SANGFOR_AC_V2.0_上网行为管理测试方案模板_全面版

2023年12月18日发(作者：)

SANGFOR_AC_V2.0_上网行为管理测试方案模板_全面版

上网行为管理

测

试

方

案

测试项目测试分项测试结果备注部署模式3路桥接 满足 不满足

用户认证与

管理三层网络环境中无插件实现IP-MAC绑定 满足 不满足管理员分级管理 满足 不满足

终端识别终端操作系统补丁识别 满足 不满足对注册表键值的识别

满足 不满足对硬盘文件的检查和识别 满足 不满足识别终端的进程 满足 不满足

应用控制SSL加密网址的识别与封堵 满足 不满足非80端口网页访问行为的识别 满足 不满足搜索引擎输入关键字的过滤 满足 不满足网页智能学习与分类 满足 不满足基于特征的外发文件识别和告警 满足

不满足URL地址的动作过滤 满足 不满足网页正文关键字识别和过滤

满足 不满足不常见P2P软件的识别和封堵 满足 不满足语音视频识别

满足 不满足新浪视频的识别与封堵 满足 不满足

上网策略管

理上网时长控制 满足 不满足子组支持继承父组的上网策略 满足

不满足

流量管理基于应用类型的流控 满足 不满足基于文件类型的流控 满足 不满足基于网站类型的流控 满足 不满足用户的带宽划分与分配 满足 不满足

邮件过滤与

审计根据发件人地址进行邮件过滤 满足 不满足仅允许指定后缀的邮件地址发送邮件 满足 不满足过滤含有指定关键字的邮件 满足 不满足过滤含有指定类型附件的邮件 满足 不满足

应用审计与

报表管理员分级审计用户日志 满足 不满足记录被访问网页的网页标题 满足 不满足记录含有指定关键字的网页内容 满足 不满足非TCP

21端口行为的识别和记录 满足 不满足时间审计 满足 不满足Webmail附件的记录和审计 满足 不满足WAN->LAN行为审计 满足 不满足报表功能 满足 不满足

网络可靠、可用的保障能

力防火墙功能 满足 不满足ARP欺骗防护功能 满足 不满足防DOS攻击功能 满足 不满足

1、多路桥接

测试编

号

测试时间

测试项

目

部署模式测试人员

测试分

项

多路桥接

测试目的为了网络更安全，内网段、DMZ段和VPN段全部桥接到上网行为管理设备

测试方法1、1和2口桥接VPN；

2 、3和4口桥接内网；

3、5和6口桥接DMZ

预期结果内网ping 外网成功；内网ping DMZ成功;DMZ ping

外网成功。

测试结果内网ping 外网成功 满足 不满足内网ping DMZ 满足 不满足DMZ ping 外网 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

2、三层IP/MAC绑定

测试编号测试时间

测试项目用户认证方式测试人员

测试分项三层IP/MAC绑定

测试目的IP/MAC绑定是高端客户所必须的功能，所以在三层网络环境中实现IP/MAC 绑定将帮助高端客户解决跨网段的IP和MAC绑定问题，便于高端客户的网

络管理、用户识别和认证。

测试方法1、选择内网的任意用户，假如用户名为A；

2、在设备上创建用户帐号，并启用IP/MAC绑定，填写A用户的IP和其对

应的MAC地址；

3、配置设备以确保A用户访问外网资源，且访问成功；

4、更改A用户的IP地址，然后再访问互联网资源，测试是否成功

5、用户B的IP为A的IP，此时用户B访问外网资源，测试访问结果是否成

功。

预期结果用户A和B 改变IP地址上网都不成功

测试结果A用户在更改IP后不能访问Internet 满足 不满足B用户使用A用户的IP地址访问Internet不成功 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

