ICS點(diǎn)擊此處添加ICS號

CCS點(diǎn)擊此處添加CCS號

GXBD

團(tuán)體標(biāo)準(zhǔn)

T/GXBDXXXX—2024

信息技術(shù)應(yīng)用創(chuàng)新

網(wǎng)絡(luò)型防火墻測試方法

Informationtechnologyapplicationinnovation－

Testmethodsfornetwork-basedfirewall

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

2024-XX-XX發(fā)布2024-XX-XX實施

廣西大數(shù)據(jù)學(xué)會??發(fā)布

T/GXBDXXXX—2024

信息技術(shù)應(yīng)用創(chuàng)新

網(wǎng)絡(luò)型防火墻測試方法

1范圍

本文件規(guī)定了符合T/GXBD002—2024《信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)型防火墻》要求的網(wǎng)絡(luò)型防火墻的

測試方法。

本文件適用于符合T/GXBD002—2024《信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)型防火墻》要求的網(wǎng)絡(luò)型防火墻的

適配測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20281信息安全技術(shù)防火墻安全技術(shù)要求和測試評價方法

GB/T25069信息安全技術(shù)術(shù)語

T/GXBD002—2024信息技術(shù)應(yīng)用創(chuàng)新網(wǎng)絡(luò)型防火墻技術(shù)要求

3術(shù)語和定義

GB/T25069、GB/T20281界定的術(shù)語和定義適用于本文件。

防火墻firewall

是指對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，并實現(xiàn)訪問控制及安全防護(hù)功能的網(wǎng)絡(luò)安全產(chǎn)品。

注：根據(jù)安全目的、實現(xiàn)原理的不同，通?？煞譃榫W(wǎng)絡(luò)型防火墻、WEB應(yīng)用防火墻、數(shù)據(jù)庫防火墻和主機(jī)型防火墻

等。[來源：GB/T20281,3.1]

網(wǎng)絡(luò)型防火墻network—basedfirewall

部署于不同安全域之間，對經(jīng)過的數(shù)據(jù)流進(jìn)行解析，具備網(wǎng)絡(luò)層、應(yīng)用層訪問控制及安全防護(hù)的網(wǎng)

絡(luò)安全產(chǎn)品。

信息技術(shù)應(yīng)用創(chuàng)新Informationtechnologyapplicationinnovation

依靠國家可掌控的研發(fā)和生產(chǎn)條件，主導(dǎo)核心技術(shù)及產(chǎn)品研發(fā)、生產(chǎn)、發(fā)展全過程的活動。

適配adaptation

將兩個或多個不同的系統(tǒng)、設(shè)備或組件進(jìn)行連接，使其能夠一起正常協(xié)同工作的一系列活動。

4縮略語

SOC：安全運(yùn)營中心。

5規(guī)格要求測試方法

CPU

5.1.1測試方法

1

T/GXBDXXXX—2024

通過WEB管理界面的系統(tǒng)信息或CLI界面執(zhí)行命令查看產(chǎn)品所使用的CPU。

5.1.2預(yù)期結(jié)果

產(chǎn)品使用的CPU符合信息技術(shù)應(yīng)用創(chuàng)新的要求。

5.1.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

操作系統(tǒng)

5.2.1測試方法

通過WEB管理界面的系統(tǒng)信息或CLI界面執(zhí)行命令查看產(chǎn)品所使用的系統(tǒng)。

5.2.2預(yù)期結(jié)果

產(chǎn)品使用的操作系統(tǒng)符合信息技術(shù)應(yīng)用創(chuàng)新的要求。

5.2.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

內(nèi)存

5.3.1測試方法

通過WEB管理界面的系統(tǒng)狀態(tài)或CLI界面執(zhí)行命令查看內(nèi)存的容量。

5.3.2預(yù)期結(jié)果

產(chǎn)品的內(nèi)存容量不小于8GB。

5.3.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

接口

5.4.1測試方法

測試方法如下：

a)通過WEB管理界面的網(wǎng)絡(luò)接口或CLI界面執(zhí)行命令查看接口數(shù)量及相關(guān)信息；

b)通過查看產(chǎn)品面板上的業(yè)務(wù)接口數(shù)量、面板是否有接口板卡擴(kuò)展槽。

5.4.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品面板上的業(yè)務(wù)接口數(shù)量不少于4個；

