深信服SSL安全网关(国密)测试模板

国密算法SSL加速器
测试结果
深圳市深信服电子科技有限公司
目录
第一章测试对象 (4)
1.1测试产品型号 (4)
1.2产品测试指标 (4)
1.3测试场地安排 (9)
1.4参与测试人员 (9)
1.5测试软硬件配置 (9)
1.6测试用例部署方式 (10)
1.6.1旁路部署 (10)
1.6.2串接部署 (13)
1.6.3三角传输模式 (16)
1.7网络功能 (19)
1.7.1支持网络地址转换功能 (19)
1.7.2支持链路聚合，支持LACP(链路聚合控制协议) (21)
1.7.3支持802.1Q功能 (24)
1.7.4支持静态路由协议 (26)
1.7.5支持动态路由协议 (28)
1.8SSL功能技术指标 (32)
1.8.1支持SSL算法：SHA1 (32)
1.8.2支持SSL算法：SM2-SM4 (34)
1.8.3RSA支持SSL协议：SSL3.0 (36)
1.8.4RSA支持SSL协议：TLS1.0 (39)
1.8.5RSA支持SSL协议：TLS1.2 (41)
1.8.6支持国密协议 (43)
1.8.7支持SSL弱算法过滤 (46)
1.8.8支持的设定算法优先级 (49)
1.8.9RSA的1024bit/2048bit证书密钥长度 (52)
1.8.10国密SM2的256bit证书密钥长度 (57)
1.8.11支持单向SSL认证（RSA） (60)
1.8.12支持单向SSL认证（国密版） (62)
1.8.13支持双向SSL认证（RSA） (65)
1.8.14支持双向SSL认证（国密版） (67)
1.8.15LDAP下载CRL方式 (70)
1.8.16HTTP方式下载CRL (71)
1.8.17FTP方式下载CRL (72)
1.8.18CRL吊销列表管理 (73)
1.8.19不同的证书信息透传编码格式 (75)
1.8.20设置允许客户端证书最小密钥长度的设置 (79)
1.8.21低于指定加密强度的重定向 (85)
1.8.22向后台服务传递证书或证书指定参数 (89)
1.8.23针对同一个站点（虚拟服务）同时支持国密证书和RSA证书.. 92
1.8.24支持反向传递证书DN序列 (95)
1.9高可用要求 (98)
1.9.1支持冗余电源，支持热插拔 (98)
1.9.2主备模式组网 (100)
1.9.3主主模式组网 (102)
1.9.4集群模式组网 (105)
1.9.5主备设备间配置同步及会话同步 (109)
1.10特色功能 (113)
1.10.1支持新版国密标准 (113)
1.10.2支持新国密ECDHE-SM2-SM4-SM3算法 (115)
第一章测试对象1.1测试产品型号
1.2产品测试指标
6
7
8
国密算法SSL加速器测试结果1.3测试场地安排
1.4参与测试人员
1.5测试软硬件配置
本次测试所需软硬件环境如下表：
1.6测试用例部署方式1.6.1旁路部署
2. 新建网络接口
3. 新建节点池
4. 新建虚拟服务
5.访问成功
6.抓包查看
签字确认
1.6.2串接部署
测试场景
测试项目串接部署方式测试
测试组网图客
户
端
PC
安全网关
设备
服务器1
服务器2
服务器3交
换
机
1
交
换
机
2
预置条件
测试过程
预期结果
客户端PC访问安全网关设备上的虚拟服务可以获得真实服务器上的服务内
容。

测试结果█通过口部分通过口未通过口未测试
测试截图 1. 按串接部署接线
2. 新建网络接口
3. 新建lan接口
4. 新建节点池
5.新建虚拟服务
6.访问成功
7.抓包查看
签字确认
1.6.3三角传输模式测试场景
测试项目三角传输模式测试
测试组网图客户端PC交换机
安全网关设备服务器1服务器2服务器3
预置条件
测试过程
预期结果
客户端PC访问安全网关设备上的虚拟服务可以获得真实服务器上的服务内
容。

