JuniperSSLVPN测试手册

1SSLVPN产品测试手册2010年1月2目录1测试目的..........................................................................................................................................32测试需要的资源..............................................................................................................................42.1硬件设备.................................................................................................................................43测试方案具体设计..........................................................................................................................53.1客户端主机的安全控制——非法进程、杀毒软件的检查..................................................53.1.1进程的检查.....................................................................................................................53.1.2杀毒软件的检查.............................................................................................................73.1.3安全检测的修复——自动升级、自动跳转.................................................................83.2客户端主机的缓存清空.........................................................................................................93.3SAM的使用（基于C/S架构的应用）..............................................................................123.4基于主机检测动态授权.......................................................................................................153.5AD的认证与基于属性的授权.............................................................................................173.5.1AD的认证测试.................................................................................................................173.5.2基于AD属性的授权....................................................................................................193.6证书认证（CA）与基于属性的授权..................................................................................243.6.1证书认证.......................................................................................................................243.6.2基于证书属性的授权...................................................................................................313.7RADIUS认证和基于属性的授权..........................................................................................333.8多用户多角色混合授权.......................................................................................................363.9管理员权限的分级管理.......................................................................................................373.10测试单点登录.......................................................................................................................423.11测试多用户登录的个性化设置（登录链接、登录页面、认证方式）............................463.12测试基于WEB的TELNET、TERMINALSERVICES..............................................................493.13日志的审计功能测试...........................................................................................................493.14测试虚拟桌面功能...............................................................................................................503.15测试POLICYTRACING的TROUBLESHOOTING能力.............................................................523.16多平台的支持：WIN7、LINUX、手机平台......................................................................523.17SSLVPN与IDP的结合测试...............................................................................................523.18SSLVPN与UAC的结合测试.............................................................................................5831测试目的为了更好的满足用户对SSLVPN设备的安全性和管理性的要求，我们对SSLVPN设备进行如下的测试（注意：★为必须给客户测试的项目，因为这些项目的测试会包含很多细致的功能，其中有很多功能是友商所不具备的）：1)客户端主机的安全控制——非法进程、杀毒软件的检测★2)客户端主机的缓存清空3)SAM的使用（基于C/S架构的应用）★4)动态的评估——基于主机检测动态授权★5)ADserver认证与基于属性的授权★6)证书（CA）认证与基于属性的授权★7)RADIUS认证与基于属性的授权8)多用户多角色混合授权★9)SSLVPN管理员权限的分级管理★10)测试单点登录★11)测试多用户登录个性化设置（登录链接、登录风格、认证方式）★12)测试基于WEB的Telnet、TerminalServices★13)日志的审计功能测试★14)虚拟桌面功能15)测试Policytracing的troubleshooting能力★16)多平台的支持：WIN7、Linux、手机平台17)SSLVPN与IDP的结合测试★18)SSLVPN与UAC的结合测试42测试需要的资源2.1硬件设备一台PC服务器安装windows2003操作系统，上面安装有WEB服务、SSH服务以及telnet等服务，windows2003服务器域服务器（AD），安装证书服务器，Radius服务器。防火墙测试环境网络拓扑图：53测试方案具体设计3.1客户端主机的安全控制——非法进程、杀毒软件的检查3.1.1进程的检查1、测试目的：需要打开notepad.exe才能进入内网。通过HOSTCHECKER的process名称和MD5来监控PC。因为进程名称是可以模拟的，但是文件的MD5是不会变的。2、测试步骤首先在SA的EndpointSecurity----hostchecker下选择进程：然后输入相应的process的名字，通过软件算出notepad.exe的MD5Checksums：6然后应用到Role或者Realm里面。测试的时候可以先不启动记事本，7然后打开记事本再重新登录：3.1.2杀毒软件的检查1、测试目的：测试各种品牌的杀毒软件，国内的以及国外的，要求不仅仅能检测杀毒软件品牌和病毒库，还要求查看是否在一定时期内使用此种杀毒软件进行全盘杀毒，如果没有在规定时间内杀毒，通过SA设备强制用户的杀毒软件进行全盘杀毒。2、测试步骤：首先新建一个hostcheckerrule，选择需要检测的杀毒软件，然后点击：SuccessfulSystemScanmusthavebeenperformedinthelast_days输入多长时间没有杀毒，然后在此页面的最下面对此杀毒软件选择StartAntiVirusscan，注意在SuccessfulSystemScanmusthavebeenperformedinthelast_days的下面有个Considerthisruleaspassedif‘FullSystemScan’wasstartedsuccessfullyasremediation.如果需要在通过SA对检测PC自动开启杀毒后，马上进入SA系统，可以选择此选项，如果需要在SA对检测PC自动开启杀毒后，等杀毒完全结束后才能进入SA系统，请不要选择这个复选框。8这时候可以进行测试，注意测试的时候需要使用装有合法的杀毒软件但是近几天没有全盘扫描过病毒的PC，。在登录后会出现hostchecker的报警，这时候可以通过查看PC的进程来看杀毒软件是否被调用在杀毒，因为这些自动操作是在后台运行的，前台没有任何提示！3.1.3安全检测的修复——自动升级、自动跳转1、测试目的：当实施针对杀毒软件的hostchecker的时候，对于没有及时升级的用户，SA可以自动打开客户端杀毒软件的升级程序自动升级，或者可以在提示页面显示内网杀毒软件病毒服务器的URL，甚至可以通过HTML语言实现网页的自动跳转。2、测试步骤：