USG上网行为管理产品
测试方案
淄博泰德计算机科技有限公司
日期:2008-11-21
一、概述
1.1 背景
随着信息技术的发展和进步,尤其是网络的兴起和普及,组织和个人的联网条件得到了很大的改善,而组织内部员工已经不限于通过与同事闲聊来打发上班时间,网上购物、与好友通过IM工具、在线欣赏音乐和电源、通过BT等P2P工具下载、收发个人邮件、在论坛上舞文弄墨,只要员工有兴趣,他们就能在上班时间尽情享受互联网带来的乐趣,由此严重的降低了工作效率。除了因上班时间无心工作所带来的直接损失外,组织还面临着承担法律责任和泄密风险。部分员工利用上班时间访问内容不当的网站(如情、反动等)、发表不负责任的网络言论、甚至组织或参与非法网络活动,例如网上、网络攻击,这些行为将使组织名誉受损、蒙受牵连。组织的信息资产、机密信息的未授权传播同样令管理者痛心疾首,由于互联网行为复杂且难以预料,无论是存心还是意外,一个居心莫测的员工和一个忠实可靠的干将都有可能将组织内网的重要资料泄露给第三方组织甚至竞争对手。
值得庆幸的是,越来越多务实、具备安全意识的管理者发现了问题所在,并希望通过有效而可靠的途径实现对员工的上网行为进行管理,深信服科技推出的天清汉马USG系列产品为用户提供了从用户终端到网关安全,涵括行为+内容的完整上网行为管理解决方案。
1.2 测试环境
A:产品部署模式:
网关模式
B:部署拓扑图:
1.3 测试设备
USG-300B 1台
1.4 测试目的
测试USG产品对上网行为的管理效果。
1.5 测试人员
朱晓林
1.6 测试时间
10.21---11.14
二、USG上网行为管理设备功能测试项目及结果
功能 | 测试项目 | 详细指标 | 结果 | 备注 |
部署方式 | 网关模式 | 测试设备是否支持以路由/网关模式部署,并能够实现NAT代理上网和基本的路由转发功能 | 满足 不满足 | |
网桥模式 | 必须在不更改原有网络IP配置情况下,验证设备是否能以网桥模式部署 | 满足 不满足 | ||
旁路模式 | 以获取镜像数据的方式,在丝毫不影响原有网络性能和结构情况下,验证设备的旁路部署模式 | 满足 不满足 | ||
多线路复用 | 设备可以同时连接最多四条公网线路,从而扩展公网带宽 | 满足 不满足 | ||
多线路智能选路 | 用户访问公网流量,支持自动优选最快的外网线路进行传输 | 满足 不满足 | 路由设置 | |
多线路选路策略:按剩余下行带宽分配 | 按每条线路的剩余下行带宽优先选择线路 | 满足 不满足 | 优秀党务工作者事迹材料 | |
多线路选路策略:按剩余上行带宽分配 | 按每条线路的剩余上行带宽优先选择线路 | 满足 不满足 | ||
多线路选路策略:平均分配流量 | 平均分配所有流量到每条线路 | 满足 不满足 | ||
多线路选路策略:优先选择第一条线路 | 优先选择第一条公网线路用于流量传输 | 满足不满足 | ||
多路接入 | 网关模式下,支持两个LAN口、两个WAN口的部署方式 | 满足 不满足 | ||
多路桥接 | 网桥模式下,支持至少两个LAN口、两个WAN口的部署方式 | 满足 不满足 | ||
双机部署 | 支持双机方式部署,提升可靠性 | 满足 不满足 | ||
Bypass功能 | 意外断电时,设备仍能通过Bypass功能,透传数据包,不影响原有网络的可用性 | 满足不满足 | ||
设备管理 | Web管理界面 | 设备支持以SSL加密方式,通过Web界面对设备进行管理 | 满足 不满足 | |
分权限+IP限制管理 | 管理员支持分权限管理;且支持限制管理员访问设备时的源IP地址 | 满足 不满足 | ||
DOS攻击自动告警 | 设备在发现DOS攻击后,支持通过邮件告知管理员,自动告警 | 满足 不满足 | ||
