7.2 安全功能測評

7.2.1 組網與部署

7.2.1.1 部署模式

部署模式的測評方法如下：

a)測評方法：

1）將產品配置為透明傳輸模式，并配置相關安全策略；

2）將產品配置為路由轉發模式，并配置相關安全策略；

3）將產品配置為反向代理模式，并配置相關安全策略；

b)預期結果：

1）透明傳輸模式下，安全策略生效；

2)路由轉發模式下，安全策略生效；

3)反向代理模式下，安全策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.2 路由

7.2.1.2.1 靜態路由

靜態路由的測評方法如下：

a)測評方法：

1)在產品設置一條靜態路由；

2)向產品發送匹配上述路由策略的數據包。

b)預期結果：

1)產品支持設置靜態路由；

2)產品將匹配策略的數據包按照路由策略轉發。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.2.2 策略路由

策略路由的測評方法如下：

a)測評方法：

1)在產品設置一條基于源、目的IP的策略路由，向產品發送匹配上述路由策略的數據包；

2)在產品設置一條基于接口的策略路由，向產品發送匹配上述路由策略的數據包；

3)在產品設置一條基于協議和端口的策略路由，向產品發送匹配上述路由策略的數據包；

4)在產品設置一條基于應用類型的策略路由，向產品發送匹配上述路由策略的數據包；

5)針對某一目標地址在產品部署多條路由，設置一條根據多鏈路負載情況自動選路的策略路由，改變各鏈路的負載情況。

b)預期結果：

1)產品支持設置基于源、目的IP的策略路由，匹配策略數據包的路由與策略設置一致；

2)產品支持設置基于接口的策略路由，匹配策略數據包的下一跳接口與策略設置一致；

3)產品支持設置基于協議和端口的策略路由，匹配策略數據包的路由與策略設置一致；

4)產品支持設置基于應用類型的策略路由，匹配策略數據包的路由與策略設置一致；

5)產品支持設置基于多鏈路負載情況自動選路的策略路由，匹配策略數據包的路由與策略設置一致。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.2.3 動態路由

動態路由的測評方法如下：

a)測評方法：

1)在產品嘗試開啟 RIP 動態路由功能；

2)改變各鏈路狀態， 驗證 RIP 動態路由是否生效；

3)在產品嘗試開啟 OSPF 動態路由功能；

4)改變各鏈路狀態， 驗證OSPF動態路由是否生效；

5)在產品嘗試開啟BGP動態路由功能；

6)改變各鏈路狀態， 驗證BGP動態路由是否生效。

b)預期結果：

1)產品支持設置 RIP 動態路由功能；

2)產品支持設置 OSPF 動態路由功能；

3)產品支持設置 BGP 動態路由功能。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.3 高可用性

7.2.1.3.1 冗余部署

冗余部署的測評方法如下：

a)測評方法：

1)設置兩臺產品為“主-備”模式；

2)驗證是否僅主產品處于工作狀態；

3)關閉主產品或使其斷開網絡連接，驗證備產品是否能及時接管主產品進行工作，且不影響所在網絡的通信和安全策略；

4)設置兩臺產品為“主-主”模式；

5)驗證是否兩臺產品均處于工作狀態；

6)關閉一臺產品或使其斷開網絡連接，驗證另一臺產品是否仍處于工作狀態，且不影響所在網絡的通信和安全策略；

7)設置多臺產品為“集群”模式；

8)驗證是否所有產品均處于工作狀態；

9)關閉一臺產品或使其斷開網絡連接，驗證其他產品是否仍處于工作狀態，且不影響所在網絡的通信和安全策略。

b)預期結果：

1)產品支持“主-備”模式部署，主產品發生故障時，能繼續確保所在網絡的通信和安全策略；

2)產品支持“主-主”模式部署，其中一臺產品發生故障時，能繼續確保所在網絡的通信和安全策略；

3)產品支持“集群”模式部署，其中一臺產品發生故障時，能繼續確保所在網絡的通信和安全策略。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.3.2 負載均衡

