1、USG上網行為管理測試方案1USG 上網行為管理產品測試方案淄博泰德計算機科技有限公司日期：2008-11-21目錄一、概述(3)1.1背景(3)1.2測試環境(3)1.3測試設備(4)1.4測試目的(4)1.5測試人員(4)1.6測試時間(4)二、USG 上網行為管理設備功能測試項目及結果(5)三、測試總結性結論 (8)一、概述1.1背景隨著信息技術的發展和進步， 尤其是網絡的興起和普及， 組 織和個人的聯網條件得到了很大的改善， 而組織內部員工已經不 限于通過與同事閑聊來打發上班時間， 網上購物、與好友通過 IM 工具在線聊天、在線欣賞音樂和電源、通過 BT 等 P2P 工具下載、 收發個

2、人郵件、在論壇上舞文弄墨，只要員工有興趣，他們就能 在上班時間盡情享受互聯網帶來的樂趣，由此嚴重的降低了工作效率。除了因上班時間無心工作所帶來的直接損失外，組織還面臨著承擔法律責任和泄密風險。 部分員工利用上班時間訪問內容 不當的網站（如色 i青、反動等）、發表不負責任的網絡言論、甚 至組織或參與非法網絡活動，例如網上詐騙、網絡攻擊，這些行 為將使組織名譽受損、蒙受牽連。組織的信息資產、機密信息的 未授權傳播同樣令管理者痛心疾首，由于互聯網行為復雜且難以預料，無論是存心還是意外，一個居心莫測的員工和一個忠實可 靠的干將都有可能將組織內網的重要資料泄露給第三方組織甚 至競爭對手。值得慶幸的是，越

3、來越多務實、具備安全意識的管理者發現 了問題所在，并希望通過有效而可靠的途徑實現對員工的上網行 為進行管理，深信服科技推出的天清漢馬USG 系列產品為用戶提供了從用戶終端到網關安全，涵括行為+內容的完整上網行為管理解決方案。1.2測試環境A:產品部署模式：網關模式B:部署拓撲圖:1.3測試設備USG-300B 1 臺1.4測試目的測試 USG 產品對上網行為的管理效果。1.5測試人員朱曉林1.6測試時間10.21-11.14二、USG 上網行為管理設備功能測試項目及結果功能測試項目詳細指標結果備注部署方式網關模式測試設備是否支持以路由/網關模式部署，并能夠實現NAT代理上網和基本的路由轉發功能

4、滿足不滿足網橋模式必須在不更改原有網絡 IP 配置情況下，驗證設備是否能以 網橋模式部署滿足不滿足旁路模式以獲取鏡像數據的方式，在絲毫不影響原有網絡性能和結構 情況下，驗證設備的旁路部署模式滿足 不滿足多線路復用設備可以同時連接最多四條公網線 路，從而擴展公網帶寬 滿足 不滿足多線路智能選路用戶訪問公 網流量，支持自動優選最快的外網線路進行傳輸滿足 不滿足路由設置多線路選路策略：按剩余下行帶寬分配按每條線路的剩余下行帶寬優先選擇線路滿足不滿足多線路選路策略：按剩余上行帶寬分配按每條線路的剩余上行帶寬優先選擇線路滿足不滿足多線路選路策略：平均分配流量平均分配所有流量到每條線路 滿足不滿足多線路選

5、路策略：優先選擇第一條線路優先選擇第一條公網線路用于流量傳輸 滿足 不滿足多路 接入網關模式下，支持兩個 LAN 口、兩個 WAN 口的部署方式 滿 足不滿足多路橋接網橋模式下，支持至少兩個 LAN 口、兩個 WAN 口的部署方式滿足不滿足雙機部署支持雙機方式部署，提升可靠性 滿足不滿足Bypass 功能意外斷電時，設備仍能通過 Bypass 功能，透傳數據包，不 影響原有網絡的可用性滿足不滿足設備管理Web 管理界面設備支持以 SSL 加密方式，通過 Web 界面對 設備進行管理滿足不滿足分權限+IP 限制管理管理員支持分權限管理；且支持限制管 理員訪問設備時的源 IP地址 滿足 不滿足DO

6、S 攻擊自動告警設備在發現 DOS 攻擊后，支持通過郵件 告知管理員，自動告警滿足不滿足ARP 欺騙自動告警設備發現內網跨網段的ARP 欺騙后，支持通過郵件自動告警 滿足 不滿足病毒自動告警設備在發現網絡中有病毒時,自動發送郵件告警滿足不滿足泄密自動告警設備在發現用戶通過網頁上傳、 文件上傳、郵件外發方式泄 密時，支持自動告警滿足不滿足防病毒模塊功能，需購買策略故障排查通過設備管理界面輔助，支持排查策略配置錯誤滿足不滿足認證方式測試密碼方式認證用戶訪問公網時，自動彈出 Web窗口進行認證；且支持指 定 IP范圍用戶無需 Web認證滿足不滿足支持使用第三方 POP3郵件服務器的認證 滿足 不滿足

7、支持使用第三方 PROXY 服務器的認證 滿足 不滿足支持與 LDAP、AD 服務器結合的認證，且無需客戶端安裝任何組件滿足不滿足支持使用第三方 Radius 服務器的認證 滿足 不滿足 USB-Key 認證用戶使用 USB-Key 標示身份，進行認證 滿足 不 滿足自動認證：以IP地址為用戶名未創建用戶、自動以 IP 地址為用戶名創建帳戶，并分配到 指定用戶組，授予指定權限滿足 不滿足自動認證：以計算機名為用戶名未創建用戶、自動以其計算機名為用戶名創建帳戶，并分配到指定用戶組，授予指定權限滿足 不滿足自動認證：自動綁定 IP 未創建用戶自動創建帳 號后，支持自動綁定 IP 地址滿足不滿足自動

8、認證：自動綁定 MAC 未創建用戶自動創建帳號后， 支持自動綁定 MAC 地址 滿 足 不滿足自動認證:IP-MAC 自動綁定未創建用戶自動創建帳 號后，支持自動實現IP-MAC 綁定滿足不滿足 IP-MAC 綁定支 持跨三層設備的 IP-MAC 綁定功能 滿足 不滿足公用帳號支持 創建公用帳號，允許多人共用同一帳號 滿足 不滿足帳號過期支 持賬號的自動過期功能 滿足不滿足POP3、Proxy單點登錄用 戶在通過 POP3、Proxy認證后，無需再通過設備認證 滿足不 滿足 LDAP、AD 單點登錄必須無需在 AD、LDAP 服務器和客戶端上安裝任何插件， 實現LDAP、AD 的單點登錄功能滿足 不滿足用戶導入：文本導入支持將含有用戶信息的文本導入設備，導入信息至少包括： 用戶名、組名、密碼、IP 地址、MAC 地址、描述、認證方式等滿足 不滿足用戶導入：AD 導入支持將 AD