ARP欺骗自动告警 | 设备发现内网跨网段的ARP欺骗后,支持通过邮件自动告警 | 满足 不满足 | ||
病毒自动告警 | 设备在发现网络中有病毒时,自动发送邮件告警 | 满足 不满足 | ||
泄密自动告警 | 设备在发现用户通过网页上传、文件上传、邮件外发方式泄密时,支持自动告警 | 满足 不满足 | 防病毒模块功能,需购买 | |
策略故障排查 | 通过设备管理界面辅助,支持排查策略配置错误 | 满足 不满足 | ||
认证方式测试 | 密码方式认证 | 用户访问公网时,自动弹出Web窗口进行认证;且支持指定IP范围用户无需Web认证 | 满足 不满足 | |
支持使用第三方POP3邮件服务器的认证 | 满足不满足 | |||
怎样发表文章支持使用第三方PROXY服务器的认证 | 满足 不满足 | |||
支持与LDAP、AD服务器结合的认证,且无需客户端安装任何组件 | 满足不满足 | |||
支持使用第三方Radius服务器的认证 | 满足 不满足 | |||
USB-Key认证 | 用户使用USB-Key标示身份,进行认证 | 满足 不满足 | ||
自动认证:以IP地址为用户名 | 未创建用户、自动以IP地址为用户名创建帐户,并分配到指定用户组,授予指定权限 | 满足 不满足 | ||
自动认证:以计算机名为用户名 | 未创建用户、自动以其计算机名为用户名创建帐户,并分配到指定用户组,授予指定权限 | 满足 不满足 | ||
自动认证:自动绑定IP | 未创建用户自动创建帐号后,支持自动绑定IP地址 | 满足 不满足 | ||
自动认证:自动绑定MAC | 未创建用户自动创建帐号后,支持自动绑定MAC地址 | 满足 不满足 | ||
自动认证:IP-MAC自动绑定 | 未创建用户自动创建帐号后,支持自动实现IP-MAC绑定 | 满足不满足 | ||
IP-MAC绑定 | 支持跨三层设备的IP-MAC绑定功能 | 满足 不满足 | ||
公用帐号 | 支持创建公用帐号,允许多人共用同一帐号 | 满足 不满足 | ||
帐号过期 | 支持账号的自动过期功能 | 满足 不满足 | ||
POP3、Proxy单点登录 | 用户在通过POP3、Proxy认证后,无需再通过设备认证 | 满足 不满足 | ||
LDAP、AD单点登录 | 必须无需在AD、LDAP服务器和客户端上安装任何插件,实现LDAP、AD的单点登录功能 | 满足 不满足 | ||
用户导入:文本导入 | 支持将含有用户信息的文本导入设备,导入信息至少包括:用户名、组名、密码、IP地址、MAC地址、描述、认证方式等 | 满足 不满足 | ||
用户导入:AD导入 | 支持将AD服务器上用户信息导入 | 满足 不满足 | ||
未认证通过用户管理 | 支持给未认证通过用户授予除HTTP外的基本网络权限 | 满足 不满足 | ||
免审计key | 支持内网领导通过USB-Key方式免除其在设备上的一切网络行为记录 | 满足 不满足 | ||
网页过滤和控制 | URL过滤 | 借助设备内置库,测试对新闻类网站news.sina,搜索引擎类,对st-URL:8080类似非80端口网址的过滤 | 满足 不满足 | |
SSL加密网址过滤 | 允许访问招商银行:bchina,但禁止访问非法网站:kut | 满足 不满足 | ||
搜索引擎输入关键字过滤 | 过滤用户在百度中搜索“门”等关键字 | 满足 不满足 | ||
网页正文关键字过滤 | 基于网页正文中的“门”等关键字进行网页过滤 | 满足 不满足 | ||
网页上传关键字过滤 | 基于用户向公网发布帖子当中的关键字进行过滤 | 满足 不满足 | ||
HTTP文件类型过滤 | URL中含有文件名及通过页面跳转方式的HTTP文件下载,基于文件类型进行过滤 | 满足不满足 | ||
