綠盟實(shí)際環(huán)境下IPS測(cè)試方案(完整版)

1、綠盟IPS測(cè)試方案目錄（Contents）一.測(cè)試需求4j5P 4衣H 000 000 000000o 5功能測(cè)試5三. 測(cè)試環(huán)境6網(wǎng)絡(luò)連接平臺(tái)6碩件設(shè)備6軟件壞境7攻擊方法和相應(yīng)工具的準(zhǔn)備7四. 靜態(tài)測(cè)試8五. 功能測(cè)試10產(chǎn)品初步評(píng)估10基木管理功能測(cè)試10防火墻12攻擊特征庫管理13流量管理13碩件 BYPASS 14系統(tǒng)軟件、攻擊特征庫升級(jí)能力15日吉分析系統(tǒng)16爭(zhēng)件過憾17流址分析17自身安全性能18響應(yīng)方式19測(cè)試需求木普實(shí)爭(zhēng)求是的態(tài)度.在項(xiàng)目建設(shè)前.對(duì)網(wǎng)絡(luò)入侵保護(hù)產(chǎn)品（IPS）的實(shí)際測(cè)試。木次參與測(cè)試的公司有北 京綠盟科技的IPS：產(chǎn)品型號(hào):中聯(lián)綠盟信息技術(shù)冇限公司ICEYE-6

2、00P測(cè)試單元一般而言，測(cè)試分為實(shí)驗(yàn)空測(cè)試和現(xiàn)場(chǎng)測(cè)試。木次測(cè)試均為現(xiàn)場(chǎng)測(cè)試.木次產(chǎn)品的現(xiàn)場(chǎng)測(cè)試包括四個(gè)部 分：靜態(tài)測(cè)試功能測(cè)試2. 1靜態(tài)測(cè)試主要考察設(shè)備的外觀、喚件配迓、文檔等。2. 2功能測(cè)試主要考査待測(cè)產(chǎn)品（設(shè)備）木身的功能特性，通過訪談并操作的方式驗(yàn)證待測(cè)產(chǎn)品功能（設(shè)備），其中功 能測(cè)試中又分為基木功能和附屈功能測(cè)試兩個(gè)部分。三.測(cè)試環(huán)境3. 1網(wǎng)絡(luò)連接平臺(tái)在實(shí)際環(huán)境中設(shè)備部署在互聯(lián)網(wǎng)出口位宜，測(cè)試系統(tǒng)的界血、部署方式.升級(jí).軟件應(yīng)用、日總管理、 審計(jì)管理.攻擊檢測(cè)阻斷、流址管理等功能C3. 2硬件設(shè)備1、計(jì)算機(jī)根據(jù)木規(guī)范下的測(cè)試平臺(tái)，至少需雯準(zhǔn)備1臺(tái)汁算機(jī).作為管理機(jī)，其昴低的配迓要

3、求如下:CPU: PIII 800 以上RAJI: 256M 以上NIC: 100/1000M2. 網(wǎng)絡(luò)設(shè)備根據(jù)木規(guī)范下的測(cè)試平臺(tái)，需要準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)環(huán)境C3. 3軟件環(huán)境i操作系統(tǒng)Windows 2000/xp/2003 (Chinese Version)3、輔助測(cè)試工具用于監(jiān)控網(wǎng)絡(luò)流址.包括sniffer pro.數(shù)據(jù)包錄制軟件。3. 4攻擊方法和相應(yīng)工具的準(zhǔn)備在測(cè)試十中.我們選取一些典型的攻擊方法，用于功能測(cè)試。選擇檢測(cè)難度較大的攻擊，這樣可以比較IPS產(chǎn)品的引宰和攻擊特征編寫能力。選擇最近出現(xiàn)的危害較大的攻擊方法.這樣可以比較IPS產(chǎn)品的攻擊特征庫更新頻率，進(jìn)而評(píng)估幹 供應(yīng)商的的技術(shù)能

