中国移动WLAN设备通用安全功能测试规范v1.doc

中国移动WLAN设备通用安全功能测试规范 Testing Specification for Security Baseline of WLAN Devices Used in China 版本号1.0.0 网络与信息安全规范编号【网络与信息安全规范】【第二层技术规范网元类】 20XX-XX-XX发布 20XX-XX-XX实施 中国移动通信集团公司网络部 发布 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 前 言 本规范对中国移动中国移动通信网、业务系统和支撑系统的各类WLAN设备入网环节涉及的设备安全功能测试提出要求。 本规范主要依据中国移动设备通用安全功能和配置要求，针对账号管理及认证授权、日志以及IP协议和其他四个方面每个功能要求，提出相应的测试要求。并对设备内核安全补充提出了测试的内容。 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位中国移动通信有限公司网络部 本标准解释单位同提出单位 中国移动通信集团公司 Page 2 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 目 录 1 范围...............................................................................................................................................3 2 引用标准.......................................................................................................................................3 3 相关术语与缩略语解释................................................................................................................3 4 测试环境.......................................................................................................................................3 5 测试工具和测试方法....................................................................................................................3 5.1 测试工具.................................................................................................................................3 5.2 测试方法.................................................................................................................................3 6 内部安全控制功能测试................................................................................................................3 6.1 账号口令、认证授权功能测试...............................................................................................3 6.1.1 账号功能..........................................................................................................................3 6.1.2 口令功能..........................................................................................................................3 6.1.3 授权功能..........................................................................................................................3 6.2 日志功能测试.........................................................................................................................3 