FTP文件过滤 | 同一个FTP会话中,先下载后上传,支持分别进行文件类型过滤 | 满足 不满足 | ||
邮件管控 | 对发件人地址的过滤 | 不允许含有指定后缀地址的发件人发送邮件 | 满足 不满足 | |
过滤邮件正文、标题关键字 | 基于邮件正文及内容指定的关键字进行邮件过滤 | 满足 不满足 | ||
对邮件附件类型的过滤 | 根据邮件附件类型进行邮件过滤 | 满足 不满足 | ||
SSL加密邮箱控制 | 控制用户端Foxmail/Outlook配置使用SSL加密的Gmail邮箱(不能采用封堵443等端口的形式) | 满足不满足 | ||
Webmail的管控 | 封堵用户使用mail.163等常见Webmail;基于Webmail正文关键字的过滤 | 满足 不满足 | ||
邮件延迟审计测试 | 根据收件人邮件地址进行邮件拦截和审计 | 满足 不满足 | ||
根据邮件大小进行外发邮件的拦截和审计 | 满足不满足 | |||
根据附件个数进行外发邮件的拦截和审计 | 凌度行车记录仪满足 不满足 | |||
根据外发邮件的标题和正文关键字进行外发邮件的拦截和审计 | 满足 不满足 | |||
有邮件需要审计时,自动通知审计人员 | 满足 不满足 | |||
垃圾邮件过滤 | 对于来自外网的邮件提供垃圾邮件过滤功能 | 满足 不满足 | ||
网络权限控制 | 封堵聊天软件 | 封堵主流IM聊天软件:QQ、MSN、ICQ | 满足 不满足 | |
封堵Skype等加密的聊天软件 | 满足 不满足 | |||
其他IM聊天软件的封堵:网易泡泡、POCO、卡盟、新浪UC、雅虎通、阿里旺旺等 | 满足不满足 | 需更新 | ||
封堵P2P工具 | 文胸什么牌子最好常见P2P的封堵:BT、电骡、百度下吧、kugoo、Foxy、Gnutella、百宝、POCO、PP点点通、Bagaa、Kugou等 | 满足 不满足 | ||
加密BT、加密电骡和未知版本P2P工具的智能封堵 | 满足 不满足 | |||
封堵在线流媒体 | 封堵包括:沸点电视、蚂蚁电视、猫眼电视、MySee、51TV、SopCast、QQLive、PPStream、UUSee、PPVod、P2PSrv、PPLive、TVKoo、QVOD、PPRich、PPGou、51TK、风行、球皇、VGO、FastTV等 | 满足 不满足 | ||
封堵炒股软件 | 封堵包括:大智慧、钱龙、股票行情、同花顺、证券之星、富贵满堂、未来趋势、分析家、和讯股道、股道、通达信系列炒股软件、华安证券、银河证券、MSN炒股等 | 满足 不满足 | ||
封堵网络游戏 | 封堵包括:联众游戏、游戏中心、浩方、QQ游戏、MSNGame、边锋游戏、联众好友、新浪游戏大厅、网易泡泡、游戏茶苑、互动游戏中心、TOM在线游戏、UU、远航游戏等 | 满足 不满足 | ||
邮件权限 | 对邮件收发的控制 | 满足 不满足 | ||
FTP权限控制 | 支持对非标准端口FTP行为的识别和封堵 | 满足 不满足 | ||
HTTP权限控制 | 可分别控制HTTP上传和HTTP下载,及HTTP多线程下载行为 | 满足 不满足 | ||
文件传输控制 | 对迅雷、QQ传文件、MSN传文件等行为进行封堵 | 满足 不满足 | ||
上网时间限制 | 不仅实现上班/下载时间限制;对用户一天内总上网时间进行限制 | 满足 不满足 | ||
防止私用代理 | 对用户端私自使用代理软件进行识别和控制 | 满足 不满足 | ||
对HTTP/HTTPS端口数据的识别 | 防止用户通过HTTP/HTTPS端口传输非网页数据(如QQ通过80端口传输) | 满足 不满足 | ||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论