4、力。選擇能覆蓋到各種常用協(xié)議和應(yīng)用服務(wù)湍的攻擊.如FTP、HTTP、SMTP等。U!靜態(tài)測(cè)試衣格1基本情況產(chǎn)品情況產(chǎn)品基本情況結(jié)果1產(chǎn)品名稱2測(cè)試版木號(hào)3版木發(fā)布時(shí)間4支持語言衣格2硬件配置硬件情況產(chǎn)品硬件配置結(jié)果1CPU2內(nèi)存3鎖盤4網(wǎng)絡(luò)接口衣格3管理方式安裝骨理管理悄況結(jié)果1控制臺(tái)軟碩件需求2管理方式3遠(yuǎn)程管埋支持4遠(yuǎn)程管理認(rèn)證方式5是否有日,忐系統(tǒng)6是否可自定義規(guī)則7工作模式8響應(yīng)方式升級(jí)方式1自動(dòng)升級(jí)2于動(dòng)升級(jí)3升級(jí)頻度4升級(jí)包獲取方式5升級(jí)是否斷網(wǎng)表格4入侵保護(hù)能力:系統(tǒng)功能入侵保護(hù)能力結(jié)果1阻斷黑客攻擊2阻斷蠕蟲、網(wǎng)絡(luò)病毒攻擊3阻斷間謀軟件4阻斷P2P下載軟件5阻斷即時(shí)通訊軟件6阻

5、斷網(wǎng)絡(luò)在線游戲7阻斷在線視頻表格5其他功能:其他功能其他功能情況結(jié)果1是否支持硬件BYPASS功能2是否支持內(nèi)宜防火堆五.功能測(cè)試5. 1產(chǎn)品初步評(píng)估產(chǎn)品初步評(píng)估是抬對(duì)產(chǎn)品供應(yīng)商的資質(zhì)，產(chǎn)品木身的特性，內(nèi)部配置.適用范困，技術(shù)支持能力，核心技 術(shù).產(chǎn)品木地化.產(chǎn)品認(rèn)證等方面進(jìn)行的書面的初步評(píng)估。項(xiàng)目測(cè)試結(jié)果備注OS類型、版本界面語言接口數(shù)雖產(chǎn)品類型產(chǎn)品技術(shù)實(shí)現(xiàn)木地化技術(shù)支持5- 2基本管理功能測(cè)試入侵保護(hù)系統(tǒng)的重要功能之一就是要體現(xiàn)其可管理性，主婆包括對(duì)報(bào)警信息.對(duì)數(shù)據(jù)庫的管理、對(duì)網(wǎng)絡(luò)引 犁及下級(jí)控制臺(tái)等組件的管理.所以首先要考察該系統(tǒng)的管理能力?！緶y(cè)試方法】1登錄控制臺(tái)界面（分別考察WEB控

6、制臺(tái)、windows控制臺(tái)）：2. 査看其徐組件的分布情況，包括管理界面、報(bào)警顯示界面.數(shù)據(jù)庫、日總査詢系統(tǒng)：3配迓女級(jí)管理模式.滿足控制臺(tái)一一控制臺(tái)控制臺(tái)一一引擎的部署結(jié)構(gòu)：4添加女個(gè)虛擬引孥（即只添加IP）看其是否有數(shù)雖限制：5.査看可支持的其他組件:【測(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注通過部分通過具備骨eb控制臺(tái)未通過未測(cè)試具備集中管理的Windows控制通過部分通過軟件臺(tái)未通過未測(cè)試部署具備獨(dú)立的日志分析中心通過部分通過未通過未測(cè)試通過部分通過可以獨(dú)立安裝數(shù)據(jù)庫未通過未測(cè)試可以在控制臺(tái)上顯示并控制所通過部分通過有探測(cè)器未通過未測(cè)試一個(gè)控制臺(tái)是否可管理女個(gè)探通過部分通過設(shè)備測(cè)器未通過未測(cè)試監(jiān)控一

7、個(gè)探測(cè)器是否可以同時(shí)被笫通過部分通過管理個(gè)控制臺(tái)監(jiān)控未通過未測(cè)試主、輔控制臺(tái)對(duì)各探測(cè)器的控通過部分通過制能力有明確的權(quán)限區(qū)別未通過未測(cè)試通過部分通過支持分布式探測(cè).集中式管理未通過未測(cè)試通過部分通過支持多層管理未通過未測(cè)試多級(jí)的結(jié)構(gòu)是否受限制可管理通過部分通過多少級(jí)別未通過未測(cè)試支持管理權(quán)限劃分，不同級(jí)別通過部分通過管理的控制臺(tái)權(quán)限不同未通過未測(cè)試方式是否可以顯示該系統(tǒng)整體的部通過部分通過署拓?fù)鋱D或樹型結(jié)構(gòu)圖未通過未測(cè)試是否可以從主控給下級(jí)子控及通過部分通過子控的下級(jí)下發(fā)策略等規(guī)則文未通過未測(cè)試件主控是否可以有選擇的接收?qǐng)?bào)通過部分通過警信息未通過未測(cè)試部分通過未測(cè)試部分通過未測(cè)試是否可以將下級(jí)

