綠盟實(shí)際環(huán)境下IPS測試方案設(shè)計(jì)(完整版)_第1頁
綠盟實(shí)際環(huán)境下IPS測試方案設(shè)計(jì)(完整版)_第2頁
綠盟實(shí)際環(huán)境下IPS測試方案設(shè)計(jì)(完整版)_第3頁
綠盟實(shí)際環(huán)境下IPS測試方案設(shè)計(jì)(完整版)_第4頁
綠盟實(shí)際環(huán)境下IPS測試方案設(shè)計(jì)(完整版)_第5頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

實(shí)用文案綠盟IPS測試方案文案大全實(shí)用文案目錄(Contents)一. 測試需求 3二. 測試單元 42.1 靜態(tài)測試 42.2 功能測試 4三. 測試環(huán)境 53.1 網(wǎng)絡(luò)連接平臺 53.2 硬件設(shè)備 53.3 軟件環(huán)境 63.4 攻擊方法和相應(yīng)工具的準(zhǔn)備 6四. 靜態(tài)測試 7五. 功能測試 95.1 產(chǎn)品初步評估 95.2 基本管理功能測試 95.3 防火墻 115.4 攻擊特征庫管理 125.5 流量管理 125.6 硬件BYPASS 135.7 系統(tǒng)軟件、攻擊特征庫升級能力 145.8 日志分析系統(tǒng) 155.9 事件過濾 165.10 流量分析 165.11 自身安全性能 175.12 響應(yīng)方式 18文案大全實(shí)用文案一. 測試需求本著實(shí)事求是的態(tài)度,在項(xiàng)目建設(shè)前,對網(wǎng)絡(luò)入侵保護(hù)產(chǎn)品( IPS)的實(shí)際測試。本次參與測試的公司有北京綠盟科技的 IPS:產(chǎn)品型號:中聯(lián)綠盟信息技術(shù)有限公司 ICEYE-600P文案大全實(shí)用文案二. 測試單元一般而言,測試分為實(shí)驗(yàn)室測試和現(xiàn)場測試。本次測試均為現(xiàn)場測試,本次產(chǎn)品的現(xiàn)場測試包括四個部分:靜態(tài)測試功能測試2.1靜態(tài)測試主要考察設(shè)備的外觀、硬件配置、文檔等。2.2功能測試主要考查待測產(chǎn)品(設(shè)備)本身的功能特性,通過訪談并操作的方式驗(yàn)證待測產(chǎn)品功能(設(shè)備),其中功能測試中又分為基本功能和附屬功能測試兩個部分。文案大全實(shí)用文案三. 測試環(huán)境3.1網(wǎng)絡(luò)連接平臺在實(shí)際環(huán)境中,設(shè)備部署在互聯(lián)網(wǎng)出口位置,測試系統(tǒng)的界面、部署方式、升級、軟件應(yīng)用、日志管理、審計(jì)管理、攻擊檢測阻斷、流量管理等功能?;ヂ?lián)網(wǎng)防火墻入侵防御系統(tǒng)IPS核心交換機(jī)IPS的控制平臺企業(yè)內(nèi)部網(wǎng)3.2硬件設(shè)備1、計(jì)算機(jī)根據(jù)本規(guī)范下的測試平臺,至少需要準(zhǔn)備 1臺計(jì)算機(jī),作為管理機(jī),其最低的配置要求如下:CPU:PIII800 以上RAM:256M以上NIC:100/1000M2、網(wǎng)絡(luò)設(shè)備根據(jù)本規(guī)范下的測試平臺,需要準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)環(huán)境。文案大全實(shí)用文案3.3軟件環(huán)境1、操作系統(tǒng)Windows2000/xp/2003(ChineseVersion)3、輔助測試工具用于監(jiān)控網(wǎng)絡(luò)流量,包括 snifferpro 、數(shù)據(jù)包錄制軟件。