3、未创建账号用户的认证

测试编号测试时间

测试项目用户认证方式测试人员

测试分项未创建账号用户的认证

测试目的组织单位往往会有第三方合作伙伴、新员工等未及时创建帐号的用户接入网络，这就需要被测设备能够自动添加未创建帐号的用户信息，并且同时能够

将新用户自动分组、自动授权、实现方便性和可控性的统一。

测试方法1、设备具有未创建账号的处理方式，并且此功能可选；

2、未创建帐号的用户至少具有两种以上的处理方式，如以IP为新账号并绑

定IP地址和MAC地址、以计算机名为新账号并绑定IP地址和MAC地址；

3、配置设备将未创建账户的用户自动以IP地址作为新用户名，同时绑定

IP-MAC；

4、配置设备将未创建账号的用户自动添加到设备后可以分配到指定的用户

组，从而继承相应的上网权限：禁止访问/doc/,

5、内网用户A使用终端电脑访问互联网，访问/doc/,是否成功；

6、内网用户A访问是否成功；

7、内网新用户B修改自己IP为A的IP，访问外网资源测试是否成功

预期结果被测设备能够以IP地址、计算机名等作为未创建用户的新帐号名，同时绑定IP、MAC等，同时自动分配到指定用户组，继承相应的权限。

测试结果被测设备支持对未创建帐号用户的处理 满足 不满足设备支持以IP地址作为新用户名自动添加帐号 满足 不满足

用户A支持自动创建帐号且支持同时绑定IP、MAC等信息

满足 不满足用户A自动创建的帐号享有指定的网络访问权限 满足

不满足

用户B通过更改IP地址方式不能冒充A的身份 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

4、冻结用户管理

测试编号测试时间

测试项目用户认证方式测试人员

测试分项冻结用户管理

测试目的为了规范内网用户的互联网访问行为，被测的上网行为管理设备不仅能够预先给不同用户分配上网权限和策略，同时对于IT管理者实时发现的存在异常

网络行为的用户应该能够进行手工干预，包括在指定时间段内阻断该用户的

网络连接，并能够在超时后自动回复该用户的网络访问权限，达到冻结用户

与自动解冻，从而强化IT管理者对用户上网行为的管理。

测试方法1、在设备上配置接入用户的帐号、密码等信息；

2、通过设备可以查看得到当前在线用户名单等信息；

3、选中指定的用户A实施冻结三分钟，验证该用户A是否能访问互联网；

4、三分钟后用户A再次尝试访问互联网；

预期结果被测设备应该支持将指定用户临时冻结，并在超时后自动为给用户解冻，恢复其互联网访问权限。

测试结果实施冻结后，用户A不能访问互联网 满足 不满足超时后用户A自动具有互联网访问权限 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

5、管理员分级管理

测试编号测试时间

测试项目用户认证方式测试人员

测试分项管理员分级管理

测试目的对于存在多个部门的大中型组织机构，由于不同部门差异化的互联网访问权限，如果为不同部门分配不同的设备管理员，不仅简化了IT部门的工作，同

时让各部门、各用户的访问权限管理更灵活。但必须避免A部门的管理员却

能够对B部门的上网权限、用户组织结构进行编辑、修改等。

测试方法1、在设备上配置配置不同管理员，其中管理员A1可以

编辑用户组A的权限、成员等；管理员A2只能够查看用户组A的权限、成员等。

2、通过管理员A1账户登录被测设备，验证是否能够对用户组A的上网权限、

组成员进行编辑和调整；

3、通过管理员A2账户登录被测设备，验证是否能够对用户组A的上网权限、

组成员进行编辑和调整；；

预期结果不同权限管理员登录被测设备后只具有授权的权限，包括针对不同用户组的Read-Only权限、和Read-Write权限。

测试结果管理员A1可以修改用户组A的配置 满足 不满足管理员A2不能修改用户组A的配置 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