8、的日總同步到 通過 主控來（同步的內(nèi)容是可以自未通過 行設(shè)定的）是否具備全局預(yù)警的功能（即 通過其中的一個(gè)子控可以收到其它 未通過子控發(fā)來的報(bào)警信息）內(nèi)迓防火墻是IPS的一種功能，IPS通過防火墻加強(qiáng)訪問控制。好的防火堆功能可以有效的阻斷攻擊?！緶y(cè)試目的】檢測(cè)IPS的防火墻功能?！緶y(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注無防火墻規(guī)則情況下攻擊機(jī)訪問目標(biāo)通過部分通過機(jī)上的web服務(wù)未通過未測(cè)試配逬防火墻規(guī)則情況下，攻擊機(jī)訪問目通過部分通過標(biāo)機(jī)上的web服務(wù)未通過未測(cè)試驗(yàn)證實(shí)現(xiàn)動(dòng)態(tài)/靜態(tài)地址轉(zhuǎn)換反向地通過部分通過址轉(zhuǎn)換功能，實(shí)現(xiàn)一對(duì)一地址映射功能未通過未測(cè)試驗(yàn)證實(shí)現(xiàn)動(dòng)態(tài)/靜態(tài)地址轉(zhuǎn)換.反向地通過部分通過址轉(zhuǎn)換功

9、能.實(shí)現(xiàn)一對(duì)女地址映知功能未通過未測(cè)試防火增功能驗(yàn)證實(shí)現(xiàn)動(dòng)態(tài)/靜態(tài)地址轉(zhuǎn)換.反向地通過部分通過址轉(zhuǎn)換功能.實(shí)現(xiàn)多對(duì)多地址映射功能未通過未測(cè)試通過部分通過驗(yàn)證策略路由未通過未測(cè)試通過部分通過驗(yàn)證路由模式工作方式未通過未測(cè)試驗(yàn)證透明模式和非透明模式等工作方通過部分通過式未通過未測(cè)試5. 4攻擊特征庫管理攻擊特征是IPS系統(tǒng)用來判斷什么是入侵行為的標(biāo)準(zhǔn).所以攻擊特征的質(zhì)雖和數(shù)雖都非常重婆。某些IPS 系統(tǒng)還支持用戶自定義特征。木部分的測(cè)試要求入侵保護(hù)系統(tǒng)具有協(xié)議分析能力，可自定義基于應(yīng)用層協(xié)議的 特征?！緶y(cè)試方法】1 測(cè)試IPS的攻擊特征庫的質(zhì)址和管理方便性。2. 演示IPS產(chǎn)品的攻擊特征庫的策略編

10、紺方法。3. 演示IPS產(chǎn)品的攻擊特征的數(shù)雖?！緶y(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注通過部分通過攻擊規(guī)則庫按危險(xiǎn)程度分類未通過未測(cè)試通過部分通過攻擊規(guī)則庫按服務(wù)類型分類未通過未測(cè)試對(duì)每個(gè)規(guī)則有詳細(xì)注釋說明.通過部分通過規(guī)則庫包括該攻擊影響的操作系統(tǒng)未通過未測(cè)試管理和解決方案可以對(duì)某條具體規(guī)則設(shè)宜單通過部分通過獨(dú)的響應(yīng)方式未通過未測(cè)試可以對(duì)某類規(guī)則設(shè)貝共同的通過部分通過響應(yīng)方式未通過未測(cè)試通過部分通過是否支持自定義新的規(guī)則未通過未測(cè)試5. 5流量管理流量管理是IPS的新増功能.主要通過協(xié)議，端口 IP及時(shí)間等要素對(duì)流雖進(jìn)行管理?！緶y(cè)試目的】測(cè)試NIPS對(duì)流雖的管理?！緶y(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注驗(yàn)證BTeM