3.4攻擊方法和相應(yīng)工具的準(zhǔn)備在測試當(dāng)中,我們選取一些典型的攻擊方法,用于功能測試。選擇檢測難度較大的攻擊,這樣可以比較 IPS產(chǎn)品的引擎和攻擊特征編寫能力。選擇最近出現(xiàn)的危害較大的攻擊方法,這樣可以比較 IPS產(chǎn)品的攻擊特征庫更新頻率,進(jìn)而評估各供應(yīng)商的的技術(shù)能力。選擇能覆蓋到各種常用協(xié)議和應(yīng)用服務(wù)器的攻擊,如 FTP、HTTP、SMTP等。文案大全實(shí)用文案四. 靜態(tài)測試表格1 基本情況產(chǎn)品情況 產(chǎn)品基本情況 結(jié)果產(chǎn)品名稱測試版本號版本發(fā)布時間支持語言表格2 硬件配置硬件情況 產(chǎn)品硬件配置 結(jié)果CPU內(nèi)存硬盤網(wǎng)絡(luò)接口表格3管理方式安裝管理 管理情況 結(jié)果控制臺軟硬件需求管理方式遠(yuǎn)程管理支持遠(yuǎn)程管理認(rèn)證方式是否有日志系統(tǒng)是否可自定義規(guī)則工作模式響應(yīng)方式升級方式自動升級手動升級升級頻度升級包獲取方式升級是否斷網(wǎng)文案大全實(shí)用文案表格4 入侵保護(hù)能力:系統(tǒng)功能 入侵保護(hù)能力 結(jié)果阻斷黑客攻擊阻斷蠕蟲、網(wǎng)絡(luò)病毒攻擊阻斷間諜軟件阻斷P2P下載軟件阻斷IM即時通訊軟件阻斷網(wǎng)絡(luò)在線游戲阻斷在線視頻表格5其他功能:其他功能 其他功能情況 結(jié)果是否支持硬件BYPASS功能是否支持內(nèi)置防火墻文案大全實(shí)用文案五. 功能測試5.1產(chǎn)品初步評估產(chǎn)品初步評估是指對產(chǎn)品供應(yīng)商的資質(zhì),產(chǎn)品本身的特性,內(nèi)部配置,適用范圍,技術(shù)支持能力,核心技術(shù),產(chǎn)品本地化,產(chǎn)品認(rèn)證等方面進(jìn)行的書面的初步評估。項(xiàng)目 測試結(jié)果 備注OS類型、版本界面語言接口數(shù)量產(chǎn)品類型產(chǎn)品技術(shù)實(shí)現(xiàn)本地化技術(shù)支持5.2基本管理功能測試入侵保護(hù)系統(tǒng)的重要功能之一就是要體現(xiàn)其可管理性,主要包括對報(bào)警信息、對數(shù)據(jù)庫的管理、對網(wǎng)絡(luò)引擎及下級控制臺等組件的管理,所以首先要考察該系統(tǒng)的管理能力。【測試方法】1. 登錄控制臺界面(分別考察 WEB控制臺、windows控制臺);2. 查看其各組件的分布情況,包括管理界面、報(bào)警顯示界面、數(shù)據(jù)庫、日志查詢系統(tǒng);3. 配置多級管理模式,滿足控制臺——控制臺——控制臺——引擎的部署結(jié)構(gòu);4. 添加多個虛擬引擎(即只添加 IP)看其是否有數(shù)量限制;5. 查看可支持的其他組件;文案大全實(shí)用文案【測試結(jié)果】項(xiàng)目具備Web控制臺具備集中管理的Windows控制軟件臺部署具備獨(dú)立的日志分析中心可以獨(dú)立安裝數(shù)據(jù)庫可以在控制臺上顯示并控制所有探測器一個控制臺是否可管理多個探設(shè)備測器監(jiān)控管理一個探測器是否可以同時被多個控制臺監(jiān)控主、輔控制臺對各探測器的控制能力有明確的權(quán)限區(qū)別支持分布式探測,集中式管理支持多層管理多級的結(jié)構(gòu)是否受限制可管理多少級別支持管理權(quán)限劃分,不同級別管理方式的控制臺權(quán)限不同是否可以顯示該系統(tǒng)整體的部署拓?fù)鋱D或樹型結(jié)構(gòu)圖是否可以從主控給下級子控及子控的下級下發(fā)策略等規(guī)則文件主控是否可以有選擇的接收報(bào)警信息

