某集团SSL-VPN测试方案

一、 测试方案需求分析

为配合某集团医药营销公司CRM工程系统上线使用，该系统采用internet网络传输方式，终端用户与应用效劳器输出传输确定使用SSL VPN方式进展加密传输。因此，进展国际知名品牌SSL VPN测试工作。

二、 测试资源统计

➢

终端设备假设干台：windows XP、2003、win7系统；ipad、苹果电脑、iphone终端；

➢ ➢ ➢

SSL VPN测试设备2台。 测试机接入某集团测试网络。

提供某集团现有可用CRM、OA、财务、邮件、HR、文件共享等测试系统。

三、 测试网络架构拓扑图 四、 测试方案详细测试指标

4.1、根本功能测试 、网络连通性测试 测试工程 网络连通性 第 1 页

1、按测试拓扑构造连接网络 测试步2、从SSL VPN 网关上ping其上各个IP与默认网关 骤 3、客户端是否可以通过反向NAT访问SSL VPN 4、可否访问内网应用效劳器 测试结 果 备注 、终端可支持对多系统平台、多浏览器版本支持 测试工程 多系统平台、多浏览器支持 1、利用windows XP、win7、2003；Mac OS；PDA；测试步骤 Ipad、iphone、sybain等系统可实现SSL VPN访问。 2、支持IE6-9、火狐、chrome、safari、opra等主流浏览器。 测试结 果 备注 、设备双机部署 测试工程 设备双机部署 第 2 页

1、 实现设备双机部署架构，以cluster等方式进展设备统测试步骤 一页面管理部署 2、 设备能与F5集成或自身拥有双机冗余功能实现动态切换，即一台网络不同或设备宕机能将流量自动牵引至正常工作设备上。 测试结 果 备注 4.2、身份认证测试 4.、认证方式测试 测试工程 与AD集成进展统一认证 测试步1、SSL VPN可与微软AD域控器进展集成，通过AD域骤 测试结 账号进展SSL VPN登录认证。 果 备注 测试工程 与第三方短信平台实现统一认证 第 3 页

测试步骤 测试结1、SSL VPN设备预留与第三方短信平台集成接口，可实现用户名、密码认证与短信认证双因子认证方案，并提供可供参考实际部署案例。 果 备注 4.、证书验证能力 测试工程 测试步骤 测试结 证书验证能力 1、 SSL VPN2、 SSL VPN可自行生成数字证书供SSL VPN验证使用。 可集成第三方签发数字证书，进展SSL VPN验证使用。 果 备注 4.、单点登录测试 测试工程 单点登录测试 1、SSL VPN在进展B/S应用架构部署时，实现与AD测试步骤 域控单点登录认证，即用户一次性输入用户名、密码即可进入SSL VPN平台与业务业务应用系统。 第 4 页

测试结 果 备注 4.3、B/S架构应用部署测试 4.、统一接入平台B/S应用访问 测试工程 统一接入平台B/S应用访问 1、 某集团B/S业务系统通过SSL VPN进展数据转发，通过对外发布一个网络域名可提供业务应用列表供用户选择，进入不同业务系统。 测试步骤 2、 对外发布一个网络域名可实现与某一个业务系统一一对应，消除SSL VPN用户列表选项。例如：用户访问CRM业务系统域名，SSL VPN将直接跳转至CRM业务系统页面。 3、 SSL VPN可依据与集团AD域控架构部署不同用户组设定访问权限，实现多用户组与多应用不同组合对应。 测试结 果 备注 、某集团业务系统通过SSL VPN访问可行性 测试工程 CRM业务系统部署访问可行性测试 第 5 页

1、 利用SSL VPN平台对CRM业务系统进展发布 网络域名与CRM应用一一对应发布管理 2、 CRM测试步骤 3、 实现SSL VPN平台认证与CRM应用认证双重用户、密码认证部署 4、 测试CRM业务系统通过SSL VPN转发后各个功能模块可用性 测试结 果 备注 测试工程 OA业务系统部署访问可行性测试 1、利用SSL VPN平台对OA业务系统进展发布 2、OA网络域名与OA应用一一对应发布管理 测试步3、实现SSL VPN平台认证与OA应用认证单点登录部署骤 认证 4、测试OA业务系统通过SSL VPN转发后各个功能模块可用性 测试结 果 备注 测试工程 邮件、集团财务、HR业务系统部署访问可行性测试 第 6 页