b)產(chǎn)品面板上存在接口板卡擴(kuò)展槽。

5.4.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6功能要求測試方法

通用要求

應(yīng)包括：

——GB/T20281提出的功能要求按照GB/T20281規(guī)定的測試方法進(jìn)行測試。

——T/GXBD002—2024提出的每一項應(yīng)具備的功能要求應(yīng)經(jīng)測試用例測試，宜具備的功能要求宜

經(jīng)測試用例測試。

2

T/GXBDXXXX—2024

組網(wǎng)與部署

6.2.1路由

鏈路聚合

.1測試方法

測試方法如下：

a)環(huán)境搭建：使用防火墻、交換機(jī)、終端設(shè)備等設(shè)備搭建測試環(huán)境，確保所有設(shè)備物理連接正

確；

b)聚合配置：在防火墻、交換機(jī)上配置鏈路聚合，包括創(chuàng)建聚合口、將物理口加入聚合口、VLAN

和IP地址、檢查接口模式/速率/雙工模式等；

c)策略配置：配置防火墻安全策略，確保通過聚合鏈路上的流量能夠被正確轉(zhuǎn)發(fā)；

d)PING測試：從聚合鏈路的一端向另一端發(fā)送Ping請求，檢查聚合鏈路的連通性；

e)發(fā)送大包測試：通過發(fā)送大數(shù)據(jù)包來測試鏈路的穩(wěn)定性和帶寬利用率；

f)保持PING狀態(tài)或數(shù)據(jù)包發(fā)送狀態(tài)，模擬聚合鏈路中某個成員接口故障（拔掉網(wǎng)線、關(guān)閉接口），

檢查聚合鏈路是否能夠自動切換到其他成員口進(jìn)行流量轉(zhuǎn)發(fā)，同時檢查數(shù)據(jù)轉(zhuǎn)發(fā)丟包情況。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)設(shè)備支持鏈路聚合功能，鏈路聚合模式下，安全策略生效；

b)斷開鏈路聚合組中任一接口成員后，聚合鏈路仍可正常轉(zhuǎn)發(fā)數(shù)據(jù)，不丟包或丟包數(shù)在允許接

受范圍內(nèi)。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

鏈路探測

.1測試方法

測試方法如下：

a)BFD雙向轉(zhuǎn)發(fā)檢測：

1)配置BFD會話：在防火墻與其他需要檢測鏈路狀態(tài)的網(wǎng)絡(luò)設(shè)備配置BDF會話（指定對端

IP地址、BFD控制報文發(fā)送間隔、接收間隔）；

2)發(fā)送BFD報文：BFD會話建立后，雙方設(shè)備相互發(fā)送BFD控制報文；

3)檢測鏈路狀態(tài)：模擬鏈路故障（拔掉網(wǎng)線、關(guān)閉接口）、恢復(fù)鏈路故障，檢查BFD是否

正常監(jiān)測、記錄鏈路狀態(tài)。

b)NQA網(wǎng)絡(luò)質(zhì)量分析：

1)配置NQA任務(wù)：在防火墻上配置NQA任務(wù)，指定測試類型（ICMP、TCP、UDP）、目標(biāo)地

址、測試頻率等參數(shù)；

2)發(fā)送NQA報文：啟動NQA任務(wù)，按照配置發(fā)送測試報文（ICMP回顯請求、TCP連接請求

等）；

3)檢測鏈路狀態(tài)：模擬鏈路故障（拔掉網(wǎng)線、關(guān)閉接口）、恢復(fù)鏈路故障，檢查NQA是否

正常監(jiān)測、記錄鏈路狀態(tài)。

c)IP—Link鏈路檢測：

1)配置IP—Link規(guī)則：在防火墻設(shè)備上配置IP—Link檢測規(guī)則，指定要檢測的目的IP地

址、檢測頻率、超時時間等參數(shù)；

2)發(fā)送探測報文：配置完成規(guī)則后，防火墻周期性地向指定目標(biāo)IP地址發(fā)送探測報文（ICMP

請求或ARP請求）；

3)檢測鏈路狀態(tài)：模擬鏈路故障（拔掉網(wǎng)線、關(guān)閉接口）、恢復(fù)鏈路故障，檢查IP—Link

是否正常監(jiān)測、記錄鏈路狀態(tài)。

3

T/GXBDXXXX—2024

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)設(shè)備支持BFD功能，可根據(jù)鏈路狀態(tài)正常記錄、反饋探測結(jié)果；

b)設(shè)備支持NQA功能，可根據(jù)鏈路狀態(tài)正常記錄、反饋探測結(jié)果；

c)設(shè)備支持IP—Link功能，可根據(jù)鏈路狀態(tài)正常記錄、反饋探測結(jié)果。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.2.2設(shè)備虛擬化

