Check-Point防火墻測(cè)試方案-新

CheckPoint安全網(wǎng)關(guān)測(cè)試項(xiàng)目匯總標(biāo)題CheckPoint安全網(wǎng)關(guān)測(cè)試項(xiàng)目匯總類(lèi)別管理文檔□ 設(shè)計(jì)方案□ 實(shí)施文檔□ 配置文檔□ 測(cè)試文檔X 其他□當(dāng)前版本1.00創(chuàng)建日期2012-06-25文檔作者HangWu文件名稱(chēng)CheckPoint安全網(wǎng)關(guān)測(cè)試項(xiàng)目匯總V1.0版本號(hào)日期作者審閱人摘要1.002012-06-25文檔說(shuō)明此文檔是由以色列捷邦安全軟件科技公司于制定的內(nèi)部文檔。本文檔僅就CheckPoint內(nèi)部與相關(guān)合作伙伴和CheckPoint最終用戶使用。版權(quán)說(shuō)明本文檔中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、代碼等內(nèi)容，除由特別注明，版權(quán)均屬于以色列捷邦安全軟件科技公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)以色列捷邦安全軟件科技公司的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片斷。目錄1 測(cè)試目標(biāo) 42 測(cè)試概述 43 功能測(cè)試 53.1訪問(wèn)控制功能 53.2NAT功能 53.3IA認(rèn)證功能 53.6IPS功能 63.7反僵尸網(wǎng)絡(luò)與反惡意代碼 73.8DLP數(shù)據(jù)防泄露功能 83.9Web2.0應(yīng)用程序控制 93.10Cluster集群功能（HA/AA） 104 管理測(cè)試 114.1操作易用性展示 114.2統(tǒng)一管理 124.2.1測(cè)試用例 124.3權(quán)限管理功能 164.4報(bào)表功能 175 虛擬化功能展示 18測(cè)試概述 18測(cè)試目標(biāo)通過(guò)測(cè)試，讓用戶了解CheckPoint安全網(wǎng)關(guān)整體解決方案功能特征，展示CheckPoint在安全網(wǎng)關(guān)領(lǐng)域技術(shù)與功能的領(lǐng)先性。測(cè)試概述功能測(cè)試部分用于測(cè)試和驗(yàn)證CheckPoint系列安全網(wǎng)關(guān)可實(shí)現(xiàn)的功能，主要包括：訪問(wèn)控制功能NAT功能用戶認(rèn)證功能IPS功能Anti-bot反僵尸網(wǎng)絡(luò)WEB2.0應(yīng)用程序控制與URL過(guò)濾功能網(wǎng)絡(luò)DLP數(shù)據(jù)防泄露功能Cluster功能（HA/AA）虛擬化解決方案集中管理解決方案權(quán)限管理功能日志管理功能監(jiān)控功能報(bào)表功能；備份和恢復(fù)；功能測(cè)試3.1訪問(wèn)控制功能測(cè)試內(nèi)容源IP目標(biāo)IP服務(wù)動(dòng)作時(shí)間測(cè)試結(jié)果基于源IPPC2AnyHTTP/FTP/PINGAccept/DropALL基于目標(biāo)IPAnyPC1HTTP/FTP/PINGAccept/DropALL基于協(xié)議PC2PC1HTTP/FTP/PINGAccept/DropALL基于時(shí)間PC2PC1HTTP/FTP/PINGAccept時(shí)間對(duì)象3.2NAT功能測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果R41動(dòng)態(tài)NAT把PC2動(dòng)態(tài)NAT為防火墻外端口地址R42靜態(tài)NAT把PC2靜態(tài)NAT為R43