11、ule協(xié)議進(jìn)行流雖通過部分通過管理未通過未測(cè)試驗(yàn)證根據(jù)時(shí)間對(duì)流雖進(jìn)行管通過部分通過流址管理未通過未測(cè)試?yán)眚?yàn)證根據(jù)IP地址對(duì)流雖進(jìn)行通過部分通過管理未通過未測(cè)試驗(yàn)證根據(jù)端口對(duì)流雖進(jìn)行管通過部分通過理未通過未測(cè)試56硬件BYPASS喚件BYPASS是IPS的一種増強(qiáng)功能.保證設(shè)備岀現(xiàn)界常不I：作時(shí)，網(wǎng)絡(luò)依然能夠暢通?！緶y(cè)試方法】1將IPS接入實(shí)際網(wǎng)絡(luò)：2檢測(cè)IPS在不加電、系統(tǒng)啟動(dòng)到就緒過程中、系統(tǒng)出現(xiàn)界常不工作時(shí)，BYPASS功能是否有效?！緶y(cè)試結(jié)果】項(xiàng)目驗(yàn)證設(shè)備不加電時(shí)是否能夠處于ByPass狀態(tài)驗(yàn)證設(shè)備在系統(tǒng)啟動(dòng)到就緒過程中是否 能夠處于ByPass狀態(tài)驗(yàn)證設(shè)備在系統(tǒng)出現(xiàn)界常不匸作時(shí)是否 換

12、件BYPASS 能夠處于ByPass狀態(tài)驗(yàn)證設(shè)備在系統(tǒng)異常切換到ByPass狀態(tài)后直接掉電是否能夠保持ByPass狀 態(tài)測(cè)試結(jié)果備注通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試驗(yàn)證網(wǎng)絡(luò)引擎設(shè)宜強(qiáng)制換件ByPass后 能否正常處于ByPass狀態(tài)驗(yàn)證系統(tǒng)處于資源占用較商情況下通過部分通過watchdog能否保持正常丄作未通過未測(cè)試驗(yàn)證設(shè)備運(yùn)行穩(wěn)定性通過部分通過未通過未測(cè)試5. 7系統(tǒng)軟件、攻擊特征庫升級(jí)能力隨著攻擊于段的不斷更新，IPS系統(tǒng)也必須保持快速的升級(jí)和更新能力。包括軟件版木的升級(jí)和持征庫的 更新.尤其是特征庫的

13、及時(shí)更新非常重雯。升級(jí)需要包括爭(zhēng)件特征庫的升級(jí)以保持事件持征庫的最新，還需要 包括軟件自身的升級(jí)（控制端及引宰端）【測(cè)試方法】1. 測(cè)試IPS系統(tǒng)的升級(jí)方式有幾種。2. 測(cè)試能否在控制臺(tái)上對(duì)IPS探測(cè)器進(jìn)行升級(jí)包的遠(yuǎn)程升級(jí)。3 演示爭(zhēng)件特征庫的升級(jí)方式：4演示控制端的升級(jí)方式：5 演示引擎端的升級(jí)方式：6 演示多級(jí)管理時(shí)爭(zhēng)件庫及引擎的升級(jí)方式：【測(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注通過部分通過支持在線升級(jí)控制軟件升未通過未測(cè)試級(jí)支持離線升級(jí)通過部分通過未通過未測(cè)試通過部分通過支持在線升級(jí)未通過未測(cè)試支持離線升級(jí)（規(guī)則庫升級(jí)包通過部分通過規(guī)則庫升級(jí)為EXE方式）未通過未測(cè)試規(guī)則庫更新的頻率（以公司網(wǎng)通過部

14、分通過站為準(zhǔn).公司網(wǎng)站顯示規(guī)則升未通過未測(cè)試級(jí)內(nèi)容描述）5. 8日志分析系統(tǒng)日總:分析系統(tǒng)是爭(zhēng)后進(jìn)行安全爭(zhēng)件分析的重要匸具.需要能夠根據(jù)用戶的需要產(chǎn)生各種形式的報(bào)告.如表 格形式、柱狀圖餅圖等，并且可以根據(jù)用戶需要設(shè)宜各種過濾條件.如ip地址.爭(zhēng)件名稱等.可以自動(dòng)的產(chǎn) 生日?qǐng)?bào)、周報(bào)、月報(bào)并且可以導(dǎo)岀成多種格式的文件。【測(cè)試方法】i演示日總:分析系統(tǒng)（報(bào)表）的生成方式：2. 演示可支持的查詢條件：3. 演示可支持的導(dǎo)出格式：【測(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注通過部分通過支持日志統(tǒng)計(jì)分析日志分未通過未測(cè)試析支持查詢分析通過部分通過未通過未測(cè)試通過部分通過生成事件的月報(bào)表未通過未測(cè)試通過部分通過生成流雖的