5、终端操作系统补丁识别

测试编号测试时间

测试项目终端识别测试人员

测试分项终端操作系统补丁识别

测试目的内网终端如果没有及时更新操作系统补丁而接入互联网，则极易感染病毒、木马等威胁，进而传染给内网更多终端设备，影响网络的可靠性和可用性，

所以需要通过终端识别功能找出内网没有及时安装操作系统补丁的终端设备测试方法配置设备禁止使用Windows XP操作系统但没有安装SP2补丁的终端访问互联网；

使用安装Windows XP操作系统但没有安装SP2补丁的终端接入互联网，测

试是否可以正常访问互联网。

预期结果被测设备能够识别终端设备的操作系统版本及操作系统补丁，对不符合信息技术部要求的终端将禁止接入互联网

测试结果设备具有识别终端操作系统版本及补丁的功能配置项 满足 不满足使用windows xp操作系统而没有安装SP2补丁的终端不能

访问互联网

满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

6、对注册表键值的识别

测试编号测试时间

测试项目终端识别测试人员

测试分项对注册表键值的识别

测试目的内网终端如果安装了非法软件往往会在注册表中留下指定的键值等痕迹、而

没有安装指定的安全软件则不会在注册表中留下指定的键值等痕迹；所以通

过检查注册表可以保证信息技术部统一IT政策的贯彻和落实，避免风险终端

接入互联网感染病毒，进而传染到内网的问题。

测试方法1、配置设备，通过检测注册表中指定键值是否含有“诺顿杀毒软件”，实现只有安装诺顿杀毒软件的终端才能访问互联网；

2、终端电脑安装诺顿杀毒软件后，测试是否可以成功访问互联网；

3、删除终端电脑上的诺顿杀毒软件后，测试是否可以访问互联网。

预期结果被测设备可以通过检查接入终端的注册表相关键值实现对终端的识别和网络准入功能

测试结果 1. 配置设备，实现对客户端诺顿杀毒软件的检测，终端安装有诺顿杀毒软件，成功访问互联网 满足 不满足

4. 删除终端上的诺顿后，终端不能访问互联网 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

7、对硬盘文件的检查和识别

测试编号测试时间

测试项目终端识别测试人员

测试分项对硬盘文件的检查和识别

测试目的内网终端如果安装了非法软件、或没有安装指定的安全软件而接入互联网，是对信息技术部门统一IT政策的违反，同时可能

极易感染病毒、木马等威胁，

进而传染给内网更多终端设备，影响网络的可靠性和可用性，所以需要通过

终端识别功能找出内网安装了非法软件、不安装指定软件的终端设备。

测试方法1、完成设备相关配置，禁止安装文件的终端访问互联网；

2、终端电脑安装文件后访问互联网，测试是否可以成功访问；

3、终端电脑删除文件再访问互联网，测试是否可以成功访问；

4、再配置设备，禁止不安装（NOD32杀毒软件的进程）文件的

终端访问互联网；

5、终端电脑安装文件后，测试是否可以成功访问互联网；

6、删除终端电脑上的文件，测试是否可以访问互联网。

预期结果被测设备能够检查接入终端的硬盘文件情况，从而实现终端识别和有效的网络准入控制

测试结果被测设备具有检查终端硬盘文件的功能配置项 满足 不满足终端安装QQ后访问互联网失败 满足 不满足

终端删除QQ后再访问互联网成功 满足 不满足

终端安装NOD32后访问互联网成功 满足 不满足

终端删除NOD32后访问互联网失败 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

8、识别终端的进程

测试编号测试时间

测试项目终端识别测试人员

测试分项识别终端的进程

测试目的内网终端如果运行了非法软件、或没有运行指定的安全软件而接入互联网，是对信息技术部门统一IT政策的违反，同时可能极易感染病毒、木马等威胁，

进而传染给内网更多终端设备，影响网络的可靠性和可用性，所以需要通过

终端识别功能找出内网运行了非法软件、不运行指定软件的终端设备测试方法1、完成设备相关配置，禁止运行进程的终端访问互联网；

2、终端电脑运行后访问互联网，测试是否可以成功访问；

3、终端电脑关闭再访问互联网，测试是否可以成功访问；

4、再配置设备，禁止不运行（NOD32杀毒软件的进程）进

程的终端访问互联网；

5、终端电脑运行进程，测试是否可以成功访问互联网；

6、关闭终端电脑的进程，测试是否访问互联网。

预期结果被测设备能够检查接入终端的后台进程情况，从而实现终端识别和有效的网络准入控制

测试结果被测设备具有检查终端进程的功能配置项 满足 不满足

终端运行进程后访问互联网失败 满足 不满足

终端停止进程后再访问互联网成功 满足 不满足

终端运行进程后访问互联网成功 满足 不满足

终端停止进程后访问互联网失败 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

9、多条准入规则的与/或

测试编号测试时间

测试项目准入规则测试人员

测试分项多条准入规则的与/或

测试目的传统的设备对于准入规则应用只能进行单一的进行检测，灵活性较差，而要实现对于如必须开启诺顿杀毒软件或者是卡巴斯基

软件，不能运行QQ软件

和迅雷软件这样的复杂的组合就无能为力，该项测试可以验证设备对于符合

多项策略的组合检查

测试方法1、新建“必须运行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程，新建“必须运行杀毒软件2”准入规则选择用户需运行“诺顿杀毒”进程

2、选择“必须运行杀毒软件1”和“必须运行杀毒软件2”进行组合规则，

选择任一条件成立允许用户上网，并命名为“需启用杀毒软件”

3、新建“禁止运行QQ”准入规则选择用户需运行“QQ”进程，“必须运

行杀毒软件1”准入规则选择用户需运行“卡巴斯基”进程

4、选择“禁止运行QQ”和“必须运行杀毒软件1”进行组合规则，选择当

所有条件成立的时候允许用户上网

5、在上网策略对象中新建“准入规则1”项执行有任一杀毒软件即可上网，

并运用到用户A

6、在上网策略对象中新建“准入规则2”项执行必须运行“卡巴斯基”和不

能运行“QQ“才能上网上网，并运用到用户B

预期结果用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网用户B启用“卡巴斯基“和不运行”QQ“才能上网，否则不允许上网测试结果 1. 用户“A“启用任何一个杀毒软件”卡巴斯基“或是’诺顿杀毒”即可上网

满足 不满足

2. 用户B启用“卡巴斯基“和不运行”QQ“才能上网，否则不允许上网

满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

10、SSL网址识别与封堵

测试编号测试时间

测试项目应用识别测试人员

测试分项SSL网址识别与封堵

测试目的互联网网页正在逐渐由明文形式转化为SSL加密的密文形式，这其中就包括为数众多的假冒网上银行的钓鱼网站、近期假冒地震捐款的网站、网上基金

/证券/炒股/购物/博彩网站等，如果不能对SSL加密网站进行识别和管理，显

然无法实现对用户的网页访问行为的全面管理

测试方法1、完成设备相关配置，禁止用户访问/doc/,；

2、内网用户打开IE，尝试访问/doc/,站点，测试是否可

以正常访问；

3、再打开/doc/,测试是否可以成功访问；

预期结果被测设备能够实现对SSL加密网页的识别，通过非封堵TCP 443端口方式实现对指定SSL加密网站的过滤，同时放开其他SSL加密网页的访问行为测试结果设备支持SSL加密网页识别的配置功能项 满足 不满足内网用户不能访问被封堵的/doc/, 满足 不满足