負載均衡的測評方法如下：

a)測評方法：

1)在產品DMZ區設置服務器集群， 設置外網訪問DMZ區服務器的負載均衡策略；

2)在外網主機產生大量連接訪問DMZ區服務器；

3)在DMZ區使用協議分析儀觀察網絡流量， 驗證流量是否均衡到DMZ區多臺服務器上。

b)預期結果：

產品支持負載均衡功能，能將網絡訪問均衡到多臺服務器上。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.4 設備虛擬化

7.2.1.4.1 虛擬系統

虛擬系統的測評方法如下：

a)測評方法：

1)在產品設置多個子系統，并為各子系統分別設置管理員，驗證管理員是否僅能對各自所屬的子系統進行管理，不能對其他的子系統進行管理；

2)為各子系統設置路由表、安全策略、生成日志，驗證各子系統是否獨立維護各自的路由表、安全策略、日志系統；

3)為各子系統設置資源使用配額，驗證子系統是否不能使用超過配額的資源。

b)預期結果：

1)虛擬子系統能設置各自的管理員，實現針對本子系統的管理配置，不能配置管理其他子系統；

2)虛擬子系統獨立工作，各自維護路由表、安全策略、日志系統；

3)能對虛擬子系統分配資源使用配額。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.4.2 虛擬化部署

虛擬化部署的測評方法如下：

a)測評方法：

1)分別嘗試在VMware ESX i、KVM、Citrix Xen Server、Hyper-V等虛擬化平臺部署產品；

2)增加網絡流量、網絡連接數等負載，驗證虛擬化平臺是否能根據產品負載情況動態調整虛擬化產品數量；

3)模擬虛擬化產品發生故障，驗證其是否能自動更新、替換。

b)預期結果：

1)支持部署于虛擬化平臺中， 支持VMware ESX i、KVM、Citrix Xen Server或Hyper-V等虛擬化平臺中的一種；

2)能在虛擬化平臺上實現彈性伸縮，根據虛擬化產品的負載情況動態調整虛擬化產品數量；

3)能在虛擬化平臺上實現故障遷移，當虛擬化產品出現故障時實現自動更新、替換。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.5 IPv6 支持

7.2.1.5.1 支持 IPv6 網絡環境

支持IPv 6網絡環境的測評方法如下：

a)測評方法：

1)模擬IPv 6網絡環境， 驗證產品及其安全功能是否能在IPv 6網絡環境下正常工作；

2)模擬IPv 6網絡環境， 驗證產品是否支持在IPv 6網絡環境下實現自身管理。

b)預期結果：

1)產品支持在純IPv 6網絡環境下正常工作；

2)產品支持在IPv 6網絡環境下實現自身管理。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.5.2 協議一致性

協議一致性的測評方法如下：

a)測評方法：

1)在路由模式下， 使用協議一致性測試工具， 測試產品IPv 6核心協議一致性情況；

2)在路由模式下， 測試產品IPv6NDP協議一致性情況；

3)在路由模式下， 測試產品IPv6 Autoconfig協議一致性情況；

4)在路由模式下， 測試產品ICMP v 6協議一致性情況。

b)預期結果：

1)產品通過 IPv6 核心協議一致性測試；

2)產品通過 IPv6 NDP 協議一致性測試；

3)產品通過 IPv6 Autoconfig 協議一致性測試；

4)產品通過 ICMPv6 協議一致性測試。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.5.3 協議健壯性

協議健壯性的測評方法如下：

a)測評方法：

1)使用協議健壯性測試工具向產品發送IPv 6畸形報文， 驗證產品是否能正常運行；

2)向產品發送ICMP v 6畸形報文， 驗證產品是否能正常運行；

3)向產品發送TCPforIPv6 Server畸形報文， 驗證產品是否能正常運行。

b)預期結果：

產品能抵御 IPv6、ICMPv6、TCP for IPv6 Server 等畸形報文攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.1.5.4 支持 IPv6 過渡網絡環境

支持 IPv6 過渡網絡環境的測評方法如下：

a)測評方法：

1)在產品內網搭建 IPv6 網絡， 在產品外網搭建 IPv4 網絡， 驗證產品是否能通過 IPv4 和 IPv6 協議轉換的方式， 使 IPv6 內網正常訪問 IPv4 外網；