虛擬系統(tǒng)

.1測試方法

測試方法如下：

a)使用虛擬子系統(tǒng)管理員賬號登錄系統(tǒng)；

b)在虛擬子系統(tǒng)中配置路由、安全策略、NAT策略、開啟日志記錄功能，發(fā)起網(wǎng)絡(luò)會話，并查看

虛擬子系統(tǒng)的路由、安全策略、NAT策略命中情況；

c)在虛擬子系統(tǒng)中將會話數(shù)或安全策略數(shù)設(shè)置特定閾值，產(chǎn)生超過閾值的會話數(shù)或安全策略數(shù)，

驗證系統(tǒng)是否會提示相關(guān)資源使用超過配額限制；

d)在虛擬子系統(tǒng)中配置病毒防護(hù)、漏洞利用防護(hù)、URL過濾、文件過濾、內(nèi)容過濾安全功能，產(chǎn)

生相應(yīng)的網(wǎng)絡(luò)會話。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)虛擬子系統(tǒng)管理員能夠?qū)μ摂M子系統(tǒng)進(jìn)行管理配置；

b)虛擬子系統(tǒng)能夠配置獨(dú)立的路由表與安全策略，并能夠記錄相關(guān)日志；

c)虛擬子系統(tǒng)能夠限制會話或安全策略的數(shù)量；

d)虛擬子系統(tǒng)中能夠配置病毒防護(hù)、漏洞利用防護(hù)、URL過濾、文件過濾、內(nèi)容過濾安全功能，

并且能夠正常生效。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.2.3IPv6支持

安全策略

.1測試方法

模擬IPv6網(wǎng)絡(luò)環(huán)境，驗證產(chǎn)品的安全策略是否能在IPv6網(wǎng)絡(luò)環(huán)境下正常生效。

.2預(yù)期結(jié)果

產(chǎn)品在IPv6網(wǎng)絡(luò)環(huán)境下安全策略能正常生效。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

網(wǎng)絡(luò)層控制

6.3.1訪問控制

包過濾

.1測試方法

4

T/GXBDXXXX—2024

測試方法如下：

a)設(shè)置基于安全域的安全策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會話，驗證策略是否生效；

b)設(shè)置基于用戶身份的安全策略，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會話，驗證策略是否生效；

c)設(shè)置一條基于安全域、IP地址、端口、協(xié)議類型、時間和用戶身份的組合安全策略，產(chǎn)生相

應(yīng)的網(wǎng)絡(luò)會話，驗證策略是否生效；

d)設(shè)置兩條具有包含關(guān)系的安全策略（如策略1為寬泛策略，策略2為明細(xì)策略，策略1位于

策略2之前），執(zhí)行策略冗余分析，驗證設(shè)備是否能夠檢測出策略2被策略1遮蓋；

e)查看策略命中情況。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)安全策略正常生效；

b)安全策略正常生效；

c)安全策略正常生效；

d)設(shè)備能夠分析、識別出冗余策略，以便進(jìn)行策略優(yōu)化；

e)能夠查看策略命中情況。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

動態(tài)開放端口

.1測試方法

測試方法如下：

a)設(shè)置產(chǎn)品動態(tài)開放端口策略，使用支持SQLNET協(xié)議的工具在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間發(fā)起連

接，檢查產(chǎn)品是否能放行連接所使用的動態(tài)端口，網(wǎng)絡(luò)會話是否連接正常；

b)設(shè)置產(chǎn)品動態(tài)開放端口策略，使用支持SIP協(xié)議的工具在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間發(fā)起會話，

檢查產(chǎn)品是否能放行連接所使用的動態(tài)端口，網(wǎng)絡(luò)會話是否連接正常。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)工具運(yùn)行正常，SQLNET協(xié)議連接所使用的動態(tài)端口開放；

b)工具運(yùn)行正常，SIP協(xié)議連接所使用的動態(tài)端口開放。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