内网用户可以访问没有被封堵的/doc/, 满足 不满足测试结论所测试产品是否满足该项功能要求 满足 不满足

11、非80端口网页访问行为的识别

测试编号测试时间

测试项目应用识别测试人员

测试分项非80端口网页访问行为的识别

测试目的通常网页访问通过TCP 80端口实现，但互联网上存在为数众多的非80端口访问的网页、网站等，典型如“碧海银沙”在线聊天室等可以通过随机的端

口提供访问，如果不能对此类非80端口的网页访问行为进行识别和管理，将

无法有效管理用户的网页访问行为

测试方法1、打开IE访问碧海银沙网站：/doc/,/站点，进入任一网络聊天室，记下当前聊天室网址如：202.96.140.8:32462/；

2、被测设备配置过滤对202.96.140.8网址的访问行为

3、内网用户访问202.96.140.8:32462/，验证是否可以访问成功

4、内网用户访问202.96.140.8:38611/，验证是否可以访问成功

预期结果被测设备并不以网页访问行为的端口进行行为识别和过滤，从而实现对同一URL地址多个端口都能进行识别和过滤

测试结果设备配置后，用户不能访问202.96.140.8:32462/ 满足 不满足用户亦不能访问202.96.140.8:38611/ 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足11、搜索引擎输入关键字的过滤

测试编号测试时间

测试项目应用识别测试人员

测试分项搜索引擎输入关键字的过滤

测试目的网页访问行为通过静态URL库可以实现部分控制功能，但由于互联网URL 地址数十亿条，每天新增近百万，为实现对网页访问行为的全面管理，必须

具备对搜索引擎输入指定关键字的过滤技术，如禁止通过百度、Google搜索

“艳照门”。

测试方法1、完成设备相关配置，禁止通过搜索引擎搜素“艳照门”关键字；

2、通过IE访问百度搜索“艳照门”，验证搜索结果；

3、访问Google、雅虎搜索等，搜索“艳照门”，验证搜索结果；

预期结果被测设备可以实现对百度、Google等搜索引擎中输入的指定关键字的过滤技术，用以弥补静态URL库的缺陷

测试结果被测设备具有搜索引擎输入关键字过滤功能 满足 不满足用户不能通过百度搜索“艳照门” 满足 不满足

用户不能通过Google、雅虎搜索“艳照门” 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足12、网页正文关键字识别和过滤

测试编号测试时间

测试项目应用识别测试人员

测试分项网页正文关键字识别和过滤

测试目的网页访问行为通过静态URL库可以实现部分控制功能，但由于互联网URL 地址数十亿条，每天新增近百万，为实现对网页访问行为的全面管理，必须

能够识别网页正文含有的指定关键字，根据该关键字实现对网页访问行为的

控制和过滤。

测试方法1、完成设备相关配置，禁止用户访问含有“艳照门”关键字的网页；

2、通过访问百度、Google等寻找含有艳照门内容的网页；

3、点击打开含有“艳照门”关键字的网页，测试是否能够成功访问；

预期结果被测设备可以通过识别网页正文含有的指定关键字实现对网页访问行为的管理

测试结果 1. 内网用户将不能访问含有“艳照门”关键字的网页 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足13、不

常见P2P软件的识别和封堵

测试编号测试时间

测试项目应用识别测试人员

测试分项不常见P2P软件的识别和封堵

测试目的组织在封堵常见的BT、eMule等P2P软件后，却又面临着众多未知P2P、不常见P2P行为的威胁，网络上的P2P软件层出不穷、版本泛滥，不可能通过

被测设备内置的应该识别库实现对所有P2P行为的管理，所以必须具有P2P

智能识别方式，根据P2P的行为特征从根本上识别和封堵P2P行为。

测试方法内网用户通过Google搜索安装不常见的P2P工具

配置设备，启用设备的P2P智能识别功能

再次使用应用协议库没有的、不常见的P2P软件（比如Maze）进行资源下载，

测试下载速度

预期结果内网用户使用不常见的P2P工具滥用带宽资源的情况被识别并封堵，有效的提升了组织单位的带宽使用效率

测试结果被测设备含有P2P智能识别功能 满足 不满足内网用户首先可以通过应用协议识别库中没有的P2P工具下载资源

满足 不满足在配置设备启用智能P2P识别功能后，再次使用以上P2P工具将不能下载资

源 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

14、新浪视频的识别与封堵

测试编号测试时间

测试项目应用识别测试人员

测试分项新浪视频的识别与封堵

测试目的随着YouTube的流行，国内的视频网站也越来越多。上班时间访问新浪视频等网站观看视频不仅影响工作效率，同时对带宽

的严重占用也不容忽视。如

何实现允许用户访问新浪视频网站但不允许观看在线视频已经成为众多客户

的要求。

测试方法配置被测设备，封堵在线视频的使用

内网用户访问/doc/,/，并尝试观看视频资源

预期结果内网用户尝试观看在线视频的行为被禁止

测试结果用户无法观看新浪视频资源 满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

15、网页智能学习与分类

测试编号测试时间

测试项目网页识别与过滤测试人员

测试分项网页智能学习与分类

测试目的面对互联网过万亿的URL地址，而且URL地址还在不断的增多，静态的URL 库已经不能完整的解决URL地址的分类与过滤了，那么通过智能的学习与识

别则是URL过滤的最佳解决途径，通过关键字特征来识别网页并进行过滤测试方法在设备中添加关键字“法轮功，共匪，真相，反党”等，启用过滤，然后通过IE访问已知的反动网址