測試結(jié)果 備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實(shí)用文案是否可以將下級的日志同步到通過 部分通過主控來(同步的內(nèi)容是可以自未通過 未測試行設(shè)定的)是否具備全局預(yù)警的功能(即通過 部分通過其中的一個子控可以收到其它未通過 未測試子控發(fā)來的報(bào)警信息)5.3防火墻內(nèi)置防火墻是 IPS的一種功能,IPS通過防火墻加強(qiáng)訪問控制。好的防火墻功能可以有效的阻斷攻擊?!緶y試目的】檢測IPS的防火墻功能?!緶y試結(jié)果】項(xiàng)目無防火墻規(guī)則情況下, 攻擊機(jī)訪問目標(biāo)機(jī)上的web服務(wù)配置防火墻規(guī)則情況下, 攻擊機(jī)訪問目標(biāo)機(jī)上的web服務(wù)驗(yàn)證實(shí)現(xiàn)動態(tài) /靜態(tài)地址轉(zhuǎn)換,反向地址轉(zhuǎn)換功能,實(shí)現(xiàn)一對一地址映射功能驗(yàn)證實(shí)現(xiàn)動態(tài) /靜態(tài)地址轉(zhuǎn)換,反向地址轉(zhuǎn)換功能,實(shí)現(xiàn)一對多地址映射功能防火墻功能驗(yàn)證實(shí)現(xiàn)動態(tài) /靜態(tài)地址轉(zhuǎn)換,反向地址轉(zhuǎn)換功能,實(shí)現(xiàn)多對多地址映射功能驗(yàn)證策略路由驗(yàn)證路由模式工作方式驗(yàn)證透明模式和非透明模式等工作方式

測試結(jié)果備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實(shí)用文案5.4攻擊特征庫管理攻擊特征是 IPS系統(tǒng)用來判斷什么是入侵行為的標(biāo)準(zhǔn),所以攻擊特征的質(zhì)量和數(shù)量都非常重要。某些 IPS系統(tǒng)還支持用戶自定義特征。本部分的測試要求入侵保護(hù)系統(tǒng)具有協(xié)議分析能力,可自定義基于應(yīng)用層協(xié)議的特征?!緶y試方法】測試IPS的攻擊特征庫的質(zhì)量和管理方便性。演示IPS產(chǎn)品的攻擊特征庫的策略編輯方法。演示IPS產(chǎn)品的攻擊特征的數(shù)量?!緶y試結(jié)果】項(xiàng)目測試結(jié)果備注攻擊規(guī)則庫按危險程度分類通過部分通過未通過未測試攻擊規(guī)則庫按服務(wù)類型分類通過部分通過未通過未測試對每個規(guī)則有詳細(xì)注釋說明,包括該攻擊影響的操作系統(tǒng)通過部分通過規(guī)則庫未通過未測試和解決方案管理可以對某條具體規(guī)則設(shè)置單通過部分通過獨(dú)的響應(yīng)方式未通過未測試可以對某類規(guī)則設(shè)置共同的通過部分通過響應(yīng)方式未通過未測試是否支持自定義新的規(guī)則通過部分通過未通過未測試5.5流量管理流量管理是 IPS的新增功能,主要通過協(xié)議,端口, IP及時間等要素對流量進(jìn)行管理?!緶y試目的】測試NIPS對流量的管理。文案大全實(shí)用文案【測試結(jié)果】項(xiàng)目測試結(jié)果備注驗(yàn)證BT,eMule協(xié)議進(jìn)行流量通過部分通過管理未通過未測試驗(yàn)證根據(jù)時間對流量進(jìn)行管通過部分通過流量管理未通過未測試?yán)眚?yàn)證根據(jù)IP地址對流量進(jìn)行通過部分通過管理未通過未測試驗(yàn)證根據(jù)端口對流量進(jìn)行管通過部分通過理未通過未測試5.6硬件BYPASS硬件BYPASS是IPS的一種增強(qiáng)功能,保證設(shè)備出現(xiàn)異常不工作時,網(wǎng)絡(luò)依然能夠暢通?!