端口NAT把PC2的80端口NAT為防火墻外端口803.3IA認(rèn)證功能測(cè)試內(nèi)容測(cè)試要求測(cè)試結(jié)果基于用戶,組設(shè)置策略與AD集成,可讀取AD目錄樹(shù),針對(duì)用戶,組,主機(jī)名設(shè)置策略基于用戶,組審計(jì)日志與報(bào)表中涵蓋的源與目標(biāo)為用戶信息與AD透明集成與AD集成,無(wú)需在AD上安裝客戶端基于WebPortal瀏覽器認(rèn)證用戶在上網(wǎng)時(shí),防火墻會(huì)主動(dòng)推送認(rèn)證Portal給用戶端瀏覽器，認(rèn)證通過(guò)后方可獲得訪問(wèn)權(quán)限基于身份代理認(rèn)證與端點(diǎn)身份代理或終端服務(wù)身份代理結(jié)合，對(duì)內(nèi)網(wǎng)用戶認(rèn)證：認(rèn)證成功即可上網(wǎng)，認(rèn)證失敗不能上網(wǎng)?；谧x取的用戶、組、主機(jī)名設(shè)置訪問(wèn)控制策略。3.6IPS功能測(cè)試項(xiàng)目測(cè)試內(nèi)容測(cè)試結(jié)果基于類(lèi)型基于簽名安全防護(hù)測(cè)試基于Adobe應(yīng)用簽名安全防護(hù)測(cè)試基于Oracle應(yīng)用簽名安全防護(hù)測(cè)試基于Microsoft應(yīng)用簽名安全防護(hù)測(cè)試基于協(xié)議異常安全防護(hù)測(cè)試基于錯(cuò)位Bind確認(rèn)消息協(xié)議異常安全防護(hù)測(cè)試基于IMAP協(xié)議異常安全防護(hù)測(cè)試基于SNMP協(xié)議異常安全防護(hù)測(cè)試基于應(yīng)用控制防護(hù)測(cè)試基于BT內(nèi)容應(yīng)用控制防護(hù)測(cè)試基于TeamViewer內(nèi)容應(yīng)用控制防護(hù)測(cè)試基于SMTP內(nèi)容應(yīng)用控制防護(hù)測(cè)試基于引擎設(shè)置防護(hù)測(cè)試基于TCP設(shè)置引擎設(shè)置防護(hù)測(cè)試基于FTP安全設(shè)置引擎設(shè)置防護(hù)測(cè)試基于DNS一般設(shè)置引擎設(shè)置防護(hù)測(cè)試基于協(xié)議基于網(wǎng)絡(luò)層安全安全防護(hù)測(cè)試基于網(wǎng)絡(luò)層安全Dos安全防護(hù)測(cè)試基于網(wǎng)絡(luò)層安全TCP安全防護(hù)測(cè)試基于網(wǎng)絡(luò)層安全端口掃描安全防護(hù)測(cè)試基于應(yīng)用智能安全保護(hù)測(cè)試基于應(yīng)用智能安全Mail的保護(hù)測(cè)試基于應(yīng)用智能安全FTP的保護(hù)測(cè)試基于應(yīng)用智能安全DNS的保護(hù)測(cè)試基于web智能安全保護(hù)測(cè)試基于web智能安全流氓代碼保護(hù)測(cè)試基于web智能安全LDAP注入保護(hù)測(cè)試基于web智能安全SQL注入保護(hù)測(cè)試基于web智能安全遍歷保護(hù)測(cè)試地理區(qū)域保護(hù)基于原國(guó)家地理區(qū)域設(shè)置以及目的國(guó)家地理區(qū)域設(shè)置安全防護(hù)區(qū)域測(cè)試內(nèi)置ByPass功能基于內(nèi)存和CPU使用率設(shè)定伐值，當(dāng)資源消耗到伐值時(shí)，就禁止IPS功能，從而B(niǎo)yPass所有流量的測(cè)試基于內(nèi)存和CPU使用率設(shè)定伐值，當(dāng)資源空閑到伐值時(shí)，就自動(dòng)開(kāi)啟IPS功能，從而所有流量的測(cè)試R75.40,IPS規(guī)則庫(kù)升級(jí)規(guī)則庫(kù)升級(jí)測(cè)試規(guī)則庫(kù)升級(jí)過(guò)程是否造成網(