预期结果通过学习以后反动网址被自动过滤，输入的反动网址无法访问

测试结果用户在输入反动网址时无法访问 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

16、URL地址的动作过滤

测试编号测试时间

测试项目URL地址过滤测试人员

测试分项URL动作过滤，仅拒绝POST

测试目的传统的设备对于URL地址的过滤方式为一刀切，为防止

内网员工的发帖导致的法律风险，从而全面封堵论坛类网站的访问导致员工极大的不满，更人性

化的只能看贴不能发帖的URL动作过滤更灵活的进行内网管理

测试方法配置设备“只许看贴，不准回帖|”

预测期试结结果果用用户户“A““A“可可以以访访问问“/doc/,“但是不能发帖

“/doc/,“但是不能发帖

满足 不满足

测试结论所测试产品是否满足该项功能要求 满足 不满足

17、部分域名免控制

测试编号测试时间

测试项目免控制规则测试人员

测试分项目标域名免控制（包括控制，流控，审计）

测试目的目前多数的组织机构都有自己的网站，而组织内部人员访问这些网站的时候的频度和流量也是较大，对于这部分网站的控制会浪费较多的设备性能，目

标域名的免控制可以有效的对目标域名免除控制

测试方法1、配置设备，新浪网免控制

预期结果用户访问/doc/,将没有记录

测试结果 1. 用户访问/doc/,将没有记录 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

18、语音视频、UuCall语音视频

测试编号测试时间

测试项目应用识别和控制测试人员

测试分项雅虎通语音视频、UuCall语音视频

测试目的对语音和视频聊天软件进行封堵

测试方法设备策略中配置“封堵雅虎通语音视频、UuCall语音视频”项，将该策略运用到用户A

预期结果用户A将无法使用雅虎通语音视频或UuCall语音视频

测试结果用户A将无法使用雅虎通语音视频或UuCall语音视频 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

19、上网时长控制

测试编号测试时间

测试项目上网策略管理测试人员

测试分项上网时长控制

测试目的通常组织单位对内网用户的上网行为并不做非常严格的管理，因为管理者深知宽松自由的办公环境有利于员工对组织的忠诚度与依赖感。但上班时间从

事工作无关的网络行为却是不争的事实，如何在管理与放纵之间保持平衡？

通过控制员工一天的总上网时间可以有效的解决该问题。允许员工上网，但

总时间有限制，这样及避免对工作效率的严重影响，同时避免了对员工过分

管控而带来的反弹。

测试方法配置设备，对指定用户一天内的总上网时间限制为10分钟

用户A访问互联网，上网时间控制在10分钟以内，然后注销退出

用户A再次访问互联网，与前一次访问时间总和超过10分钟，测试是否仍然

能够正常访问互联网

预期结果被测设备应该能够限制指定用户一天内的总上网时间，从而实现上网权限的灵活控制。

测试结果步骤2中用户A可以顺利访问互联网 满足 不满足步骤3

中用户起初可以访问互联网，但在总上网时间超过10分钟后不能访问

互联网 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

20、子组支持继承父组的上网策略

测试编号测试时间

测试项目上网策略管理测试人员

测试分项子组支持继承父组的上网策略

测试目的大型组织机构的上网行为管理策略的配置往往复杂度较高。来自父组的上网策略的调整如何简单方便的同步实施到子组上，这是IT部门普遍关心的问题

之一。通过策略继承功能子组将无需配置父组上网策略，直接“copy”父组

的策略即可。

测试方法对指定父组承父组AA启用禁止访问/doc/,的策略，父组A的子组继的策略，子组用户尝试访问/doc/,

预期结果被测设备通过对上网策略的继承功能，子组将自动继承父组上网策略，方便了上网策略的配置和管理

测试结果子组用户无法访问/doc/, 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

21、子组从父组强制继承的上网策略将不能修改、删除、绕过

测试编号测试时间

测试项目上网策略管理测试人员

测试分项子组从父组强制继承的上网策略将不能修改、删除、绕过

测试目的组织机构内部往往有指定的互联网访问权限，如通常禁止访问色情网站，并要求整个组织单位贯彻执行，但如何保障不同部

门、不同用户分组不会删除、

修改、绕过“禁止访问色情网站”的上网策略呢？这就要求被测设备支持子

组对父组策略的强制继承功能。

测试方法配置设备，对指定父组A启用禁止访问/doc/,的策略B

配置设备要求父组A的所有子组都必须强制继承策略B

父组A的子组用户尝试访问/doc/,

尝试删除子组被强制继承的策略B

为子组添加新策略：允许访问/doc/,，并验证是否能够访问预期结果被测设备通过对上网策略的强制继承功能，子组将被配置指定的上网策略，并且对该策略不能删除、修改、绕过。