黑名單

.1測試方法

測試方法如下：

a)明確需要加入黑名單的IP地址、IP段或域名；

b)在防火墻管理界面或命令行界面中，將定義好的IP地址、IP地址段或域名地址添加到黑名單

配置中；

c)發(fā)起包含上述黑名單IP地址、IP地址段或域名的網(wǎng)絡(luò)會話，驗證防火墻黑名單功能是否生效。

.2預(yù)期結(jié)果

匹配黑名單的會話將被丟棄或阻止。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

5

T/GXBDXXXX—2024

白名單

.1測試方法

測試方法如下：

a)明確需要加入白名單的IP地址或IP段；

b)在防火墻管理界面或命令行界面中，將定義好的IP地址或IP地址段添加到白名單配置中；

c)發(fā)起包含上述白名單IP地址或IP地址段的網(wǎng)絡(luò)會話，驗證防火墻白名單功能是否生效。

.2預(yù)期結(jié)果

匹配白名單的會話將被正常轉(zhuǎn)發(fā)。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

連接數(shù)控制

.1測試方法

測試方法如下：

a)將產(chǎn)品的所有IP并發(fā)數(shù)設(shè)置閾值，產(chǎn)生超過閾值的并發(fā)連接數(shù)，驗證防火墻是否會進(jìn)行限制；

b)將產(chǎn)品的所有IP新建數(shù)設(shè)置閾值，產(chǎn)生超過閾值的新建連接數(shù)，驗證防火墻是否會進(jìn)行限制。

.2預(yù)期結(jié)果

a)產(chǎn)品能夠限制并發(fā)連接數(shù)的數(shù)量；

b)產(chǎn)品能夠限制新建連接數(shù)的數(shù)量。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

應(yīng)用層控制

6.4.1應(yīng)用內(nèi)容控制

應(yīng)用文件過濾

.1測試方法

測試方法如下：

a)設(shè)置文件過濾策略，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸Windows、Linux系統(tǒng)常見文件類型文件，

如文本文件、流式文件、版式文件、網(wǎng)頁文件、二進(jìn)制數(shù)據(jù)文件等；

b)設(shè)置文件過濾策略，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸可執(zhí)行文件、壓縮文件、圖片文件、視

頻文件；

c)設(shè)置文件過濾策略，使用標(biāo)準(zhǔn)協(xié)議等特定應(yīng)用程序，如FTP、SMTP、HTTP、HTTPS等，在內(nèi)部

網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸文件；

d)設(shè)置文件過濾策略，設(shè)置需要過濾的傳輸方向，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸文件。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠?qū)indows、Linux系統(tǒng)常見文件類型文件進(jìn)行過濾；

b)產(chǎn)品能夠?qū)蓤?zhí)行文件、壓縮文件、圖片文件、視頻文件進(jìn)行過濾；

c)產(chǎn)品能夠?qū)κ褂脴?biāo)準(zhǔn)協(xié)議等特定應(yīng)用程序傳輸?shù)奈募M(jìn)行過濾；

d)產(chǎn)品能夠只針對設(shè)置過濾方向上的文件進(jìn)行過濾。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6

T/GXBDXXXX—2024

文件內(nèi)容過濾

.1測試方法

測試方法如下：

a)設(shè)置文件內(nèi)容過濾策略，分別上傳包含和不包含內(nèi)容過濾策略中敏感字的html、doc、docx、

xls、xlsx、ppt、pptx文件；

b)設(shè)置文件內(nèi)容過濾策略，分別下載包含和不包含內(nèi)容過濾策略中敏感字的html、doc、docx、

xls、xlsx、ppt、pptx文件。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠識別出包含內(nèi)容過濾策略中敏感字的html、doc、docx、xls、xlsx、ppt、pptx文

件，并進(jìn)行記錄；

b)產(chǎn)品能夠識別出包含內(nèi)容過濾策略中敏感字的html、doc、docx、xls、xlsx、ppt、pptx文

件，并進(jìn)行記錄。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

文件類型識別

.1測試方法

設(shè)置文件過濾策略，更改指定格式文件的擴(kuò)展名，如將zip類型文件擴(kuò)展名更改成docx，在內(nèi)部網(wǎng)

絡(luò)和外部網(wǎng)絡(luò)之間傳輸該文件。

.2預(yù)期結(jié)果

產(chǎn)品能夠識別出該文件，并進(jìn)行記錄。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

攻擊防護(hù)

6.5.1拒絕服務(wù)攻擊防護(hù)

測試方法

測試方法如下：

a)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬DNSFlood泛洪類攻擊；

b)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬FragFlood攻擊；

c)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬TCP異常攻擊；

d)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬Smurf攻擊；

e)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬Winnuke攻擊；

f)設(shè)置產(chǎn)品安全策略，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間模擬超大ICMP數(shù)據(jù)攻擊。