6.3 IP协议安全功能测试..............................................................................................................3 6.4 其他安全功能测试..................................................................................................................3 7 外部安全防护功能测试................................................................................................................3 7.1 设备内核安全评估测试..........................................................................................................3 8 无线业务功能测试........................................................................................................................3 8.1 无线标准支持测试..................................................................................................................3 8.2 WLAN认证功能测试..............................................................................................................3 8.3 WLAN数据加密功能..............................................................................................................3 8.4 无线参数设定.........................................................................................................................3 8.5 设备管理功能.........................................................................................................................3 8.6 网络配置功能.........................................................................................................................3 8.7 接入控制功能.........................................................................................................................3 8.8 信息监控功能.........................................................................................................................3 9 编制历史.......................................................................................................................................3 中国移动通信集团公司 Page 3 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 1 范围 本规范适用于中国移动通信网、业务系统和支撑系统的各类WLAN设备。本规范对测试验证中国移动设备通用安全功能和配置规范中功能要求项目，明确了基本的操作要求。本规范作为实施设备入网安全功能测试的依据。 2 引用标准 下列标准所包含的条文，通过在本标准中引用而成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。 [1] 中国移动设备通用安全功能和配置规范 [2] 中国移动设备通用安全功能测试规范 3 相关术语与缩略语解释 4 测试环境 中国移动通信集团公司 Page 4 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试环境说明 PC客户端主要用来模拟使用AP/AC账号进行远程登录和命令操作； PC客户端与AP/AC应当配置为不同的网段，并通过交换机进行互连； 无线客户端主要用来模拟使用Wi-Fi网络的客户端； RADIUS用来模拟认证服务器。 