿Hidebehind⦿HidebehindIP3)预期结果(截图使用浏览器http页面成SmartViewTracker上查看相关日志，http数据命中第2条策略使用命令行返回timeout。在SmartViewTracker上查看相关志，icmp数据命中第4条策使用浏览器http页面失败，在SmartViewTracker上查看相日志，http数据命中第4条策使用命令行TTL时间，SmartViewTracker上查看相关志，icmp数据命中第3条策备1234策略命中次数统编R77.20测试项策略命中次数统测试目验证被测设备支持统计策略命中次测试说与条建立拓扑和策略，配置记录命中次数，产生数据并验证记录次测试拓FW配置步SmartDashboardNetworkObjectsPC1，点NAT勾选AddAutomaticAddressTranslationTranslationHidebehindGatewayorIPAddressIPv4Address:ObjectIPnNAT⦿Hidebehind⦿HidebehindIP3)PC1使用浏览器若干页面成功，刷新SmartDashboard HitCount字段，可查看到规则2中次数在变化PC2使用浏览器若干页面失败，刷新 HitCount段，可查看到规则4中次数在变通 ☐部分通 ☐未通 ☐未测备1234用户认证功能测试 Authentication编R77.20测试项用户认证功测试拓

FW对象

本地建立用户User1，建立组Group1并包含在Radius服务器上建立用户User2在 选择Radius，建立组Group2包含User2(连接Radius服务器请参考文档XXX)AD/LdapUser3LdapGroupGroup3AD/LdapUser3(AD/Ldap对象名 IP地 NAT地Hidebehind

NATMode

Hide/Static 配置步

123Auth4Auth5设 Auth属

测试步预期结果(截图是否符合期PC1上用浏览器打使用用User1StandardLogin方登录成功后用浏览器得到预期结果后，重新PC1用浏览器打并使用用户User1Logout页面打开成PC1上用浏览器打使用用User2StandardLogin方登录成功后用命令行得到预期结果后，重新PC1用浏览器打并使用用户User2Logout返回成功PC1上用浏览器打使用用User3StandardLogin方登录成功后用浏览器得到预期结果后，重新PC1用浏览器打并使用用户User3Logout页面打开成备AuthorizationAuthorization 2MinutesRefreshableNumberofSessions2FWFW12345用户功能测试 Authentication方法编R77.20测试项用户功能测测试目验证被测设备用户认证后，根据不同的策略，获取到不同权测试说与条建立拓扑和三种认证服务器，设定策略，并确认认证后用户获取正确权测试拓配置步 本地建立用户User1，建立本地组Group1包含 本地建立用户User2，建立本地组Group2包含AD/LdapUser3LdapGroupGroup3(设 Auth属AuthorizationIndefinite 2MinutesRefreshableNumberofSessions2PC1上用浏览器打使用登录成功后用浏览器使用命令行http页面打开成测试失败，返回timeout使用SmartViewTracker查看到相关日志，http数据命中第2条策略，icmp命中第5条PC2上用浏览器打使用登录成功后用命令行使用浏览器测试返回成功http页面打开失icmp命中第3条策略，http命中第5条策PC1上用浏览器打使用用户User1重新打使用用户User3StandardLogin登录成功后用浏览器使用命令行http页面打开成功测试返回成功使用SmartViewTracker查看到相关日志,icmp,http均命中第4条策略通 ☐部分通 ☐未通 ☐未测备基于用户的安全策编R77.20测试项基于用户安全策测试目验证被测设备的策略表支持基于用户的安全策测试说与条根据拓扑组网，并设定用户与策略，并把用户和策略进行，并验证用户验证后获到不同策测试拓配置步在本地建立用户User1，建立本地组Group1包含设 Auth属PC1上用浏览器打使用用户User1StandardLogin方式登登录成功后用浏览器使用命令行http页面打开成功测试返回失败使用SmartViewTracker查看到相关日志，HTTP命中第2条策略，ICMP协议命中第3条。