测试结果█通过口部分通过口未通过口未测试
测试截图1. 新建网络接口
3. 新建节点池
4. 新建虚拟服务
5.配置Server的环回接口
6.访问成功
7.抓包查看，因为服务器之间回包到客户端，安全网关设备上没有应答包
签字确认
1.7网络功能
1.7.1支持网络地址转换功能测试场景
测试项目网络地址转换功能测试
测试组网图客户端PC交换机
安全网关设备服务器1服务器2服务器3
预置条件
测试过程1.按照测试连接图连接测试设备和测试服务器；
2.客户端PC与服务器在两个不同网段，安全网关设备配置将客户端(ip1)原
本访问安全网关(ip2)的请求，转换为以自身(ip2)访问服务器(ip3)的请求3.客户端访问安全网关设备提供的ip，请求被正确传递到服务器
预期结果 1.客户端访问成功，抓包查看，请求由原本的ip1->ip2转换为ip2->ip3 测试结果█通过口部分通过口未通过口未测试
测试截图 1. 新建SNAT地址转换
2. 新建DNAT地址转换
3.转换方式拓扑
4. 访问安全网关设备提供的ip
5. 抓包查看，192.200.30.241->192.200.30.10被转换为
192.200.30.10->192.200.30.202
签字确认
1.7.2支持链路聚合，支持LACP(链路聚合控制协议) 测试场景
测试项目链路聚合及是否支持LACP协议功能测试
测试组网图客户端PC交换机
安全网关设备服务器1服务器2服务器3
预置条件
测试过程1.在安全网关设备上配置端口聚合并启用LACP协议，绑定2个端口，安全
网关设备上启用虚拟ssh服务，服务器上启用ssh服务；
2.在交换机上配置端口聚合并启用LACP协议（Active模式/动态模式），绑
定2个端口；
3.查看端口聚合状态；
4.配置客户端PC长ping负载均衡上的VS地址；
5.客户端PC ssh连接到虚拟ssh服务上；
6.断开交换机与安全网关设备连接的一个端口的网络连接，记录丢包情况，
记录ssh业务是否中断；
7.插回交换机与安全网关设备连接的端口的网络连接，记录丢包情况，记
录ssh业务是否中断。

预期结果1. 可以实现链路聚合功能并支持LACP协议；
2. 测试步骤6可能有丢包情况发生，但ssh业务不中断；
3. 测试步骤7可能有丢包情况发生，但ssh业务不中断。

测试结果█通过口部分通过口未通过口未测试测试截图
1. 新建LACP网口聚合
2. 新建网络接口
3. 客户端ssh连接到接口，不会中断
4. 客户端ping接口ip，没有丢包
签字确认
1.7.3支持80
2.1Q功能
2. 新建网络接口
3. Ping对端ip
4. 修改Vlan子接口ID
5.ping对端ip
签字确认
1.7.4支持静态路由协议测试场景
测试项目静态路由协议功能测试
测试组网图
客户端
路由器R1安全网关设备
服务器路由器R2
预置条件
测试过程1.按照测试连接图进行设备连接；
2.配置有效的静态路由；
3.客户端ping服务器端，检查是否可以ping通。

预期结果客户端可以ping通服务器端，支持静态路由。

测试结果█通过口部分通过口未通过口未测试
测试截图1. 客户端无法ping通服务器
2. 配置静态路由
3. 客户端ping通服务器
4.网络拓扑
签字确认
1.7.5支持动态路由协议测试场景
测试项目动态路由协议功能测试
测试组网图
客户端
路由器R1安全网关设备
服务器路由器R2
预置条件
测试过程1.按照测试连接图进行设备连接；
2.分别配置下面的动态路由：
配置路由器.安全网关设备在RIP进程下宣告互联网段；配置路由器.安全网关设备在OSPF进程下宣告互联网段；
3.客户端ping服务器端，检查是否可以ping通。