預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠?qū)NSFlood泛洪類攻擊進(jìn)行防護(hù)；

b)產(chǎn)品能夠?qū)ragFlood攻擊進(jìn)行防護(hù)；

c)產(chǎn)品能夠?qū)CP異常攻擊進(jìn)行防護(hù)；

d)產(chǎn)品能夠?qū)murf攻擊進(jìn)行防護(hù)；

e)產(chǎn)品能夠?qū)innuke攻擊進(jìn)行防護(hù)；

f)產(chǎn)品能夠?qū)Τ驣CMP數(shù)據(jù)攻擊進(jìn)行防護(hù)。

7

T/GXBDXXXX—2024

結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.5.2WEB攻擊防護(hù)

測試方法

測試方法如下：

a)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的WEB應(yīng)用系統(tǒng)模擬緩沖區(qū)溢出攻擊；

b)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的WEB應(yīng)用系統(tǒng)進(jìn)行惡意掃描；

c)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)利用已知漏洞模擬對內(nèi)部網(wǎng)絡(luò)的WEB應(yīng)用系統(tǒng)攻擊。

預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠?qū)彌_區(qū)溢出攻擊進(jìn)行防護(hù)；

b)產(chǎn)品能夠?qū)阂鈷呙柽M(jìn)行防護(hù)；

c)產(chǎn)品能夠?qū)σ阎┒垂暨M(jìn)行防護(hù)。

結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.5.3惡意代碼防護(hù)

測試方法

測試方法如下：

a)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間使用HTTP、FTP、POP3、SMTP協(xié)議傳輸惡意

代碼；

b)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間使用郵件傳輸惡意代碼；

c)設(shè)置產(chǎn)品安全策略，在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間傳輸包含有惡意代碼的多層級壓縮文件；

d)設(shè)置產(chǎn)品安全策略，從內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)中帶有惡意代碼的網(wǎng)站。

預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠識別出使用HTTP、FTP、POP3、SMTP協(xié)議傳輸?shù)膼阂獯a；

b)產(chǎn)品能夠識別出使用郵件傳輸?shù)膼阂獯a；

c)產(chǎn)品能夠識別出多層級壓縮文件里的惡意代碼；

d)產(chǎn)品能夠識別出網(wǎng)站中的惡意代碼。

結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.5.4外部系統(tǒng)協(xié)同防護(hù)

測試方法

測試方法如下：

a)使產(chǎn)品本地威脅情報庫版本低于云端威脅情報庫版本，產(chǎn)品配置與云端連接；

b)產(chǎn)品配置與態(tài)勢感知或SOC平臺連接，模擬產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會話；

c)產(chǎn)品配置與沙箱連接，模擬產(chǎn)生相應(yīng)的網(wǎng)絡(luò)會話；

d)產(chǎn)品配置與第三方管理平臺連接。

預(yù)期結(jié)果

預(yù)期結(jié)果如下：

8

T/GXBDXXXX—2024

a)產(chǎn)品能夠連接云端，并從云端威脅情報下載新版本的威脅情報庫至本地；

b)產(chǎn)品能夠連接態(tài)勢感知或SOC平臺，將數(shù)據(jù)包發(fā)送至態(tài)勢感知或SOC平臺，接收態(tài)勢感知或

SOC平臺的處置策略；

c)產(chǎn)品能夠連接本地沙箱，并將流量中的文件上傳至沙箱，接收沙箱的掃描結(jié)果；

d)產(chǎn)品能夠連接第三方管理平臺，并能夠通過第三方管理平臺進(jìn)行管理。

結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.5.5抗?jié)B透防護(hù)

測試方法

測試方法如下：

a)模擬進(jìn)行端口掃描攻擊；

b)模擬進(jìn)行碎片包攻擊；

c)模擬進(jìn)行無效數(shù)據(jù)攻擊；

d)模擬進(jìn)行數(shù)據(jù)異常攻擊。

預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)能夠?qū)Χ丝趻呙韫暨M(jìn)行防護(hù)；