测试结果步骤3中子组用户无法访问/doc/, 满足 不满足步骤4中无法删除子组被强制继承的上网策略 满足 不满足

步骤5中子组用户仍然无法访问/doc/, 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

测试编号测试时间

测试项目流量管理功能测试人员

测试分项基于应用类型的流控

测试目的组织内网用户使用各种网络应用，如BT下载、IM聊天、层视频会议等，由于有限的总带宽资源被BT下载等非业务行为滥用将导致视频会议等其他业

务难以开展。而完全封堵BT等非业务行为可能引起用户抵触，所以需要对

P2P等非业务访问行为进行基于应用类型的带宽划分与分配。

测试方法内网用户使用BT进行文件资源的下载，开启最大速度全速下载

配置设备，对该指定用户的P2P行为进行带宽限制，限制其下载速度低于

5KBps

内网该用户重新连接下载该文件资源，验证下载速度；

配置设备，对该指定用户的FTP文件传输行为进行带宽保证，限制FTP文件

下载的速度不低于50KBps，不高于70KBps；

内网该用户使用FTP工具下载公网文件资源，验证下载速度

预期结果通过被测设备基于应用类型的流量管理功能，内网指定用户的P2P行为所占带宽被限制，而其他正常业务行为的带宽得到保障。

测试结果配置设备前，内网用户使用BT下载速度较快 满足 不满足设备启用对BT的流量限制后，该用户的BT下载速度小于5KBps

满足 不满足设备启用对FTP的流量保证后，文件传输速度不低于50KBps、不高于70KBps

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

22、基于文件类型的流控

测试编号测试时间

测试项目流量管理功能测试测试人员

测试分项基于文件类型的流控

测试目的内网员工通过HTTP上传下载指定类型的文件，尤其关键部门上传文件，需要提供带宽保障措施，以提升工作效率。

测试方法配置设备，为上传专业类型文件实施带宽保证策略，并最多划分100KBps的带宽通道

使用内网终端设备，采用HTTP方式上传专用大型文件，查验上传速度

调整设备配置，对上传专用类型文件的行为最多划分10KBps的带宽通道

使用内网终端设备，采用采用HTTP方式上传CAD大型文件，查验上传速度预期结果被测设备能够根据上传下载的文件类型进行带宽划分和分配

测试结果配置设备后，上传CAD文件的速度较快，且最大没有超过100KBps

满足 不满足再次配置设备后，上传CAD文件的速度较快，且最大没有超过10KBps

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

测试编号测试时间

测试项目流量管理功能测试测试人员

测试分项基于网站类型的流控

测试目的互联网网站繁多，内网用户访问新闻网站时如何提供带宽保障；而访问新闻、娱乐网站时又如何进行带宽限制，这都是信息技术部需要考虑的问题，此节

即测试被测设备基于网站类型的带宽划分和流量控制功能

测试方法配置设备，对访问行业网站分类的行为提供带宽保障，至少为100KBps，且上限不超过120KBps

配置设备，对访问娱乐类网站的行为提供带宽限制、最多为5KBps

使用终端设备访问行业网站URL地址，并从行业网站上下载文件，验证下载

速度

使用终端设备访问娱乐类网站，并从该网站上下载文件，验证下载速度

预期结果被测设备可以根据被访问网站的网站类型进行带宽划分和分配

测试结果内网用户通过访问行业网站并下载文件，带宽是否能维持在100KBps以上，且不会超过120KBps 满足 不满足

内网用户访问娱乐网站的速度是否较慢，且通过该网站下载文件的速度不超

过5KBps 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

24、Wan->lan的流控

测试编号测试时间

测试项目流量管理功能测试测试人员

测试分项Wan->lan的流控

测试目的通常组织单位内网具有对公网开放的WWW服务器等资源，但由于内网员工上网流量挤占了WWW服务器对外提供服务所需的带宽资源，导致外网用户访问

该WWW服务器速度很慢或“该页无法显示”，这就要求被测设备能够对来自互

联网访问内网指定服务器的行为进行带宽划分与分配。

测试方法配置设备，为内网指定的FTP服务器等分配10Mbps带宽资源。

公网口用户终端连接该FTP服务器下载文件，观察下载速度

配置设备，为内网指定的FTP服务器等分配10kbps带宽资源

公网口用户终端连接该FTP服务器下载文件，观察下载速度

预期结果被测设备能够为内网对外提供访问服务的服务器等分配指定的带宽资源，保障来自互联网对内网访问的畅通性

测试结果步骤2中终端的文件下载速度远远超过1Mbps

满足 不满足步骤4中终端的文件下载速度非常慢，维持在10Kbps左右

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

25、以公网IP为用户的带宽划分与分配

测试编号测试时间

测试项目流量管理功能测试测试人员

测试分项以公网IP为用户的带宽划分与分配

测试目的组织单位内部的FTP服务器对外提供访问服务，但带宽资源往往并不充裕，尤其在遭遇公网少量用户高速下载时其他用户的访问将变得异常困难，由于

被公网用户的迅雷等工具。如果能够按照接入FTP服务器的互联网用户平均

分配带宽资源将良好的解决以上问题。

测试方法配置设备，为内网指定的FTP服务器分配100Kbps带宽。

配置设备，启用“以公网IP为用户自动分配这些用户访问FTP服务器的带宽

资源”