2)在兩臺產品內網搭建 IPv6 網絡， 在兩臺產品外網之間搭建 IPv6 over IPv4 隧道， 驗證兩臺產品的IPv 6內網是否能通過 IPv6 over IPv4 隧道正常通信； 在兩臺產品外網之間搭建IPv6 to IPv4 隧道， 驗證兩臺產品的 IPv6 內網是否能通過 IPv6 to IPv4 隧道正常通信； 在 IPv6 終端與產品之間搭建 ISATAP 隧道， 驗證 IPv6 終端是否能通過 ISATAP 隧道與產品通信。

b)預期結果：

1) IPv4 和IPv6 協議轉換環境下通信正常；

2) IPv6 over IPv4 隧道、IPv6 to IPv4 隧道、ISATAP 隧道中至少一種隧道環境通信正常。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2 網絡層控制

7.2.2.1 訪問控制

7.2.2.1.1 包過濾

包過濾的測評方法如下：

a)測評方法：

1)初始化產品的包過濾策略，在各區域主機之間進行互訪操作，檢查產品的缺省安全策略是否為禁止；

2)設置基于源IP地址、目的IP地址的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

3)設置基于源端口、目的端口的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

4)設置基于協議類型的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

5)設置基于MAC地址的訪問控制策略， 產生相應的網絡會話， 驗證策略是否生效；

6)設置基于時間的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

7)嘗試設置一條基于MAC地址、IP地址、端口、協議類型和時間的組合策略， 產生相應的網絡會話，驗證策略是否生效。

b)預期結果：

1)產品的缺省安全策略是禁止；

2)基于源IP地址、目的IP地址的訪問控制策略生效；

3)基于源端口、目的端口的訪問控制策略生效；

4)基于協議類型的訪問控制策略生效；

5)基于MAC地址的訪問控制策略生效；

6)基于時間的訪問控制策略生效；

7)基于MAC地址、IP地址、端口、協議類型和時間的組合策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.2 網絡地址轉換

網絡地址轉換的測評方法如下：

a)測評方法：

1)為內部網絡用戶訪問外部網絡主機配置SNAT策略， 在外網使用協議分析儀檢查內網主機訪問外網主機的源IP地址是否被轉換； 為外部網絡用戶訪問DMZ服務器設置DNAT策略， 檢查外部網絡的主機能否通過轉換后的地址訪問DMZ的服務器；

2)為內部網絡用戶訪問外部網絡主機配置“多對一”SNAT策略， 在外網使用協議分析儀檢查內網主機訪問外網主機的源IP地址是否被轉換，檢查是否是多個地址被轉換；

3)為外部網絡用戶訪問DMZ服務器設置“一對多”DNAT策略， 檢查外部網絡的主機能否通過轉換后的地址訪問DMZ的服務器， 檢查是否是多個地址被轉換；

4)為內部網絡用戶訪問外部網絡主機設置“多對多”SNAT策略， 在外網使用協議分析儀檢查內網主機訪問外網主機的源 IP 地址是否被轉換，檢查是否是多對多地址轉換。

b)預期結果：

1)產品支持SNAT和DNAT地址轉換；

2)產品支持“多對一”SNAT地址轉換；

3)產品支持“一對多”DNAT地址轉換；

4)產品支持“多對多”SNAT地址轉換。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.3 狀態檢測

狀態檢測的測評方法如下：

a)測評方法：

1)啟動產品狀態檢測模塊；

2)配置包過濾策略，允許特定條件的網絡會話通過產品；

3)產生滿足該策略的一個完整的網絡會話，驗證該會話是否能建立成功；

4)產生滿足該策略的網絡會話中的不是第一個連接請求SYN包的一個或多個數據包， 清除產品狀態檢測表后，驗證這些數據包是否被禁止。

b)預期結果：

1)產品依據狀態表進行訪問控制；

2)滿足包過濾策略的網絡會話能通過產品；

3)滿足包過濾策略的網絡會話中的不是第一個連接請求SYN包的一個或多個數據包不能通過產品。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.4 動態開放端口