5 测试工具和测试方法 5.1 测试工具 可供参考选择的漏洞扫描工具。测试单位可以根据实际情况审慎选择其它能够满足测试工作需要扫描工具。 XSCAN（可从互联网下载的免费漏洞扫描软件，应当采用最新版本）； 网络协议分析工具（二者任选一种） wireshark（可从互联网下载的开源软件，应采用最新版本） Sniffer（付费软件，应采用最新版本）。 5.2 测试方法 本测试规范所涉及的测试方案主要为功能验证法，即模拟设备所提供安全功能的使用操作流程对设备的安全功能进行验证。 6 内部安全控制功能测试 本部分内容主要针对设备的内部管理控制相关的安全功能进行测试，测试内容主要根据中国移动通信有限公司网络部编制的中国移动设备通用安全功能和配置规范中定义的内部管理控制相关安全功能编制而成。 6.1 账号口令、认证授权功能测试 6.1.1 账号功能 测试编号6.1.1.1 项 目账号功能 中国移动通信集团公司 Page 5 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 分 项 目支持按用户分配账号 编号安全要求-设备- WLAN-功能-1 测试目的 检验设备系统是否能够为不同的用户分配不同的账号，从而避免由于用户必须共用账号而导致的设备管理操作不可控或不可审计的情况。 预置条件 1、清除设备系统上除管理员（Administrator）或根用户（root）以外的所有账号； 2、 测试步骤 1、利用管理员账号或根用户账号登录设备； 2、利用管理员或根用户权限创建3个以上的不同账号，并为其设置不同的口令、权限信息以及其他相关账号信息； 3、登出管理员账号； 4、分别通过不同的远程客户端利用上述创建的账号和口令同时登录设备系统，观察能否正常登录以及执行常用命令或操作。 预期结果 1、能够创建不同的账号，并能够为其设置不同的口令、权限等信息； 2、能够利用已创建的不同账号和口令分别登录设备系统，并执行常用操作。 3、 测试结果 1、 2、 3、 4、 备注 测试编号6.1.1.2 项 目账号功能 分 项 目与设备运行、维护等工作无关的账号，应能够删除或锁定 中国移动通信集团公司 Page 6 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 编号安全要求-设备- WLAN-功能-2 测试目的 检验设备系统是否能够删除或者锁定特定的账号，以避免与设备运维无关的账号被误用，从而导致不必要的风险。 预置条件 1、在系统上预先设置多个账号（3～5个）； 测试步骤 1、利用管理员账号或根用户账号登录设备； 2、选择已有的普通账号，通过系统所提供的账号删除或锁定功能对该账号进行删除或锁定操作； 3、登出管理员账号； 4、分别通过不同的远程客户端利用上述已被锁定或删除的账号登陆设备系统，观察能否正常登录以及执行常用命令或操作。 预期结果 1、系统应能提供删除或锁定被选账号的功能； 2、账号删除后，应无法再利用其进行登录。 3、 测试结果 1、 2、 3、 4、 备注 测试编号6.1.1.3 项 目账号功能 分 项 目设备应能够限制允许远程登录的账号 编号安全要求-设备- WLAN-功能-3-opt 中国移动通信集团公司 Page 7 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试目的 检验设备系统是否能够指定特定的账号可以通过远程登录方式对设备进行连接与访问。 预置条件 1、在系统上预先设置多个账号（3～5个）； 测试步骤 1、利用管理员账号或根用户账号登录设备； 2、选择已有的普通账号A，通过系统所提供的账号属性选项将该账号指定为可以进行远程访问的账号（或者通过新建账号来制定账号的这种属性）；而选择另一账号B，将其配置为不能进行远程访问的账号； 3、登出管理员账号； 4、分别通过不同的远程客户端利用上述A账号和B账号远程登录该设备系统； 5、观察是否能够分别利用A、B账号登陆被测设备系统。 预期结果 1、设备系统应能提供用于配置是否允许用户进行远程登录的用户属性选项； 2、被配置为能进行远程登录的账号A可以实现远程访问；被配置为不能进行远程登录的账号B无法实现远程登录。 3、 测试结果 1、 2、 3、 4、 备注 6.1.2 口令功能 测试编号6.1.2.1 项 目口令功能 分 项 目口令强度检查功能 中国移动通信集团公司 Page 8 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 编号安全要求-设备- WLAN-功能-4 测试目的 检验设备系统是否具备对口令强度进行配置以及检查口令强度的功能。 预置条件 无 测试步骤 1、利用管理员身份登陆设备系统； 2、进入口令强度配置命令或界面，检查系统是否提供了口令强度的配置选项（应当作为适用于全部账号的全局策略或用户组策略）； 3、检查口令强度配置选项是否可以进行如下配置 i. 配置口令的最小长度； ii. 将口令配置为强口令。 4、配置口令最小长度为6位字符，并将配置口令策略为强口令策略； 5、创建一个普通账号，为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于6位的口令，查看系统是否对口令强度要求进行提示；输入带有特殊符号的复杂口令普通复杂口令，查看系统是否可以成功设置。 