测试方案（示例）.docx

PAGE

PAGEii

WAF功能测试方案

2023年10月

PAGEi

目录

TOC\o1-2\h\z\u1 测试基本情况 1

1.1 测试时间 1

1.2 测试地点 1

1.3 测试参与人员 1

1.4 测试拓扑图 1

1.5 环境确认 2

2 标准测试用例 1

2.1 基本攻击防护功能测试 1

2.2 双机热备功能 3

2.3 日志报表功能 3

2.4 性能测试 6

3 记录审核单 1

第PAGE1页共47页

测试基本情况

本次测试由XXXXX对XX公司的XXXX进行测试。

测试时间

测试时间：2023年10月

测试地点

XXXXX

测试参与人员

测试实施方：

被测方：

测试拓扑图

测试拓扑图

环境确认

被测方签字

测试方签字

日期

日期

标准测试用例

基本攻击防护功能测试

支持透明模式、代理模式、旁路模式和反向代理模式等部署方式

测试项目

支持透明模式、代理模式、旁路模式和反向代理模式等部署方式

测试项目描述

支持透明模式、代理模式、旁路模式和反向代理模式等部署方式

预置条件

WAF上添加被保护服务web站点。

测试步骤

以管理员身份登录WAF，查看设备支持部署模式。

预期结果

支持透明模式、代理模式、旁路模式和反向代理模式等部署方式

测试结果

支持透明模式、代理模式、旁路模式和反向代理模式等部署方式

测试结论

?通过?部分通过?未通过?未测试

结果确认

被测方签字

测试方签字

日期

日期

支持IPv4和IPv6双协议流量过滤

测试项目

支支持IPv4和IPv6双协议流量过滤

测试项目描述

支持IPv4和IPv6双协议流量过滤

预置条件

WAF上添加被保护服务web站点。

测试步骤

以管理员身份登录WAF，配置IPv4和IPv6防护站点

预期结果

支支持IPv4和IPv6双协议流量过滤

测试结果

支支持IPv4和IPv6双协议流量过滤

测试结论

?通过?部分通过?未通过?未测试

结果确认

被测方签字

测试方签字

日期

日期

2.1.3支持HTTP和HTTPS协议合法性进行验证，支持对HTTP0.9/1.0/1.1协议过滤，提供HTTP协议详细字段分析能力和防护功能。

测试项目

支持HTTP和HTTPS协议合法性进行验证，支持对HTTP0.9/1.0/1.1协议过滤，提供HTTP协议详细字段分析能力和防护功能。

测试项目描述

HTTP协议异常和HTTP协议违规，支持常用的HTTP协议过滤，能够详细分析HTTP协议字段，并提供防护

预置条件

WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务

测试步骤

将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集

在攻击机上使用工具进行HTTP违规攻击。

攻击完毕后，查看WAF上的WEB防护日志，应准确记录了此次HTTP攻击的情况

预期结果

正确阻断攻击并记录攻击日志

测试结果

正确阻断攻击并记录攻击日志

测试结论

?通过?部分通过?未通过?未测试

结果确认

被测方签字

结果确认

日期

测试方签字

支持链路聚合部署，减少带宽占用，Trunk链路防护功能。

测试项目

支持链路聚合部署，减少带宽占用，提供Trunk链路防护功能。

测试项目描述

预置条件

WAF上添加被保护服务web站点。

测试步骤

以管理员身份登录WAF，配置链路聚合功能，对防护站点进行攻击。

预期结果

设备支持链路聚合部署，减少带宽占用，Trunk链路防护功能

测试结果

设备支持链路聚合部署，减少带宽占用，Trunk链路防护功能

测试结论

?通过?部分通过?未通过?未测试

结果确认

被测方签字

测试方签字

日期

日期

具备SQL注入、XSS攻击、跨站请求伪造（CSRF）攻击、Cookie注入攻击，命令注入攻击等的攻击的有效检测和防御能力。

测试项目

具备SQL注入、XSS攻击、跨站请求伪造（CSRF）攻击、Cookie注入攻击，命令注入攻击等的攻击的有效检测和防御能力。

测试项目描述

WAF应正确给予防护并记录攻击日志

预置条件

WAF上添加被保护服务web站点，在客户机或者攻击机上可以ping通被保护服务

测试步骤

将WAF配置为透明模式，添加保护的WEB站点至WAF服务列表，添加服务时引用策略集为阻止策略集

在攻击机上使用appscan进行跨站脚本攻击、