1、 利用SSL VPN平台对邮件、集团财务、HR业务系统进展发布 2、 使用SSL VPN域名访问，实现邮件、集团财务、测试步骤 HR业务系统列表式访问管理。 3、 实现SSL VPN平台认证与邮件、集团财务、HR应用认证双重用户、密码认证部署 4、 测试邮件、集团财务、HR业务系统通过SSL VPN转发后各个功能模块可用性 测试结 果 备注 、文件共享方式 测试工程 文件共享方式测试 1、 利用SSL VPN平台实现对windows文件共享目录进展发布 2、 使用SSL VPN域名访问，实现windows文件共测试步骤 享目录访问管理。 3、 实现SSL VPN平台认证与windows文件共享目录认证双重用户、密码认证部署 4、 测windows文件共享目录通过SSL VPN转发后文件列表访问，文件读取、复制、粘贴等功能权限可行性。 第 7 页

测试结 果 备注 4.4、网络三层应用部署测试 、VPN网络三层通讯实现 测试工程 VPN网络三层通讯实现 1、 在SSL VPN平台开通网络三层接入权限 AD账户集成不同认证方式。 2、 实现自定义账户与3、 用户访问测试步骤 SSL VPN网络三层接入域名后，实现客户端程序自动下载、安装 4、 用户端通过网络三层方式接入SSL VPN网络后，可与集团局域网络用户拥有一样网络通讯权限，测试使用如金蝶等C/S应用程序进展业务访问。 测试结 果 备注 4.5、用户终端部署测试 、无插件部署 测试工程 无插件部署 第 8 页

测试步1、用户利用SSL VPN访问B/S架构业务系统时，客户骤 测试结 端无需安装任何VPN插件。 果 备注 、登录页面可自行定制 测试工程 测试步骤 测试结 登录页面可自行定制 1、 SSL VPN平台可依据用户需求对登录页面进展个性化定制修改 2、 一一对应方式、应用列表方式可实现不同定制登录页面 果 备注 、并发在线用户数控制 测试工程 并发在线用户数控制 1、可实现对不同应用系统或用户组进展并发在线用户数测试步骤 细化控制，例如SSL VPN授权1000并发用户，可实现CRM业务通过VPN并发800个用户，OA、邮件等其他业务并发200个用户。 第 9 页

测试结 果 备注 、每用户流量进展管控 测试工程 测试步骤 每用户流量进展管控 1、可针对SSL VPN发布不同应用对不同权限上线用户或用户组进展流量带宽。 测试结 果 备注 、用户超时下线 测试工程 测试步骤 测试结 用户超时下线测试 1、实现每用户端可设置无动作后超时下线时间 果 备注 4.6、平安性测试 、设备自身平安性

第 10 页

测试工程 设备自身平安性 1、 设备自身具有平安性功能，只开放或通过策略控制设备测试步骤 自身对外提供效劳网络端口 2、 对外部网络攻击设备可实现智能判断，并对非法网络连接进展阻拦 测试结 果 备注 、用户访问平安性 测试工程 移动用户准入控制实现 1、 设备可实现对接入用户准入判断，以用户终端系统版测试步骤 本、系统补丁、杀毒软件、关键进程等为准入条件 2、 对符合准入规那么与不符合准入规那么用户终端进展访问权限区分 测试结 果 备注 测试工程 cache缓存自动去除 第 11 页

测试步1、用户终端在关闭SSL VPN页面时，可自动实现对用户骤 测试结 终端电脑cache缓存痕迹进展去除，提高平安性 果 备注 、应用数据访问平安性 测试工程 SSL加密算法能力 测试步1、可实现AES、MD5等128、256位加密算法，通过骤 测试结 SSL VPN加密计算后不损失业务系统访问时间 果 备注 4.7、管理性测试 、设备维护管理 测试工程 设备维护管理 测试步1、设备可实现web、telnet、ssh、consol等方式进展骤 测试结 维护管理 果 第 12 页

备注 、日志功能 测试工程 日志功能 1、 SSL VPN设备可对上线用户、上线时间、用户操作痕迹进展日志记录 测试步骤 2、 设备可对自身系统运行状进展日志记录 3、 日志记录在设备上保存至少60天 4、 日志可通过用户名、时间、关键字等字段进展筛选查询 5、 日志报表等方式进展导入、导出。 测试结 果 备注 、管理级别划分 测试工程 管理级别划分功能 测试步1、能按不同管理员进展不同管理级别划分，从而区分不骤 测试结 同管理员查看、审计、操作等管理级别。 果 备注 、与监控平台兼容性

第 13 页

测试工程 测试步骤 测试结 与监控平台兼容性 1、有与国际openview、tivli，国内摩卡、广通等知名厂商监控平台集成案例，可实现网络监控平台对其进展设备监控部署，提供可供参考部署案例。 果 备注 五、总结

第 14 页