6、利用新建的账号进行系统登录。 预期结果 1、设备系统能够提供进行口令强度配置的全局策略选项（或者基于用户组的策略选项），选项内容包括 1 口令最小长度； 2 将口令配置为强口令 2、配置强口令策略后，能够在新建用户时对不符合口令强度策略的如下口令配置进行提示告警 1 与账号同名的口令； 2 只包含字符或数字的简单口令； 3 长度短于最小长度的口令。 3、系统允许口令中包含特殊符号； 4、普通复杂口令（包含数字、字母在内的长口令）可以被系统接受； 5、口令配置后能够利用已经创建的账号和口令登录系统。 测试结果 1、 2、 3、 4、 备注 中国移动通信集团公司 Page 9 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试编号6.1.2.2 项 目口令功能 分 项 目口令生存期检查及重复使用次数限制 编号安全要求-设备- WLAN-功能-5；安全要求-设备- WLAN-功能-6-opt 测试目的 检验设备系统是否具备对口令的生存期进行配置以及检查的功能。 预置条件 无 测试步骤 1、利用管理员身份登陆设备系统； 2、进入口令生存期配置命令或界面，检查系统是否提供了口令生存期的配置选项（应当作为适用于全部账号的全局策略、或用户组策略）； 3、检查口令生存期配置选项是否包含如下方面内容的配置 1 可以定义口令的生存周期； 2 可以定义相邻时间段内不允许重复出现相同口令的次数。 4、根据上述配置项对口令生存周期进行配置，如口令生存周期为1天，不允许相同口令重复出现次数为3次。 5、创建一个普通账号，为其配置相应的口令；并利用新建的账号进行系统登入登出； 6、利用管理员权限修改系统时间至第二天； 7、再次利用签署账号登陆系统，查看系统是否提示用户修改口令； 8、将账号口令修改为相同口令，查看系统是否拒绝修改并提示重新设置口令； 9、并且重复步骤6至步骤8 连续3次； （每次尝试前面三次以内所设置的相同口令）。 预期结果 1、 设备系统能够提供进行口令强度配置的全局策略选项（或者基于用户组的策略选项），选项 内容包括 1 口令生存周期；（记录可设置的取值范围） 2 不允许重复出现相同口令的次数。（记录可设置的取值范围） 2、口令到期后系统能够提示用户立即修改口令，否则用户将无法正常登录； 3、系统拒绝落在重复出现次数范围内的重复口令被设置为用户新口令。 中国移动通信集团公司 Page 10 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.1.2.3 项 目口令功能 分 项 目账号口令连续认证失败次数限制 编号安全要求-设备- WLAN-功能-7-opt 测试目的 检验设备系统是否具备对口令认证失败次数有限制的功能，并且在多次连续尝试认证失败后能够锁定账号。 预置条件 无 测试步骤 1、利用管理员身份登陆设备系统； 2、进入认证失败次数配置命令或界面，检查系统是否提供了认证失败次数限制的配置选项（应当作为适用于全部账号的全局策略、或用户组策略）； 3、设置连续认证尝试失败次数上限，如3次； 4、创建一个普通账号，为其配置相应的口令；并用新建的账号通过错误的口令进行系统登入登出3次以上； 5、查看超过3次后系统是否提示该账号已被锁定； 6、利用管理员权限为该帐户解除锁定； 7、再利用该账号登录系统。 预期结果 1、 设备系统能够提供进行口令认证失败次数限制的功能； 2、账号连续登录失败次数达到限定值后，再次用该账号登录是会被提示该账号已被锁定或者为无效的账号； 3、将账号解除锁定后，账号能够正常登录系统。 中国移动通信集团公司 Page 11 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.1.2.4 项 目口令功能 分 项 目口令修改功能 编号安全要求-设备- WLAN-功能-8 测试目的 检验设备系统在静态口令认证工作方式下，是否支持账号登陆口令的修改功能，并且修改口令后不会导致业务无法正常使用。 预置条件 1、 根据被测设备的主要业务功能，将被测设备A部署在能够为用户或管理员提供业务的网络环 境中； 2、 在上述网络环境中，同时部署了其他设备B需要通过与被测设备A进行通信配合来为用户提 供业务； 3、 启动业务，并且业务的用户（个人用户或管理员）能够正常使用该业务。 注设备B应当与设备A同属一个业务系统，二者为相关联设备。 测试步骤 1、查看设备A内部或者设备B与设备A在通信时是否需要用到设备A系统上的特定账号； 2、如果存在上述特定账号，则通过管理员账号登录设备A系统，并修改上述账号的口令； 3、查看正在运行的业务受到影响； 4、如果业务受到了影响，查看是否在设备B的系统上通过简单配置即可恢复业务。 预期结果 1、 满足下述情况之一即可 中国移动通信集团公司 Page 12 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 a 设备A在提供业务时（自身提供或者与设备B配合提供），不需要通过账号口令来进 行通信； b 设备A上特定账号的口令被修改后，不影响业务提供； c 设备A上特定账号的口令被修改后，设备B只需要简单配置即可正常提供业务。 