单一公网口用户终端连接该FTP服务器下载文件，观察下载速度

并发五个公网口用户终端连接该FTP服务器下载文件，观察下载速度

预期结果被测设备应该可以根据公网IP作为用户进行带宽的划分与分配，从而避免个别互联网用户大量占用带宽的问题。

测试结果步骤3中终端的文件下载速度维持在100Kbps左右

满足 不满足步骤4中终端的文件下载速度维持在20Kbps左右

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

26、管理员分级审计用户日志

测试编号测试时间

测试项目应用审计测试人员

测试分项管理员分级审计用户日志

测试目的部署在组织单位的上网行为管理设备将记录内网用户的

各种上网行为日志。

但如果A部门的日志被B部门的管理员查看、审计、甚至传播到互联网上

将对员工的个人隐私形成侵犯，甚至引起员工对上网行为管理设备的反感与

排斥。所以专业的上网行为管理设备应该具备根据管理员分级审计不同用户

组的行为日志。

测试方法新增两个管理员A、B，管理员A具有审计用户组AAA行为日志的权限；

管理员B具有审计用户组BBB行为日志的权限。

管理员A登录日志中心尝试查询用户组BBB的MSN聊天内容等行为日志

管理员B登录日志中心尝试查询用户组BBB的MSN聊天内容等行为日志预期结果被测设备能够根据管理员的权限划分行为日志的查询、审计权限

测试结果管理员A不能够审计用户组BBB的行为日志 满足 不满足管理员B能够审计用户组BBB的行为日志 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

27、记录被访问网页的网页标题

测试编号测试时间

测试项目应用审计测试人员

测试分项记录被访问网页的网页标题

测试目的组织内网用户的第一大互联网访问行为即访问各种网页，在实现记录被访问网址的同时管理者往往希望能看到被访问网页的标题信息，这就需要被测设

备能够记录网页标题信息

测试方法完成设备的网页访问行为审计等相关配置

通过内网终端任意访问一个网站

通过设备的行为审计功能，查看是否记录了用户访问网页的网页标题预期结果被测设备能够记录被访问网页的网页标题信息

测试结果设备具有记录网页标题的功能配置项 满足 不满足通过设备记录的日志能够查看到被访问的网页标题 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

28、记录含有指定关键字的网页内容

测试编号测试时间

测试项目应用审计测试人员

测试分项记录含有指定关键字的网页内容

测试目的组织内网用户的第一大互联网访问行为即访问各种网页，在实现记录被访问网址的同时管理者往往希望能够对含有指定关键字的网页内容进行全面记

录，以实现对公安部82号令的全面满足，避免组织单位面临的潜在法律风

险问题。

测试方法完成设备的网页内容审计等配置，配置对含有“艳照门”的网页访问记录整个网页内容

通过内网终端访问百度，搜索“陈冠希”

打开含有“艳照门”字样的网页

通过设备的行为审计功能，查看是否记录了含有“艳照门”字样网页的整个

网页内容

预期结果被测设备能够记录含有指定关键字的整个网页内容

测试结果设备有根据关键字记录指定网页内容的功能项 满足 不满足通过设备记录的日志能够查看到含有“艳照门”字样的网页的正文内容

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

29、时间审计

测试编号测试时间

测试项目应用审计测试人员

测试分项时间审计

测试目的众多组织单位的上网行为管理充满了人性化，上班时间并没有进行各种互联网应用的全面封堵，但是组织的管理者需要知道在人性化宽松的环境中内网

用户的上网行为是否规范，需要统计指定的用户使用指定应用的时间等，以

便于对当前的上网行为管理策略进行评估

测试方法完成设备的时间审计等相关配置

通过内网终端访问百度、新浪等网站

通过设备的时间审计功能，统计和审计该内网用户在测试当天网页浏览的时

间总量

配置设备的时间控制功能项，限制指定用户一天的总上网时间不得超过5分

钟，其中排除端口填写TCP 25和TCP 110端口

内网指定用户持续访问互联网，大概五分钟后验证是否仍然能访问百度、新

浪等网页

再次验证是否仍然能够收发Email邮件

预期结果被测设备可以统计在指定时间段内指定用户使用指定应用的时间统计结果，

并且可以限制用户一天的总上网时间（支持排除端口设置）

测试结果 1. 设备具有时间审计、审计控制功能项 满足 不满足

2. 通过设备可以审计该用户一天内网页访问的时间总量 满足 不满足

3. 通过设备的上网总时长限制后，用户访问互联网5分钟后即不能再访问新

浪、百度等 满足 不满足

4. 虽然不能访问百度、新浪，但可以收发Email邮件 满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