通 ☐部分通 ☐未通 ☐未测备FWFW123基于时间策略测编R77.20测试项基于时间策略的测测试目验证被测设备策略可以根据时间来启用（根据时间生效），并可以设置临时策（过时策略测试说与条设定一条时间策略与一条过时策略，等待生效时间确认策略有效，等待过时时后临时策略失测试拓配置步SmartDashboardManage>timeNEWTimeName:mytime，并按照下表填入参数SmartDashboardNetworkObjectsPC1，点NAT勾选AddAutomaticAddressTranslationTranslationHidebehindGatewayorIPAddressIPv4Address:ObjectIPnNAT⦿Hidebehind4)测试步骤(PC1上操作FWFWTimeActivateExpire123命令行浏览器Icmp数据返回失败，显示timeouthttp页面返回成功使用smartviewtracker查看日志，icmp数据命中第3条策略，而http数据命中第2条策略，第1条策命令行浏览器Icmp数据返回成功，显示ttl数http页面返回成使用smartviewtracker查看日志，icmp数据命中1条策略，而http数据命中第2条策令行览器Icmp数据返回失败，显示timeouthttp页面返回成功使用smartviewtracker查看日志，icmp数据命中第3条策略，而http数据命中第2条策略，第1条策通 ☐部分通 ☐未通 ☐未测备会话长连接设 协 检测功编R77.20测试项协议检测功测试目验证被测设备是否支持基于协议的检测支持，例如FTP/VOIP等动态端口的协议的持能动态识别到端口，测试更改FTP主端口的情况下仍然能支持FTP主动/FTP的传模测试拓配置步通 ☐部分通 ☐未通 ☐未测备Weight50Limt800KbpsWeight对于协议QoS功编R77.30测试项基于协议的测试目验证被测设备可以针对协议，进行QOS的流量控测试说与条分别针对http/ftp/smtp制定QoS策略，并同时发送三种数据，验证各种协议都能实预期测试拓FW配置步Dashboard->NetworkObjectFW对象的属性->QOS，打开QOS功能；TopologyEth1Eth2QOSinboundoutbound，并Rate值；QOS进入FW，开启QOS支持SecureXL和CoreXL，进入CLI输入[Expert@HostName]#cpprod_utilCPPROD_SetValueFG1FgWithAcceleration111；重启然后通过HTTP方式文未下发QOS策略之PC1为最大速的文下发QOS策略之PC1少于速度备Group防地址功编R77.20测试项防地址功测试目验证被测系统能阻挡地址的数测试说与条根据拓扑组网，开放所有策略为anyaccept，发送非内部源地址数据包，验证法源地址数据包被阻测试拓配置步1)SmartDashboardNetworkObjectsCheckPoint-->网关对象名称TopologyTopologyEth1，并完成下列选择⦿External(leadsouttothe勾选PreformAnti-SpoofingbasedoninterfaceAnti-Spoofingactionissetto选择⦿Internal(leadstothelocalIPaddressesbehindthisinterfacesSpecific勾选PreformAnti-SpoofingbasedoninterfaceAnti-SpoofingactionissettoPC1上PC2上PC1上Hacker上PC1能正常通PC2PC2也能正常通PC1PC1能正常通Hacker也能正常通在SmartviewTracker均看到双方的日在Hacker上一个数据址为0，修改此数据包的目标地址0（PC1）并此数据包从Hacker网卡上被，原因是地址部分通 ☐未通备1数据流量捕获功编R77.20测试项数据流量捕获功测试目测试设备是否具有数据包捕捉功能，实时显示或本地保存；可开启debug抓取细信测试说与条产生一定流量，并在被测设备上抓取数据包，验证数据包与流量对应一测试拓配置步使用console登录，并运行命令tcpdumpi-p可看到抓包数据从此端口出去，源地址使用console登录，并运行命令tcpdumpi-p可看到抓包数据从此端口进来，源地址使用console登录，并运行命令tcpdumpi-ptcpandport可看到抓包数据从此端口出去，源地址使用console登录，并运行命令tcpdumpi-ptcpandport可看到抓包数据从此端口进来，源地址使用console登录，并运行命令tcpdumpi-s0-wmycap-ptcpand抓包保存在在mycap文件中，导出文件可以wireshark中打通 ☐部分通 ☐未通 ☐未测备HideNATto123FWFW对象名NATNATHidebehindIPHidebehindNATNAT功编R77.20测试项动态NAT功能测测试目测试动态NAT，多对一Nat功能，能实现内部网络多个主机对外映射成一个地址互联测试说与条根据拓扑组网，对内网PC实现映射成设备的接口地址或非接口地测试拓配置步SmartDashboardNetworkObjectsPC1，点NAT勾选AddAutomaticAddressTranslationPC1NATTranslationmethods:HidebehindIPAddressIPv4Address:46确认没有勾选AddAutomaticAddressTranslationg.Internal_network，NATTranslationmethods:Hidebehindthis3)PC1上用浏览器http页面成使用SmartviewTracker查看相关日志，源地址后地址为PC2上用浏览器http页面成使用SmartviewTracker查看相关日志，源地址后地址为通 ☐部分通 ☐未通 ☐未测备1234一对一静NAT功编R77.20测试项静态NAT功能测测试目验证被测设备支持静态NAT一对一映射功能，满足服务器对外提供服务的场地址DMZ的服务器测试拓配置步方法如下SmartDashboardNetworkObjectsPC1，点NAT确认没有勾选AddAutomaticAddressTranslation确认没有勾选AddAutomaticAddressTranslation确认勾选AddAutomaticAddressTranslationrulesTranslationmethods:staticTranslatetoIPAddress:IPv4Address:45PC2上用浏览器http页面成使用SmartviewTracker查看相关日志，目标地NAT后地址为PC1上用浏览器http页面成使用SmartviewTracker查看相关日志，目标地NAT后地址为通 ☐部分通 ☐未通 ☐未测备对象名NATNAT123123端口映射功编R77.20测试项端口映射功测试目验证被测设备具备各种端口映射NAT的条件下的功能，能满足特殊的NAT场测试说与条根据拓扑组网，实现对外一个地址(非接口地址)不同端口对应内部多个应用服器的不同应用，并且内部和外部都可以使用NAT的地址来这些应测试拓配置步SmartDashboardNAT12设置GaiaWeb界面，点击菜单NetworkManagement在 ARP表单点击Add打开AddNew ARPEntry IPv4Address:AdvertiseIPviaInterfaceName:设置Mergemanual -->GlobalProperties在GlobalProperties框点选NAT-NetworkAddressTranslation选项勾选AutomaticARPd.Mergemanual ARPconfigurationPC2上用浏览器http页面成使用SmartviewTracker查看相关日志，目标地NAT后地址为PC2上用ftp工具ftp成功，并能上传文使用SmartviewTracker查看相关日志，目标地NAT后地址为PC1PC1备记录用户NAT情IPS/IDS功能测IPS阻挡功编R77.20测试项IPS阻挡与保护功测试目验证被测设备在收到各种的情况下是否能发现并阻通过模拟软件对被测设备后端的服务器进行，测试设备是否能发现并阻挡各种的行为，能够识别并阻隔大多数主要的应用层行为，如：蠕虫、 遍历、DoS、碎片、端口扫描、SYN、IKE,sql注入，ldap注入扫描类DOSFTPMAILDNSMSCIFSWEB其他类测试拓配置步打开Dashboard在networkObject中开启FW的属性，勾上IPS打开防御直接使用IPS的默认策略，然后Install在PC上运行软件www_server进行被被测设备阻挡，在被测设备上查看到阻挡志通 ☐部分通 ☐未通 ☐未测备FWFWIPS区域保护功编R77.20测试项IPS区域保护功测试目验证被测设备的IPS功能支持在受到大量某一国家情况下某一国家或区的数测试说与条提供界面证明此功能即测试拓FW配置步打开Dashboard在networkObject中开启FW的属性，勾上IPS打开防御IPS刀片配置界面--->GeoPortection-→Blocknetworktraffictoandfromanycountry-→ActionPrevent;然后在forSpecificCountries—>Add添加如下策略Install查看来自的数据在SmartView中可以查到相关日志，来自数据包会被IPS刀片查看目的地址是的数SmartView中可以查到相关日志，目的地址去加拿大的数据包会IPS刀片被Block通 ☐部分通 ☐未通 ☐未测备FromandToIPS识别与IPS日志过滤查用户识别功IPS安全事故快速定位功编R77.20测试项IPS安全快速分测试目验证被测设备具有IPS快速定位与分析安全，减低管理员的工作从打开界面后开始算，点击不超过3次就能查看到严重IPS的行测试拓配置步SmartEventSmartEventView:IPS视觉在TimeLineView中查看IPS的的详细信息在PC1启动工具www_server进行，看管理系统了解情能快速查看到行为，并分辨出不同的重要程度，并把级别最高的行为体现出来通 ☐部分通 ☐未通 ☐未测备IPS安全运维功编R77.20测试项IPS安全运维功能测测试目验证被测设备具备IPS运维流程，能引导管理员在部署IPS后实现安全运维，保障能有效工作测试说与条需要证明有一定的流程或者功能可以保证新的特征库能有效地应用到生产中而不对现有应用产生阻挡行为测试拓配置步通过SmartEvent刀片，查看关于IPS的通过 ，可以在相关的LOG文件查看到详细的信息通过IPS 的信息，如果没开启相关防护措施，可以在Action-→GotoIPSProtection重定向到相关的策略并开启防护功能；查看到相关的安全后，可以根据事日志上有相关的超通 ☐部分通 ☐未通 ☐未测备VOIP保编R77.20测试项VOIP保测试目验证被测设备支持发现基于VOIP行测试拓配置步通 ☐部分通 ☐未通 ☐未测备SSL的IPS保护功编R77.20测试项SSL的IPS保测试目验证被测设备能检测SSL加密流量中，而无需增加额外设测试说与条https服务器前部署被测设备，并启用SSL检测功能，模拟基于https行为（例如运行SQL注入https服务器）,被测设备能发现并的行测试拓配置步通 ☐部分通备IPS特征码更编R77.20测试项IPS特征码更测试目验证被测设备的IPS特征码可以更新，并在更新后应用上生产环境而不能影响务测试说与条测试IPS特征码更新功能，测试特征和离线更测试拓配置步OnlineUpdate:IPS刀片配置界面--->DownloadUpdate→Updatenow→输入相关的UserCenter的账号并点击OK，IPSDynamicUpdate会自OfflineUpdate: 升级文件.upf的文件.IPS刀片配置界面--->DownloadUpdate—>OfflineUpdate—>将的离线文件.upf导进去→点击continue，自动启动升级程IPS特征联网并成到离线特征包并更离线特征包更新系统成IPS通 ☐部分通备应用安全功能测应用识别功编R77.20测试项应用识别功测试目验证被测设备能识别各种应用包括例HTTP/FTP/HTTPS/ICMP/SQL/RDP/SSH/net等能在非默认口下识别到应用流量生成软件将会发送20种（数据中心／Internet边界）常见的应用流量包HTTP/FTP/HTTPS/ICMP/SQL/RDP/360/update/AD/Lync/SSH/QQ/BT/迅/net等，所有应用运行在标准端口上或非标准端口上，被测设备需要准确识别和这些应用。测试拓配置步通 ☐部分通 ☐未通 ☐未测备URL与应用程序控制策编R77.20测试项URL与应用控制策测试目验证被测设备支持URL控制和应用程序控制,包括黑白控制，URL分组类控制与多重分类控定义黑白，设定策略进行控定义2中URL分类，例如类与购物类，分别设定策略进行控定义一自定义分类，包换上述2中2个分类，并包含，制定策略进行控定义一个应用，制定策略进行控测试拓配置步通 ☐部分通 ☐未通 ☐未测备FWFW对象名NATNATGateway12与软件的检测与防护功能测编R77.20测试项防功能测测试目验证被测设备支持反功能，能够实时识别和到站点的，恶意文件验证被测设备支持zip文件的程序检测试说与条使用Eicar来进行反测试，或者在网上包进试测试拓配置步启用防功文并失败，安全网关产生阻挡日文并失败，安全网关产生阻挡日通 ☐部分通备exezip和防僵尸网络功编R77.20测试项防僵尸网络功测试目检查及僵尸通信模式僵尸，避免被僵尸控制，能够对僵尸的行为异常的网络行为，例如：与主控端通信，发送等,必须使用多层次引擎，包括IP/URLs/DNS等地址信测试说与条在客户端模拟僵尸软件对外通信，查看是否能识测试拓配置步在客户僵僵查询，并产生日通 ☐部分通 ☐未通 ☐未测备FWFW对象名NATNATGateway12文件类型过滤测编R77.20测试项文件类型过滤功能测测试目验证被测设备能对指定文件类型过滤测测试说与条组织20中文件类型，并对随机修改其中的某5种文件类型后缀，根据拓扑组网验证被测设备能阻挡所有20中文件类型，包括随机改动后缀的5中文件类测试拓配置步启用防功编辑防策ThreatPrevention→—>Action→编辑相关的Profile—Settings→FileTypes→Processspecificfiletypesfamilies→zipXML类型的文件，ActionBlock; 并文件型为ZIP的文失败，安全网关产生阻挡日并文件TXT备基于用户的安全策略，单点登录功AD集编R77.20测试项用户识别功能支测试目验证被测设备支持基于用户/用户组的策略部署的实现，与AD集成实现单点登功能根据拓扑组网，验证被测设备要能识别到AD的用户与组，并且不同的用户获取不记录用户登录等详尽信息，尽量不安装任何插件测试拓配置步GlogalProperties—>UserDirectoryUseusterDirectoryforsecuritygatewayNetworkObject—>Nodes→Node→HostADNenu→Manage→ServersandOPSECApplicationsLDAPAccount按照提示输入相关AD的账号、、DN等相关信息，点击保存LDAPAccountUnit对象；在UsersandAdministrators中确定LDAPAccountUnit能够 架构出来UsersandAdministrators—>AccessRoleLDAPAAD中的用户UsersandAdministrators—>AccessRoleLDAPBAD对象名NATNATGatewaySourceAccessRole使用用户A登录AD域，并使用命令，并使用览器日志显示A用户被识别，server能正常通，http也正常使用用户B登录AD域，并使用命令，并使用览器日志显示B用户被识别，没有返回， 正pdp日志能看到到对应上述操作的日志，pdpmonitor通 ☐部分通 ☐未通 ☐未测备1235基于用户的安全策略，网页跳转方式集编R77.20测试项用户识别功能支测试目验证被测设备在没有AD域的环境下仍然能实现基于用户/用户组的策略部署场的部测试说与条根据拓扑组网，并针对用户组设定策略，用户上网时需要自动弹出认证窗口进认证与用户识别，不安装任何插件测试拓配置步UsersandAdministrators—>UsersUsersandAdministrators—>UsersGroupUser-GroupAUsersandAdministrators—>UsersUsersandAdministrators—>UsersGroupUser-GroupBUsersandAdministrators—>AccessRoleAccessRoleGROUPA，并包User-GroupA组；UsersandAdministrators—>AccessRoleAccessRoleGROUPB，并包User-GroupB组；对象名NATNATGatewaySourceAccessRole用户用浏览器并同时用户用命令行窗浏览器返回认证页timeout查看日志显示命中最后一条日用户使用用户A和用户在认证页面登认证成功后浏览器自动跳转返回成功12 captive3 captive5查看日志显示命中对应的日pdp日志能看到到对应上述操作的日志，pdpmonitor备基于用户安全策略，终端服务器方式集编R77.20测试项用户识别功能支测试目验证被测设备在终端服务器环境下仍然能实现基于用户/用户组的策略部署场景部测试说与条测试识别登录同一台终端服务器的不同用户，并获取到不同的安全网关策测试拓配置步PC1用用户名User1上用mstsc命令登录终端服务浏览器浏览器成功，查看日志显示命中对应的日维持User1session不logout，在PC2用用户名User2上用mstsc命令登录服务器的浏览器浏览器失败，并显示被安全网关，查看日pdp日志能看到到对应上述操作的日志，pdpmonitor通 ☐部分通 ☐未通 ☐未测备P2P数据编 测试版本R77.20测试项目P2P据控制功测试目的验证被测设备对应用类型（特别是P2P用）的检测和控制能