wǎng)絡(luò)連接中端3.7反僵尸網(wǎng)絡(luò)與反惡意代碼測(cè)試項(xiàng)目測(cè)試內(nèi)容測(cè)試結(jié)果預(yù)定義模塊反僵尸網(wǎng)絡(luò)功能（Anti-Bot）檢測(cè)進(jìn)入和外出郵件含僵尸特征碼和可疑郵件阻止測(cè)試檢測(cè)網(wǎng)絡(luò)中基于僵尸特征流量并阻止僵尸通信基于IP，URL，DNS信譽(yù)列表識(shí)別并阻止僵尸通信反病毒、惡意代碼功能基于文件類(lèi)型病毒掃描測(cè)試基于URL含有流氓代碼名譽(yù)測(cè)試基于協(xié)議POP3、SMTP病毒掃描測(cè)試基于內(nèi)容的病毒檢測(cè)測(cè)試Https協(xié)議檢測(cè)對(duì)在Https協(xié)議中傳輸?shù)膼阂獯a識(shí)別能力3.8DLP數(shù)據(jù)防泄露功能測(cè)試項(xiàng)目測(cè)試內(nèi)容測(cè)試結(jié)果預(yù)定義數(shù)據(jù)類(lèi)型超過(guò)500個(gè)預(yù)定于數(shù)據(jù)類(lèi)型,涵蓋HIPAA,SOX,PCIDSS。HTTP協(xié)議的數(shù)據(jù)防泄密測(cè)試HTTP協(xié)議的關(guān)鍵字防泄密測(cè)試HTTP協(xié)議的文本模板防泄密測(cè)試HTTP協(xié)議的文件類(lèi)型防泄密測(cè)試HTTP協(xié)議的正則表達(dá)式定義防泄密測(cè)試SMTP發(fā)送關(guān)鍵字?jǐn)?shù)據(jù)防泄密的測(cè)試SMTP協(xié)議的關(guān)鍵字防細(xì)密測(cè)試SMTP協(xié)議的文本模板防泄密測(cè)試SMTP協(xié)議的文件類(lèi)型防泄密測(cè)試SMTP協(xié)議的正則表達(dá)式定義防泄密測(cè)試FTP文件上傳數(shù)據(jù)防泄密測(cè)試FTP測(cè)試文件類(lèi)型的數(shù)據(jù)防泄密FTP測(cè)試文檔模板的數(shù)據(jù)防泄密Https協(xié)議檢測(cè)通過(guò)Https協(xié)議傳輸?shù)膬?nèi)容識(shí)別與檢測(cè)3.9Web2.0應(yīng)用程序控制URL過(guò)濾測(cè)試項(xiàng)目源地址測(cè)試結(jié)果基于內(nèi)置數(shù)據(jù)庫(kù)體育類(lèi)，測(cè)試訪問(wèn)體育網(wǎng)站是否被過(guò)濾成人類(lèi)，測(cè)試訪問(wèn)成人類(lèi)網(wǎng)站是否被過(guò)濾Web郵件，測(cè)試訪問(wèn)WEB郵件是否被過(guò)濾其它類(lèi)別報(bào)警信息定制定制報(bào)警信息規(guī)則庫(kù)升級(jí)（手動(dòng)/自動(dòng)）規(guī)則庫(kù)升級(jí)過(guò)程中，是否造成網(wǎng)絡(luò)連接中端URL/應(yīng)用程序過(guò)濾測(cè)試方法/說(shuō)明測(cè)試結(jié)果P2P/IM/Web2.0應(yīng)用控制與限速BT在PC2啟用BT，查看日志是否被限速或攔截eMule在PC2啟用eMule，查看日志是否被限速或攔截MSN在PC2啟用MSN，查看是否可以檢測(cè)與控制MSNQQ在PC2啟用QQ，查看是否可以檢測(cè)與控制QQSkype在PC2啟用Skype，查看是否可以檢測(cè)與控制SkypeWeb2.0widget（網(wǎng)頁(yè)掛件）可針對(duì)網(wǎng)站頁(yè)面上的小掛件（Widget）進(jìn)行控制網(wǎng)頁(yè)視頻/音頻在PC2啟用網(wǎng)頁(yè)視頻，查看日志是否被限速或攔截流媒體限流在PC2啟用媒體軟件，查看日志是否被限速或攔截基于網(wǎng)站類(lèi)別的控制限定網(wǎng)站類(lèi)別的訪問(wèn)或拒絕基于應(yīng)用程序類(lèi)別、風(fēng)險(xiǎn)等級(jí)對(duì)特定類(lèi)別，風(fēng)險(xiǎn)等級(jí)的應(yīng)用程序進(jìn)行控制。