b)能夠?qū)λ槠暨M(jìn)行防護(hù)；

c)能夠?qū)o效數(shù)據(jù)進(jìn)行驗證；

d)能夠?qū)?shù)據(jù)異常進(jìn)行錯誤檢查。

結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

安全審計、告警與統(tǒng)計

6.6.1安全審計

日志管理

.1測試方法

測試方法如下：

a)產(chǎn)品設(shè)置存儲空間報警閾值，設(shè)置達(dá)到閾值時的通知方式為日志、郵件、彈框、聲音中的一

種，設(shè)置產(chǎn)品處理機(jī)制為覆蓋、停止記錄、轉(zhuǎn)存中的一種，使產(chǎn)品存儲空間達(dá)到報警閾值；

b)產(chǎn)生不同類型和級別的攻擊網(wǎng)絡(luò)會話，查看產(chǎn)品日志；

c)使產(chǎn)品記錄各類安全日志，并查看安全日志。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠使用日志、郵件、彈框、聲音中的一種作為通知方式，并能夠正常使用設(shè)置的通知

方式進(jìn)行通知，能夠使用覆蓋、停止記錄、轉(zhuǎn)存中的一種作為處理機(jī)制，并能夠正常使用設(shè)

置的處理機(jī)制進(jìn)行處理；

b)產(chǎn)品能夠記錄攻擊事件，并進(jìn)行分類、分級顯示；

c)產(chǎn)品能夠基于時間、日志類型、IP、用戶、動作、嚴(yán)重等級等維度對安全日志進(jìn)行查詢。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.6.2告警

9

T/GXBDXXXX—2024

告警方式

.1測試方法

產(chǎn)品設(shè)置產(chǎn)生告警時告警方式為日志、郵件、電話、短信、微信、頁面提示、聲音播報中的一種，

使產(chǎn)品產(chǎn)生告警。

.2預(yù)期結(jié)果

產(chǎn)品能夠使用日志、郵件、電話、短信、微信、頁面提示、聲音播報中的一種作為告警方式，并能

夠正常使用設(shè)置的告警方式進(jìn)行告警。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

6.6.3統(tǒng)計

接口流量統(tǒng)計

.1測試方法

測試方法如下：

a)在產(chǎn)品上查看接口實時流量情況；

b)在產(chǎn)品上查看歷史流量統(tǒng)計情況。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)產(chǎn)品能夠查看接口實時流量情況；

b)產(chǎn)品能夠查看歷史流量統(tǒng)計情況。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

接口丟包統(tǒng)計

.1測試方法

模擬丟包場景，查看產(chǎn)品數(shù)據(jù)包丟包統(tǒng)計情況。

.2預(yù)期結(jié)果

產(chǎn)品能夠?qū)?shù)據(jù)包丟包數(shù)進(jìn)行統(tǒng)計。

.3結(jié)果判定

實際測評結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

報表分析統(tǒng)計

.1測試方法

測試方法如下：

a)在報表菜單生成流量相關(guān)的報表；

b)在報表菜單生成安全風(fēng)險相關(guān)的報表；

c)在報表菜單中根據(jù)時間段生成流量報表、安全風(fēng)險報表。

.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)能夠生成流量報表；

b)能夠生成安全風(fēng)險報表；

10

T/GXBDXXXX—2024

c)能夠生成某一時間段的流量報表、安全風(fēng)險報表。

.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

故障診斷

6.7.1測試方法

測試方法如下：

a)通過SSH或HTTPS協(xié)議登錄設(shè)備，執(zhí)行pingx.x.x.x命令，進(jìn)行ping功能測試；

b)通過SSH或HTTPS協(xié)議登錄設(shè)備，執(zhí)行tracerx.x.x.x命令，進(jìn)行tracer功能測試；

c)通過SSH或HTTPS協(xié)議登錄設(shè)備，使用抓包工具進(jìn)行抓包；

d)通過SSH或HTTPS協(xié)議登錄設(shè)備，使用debug工具進(jìn)行調(diào)試測試。

6.7.2預(yù)期結(jié)果

預(yù)期結(jié)果如下：

a)ping命令工具功能正常；

b)trace命令工具功能正常；

c)抓包工具功能正常；

d)debug工具功能正常。

6.7.3結(jié)果判定

實際結(jié)果與預(yù)期結(jié)果一致，則測試結(jié)果判定為通過，否則判定為不通過。

7安全要求測試方法

通用要求

應(yīng)包括：

——GB/T20281提出的安全要求按照GB/T20281規(guī)定的測試方法進(jìn)行測試；

——T/GXBD002—2024提出的每一項應(yīng)具備的安全要求應(yīng)經(jīng)測試用例測試，宜具備的安全要求宜

經(jīng)測試用例測試。

管理方式

7.2.1測試方