预期结果客户端可以ping通服务器端，支持RIP、OSPF路由转发功能。

测试结果█通过口部分通过口未通过口未测试
测试截图
1. 配置RIP路由
2. 配置OSPF路由
3. 配置接口
4.RIP路由更新
5.OSPF路由更新
6.OSPF邻居关系表更新
7.ping通路由中的ip
签字确认
1.8SSL功能技术指标
1.8.1支持SSL算法：SHA1
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
签字确认
1.8.2支持SSL算法：SM2-SM4
测试场景
测试项目SM2-SM4算法功能测试
测试组网图客户端PC交换机
安全网关设备
服务器1
预置条件
客户端支持国密算法
安全网关设备导入服务器国密签名证书及加密证书，配置好IP组，节点池
测试过程1.按照上图网络拓扑连线
2.新建SSL策略，配置好预置条件中的国密签名及加密证书，算法选择
ECC-SM2-SM4-SM3
3.新建https类型虚拟服务vs1，引用2中的ssl策略
4.客户端访问虚拟服务，使用支持国密的wireshark抓包
预期结果 4. 测试访问成功，抓包显示算法为ECC-SM2-SM4-SM3测试结果█通过口部分通过口未通过口未测试
测试截图1. 新建SSL策略
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
签字确认
1.8.3RSA支持SSL协议：SSL3.0 测试场景
测试项目SSL3.0协议功能测试
测试组网图客户端PC交换机
安全网关设备
服务器1预置条件
客户端IE浏览器支持SSL3.0协议
安全网关设备导入服务器证书，配置好IP组，节点池
测试过程1.按照上图网络拓扑连线
2.新建SSL策略，选择预置条件中的服务器证书，协议版本选择SSL
3.0
3.新建https类型虚拟服务vs1，引用2中的ssl策略
4.客户端访问虚拟服务，使用wireshark抓包。

预期结果 4.打开页面成功，抓包显示使用协议版本为SSL3.0
测试结果█通过口部分通过口未通过口未测试测试截图
1. 新建SSL策略
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
1.8.4RSA支持SSL协议：TLS1.0
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
签字确认
1.8.5RSA支持SSL协议：TLS1.2
测试场景
测试项目TLS1.2协议测试
测试组网图客户端PC交换机
安全网关设备
服务器1预置条件
客户端IE浏览器支持TLS1.2协议
安全网关设备导入服务器证书，配置好IP组，节点池
测试过程1.按照上图网络拓扑连线
2.新建SSL策略，选择预置条件中的服务器证书，协议版本选择TLS1.2
3.新建https类型虚拟服务vs1，引用2中的ssl策略
4.客户端访问虚拟服务，使用wireshark抓包。

预期结果访问成功，数据包SSL握手过程使用TLS1.2。

测试结果█通过口部分通过口未通过口未测试
测试截图1. 新建SSL策略
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
签字确认
1.8.6支持国密协议测试场景
测试项目支持国密协议测试
测试组网图客户端PC交换机
安全网关设备
服务器1
预置条件客户端支持国密算法
安全网关设备导入服务器国密签名证书及加密证书，CA证书，配置好IP组，节点池
测试过程1. 按照上图网络拓扑连线
2. 新建SSL策略，配置好预置条件中的国密签名及加密证书，协议选择国密协议，算法选择ECC-SM2-SM4-SM3
3. 新建https类型虚拟服务vs1，引用2中的ssl策略
4. 客户端访问虚拟服务，使用支持国密的wireshark抓包
预期结果
测试访问成功，抓包显示算法为ECC-SM2-SM4-SM3,协议版本GM1.1(协议版本
字段为：0x0101)
测试结果█通过口部分通过口未通过口未测试
测试截图
1. 新建SSL策略
2. 新建虚拟服务
3. 访问页面成功
4.wireshark抓包查看
1.8.7支持SSL弱算法过滤
2. 新建虚拟服务
3. DES-CBC-SHA访问失败
4.wireshark抓包查看
5.AES256-SHA访问成功
6.wireshark抓包查看
签字确认
1.8.8支持的设定算法优先级。