動態開放端口的測評方法如下：

a)測評方法：

1)設置產品動態開放端口策略， 訪問FTP服務， 檢查產品是否能放行FTP數據連接所使用的動態端口，網絡會話是否連接正常；

2)設置產品動態開放端口策略， 使用支持H.323等音視頻協議的工具(如NetMeeting) 在內部網絡和外部網絡之間發起音視頻會議，檢查產品是否能放行所使用的動態端口，會議是

否正常進行。

b)預期結果：

1)FTP運行正常， FTP數據連接所使用的動態端口開放；

2)音視頻會議正常，H.323等音視頻協議所使用的動態端口開放。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.5 IP/MAC地址綁定

IP/MAC地址綁定的測評方法如下：

a)測評方法：

1)為產品設置IP/MAC地址綁定策略；

2)使用自動綁定或手工綁定功能將內部網絡中主機的IP與MAC地址綁定；

3)分別產生正確IP/MAC綁定的會話和盜用IP的會話， 檢查綁定的有效性。

b)預期結果：

1)IP/MAC地址能自動或手工綁定；

2)IP/MAC地址綁定后能正確執行安全策略， 發現IP盜用行為。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.2 流量管理

7.2.2.2.1 帶寬管理

帶寬管理的測評方法如下：

a)測評方法：

1)在產品設置基于源IP、目的IP、應用類型和時間段的流量策略，向產品發送匹配策略的流

量，并使流量逐漸增大，直到流量由策略允許范圍內達到超出策略范圍；

2)在產品設置基于源IP、目的IP、應用類型和時間段的保障帶寬策略，向產品發送匹配策略的流量，并使流量保持高于保障帶寬，再向產品發送其他流量，嘗試搶占上述流量使用的帶寬；

3)在產品設置總流量帶寬限制策略，并在其中設置一條特定流量的帶寬限制，分別在產品總流量帶寬占用率達到閾值前后，驗證上述特定流量帶寬策略是否自動啟停。

b)預期結果：

1)基于源IP、目的IP、應用類型和時間段的流量速率或總額策略生效；

2)基于源IP、目的IP、應用類型和時間段的保障帶寬策略生效；

3)在網絡空閑時自動解除流量限制，在帶寬占用率超過閾值時自動啟用流量限制。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.2.2 連接數控制

連接數控制的測評方法如下：

a)測評方法：

1)在產品針對某個IP設置TCP最大并發會話數， 在上述IP發起大量TCP連接， 使得上述IP的并發連接數超過設定值；

2)在產品針對某個IP設置TCP最大新建連接速率， 在上述IP發起大量TCP連接， 使得上述IP的新建連接速率超過設定值。

b)預期結果：

1)超過最大連接數的連接無法建立；

2)超過最大新建連接速率的連接無法建立。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.2.2.3 會話管理

會話管理的測評方法如下：

a)測評方法：

1)在產品設置會話超時時間；

2)經過產品建立會話連接，并不再對該會話進操作，直到達到超時時間，驗證上述會話是否被關閉。

b)預期結果：

1)產品能配置各協議的會話超時時間(或設置了默認值)；

2)已連接會話在非活躍時間達到超時時限后，連接被產品自動關閉。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3 應用層控制

7.2.3.1 用戶管控

用戶管控的測評方法如下：

a)測評方法：

1)在產品本地添加用戶，并設置基于本地用戶認證的網絡訪問策略，產生匹配策略的會話請求，驗證是否僅在用戶認證成功后，會話才能建立；

2)在產品配置Radius、LDAP等第三方認證服務器， 并設置基于第三方用戶認證的網絡訪問策略，產生匹配策略的會話請求，驗證是否僅在用戶認證成功后，會話才能建立。

b)預期結果：

1)產品支持基于本地用戶認證的網絡訪問控制功能；

2)產品支持基于第三方認證的網絡訪問控制功能。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3.2 應用類型控制