15、周報(bào)表報(bào)表文未通過未測(cè)試檔將生成的報(bào)表保存為doc通過部分通過未通過未測(cè)試通過部分通過將生成的報(bào)表保存為html未通過未測(cè)試通過部分通過任務(wù)定時(shí)給管理員發(fā)送報(bào)表未通過未測(cè)試通過部分通過定時(shí)日志備份日志管未通過未測(cè)試?yán)砣罩净謴?fù)通過部分通過未通過未測(cè)試通過部分通過日志清除未通過未測(cè)試通過部分通過日志歸并未通過未測(cè)試59事件過濾IPS基于時(shí)間、IP地址、編號(hào)、類型等條件組合對(duì)爭(zhēng)件進(jìn)行過濾。【測(cè)試方法】1將IPS接入實(shí)際網(wǎng)絡(luò)：2根據(jù)時(shí)間、IP地址、編號(hào)、類型等條件組合，察看事件過濾結(jié)果?！緶y(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注是否設(shè)置爭(zhēng)件來源（地址.編號(hào)、類型）通過部分通過未通過未測(cè)試爭(zhēng)件過濾是否設(shè)宜爭(zhēng)件發(fā)生的時(shí)

16、間通過部分通過未通過未測(cè)試是否設(shè)置事件結(jié)果及引率所采取的動(dòng)作通過部分通過未通過未測(cè)試5. 10流量分析流量分析是入侵保護(hù)系統(tǒng)的重要組成部分，可以幫助用戶準(zhǔn)確地堂握十前整個(gè)網(wǎng)絡(luò)各種協(xié)議的流雖分布. 以及占用最大帶寬的具體協(xié)議的用戶.好的協(xié)議流雖分布技術(shù)需要具有直觀的顯示效果，而且應(yīng)該具有保存、“I 前帶寬分布圖功能?！緶y(cè)試方法】1將IPS接入實(shí)際網(wǎng)絡(luò)：2演示協(xié)議流址分布效果圖：3查看協(xié)議分布效果圖的刷新：4察看占用半前帯寬最大的某個(gè)協(xié)議的用戶列表:【測(cè)試結(jié)果】項(xiàng)目協(xié)議流址分布圖（要求直觀）協(xié)議流址分布圖的刷新時(shí)間可調(diào)可以察看占用最大帶寬的協(xié)議的前10位的用戶IP列表流雖分析可以察看自定義協(xié)議流址

17、占用最大帶寬的前10位的用戶IP列表可以察看常見協(xié)議流雖占用垠大帶寬的前】0位的用戶IP列表（如 http、smtp. pop3、BT等）測(cè)試結(jié)果備注通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試5.11自身安全性能作為安全產(chǎn)品其自身的安全性是一個(gè)很重要的伙I素.如果自身存在系統(tǒng)缺陷或設(shè)計(jì)缺陷話很容易被攻擊者 利用從而使得安全系統(tǒng)失去自身的作用.掩蓋了其真實(shí)的攻擊行為?！緶y(cè)試方法】1. 査看其組件是否具備用戶審汁模塊：2. 査看對(duì)于用戶的管理是否進(jìn)行了分組設(shè)迓.對(duì)于每個(gè)組是否都有不同權(quán)限:【測(cè)試結(jié)果】項(xiàng)目測(cè)試結(jié)果備注是否具備用戶審訃模塊通過部分通過自身安全未通過未測(cè)試性能是否支持用戶權(quán)限分組通過部分通過未通過未測(cè)試對(duì)干不同的用戶是否可以賦予不同的權(quán)限對(duì)于每個(gè)用戶的是否具備登錄失敗處理通過部分通過未通過未測(cè)試通過部分通過未通過未測(cè)試512響應(yīng)方式IPS通過丟棄數(shù)據(jù)包、丟棄連截會(huì)話來主動(dòng)防御.阻斷攻擊流址，同時(shí)采取告警等響應(yīng)方式。好的防護(hù)功 能