在PC端运行P2P软件，例如BT，迅雷， 测试拓FW对象

对象名NATNATGateway配置步

12Application&URL 1P2Pfile2Any使用P2P工具文文件会被阻拦并且日志上有相关记通 ☐部分通 ☐未通 ☐未测备FWFW数据防泄密功编R77.20测试项数据防泄密功测试目验证被测设备具备阻挡敏感数据功能测试说与条测试拓对象名NATNATGateway12配置步配置步DLPDLPDataLossPrevention→DataType—>NewKeyWordtestDataLossPrevention—>—>New，新建DLP策略策键字test上传到外部服务器网 ，查看日志命对应日通 ☐部分通 ☐未通 ☐未测备My未知检测/APT测试/沙盒功编R77.20测试项APT防护与沙盒功测试目验证被测设备支持沙盒功能，能对未知风险/APT进行阻挡，例如对基于pdf或office文档的行为进行，并能剥离文档中的代务器上提供http，当内部PC此类文件时，被测设备能并阻挡此类文档被测设备必须能在5分钟内仿真出未知的风被测设备检测需要支持多种文件格式包括MSofficeword，excel，pdf，dll，exe被测设备必须能支持大文件的沙盒仿真。支持PDF于20M，office档大于20M仿被测设备必须具备剥离功能，能把仿真发现的APT/未知的文档文件中的码剔除并把剔除后的安全文档交付给用测试拓配置步启用防、反僵尸和TE功防、反僵尸和仿真模块使用Prevent模测试步在PC上打开浏览器，页XXX包含行为的pdf文浏览器返回文件被查看日志显示此pdf包含行为，所以被安全网关在PC上打开浏览器，页XXX正常的pdf文文件被正常通 ☐部分通 ☐未通 ☐未测备对象名对象名NATNATGateway12服务器功非服务器功编R77.20测试项设备上网功测试目验证被测设备支持支持上网功根据拓扑组网，验证被测设备支持透明和非测试拓FW配置步配置：打开Gateway对象，打开Http/Httpsporxy属性，勾选UsethisgatewayasanHttp/Https 客户端配置：PC-1在浏览器—>工具—>Internet选项—>连接—>局域网设置-->服务器设置：IP：，端口8080；配置下列策略表1Dns2PC-1上打能正常打开网页，日显示有允许通过的记PC-1没有回包，日显示有相关阻断的记备对于应用QoS功编R77.20测试项对于应用的测试目验证被测设备针对应用的QOS的实现限速功能，这里测试限制flashget应测试说与条在PC端使用Flashget，验证带宽得到限测试拓FW配置步SSH进入Cli开启QOS支持SecureXL与CoreXL功能，[Expert@HostName]#cpprod_utilCPPROD_SetValueFG1FgWithAcceleration111;重启开启QOS功能和应用控制功 点击Topology，在External接口的QOS上，启用InboundoutboundQOS功能并填上相关的带宽Rate值；打开启URLFilteringAppControl并制定如下策略启用qos并使用flashget工具文速度为关闭qos并使用flashget工具文速度为备对端第设备做点对 互编R77.20测试项 功能测测试目验证被测设备与第设备建立IPSec 主模式与野蛮模式，支持DES/3DES/AES-128/AES-256等多种测试说与条根据拓扑组网，配置两 ，实现两端数据通 通道传输，并得到相关日 测试拓EthernetEthernetEthernetPC-FW-FW-PC-配置步IP在测试和第上启用 功能ISKAMPPSK（共享密钥IKEIKEIPsec转换集（TransformSet）ESPcryptomap 与第之间建立1条Site-to-Site的IPsec 5）配置2个 ，设置安全策略，允许HTTP业务；HTTP采用或HTTP，从客户端服务器确 建立的连通性PC1通过PC1PC2的http服正常PC2通过PC2PC1的ftp服备L2TP功能测编R77.20测试项接入L2TP功测试目验证被测设备支持 服务器功配置L2TP服务器支持，在PC端建立l2tp连接并能内测试拓配置步UsersandAdministrators—>Users中新建一个用户开 功能Gateway属性 →点击Add，将RemoteAccess加 Gateway属性→ s→OfficeMode中，选择所有用户使用OfficeMode;选择Mual(usingIPpool)，选择CP_default_office；Gateway属性 s→RemoteAccess→勾上Support ，验证方法MD5GlobalProperties→RemoteAccess→ AuthenticationandEncryption→Supportauthenticationmethods中，勾上SupportL2TPwithPre-SharedKey并输入共享密钥；按照下表制定策略并下客户端配置方法（WIN7为例新 连接，并修 属性修改常规→目的机名为 置选共享密钥并设置的共享密钥；修改安全选项→数据加密，勾上未加密的其他设置保持默认使用PC-1通过拨号的方式连接显示连接成功，并成功WEB服务通 ☐部分通 ☐未通 ☐未测FWFW1PC-23备FWFW1PC-23 功能测编R77.20测试项 功测试目验证被测设备支持 功测试拓配置步UsersandAdministrators—>Users中新建一个用户开 功能Gateway属性 →点击Add，将RemoteAccess加 Gateway属性→ s→OfficeMode中，选择所有用户使用OfficeMode;选择Mual(usingIPpool)，选择CP_default_office；Gateway属性 Gateway属性 s→RemoteAccess→勾上SupportVisitor按照下表制定策略并下1.使用PC-1通过https的方式连在弹出来的加载项中，根据提示装加载弹出的SSLNetworkExtender窗口显示 接成功，并获得一个IP地址，能成功WEB服器4.安装成功后，选择trust备NAT穿编R77.20测试项支持NAT穿测试目验证被测设备是否能在NAT的环境下实 功测试说与条测试拓配置步通 ☐部分通 ☐未通 ☐未测备Hub模式隧道编R77.20测试项隧道管测试目验证被测设备支持 隧道中断重连 隧道 状态 隧道重测试说与条测试拓配置步通 ☐部分通 ☐未通 ☐未测备接 功能测编R77.20测试项接 功测试目验证被测设备支持接测试说与条测试拓配置步开 Access功能 Accessconfigure配置界面上，勾选 WebPortal中选择ExternalIP地址Applications的配置界面中仅勾选DemoWebapplication(world在Authorizedusers中设置测试用户usertest并设置，然后再点击完成退出配置Gateway属性 →点击Add，将RemoteAccess加 Gateway属性→ s→OfficeMode中，选择所有用户使用OfficeMode;选择Mual(usingIPpool)，选择CP_default_office；按照下表制定策略并下使用MoilePhone的APP并打开选择ManualConnection，新建连提示显示连接成功能成功worldclockFWFW1233.填写相关参数和输入账号和，通 ☐部分通 ☐未通 ☐未测备集中管理设备集中部编R77.20测试项设备集中部测试目验证被测设备支持被集中管理平台统一管测试说与条部署集中管理平台与被测设备，用集中管理平台对被测设备进行控制与管测试拓FWSmart配置步使用分布式部署，先安装好安装Fw01，设置onetimepassword安装Fw02，设置onetimepassword安装Fw03，设置onetimepassword在SmartCenter上按照下表制定策略并下1SmartCenter上新建FW01的对象，使用onetimepassword建立SIC；SmartCenter上新建FW01的对象，使用onetimepassword建立SIC；SmartCenter上新建FW01的对象，使用onetimepassword建立SIC；SmartCenter能成功与FW01，FW02，FW03建立SmartCenter同时对3FW下发策提示所有FW都下发成备策略与配置集中管编R77.20测试项策略与配置集中管测试目验证被测试设备是否具有策略与配置集中管理功1、能够实现对多台的统一集中管理，包括统一的对象制定、策略功能配置及对策略的统一集中推送到所管理等2、能够对多台实现单一的策略文件进行策略配置，以及可以为不同的分配3、能够通过单一的图形化界面对所有功能的统一配置，例IPS、应用控制、过滤、 等功能够对多 设备进行软件版本的升测试拓FWSmart配置步使用分布式部署，先安装好在FW03开 