應用類型控制的測評方法如下：

a)測評方法：

1)在產品設置基于HTTP協議的訪問控制策略， 產生相應的網絡會話， 驗證策略是否生效；

2)在產品設置基于數據庫協議的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

3)在產品設置基于FTP、TELNET、SMTP、POP 3和IMAP等常見協議的訪問控制策略， 產生相應的網絡會話，驗證策略是否生效；

4)在產品設置基于即時聊天類、P2P類、網絡流媒體類、網絡游戲、股票交易類等應用的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

5)在產品設置基于逃逸或隧道加密特點的應用的訪問控制策略，產生相應的網絡會話，驗證策略是否生效；

6)在產品自定義應用，并設置基于自定義應用的訪問控制策略，產生相應的網絡會話，驗證策略是否生效。

b)預期結果：

1)基于HTTP協議的訪問控制策略生效；

2)基于數據庫協議的訪問控制策略生效；

3)基于FTP、TELNET、SMTP、POP 3和IMAP等常見協議的訪問控制策略生效；

4)基于即時聊天類、P2P類、網絡流媒體類、網絡游戲、股票交易類等應用的訪問控制策略生效；

5)基于逃逸或隧道加密特點的應用的訪問控制策略生效；

6)支持自定義應用，基于自定義應用的訪問控制策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3.3 應用內容控制

7.2.3.3.1 WEB應用

WEB應用的測評方法如下：

a)測評方法：

1)在產品設置基于URL網址訪問控制策略， 經過產品訪問相應URL， 驗證策略是否生效，并驗證是否具備分類網址庫；

2)在產品設置基于HTTP傳輸內容關鍵字的訪問控制策略， 經過產品訪問包含相應關鍵字的網頁，驗證策略是否生效；

3)在產品設置基于HTTP GET、POST、PUT、HEAD等請求方式的訪問控制策略， 經過產品發送HTTP GET、POST、PUT、HEAD等請求， 驗證策略是否生效；

4)在產品設置基于HTTP請求文件類型的訪問控制策略， 經過產品使用HTTP協議請求相應類型文件，驗證策略是否生效；

5)在產品設置基于HTTP協議中general-header、request-header、response-header等字段長度的訪問控制策略， 經過產品發送超出相應長度HTTP協議頭的數據包， 驗證策略是否生效；

6)在產品設置基于HTTP上傳文件類型的訪問控制策略， 經過產品使用HTTP協議上傳相應類型文件，驗證策略是否生效；

7)在產品設置基于HTTP請求頻率的訪問控制策略， 經過產品發送超過閾值的HTTP請求頻率，驗證策略是否生效；

8)在產品設置基于HTTP返回內容的訪問控制策略， 經過產品訪問相應內容的HTTP服務，驗證策略是否生效；

9)在產品設置基于HTTPS的訪問控制策略， 經過產品訪問上述內容， 驗證策略是否生效。

b)預期結果：

1)基于URL網址訪問控制策略生效；

2)基于HTTP傳輸內容關鍵字的訪問控制策略生效；

3)基于HTTP GET、POST、PUT、HEAD等請求方式的訪問控制策略生效；

4)設置基于HTTP請求文件類型的訪問控制策略生效；

5)基于HTTP協議中general-header、request-header、response-header等字段長度的訪問控制策略生效；

6)基于HTTP上傳文件類型的訪問控制策略生效；

7)基于HTTP請求頻率的訪問控制策略生效；

8)基于HTTP返回內容的訪問控制策略生效；

9)基于HTTPS的訪問控制策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3.3.2 數據庫應用

數據庫應用的測評方法如下：

a)測評方法：

1)在產品設置基于訪問數據庫應用程序、運維工具的訪問控制策略，經過產品使用上述程

序、運維工具訪問數據庫，驗證策略是否生效；

2)在產品設置基于數據庫用戶名、數據庫名、數據表名和數據字段名的訪問控制策略，經過

產品訪問上述數據庫用戶、數據庫、數據表和數據字段，驗證策略是否生效；

3)在產品設置基于SOL語句關鍵字、數據庫返回內容關鍵字的訪問控制策略， 經過產品執行包含上述SOL語句關鍵字、數據庫返回內容關鍵字的操作， 驗證策略是否生效；

4)在產品設置基于影響行數、返回行數的訪問控制策略，經過產品執行包含上述影響行數、返回行數的操作，驗證策略是否生效。

b)預期結果：

1)基于訪問數據庫應用程序、運維工具的訪問控制策略生效；

2)基于數據庫用戶名、數據庫名、數據表名和數據字段名的訪問控制策略生效；

3)基于SQL語句關鍵字、數據庫返回內容關鍵字的訪問控制策略生效；

4)基于影響行數、返回行數的訪問控制策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.3.3.3 其他應用