30、内容检索功能测试

测试编号测试时间

测试项目应用审计测试人员

测试分项内容检索功能测试

测试目的满足公安部82号令行为记录留存60天的要求，必将产生海量日志，如何从海量日志中查找管理者感兴趣的内容、如何进行数据挖掘已经成为高端客户的普遍需求。通过

普通的数据库字段搜索和遍历不仅速度慢，且无法准确找到管理者真正感兴趣的访问

记录，所以客户需要通过类似百度、Google的搜索引擎进行日志的检索。

测试方法配置设备的内容检索功能

通过内容检索搜索“法轮功”等关键字，查验检索结果，是否含有很多正常的访问行

为记录

通过内容检索搜索“法轮功退党”，查验检索结果，是否含有管理者真正想要的违规

访问行为记录

预期结果被测设备具有类似百度的内容检索引擎，支持通过多个关键字对行为日志的快速检索测试结果 1. 设备具有类似百度的内容检索引擎 满足 不满足

2. 通过该内容检索引擎搜索“法轮功”等关键字能够快速得到检索结果

满足 不满足

3. 通过该内容检索引擎搜索“法轮功退党”等关键字能够快速得到检索结果

满足 不满足

测试结论所测试产品是否满足该项功能要求

满足 不满足

31、基于硬件方式的免审计功能

测试编号测试时间

测试项目应用审计测试人员

测试分项基于硬件方式的免审计功能

测试目的单位高层领导的上网行为、私人邮件往往涉及到整个单位的发展和命运，属于高度机密信息，为了避免这种机密泄露被人查看，所以就需要对这些高层

领导启用免审计功能，免审计有几种方式，其中一种是以排除IP的方式，这

种方式的缺点是IP易被篡改，安全性不高，而另一种方式则是使用硬件Key

的方式，硬件Key为高层领导的免审计提供了安全上的保证。

测试方法1、设备是否具备免审计功能；

2、设备免审计功能是否以硬件方式实现，而不是以IP排除等其他方式；

3、设备上的免审计功能选项进行修改，免审计终端是否可知；

预期效果免审计Key用户在设备上没有任何访问记录

测试结果1、设备是否具备免审计功能？ 具备 不具备

2、免审计功能以何种方式实现？ 硬件方式 以排除IP等其他方式

3、设备上的免审计功能选项进行修改，免审计终端是否可知；

可以 不可以

测试结论所测试产品是否满足基于硬件方式的免审计功能

满足 不满足

32、报表功能测试

测试编号测试时间

测试项目应用审计测试人员

测试分项对比报表功能测试

测试目的如何体现上网行为管理设备的效果？IT管理者如何查看昨天施加的上网行为管理策略的效果，进而为该上网行为管理策略是否需要调整提供数据支

撑？这就需要专业的上网行为管理设备具有对比报表功能，将当前指定用

户、用户组、指定应用与昨天、上周、前一个月的上网行为进行对比，并声

称对比报表。

测试方法1、设备是否具备对比报表功能；

2、通过设备对今天与昨天的P2P流量进行对比报表输出；

预期效果免审计Key用户在设备上没有任何访问记录

测试结果1、设备是否具备对比报表功能？ 具备 不具备

2、设备是否能将昨天与今天的P2P流量进行对比报表输出

可以 不可以

测试结论所测试产品是否满足该项功能

满足 不满足

33、报表、统计等自定义成链接功能

测试编号测试时间

测试项目应用审计测试人员

测试分项将报表、统计等自定义成链接功能

测试目的数据中心详细记录的行为日志将成为IT管理者对网络掌控、对用户行为了解的主要途径，但登录数据中心后再不同页面之间频繁的切换严重影响工作效

率，如果能将管理者常用的查询操作、统计操作、报表等作为自定义链接放

置在数据中心的第一主页上将极大的方便管理者的操作。

测试方法1、设备是否具备将报表、统计等自定义成链接功能；

2、是否可以将IM查询操作页面制作成自定义链接放在数据中心首页；

3、是否可以将用户流量统计排名操作页面制作成自定义链接放在

数据中心

首页；

预期效果被测设备支持将报表、统计等自定义成链接功能，方便管理者对日志的操作测试结果1、设备是否具备将报表、统计等自定义成链接功能？

具备 不具备

2、设备支持将IM查询操作页面制作成自定义链接放在数据中心首页

可以 不可以

3、设备支持将用户流量统计排名操作页面制作成自定义链接放在数据中心

首页 可以 不可以测试结论所测试产品是否满足该项功能 满足 不满足

33、防火墙功能

测试编号测试时间

测试项目网络可靠、可用的保障能力测试人员

测试分项防火墙功能

测试目的作为部署于用户网络中的核心网络设备之一，设备本身的安全性、可靠性必须得到保障。为了防范来自网络的攻击、入侵等，网关设备本身必须集成防

火墙功能模块用以保障网关设备的安全、可靠。

测试方法通过登录被测设备控制台界面查看是否具有防火墙功能模块

通过配置防火墙策略可是实现对外网进入内网数据包的检测和过滤

防火墙提供的NAT地址转换功能为代理内网用户上网和将内网服务器映射

到公网提供可能

预期结果被测设备应该具有防火墙功能，用以保障设备本身的安全性、可靠性

测试结果通过设备界面可以查看到防火墙配置界面 满足 不满足通过配置防火墙策略实现对来自外网进入内网数据包的过滤

满足 不满足

被测设备的防火墙功能提供了NA T地址转换功能 满足 不满足测试结论所测试产品是否满足该项功能要求

满足 不满足

34、ARP欺骗防护功能

测试编号测试时间

测试项目网络可靠、可用的保障能力测试人员

测试分项ARP欺骗防护功能

测试目的组织结构内部子网经常因为个别终端遭受ARP病毒致使整个子网内所有用户上网时断时续，甚至导致根本上不了外网，ARP欺骗问题已经严重影响了

网络的可靠性、可用性，用户已经无法产生上网行为，所以被测设备首先需

要能够解决内网的ARP欺骗问题。

测试方法确保三层网络环境下内网终端可以正常访问互联网

在三层网络环境中搭建一套ARP欺骗器，向内部网络发起ARP欺骗

再验证终端设备是否能够访问互联网

停止ARP欺骗器的运行，重新确保终端能够访问互联网