ent服务在SmartCenter上按照下表制定策略并下发给各个FWInstall1PC-Targets2PC-3PC-4PC-5TargetsPC-1分别通过SSH、ICMP和 net连接FW01SSH能连接成功，其他均失PC-1分别通过SSH、ICMP和FW02netICMP能连接成功，其他均PC-1分别通过SSH、ICMP和FW03netNET能连接成功，其他PC-1分别用https均可以成功连备安全管理功能测界面便捷编R77.20测试项界面操作便利测试目验证被测设备各种界面操作，检查系统是否使用足够便被测设备需要具有单一的管理界面,管理界面能够支持对象、策略的、粘贴、进行日志的跳转查看,支持策略校验功能，自动检查是否有重复和相互的策略，能对策略命中情况进行统计，能有效的清理不再使用的策测试拓配置步是否单一界面管打开各个图形客户点击策略选择/剪切，用对象拖快捷键支持，用字母键快定位对象名对象搜索支对象使用位置查询支对象与粘快速调整策略顺策略命中情备应用应用名服务端方用外用于App1口允许外http/https， 用于App2入smtp双向/pop3邮件系允许外邮件系web界等内用户上标题分列功能测试（Section编R77.20测试项标题分列功测试目测试说与条配置被测设备，可自由地进行策略的标题分列，并能自动扩展与收缩所有标题标题支持中测试拓配置步根据配置步骤进行配配置成功，安装策略成通 ☐部分通 ☐未通 ☐未测备AllowAllowOutgoingforClear策略校验功编R77.20测试项策略校验功测试目验证被测设备支持能对策略进行校验，并找出策略逻辑错误或重复策测试说与条操作与截图说测试拓配置步1．根据下表编辑策略，并点击校验按点击策略校验按策略校验失败，并返回策略逻辑错误原修复逻辑错误，再点击校按策略校验成通 ☐部分通 ☐未通 ☐未测备11PC-2PC-3统一策略管编R77.20测试项统一策略管测试目验证被测设备支持同时同一条策略到不同的设备测试说与条测试拓配置步通 ☐部分通 ☐未通 ☐未测备1PC-5策略包管理功编R77.20测试项策略包管理功测试目验证被测设备支持对不同的设备使用不同的策略测试说与条操作与截图说测试拓FWSmart配置步点击菜单→→packageInstallationTargets→SpecificSecurityTargetsFW01Targets根据下表编辑规FW02FW03SSHPC-1分别通过SSH、 net连接HttpS能连接成功，其他均失PC-1分别通过SSH、 net连接SSH能连接成功，其他均失PC-1分别通过SSH、 net连接ICMP能连接成功，其他均失通 ☐部分通 ☐未通 ☐未测备对象信息搜索功编R77.20测试项对象信息搜索功测试目验证被测设备支源目标IP址或地址段查看关联的组信息测试说与条测试拓配置步通 ☐部分通 ☐未通 ☐未测备策略的备份与恢配置版本管编R77.20测试项配置版本管测试目验证被测设备支持方便的测试版本管测试配置备份，查看配置版本，恢复指定配置版本，变更时能实现自动备份，能在变更失败后实现配置回滚测试项策略级备份/恢复（DatabaseRevision配置级备份/恢复WEBCLI测试拓配置步File->DatabaseRevistionControl配置备份，点击Create创建配置。重复上版本号为1.0建立配置备份成File->DatabaseAction->viewversion查看配置并能看到配置版本及其时间等其他内File->DatabaseRevistionControl，点选1.0配置本Action>restore恢复1.0版本成功，确认配置正File->DatabaseRevistion本，点击按钮删除配置成功，其他配置仍然保备管理员管理登录控编R77.20测试项管理员管理登录控测试目测试管理员管理的限制功能，例如针对IP的限制，针对角色的限测试被测设备的管理员帐号控制情况，管理员帐号必须能满足以下控管理员需要支持多种认证方式，包括Radius/RSA/本地用户白设置支持，必须支持管理员登录源IP控制，从网络层限制管理员登管理员登录超账户错误自动锁管理员账户最大连接管理员必须有角色定义，根据不同的角色可以赋予管理员不同的权需要有同时管理功能，多个管理员能同时管理同一个设备，并不会发生配置干测试拓配置步通 ☐部分通 ☐未通 ☐未测备智能自动拓扑图功编R77.20测试项智能自动拓扑功测试目验证被测设备支持根据输入IP，路由，网段等信息自动生成拓扑测试说与条操作与截图说测试拓配置步WebIP打开SmartDashboard，双击对象，GeneralProperties→Topology→点击GetInterfaceswithTo