其他應用的測評方法如下：

a)測評方法：

1)在產品設置基于FTP、TELNET、SMTP、POP 3和IMAP等應用傳輸文件類型的訪問控制策略，經過產品通過上述協議傳輸上述類型文件，驗證策略是否生效；

2)在產品設置基于FTP、TELNET、SMTP、POP 3和IMAP等應用傳輸內容(協議命令或關鍵字)的訪問控制策略，經過產品通過上述協議傳輸相應內容，驗證策略是否生效。

b)預期結果：

1)基于FTP、TELNET、SMTP、POP 3和IMAP等應用傳輸文件類型的訪問控制策略生效；

2)基于FTP、TELNET、SMTP、POP 3和IMAP等應用傳輸內容的訪問控制策略生效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4 攻擊防護

7.2.4.1 拒絕服務攻擊防護

拒絕服務攻擊防護的測評方法如下：

a)測評方法：

1)在產品開啟拒絕服務攻擊防護策略， 使用網絡攻擊仿真器， 經產品發送ICMP Flood攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

2)經產品發送UDP Flood攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

3)經產品發送SYN Flood攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

4)經產品發送TearDrop攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

5)經產品發送Land攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

6)經產品發送Ping of Death攻擊流量(流量為產品接口速率的10%) ， 同時經產品建立正常的HTTP連接(新建連接速率為100個/s， 持續時間60s) ， 檢查拒絕服務攻擊包通過的比例， 以及正常HTTP連接成功建立的比例；