自定義網(wǎng)站類(lèi)別自定義網(wǎng)站類(lèi)別頁(yè)面彈出提示被攔截的頁(yè)面是否有提示彈出，彈出信息是否可以訂制基于時(shí)間的控制可以設(shè)定應(yīng)用程序控制策略的生效時(shí)間帶寬速率限制自定義帶寬上行、下行限制具有用戶控制控制某用戶或多個(gè)用戶應(yīng)用的使用靈活控制動(dòng)作控制動(dòng)作包含允許、拒絕、帶寬、時(shí)間特征庫(kù)大小應(yīng)用程序庫(kù)的數(shù)目Web2.0Widget數(shù)目3.10Cluster集群功能（HA/AA）測(cè)試內(nèi)容測(cè)試方法測(cè)試結(jié)果Active-Standby模式應(yīng)用連續(xù)性HAfail-over,FTP應(yīng)用不中斷HAfail-over,TELNET應(yīng)用不中斷HAfail-over,HTTP應(yīng)用不中斷HAfail-over,ping丟包的情況（低于三個(gè)包）VPN連續(xù)性通過(guò)RemoteAccessVPN的應(yīng)用（ftp/http/telnet）不中斷Fail-overRecover控制當(dāng)故障Gateway恢復(fù)運(yùn)行時(shí)，保持現(xiàn)有Gateway為Active狀態(tài)當(dāng)故障Gateway恢復(fù)運(yùn)行時(shí)，選擇優(yōu)先級(jí)高的Gateway切換到Active狀態(tài)Active-Active模式應(yīng)用連續(xù)性fail-over,FTP應(yīng)用不中斷fail-over,TELNET應(yīng)用不中斷fail-over,HTTP應(yīng)用不中斷HAfail-over,ping丟包的情況（低于三個(gè)包）VPN連續(xù)性通過(guò)RemoteAccessVPN的應(yīng)用（ftp/http/telnet）不中斷管理測(cè)試4.1操作易用性展示測(cè)試內(nèi)容注釋測(cè)試結(jié)果全圖形化界面策略復(fù)制策略剪切策略粘貼策略標(biāo)簽對(duì)象克隆對(duì)象拖拽“Google”式日志查詢快速事件挖掘On-clickVPN簡(jiǎn)化大規(guī)模VPN配置，單一點(diǎn)擊完成大規(guī)模VPN設(shè)置策略變更流程管理策略變更，流程審批，與事后審計(jì)；4.2統(tǒng)一管理對(duì)于用戶而言，集中管理為必要方案，通過(guò)該測(cè)試評(píng)估安全網(wǎng)關(guān)設(shè)備集中管理的能力，這里所述的集中管理必須為通過(guò)統(tǒng)一界面，單一控制臺(tái)集中配置、審計(jì)、監(jiān)控、報(bào)表企業(yè)內(nèi)部所有安全網(wǎng)關(guān)的能力。4.2.1測(cè)試用例1〉功能集中配置能力在單一控制臺(tái)對(duì)所有功能進(jìn)行集中配置，該功能包括：訪問(wèn)控制功能NAT功能用戶認(rèn)證功能VPN功能(S2S,C2S)SSLVPN功能IPS功能Anti-bot反僵尸網(wǎng)絡(luò)WEB2.0應(yīng)用程序控制與URL過(guò)濾功能網(wǎng)絡(luò)DLP數(shù)據(jù)防泄露功能Cluster功能（HA/AA）虛擬化解決方案權(quán)限管理功能日志管理功能監(jiān)控功能報(bào)表功能；備份和恢復(fù)；通過(guò)單一界面對(duì)企業(yè)內(nèi)所有設(shè)備集中策略下發(fā)與配置，而無(wú)須逐一登陸。