测试结果 1、 2、 3、 4、 备注 测试编号6.1.2.5 项 目口令功能 分 项 目静态口令加密存储功能 编号安全要求-设备- WLAN-功能-9-opt 测试目的 检验设备系统在静态口令认证工作方式下，静态口令在进行本地存储时是否进行了加密。 预置条件 1、在被测设备系统上设置多个账号，并为其配置静态口令。 测试步骤 1、 利用管理员账号登录系统； 2、 打开用于存放所有账号及其静态口令的文件； 3、 查看其中口令相关的内容是否被加密。 预期结果 1、口令在存储时被系统加密。 中国移动通信集团公司 Page 13 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 6.1.3 授权功能 测试编号6.1.3.1 项 目授权功能 分 项 目基于用户进行授权的功能 编号安全要求-设备- WLAN-功能-12 测试目的 检查设备系统是否具备基于用户进行授权的功能。 预置条件 无 测试步骤 1、利用管理员账号登录系统，并创建2个不同的用户； 2、创建用户时查看系统是否提供了用户权限级别以及可访问系统资源和命令的选项； 3、为两个用户分别配置不同的权限，2个用户的权限差异应能够分别在用户权限级别、可访问系统资源以及可用命令等方面予以体现； 4、分别利用2个新建的账号访问设备系统，并分别尝试访问允许访问的内容和不允许访问的内容，查看权限配置策略是否生效。 预期结果 1、设备系统能够提供用户权限的配置选项，并记录对用户进行权限配置是否必须在用户创建时进行； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的系统资源，而可以访问授权范围之内的系统资源。 中国移动通信集团公司 Page 14 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.1.3.2 项 目授权功能 分 项 目对文件系统的用户授权 编号安全要求-设备- WLAN-功能-13-opt 测试目的 对于用户可通过人机交互界面访问文件系统的设备，检查设备是否支持对文件系统中的目录和文件，为不同用户或用户组分别授予读、写、执行权限。 预置条件 无 测试步骤 1、利用管理员账号登录系统，并创建3个不同的账号； 2、检查系统是否提供了针对不同用户授予文件系统不同访问权限的配置选项； 3、选择特定目录，分别为上述3个用户授予读、写与执行权限； 4、分别利用上述3个账号登录系统，并分别尝试访问允许访问和不允许访问的文件操作，查看文件系统访问的权限配置策略是否生效。 预期结果 1、设备系统能够提供针对不同用户授予文件系统不同访问权限的配置选项； 2、记录能够配置的权限选项内容； 3、所配置的权限规则应能够正确应用，即用户无法访问授权范围之外的文件操作，而可以访问授权范围之内的文件操作。 中国移动通信集团公司 Page 15 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 6.2 日志功能测试 测试编号6.2.1 项 目日志功能测试 分 项 目用户登录/登出日志记录 编号安全要求-设备- WLAN-功能-16 测试目的 记录设备是否能够对用户登录/登出系统产生相应的日志。 预置条件 1、创建1个普通账号。 测试步骤 1、打开系统的日志功能； 2、利用系统已经创建的账号登录系统，进行简单操作后再登出系统； 3、查看系统日志，该用户的登录/登出行为已经进行了日志记录，记录的内容包括登录账号、登录成功与否状态、登录/登出时间、登录IP地址等信息。 预期结果 1、系统具备日志功能； 2、针对用户登录/登出行为，系统产生了相关日志； 3、日志中包含登录账号、登录成功与否状态、登录/登出时间、登录IP地址等信息； 4、记录除上述信息以外的其他信息。 中国移动通信集团公司 Page 16 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.2.2 项 目日志功能测试 分 项 目用户操作日志记录 编号安全要求-设备- WLAN-功能-17-opt 测试目的 检查设备系统是否支持对用户操作信息产生详细日志记录的能力。 预置条件 1、创建1个管理员账号。 测试步骤 1、打开系统的日志功能； 2、利用系统已创建的管理员账号登录系统，进行如下操作 i. 创建多个账号； ii. 删除部分账号； iii. 修改某个账号的权限信息、登录口令； iv. 读取并修改设备的配置信息； v. 读取并修改与移动用户访问业务相关的计费信息、身份信息以及业务隐私数据（如短 信内容等） 3、查看系统日志，检查日志系统是否记录了上述操作的详细信息，包括实施操作的账号信息、操作时间、操作内容以及操作结果。 预期结果 1、系统具备日志功能； 2、针对用户的上述各类重要操作，系统产生了相关日志； 3、日志中包含操作账号、操作时间、操作内容及操作结果等信息； 4、记录除上述信息以外的其他信息。 中国移动通信集团公司 Page 17 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.2.3 项 目日志功能测试 分 项 目日志远程输出功能 编号安全要求-设备- WLAN-功能-18-opt 测试目的 检查设备是否支持日志远程输出功能，即设备是否至少支持一种通用的远程标准日志接口，如SYSLOG、FTP等，将日志输出至远程日志服务器。 