7)經產品發送CC攻擊流量，驗證產品是否支持識別并防御CC攻擊。

b)預期結果：

1)支持識別并防御ICMP Flood攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

2)支持識別并防御UDP Flood攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

3)支持識別并防御SYN Flood攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

4)支持識別并防御TearDrop攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

5)支持識別并防御Land攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

6)支持識別并防御Ping of Death攻擊， 且攻擊包通過的比例不大于5%、正常連接建立成功率不低于90%；

7)支持識別并防御CC攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.2 WEB攻擊防護

WEB攻擊防護的測評方法如下：

a)測評方法：

1)在產品針對目標WEB應用設置攻擊防護策略， 使用WEB攻擊仿真器， 經產品向目標WEB應用發起SOL注人攻擊， 驗證產品是否能識別并防御該類攻擊；

2)經產品向目標WEB應用發起XSS攻擊， 驗證產品是否能識別并防御該類攻擊；

3)經產品向目標WEB應用發起第三方組件漏洞攻擊， 驗證產品是否能識別并防御該類攻擊；

4)經產品向目標WEB應用發起目錄遍歷攻擊， 驗證產品是否能識別并防御該類攻擊；

5)經產品向目標WEB應用發起Cookie注人攻擊， 驗證產品是否能識別并防御該類攻擊；

6)經產品向目標WEB應用發起CSR F攻擊， 驗證產品是否能識別并防御該類攻擊；

7)經產品向目標WEB應用發起文件包含攻擊， 驗證產品是否能識別并防御該類攻擊；

8)經產品向目標WEB應用發起盜鏈攻擊， 驗證產品是否能識別并防御該類攻擊；

9)經產品向目標WEB應用發起OS命令注人攻擊， 驗證產品是否能識別并防御該類攻擊；

10)經產品向目標WEB應用發起WEBshell攻擊， 驗證產品是否能識別并防御該類攻擊；

11)經產品向目標Web應用發起反序列化攻擊， 驗證產品是否能識別并防御該類攻擊。

b)預期結果：

1)產品能識別并防御SQL注入攻擊；

2)產品能識別并防御XSS攻擊；

3)產品能識別并防御第三方組件漏洞攻擊；

4)產品能識別并防御目錄遍歷攻擊；

5)產品能識別并防御Cookie注入攻擊；

6)產品能識別并防御CSRF攻擊；

7)產品能識別并防御文件包含攻擊；

8)產品能識別并防御盜鏈攻擊；

9)產品能識別并防御OS命令注入攻擊；

10)產品能識別并防御WEBshell攻擊；

11)產品能識別并防御反序列化攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.3 數據庫攻擊防護

數據庫攻擊防護的測評方法如下：

a)測評方法：

1)在產品針對目標數據庫設置攻擊防護策略，使用數據庫攻擊仿真器，經產品向目標數據庫發起數據庫漏洞攻擊，驗證產品是否能識別并防御該類攻擊；

2)經產品向目標數據庫發起異常SOL語句攻擊， 驗證產品是否能識別并防御該類攻擊；

3)經產品向目標數據庫發起數據庫拖庫攻擊，驗證產品是否能識別并防御該類攻擊；

4)經產品向目標數據庫發起數據庫撞庫攻擊，驗證產品是否能識別并防御該類攻擊。

b)預期結果：

1)產品能識別并防御數據庫漏洞攻擊；

2)產品能識別并防御異常SOL語句攻擊；

3)產品能識別并防御數據庫拖庫攻擊；

4)產品能識別并防御數據庫撞庫攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.4 惡意代碼防護

惡意代碼防護的測評方法如下：

a)測評方法：

1)在產品開啟惡意代碼防護策略，經產品向目標網絡或對象發起木馬攻擊，驗證產品是否能檢測并攔截惡意代碼；

2)在產品開啟惡意代碼防護策略， 使用HTTP網頁下載、電子郵件收發等方式經產品傳播惡意代碼，驗證產品是否能檢測并攔截惡意代碼。

b)預期結果：

1)產品能檢測并攔截木馬行為；

2)產品能檢測并攔截HTTP網頁和電子郵件中攜帶的惡意代碼。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.5 其他應用攻擊防護

其他應用攻擊防護的測評方法如下：

a)測評方法：

1)在產品開啟相應的應用攻擊防護策略，使用應用攻擊仿真器，經產品向目標網絡或對象發起操作系統類常見CVE漏洞攻擊， 驗證產品是否能識別并防御該類應用攻擊；

2)經產品向目標網絡或對象發起中間件類常見CVE漏洞攻擊， 驗證產品是否能識別并防御類應用攻擊；

3)經產品向目標網絡或對象發起控件類常見CVE漏洞攻擊， 驗證產品是否能識別并防御該類應用攻擊。

b)預期結果：

1)產品能識別并防御操作系統類漏洞攻擊；

2)產品能識別并防御中間件類漏洞攻擊；

3)產品能識別并防御控件類漏洞攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.6 自動化工具威脅防護

自動化工具威脅防護的測評方法如下：

a)測評方法：

1)在產品開啟自動化工具威脅防護策略，使用網絡掃描測試儀，經產品發起網絡掃描自動化

攻擊，驗證產品是否能識別并防御該類自動化工具威脅；

2)使用應用掃描測試儀，經產品發起應用掃描自動化攻擊，驗證產品是否能識別并防御該類自動化工具威脅；

3)使用漏洞利用攻擊仿真器，經產品發起漏洞利用自動化攻擊，驗證產品是否能識別并防御該類自動化工具威脅。

b)預期結果：

1)產品能識別并防御網絡掃描行為；

2)產品能識別并防御應用掃描行為；

3)產品能識別并防御漏洞利用攻擊。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.7 攻擊逃逸防護

攻擊逃逸防護的測評方法如下：

a)測評方法：

1)在產品開啟攻擊防護策略；

2)使用攻擊仿真器，經產品發起經混淆、編碼轉換等逃逸技術處理過的攻擊；

3)驗證產品是否能檢測并阻斷以上攻擊行為。

b)預期結果：

產品能檢測并阻斷經逃逸技術處理過的攻擊行為。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.4.8 外部系統協同防護