測(cè)試內(nèi)容注釋測(cè)試結(jié)果單一控制臺(tái)完成訪問(wèn)控制功能NAT功能用戶認(rèn)證功能VPN功能(S2S,C2S)SSLVPN功能IPS功能Anti-bot反僵尸網(wǎng)絡(luò)WEB2.0應(yīng)用程序控制與URL過(guò)濾功能網(wǎng)絡(luò)DLP數(shù)據(jù)防泄露功能Cluster功能（HA/AA）虛擬化解決方案管理權(quán)限管理功能2〉設(shè)備狀態(tài)集中監(jiān)控能力通過(guò)統(tǒng)一控制臺(tái)，單一界面對(duì)所有設(shè)備工作狀態(tài)，包含：監(jiān)控項(xiàng)目監(jiān)控結(jié)果實(shí)現(xiàn)系統(tǒng)參數(shù)CPU利用率內(nèi)存利用率磁盤(pán)空間當(dāng)前并發(fā)連接數(shù)當(dāng)前每秒新建連接數(shù)網(wǎng)絡(luò)吞吐量歷史系統(tǒng)信息CPU歷史數(shù)據(jù)內(nèi)存歷史數(shù)據(jù)磁盤(pán)空間歷史數(shù)據(jù)并發(fā)連接數(shù)歷史數(shù)據(jù)實(shí)時(shí)流量監(jiān)控TOPServiceTOPSourceTOPDestinationTOPConnectionTOPSecurityRule數(shù)據(jù)包大小分布VPN狀態(tài)監(jiān)控當(dāng)前隧道數(shù)SitetoSite隧道流量分布RemoteAccessVPN當(dāng)前用戶信息RemoteAccessVPN當(dāng)前流量分布3〉設(shè)備狀態(tài)集中審計(jì)的能力通過(guò)統(tǒng)一控制臺(tái)，單一界面對(duì)所有設(shè)備工作狀態(tài)，包含：測(cè)試項(xiàng)目測(cè)試結(jié)果日志類(lèi)型防火墻日志實(shí)時(shí)流量日志系統(tǒng)審計(jì)日志日志集中管理日志字段源地址/目的地址源段端口/目的端口日志來(lái)源/防火墻規(guī)則NAT日志（源地址翻譯）NAT日志（目的地址翻譯）NAT日志（源端口翻譯）NAT日志（目的端口翻譯）用戶認(rèn)證日志VPN日志（IKE隧道協(xié)商）VPN日志（加密/解密）VPN用戶登錄信息IPS日志BOT日志DLP日志防病毒日志W(wǎng)EB過(guò)濾日志垃圾郵件日志日志查詢基于源地址查詢基于目的地址查詢基于服務(wù)查詢基于日志源查詢基于時(shí)間查詢基于防火墻動(dòng)作查詢基于規(guī)則查詢基于NAT規(guī)則查詢“Google”搜索引擎式日志關(guān)鍵字搜索日志空間管理日志文件自動(dòng)切換（logswitch）日志文件本地緩存（logtransfer）當(dāng)磁盤(pán)空間低于某一數(shù)量（MByte）時(shí)，停止記錄日志當(dāng)磁盤(pán)空間低于某一數(shù)量（MByte）時(shí)，刪除舊日志當(dāng)磁盤(pán)空間低于某一百分比（%）時(shí)，停止記錄日志當(dāng)磁盤(pán)空間低于某一百分比（%）時(shí)，刪除舊日志多日志服務(wù)器，Gateway模塊可以把日志發(fā)送到多個(gè)日志服務(wù)器4.3權(quán)限管理功能測(cè)試內(nèi)容測(cè)試方法測(cè)試結(jié)果GUI客戶端控制基于IP地址，控制可登陸GUI的客戶端WEB客戶端控制基于IP地址，控制可登陸WEB的客戶端管理員有效期管理員帳戶的有效期配置管理員審計(jì)審計(jì)管理員通過(guò)SmartDashboard進(jìn)行的所有操作管理員權(quán)限分配是否可分配“網(wǎng)絡(luò)對(duì)象”的讀/寫(xiě)權(quán)限是否可分配“訪問(wèn)控制策略”的讀/寫(xiě)權(quán)限是否可分配“QoS策略”的讀/寫(xiě)權(quán)限是否可分配“DLP策略”的讀/寫(xiě)權(quán)限是否可分配“應(yīng)用程序&URL過(guò)濾”策略