预置条件 1、部署远程日志服务器，并且与被测设备在IP层可达。 测试步骤 1、打开系统的日志功能，并将日志存储配置为远程存储； 2、登录设备系统，并利用脚本文件发起大量系统操作； 3、查看产生的日志是否通过特定协议输出到了远程日志服务器。 预期结果 1、系统具备日志远程存储功能； 2、产生的操作日志均无误地存储在远程日志服务器上； 3、询问记录远程日志传输所采用的应用层协议； 4、记录系统远程输出日志到日志服务器的日志条目门限值。 中国移动通信集团公司 Page 18 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.2.4 项 目日志功能测试 分 项 目安全事件日志记录 编号安全要求-设备- WLAN-功能-19-opt 测试目的 检查设备系统是否具有记录与设备相关安全事件的功能。 预置条件 无 测试步骤 1、打开系统的日志功能； 2、利用常用漏洞扫描软件（如XSCAN）对设备发起扫描； 3、利用DoS攻击发起软件对设备发起DoS攻击； 4、查看系统日志，检查日志系统是否记录了上述相关安全事件的信息。 预期结果 1、系统具备安全事件的识别功能； 2、针对模拟的安全攻击，系统产生了相应的日志记录； 3、记录除上述信息以外的其他信息。 中国移动通信集团公司 Page 19 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.2.5 项 目日志功能测试 分 项 目日志文件权限控制安全事件日志记录 编号安全要求-设备- WLAN-功能-20-opt 测试目的 设备是否能够按账号分配日志文件读取、修改和删除权限，从而防止日志文件被篡改或非法删除。 预置条件 无 测试步骤 1、创建三个不同的账号。 2、随机选择若干类系统生产的日志文件，并就每个日志文件，分别给上述各账号授予写权限、读权限和无任何操作权限。 3、分别以上述三个账号的身份登陆，操作上述日志文件，检查和此前赋予的权限一致。 预期结果 1、系统能够针对日志文件分账号赋予权限； 2、对于越权的操作，系统能够有效的阻止； 3、系统能够记录越权操作地行为，记录内容符合安全功能-设备- 通用-功能-13-opt的要求。 中国移动通信集团公司 Page 20 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.2.6 项 目日志功能测试 分 项 目日志保存时间 编号安全要求-设备- WLAN-功能-21-opt 测试目的 设备是否能够设置日志保存时间。 预置条件 无 测试步骤 1、 随机选择若干类系统生产的日志文件，并就每个日志文件设置保存时间。 2、 修改系统时间参数，观察日志是否可以保留至少7天。 预期结果 1、系统能够针对日志保存时间进行设置，保存时间不小于7天； 测试结果 1、 2、 3、 4、 备注 中国移动通信集团公司 Page 21 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 6.3 IP协议安全功能测试 测试编号6.3.1 项 目IP协议安全功能测试 分 项 目流量过滤（ACL）功能 编号安全要求-设备- WLAN-功能-22-opt 测试目的 检查设备是否具有基于源IP地址、目的IP地址、通信协议类型（如TCP、UDP、ICMP）、源端口、目的端口等配置条件的流量过滤（ACL）功能；这里主要针对通过IP协议访问被测设备流量的过滤。 预置条件 1、 设备的网络连接协议栈为TCP/IP协议栈； 2、 在设备所属网络环境中搭建1台pc，并且保证该服务器与被测设备IP可达；开启设备能够 提供服务的主要服务端口（如telnet、ICMP echo等）。 测试步骤 1、查看系统是否提供了进行流量过滤的命令或配置界面，并确保流量过滤的初始配置为空； 2、通过pc向被测设备系统发起telnet、icmp以及其他udp连接请求，连接建立后断开上述连接； 3、配置拒绝PC所对应IP地址对被测设备访问的策略，再次发起上述连接请求，查看这些连接请求是否被拒绝； 4、清空上一条策略，配置“拒绝任何IP访问本机TCP 21端口”的策略，通过pc发起telnet请求，查看该请求是否被拒绝；（也可以利用其他TCP端口进行测试） 5、清空上一条策略，配置“拒绝任何IP访问本机ICMP协议”的策略，通过pc发起ping请求，查看该请求是否被拒绝； 6、清空上一条策略，配置“拒绝任何IP访问本机UDP特定端口”的策略，通过pc发起对应的UDP连接，查看该连接是否被拒绝；（若系统无UDP服务则可不测） 7、清空所有策略，从新发起上述连接请求，查看连接是否可以正常进行。 预期结果 1、设备系统提供了流量过滤的命令或配置界面； 2、针对IP地址、TCP端口号、UDP端口号、ICMP协议的访问控制策略均可生效，在进行配置后，协议连接无法进行； 3、记录其他可作为访问控制策略配置的字段； 4、清空所有策略后，连接可以正常进行。 中国移动通信集团公司 Page 22 of 55 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 中国移动WLAN设备通用安全功能测试规范 测试结果 1、 2、 3、 4、 备注 测试编号6.3.2 项 目IP协议安全功能测试 分 项 目远程访问安全功能 编号安全要求-设备- WLAN-功能-23-opt 测试