外部系統協同防護的測評方法如下：

a)測評方法：

查看產品是否提供接口說明，驗證是否支持與其他網絡安全產品進行聯動。

b)預期結果：

提供接口，支持與其他網絡安全產品進行聯動。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5 安全審計、告警與統計

#####7.2.5.1 安全審計

安全審計的測評方法如下：

a)測評方法：

1)驗證產品是否記錄以下事件類型的日志：

— 被產品安全策略匹配的訪問請求；

— 檢測到的攻擊行為。

2)驗證日志內容是否包括：

— 事件發生的日期和時間；

— 事件發生的主體、客體和描述，其中數據包日志包括協議類型、源地址、目標地址、源端口和目標端口等；

— 攻擊事件的描述。

3)驗證產品是否支持日志管理功能：

— 驗證日志是否僅允許授權管理員訪問，并提供日志查閱、導出等功能；

— 驗證產品是否能按日期、時間、主體、客體等條件查詢審計事件；

— 驗證日志是否存儲于掉電非易失性存儲介質中；

— 驗證日志存儲周期是否設定為不小于六個月；

— 驗證日志存儲空間達到閾值時，是否能通知授權管理員，并確保審計功能的正常運行；

— 驗證日志是否支持自動化備份至其他存儲設備。

b)預期結果：

1)產品能記錄被產品安全策略匹配的訪問請求和檢測到的攻擊行為；

2)日志記錄包含：事件發生的日期和時間，事件發生的主體、客體和描述，數據包日志的協議類型、源地址、目標地址、源端口和目標端口，攻擊事件的描述；

3)產品僅允許授權管理員訪問，提供日志查閱、導出等功能；提供按日期、時間、主體、客體等條件進行查詢審計事件的功能；日志存儲于掉電非易失性存儲介質中，日志存儲周期設定為不小于六個月；存儲空間達到閾值時，能通知授權管理員；日志支持自動化備份至其他存儲設備。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5.2 安全告警

安全告警的測評方法如下：

a)測評方法：

1)使用各類攻擊仿真器分別產生6.1.4中的攻擊事件；

2)驗證產品是否能對攻擊告警，是否能對高頻發生的相同事件合并告警；

3)驗證告警信息是否包含事件主體、事件客體、事件描述、危害級別、事件發生的日期和時間。

b)預期結果：

1)產品能對攻擊事件產生告警，并能將高頻攻擊事件合并告警；

2)產品告警信息內容包含事件主體、事件客體、事件描述、危害級別、事件發生的日期和時間。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5.3 統計

7.2.5.3.1 網絡流量統計

網絡流量統計的測評方法如下：

a)測評方法：

1)在不同時間段向產品發送包含多個IP地址、多種協議的混合流量，嘗試按IP地址、時間段和協議類型等條件或以上條件組合對網絡流量進行統計；

2)驗證是否能實時或者以報表形式輸出統計結果。

b)預期結果：

1)產品能按IP地址、時間段和協議類型等條件或以上條件組合對網絡流量進行統計；

2)產品能實時或者以報表形式輸出統計結果。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5.3.2 應用流量統計

應用流量統計的測評方法如下：

a)測評方法：

1)在不同時間段向產品發送包含多個IP地址、多種應用的混合流量，嘗試按IP地址、時間段和協議類型等條件或以上條件組合對應用流量進行統計；

2)驗證是否能以報表形式輸出統計結果；

3)驗證是否支持不同時間段統計結果對比。

b)預期結果：

1)產品能按IP地址、時間段和應用類型等條件或以上條件組合對應用流量進行統計；

2)產品能以報表形式輸出統計結果；

3)支持不同時間段統計結果的比對。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

7.2.5.3.3 攻擊事件統計

攻擊事件統計的測評方法如下：

a)測評方法：

1)在不同時間段向產品發送包含多個IP地址、多種攻擊的混合流量，嘗試按攻擊事件類型、IP地址和時間段等條件或以上條件組合對攻擊事件進行統計；

2)驗證是否能以報表形式輸出統計結果。

b)預期結果：

1)產品能按照攻擊事件類型、IP地址和時間段等條件或以上條件組合對攻擊事件進行統計；

2)產品能以報表形式輸出統計結果。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。