緶y試方法】將IPS接入實(shí)際網(wǎng)絡(luò);2檢測IPS在不加電、系統(tǒng)啟動到就緒過程中、系統(tǒng)出現(xiàn)異常不工作時, BYPASS功能是否有效?!緶y試結(jié)果】項(xiàng)目測試結(jié)果備注驗(yàn)證設(shè)備不加電時是否能夠處于ByPass通過部分通過狀態(tài)未通過未測試驗(yàn)證設(shè)備在系統(tǒng)啟動到就緒過程中是否通過部分通過能夠處于ByPass狀態(tài)未通過未測試驗(yàn)證設(shè)備在系統(tǒng)出現(xiàn)異常不工作時是否通過部分通過硬件BYPASS能夠處于ByPass狀態(tài)未通過未測試驗(yàn)證設(shè)備在系統(tǒng)異常切換到ByPass狀態(tài)后直接掉電是否能夠保持ByPass狀通過部分通過態(tài)未通過未測試驗(yàn)證網(wǎng)絡(luò)引擎設(shè)置強(qiáng)制硬件ByPass后通過部分通過能否正常處于ByPass狀態(tài)未通過未測試文案大全實(shí)用文案驗(yàn)證系統(tǒng)處于資源占用較高情況下通過部分通過watchdog能否保持正常工作未通過未測試驗(yàn)證設(shè)備運(yùn)行穩(wěn)定性通過部分通過未通過未測試5.7系統(tǒng)軟件、攻擊特征庫升級能力隨著攻擊手段的不斷更新,IPS系統(tǒng)也必須保持快速的升級和更新能力。包括軟件版本的升級和特征庫的更新,尤其是特征庫的及時更新非常重要。升級需要包括事件特征庫的升級以保持事件特征庫的最新,還需要包括軟件自身的升級(控制端及引擎端)【測試方法】測試IPS系統(tǒng)的升級方式有幾種。測試能否在控制臺上對IPS探測器進(jìn)行升級包的遠(yuǎn)程升級。3.演示事件特征庫的升級方式;4.演示控制端的升級方式;5.演示引擎端的升級方式;6.演示多級管理時事件庫及引擎的升級方式;【測試結(jié)果】項(xiàng)目測試結(jié)果備注支持在線升級通過部分通過控制軟件升未通過未測試級支持離線升級通過部分通過未通過未測試支持在線升級通過部分通過未通過未測試支持離線升級(規(guī)則庫升級包通過部分通過規(guī)則庫升級為EXE方式)未通過未測試規(guī)則庫更新的頻率(以公司網(wǎng)站為準(zhǔn),公司網(wǎng)站顯示規(guī)則升通過部分通過級內(nèi)容描述)未通過未測試文案大全實(shí)用文案5.8日志分析系統(tǒng)日志分析系統(tǒng)是事后進(jìn)行安全事件分析的重要工具,需要能夠根據(jù)用戶的需要產(chǎn)生各種形式的報(bào)告,如表格形式、柱狀圖、餅圖等,并且可以根據(jù)用戶需要設(shè)置各種過濾條件,如IP地址、事件名稱等,可以自動的產(chǎn)生日報(bào)、周報(bào)、月報(bào),并且可以導(dǎo)出成多種格式的文件?!緶y試方法】1. 演示日志分析系統(tǒng)(報(bào)表)的生成方式;2. 演示可支持的查詢條件;3. 演示可支持的導(dǎo)出格式;【測試結(jié)果】項(xiàng)目測試結(jié)果備注支持日志統(tǒng)計(jì)分析通過部分通過日志分未通過未測試析支持查詢分析通過部分通過未通過未測試生成事件的月報(bào)表通過部分通過未通過未測試生成流量的周報(bào)表通過部分通過報(bào)表文未通過未測試檔通過部分通過將生成的報(bào)表保存為doc未通過未測試通過部分通過將生成的報(bào)表保存為html未通過未測試任務(wù)定時給管理員發(fā)送報(bào)表通過部分通過未通過未測試定時日志備份通過部分通過日志管未通過未測試?yán)砣罩净謴?fù)通過部分通過未通過未測試文案大全實(shí)用文案通過部分通過日志清除未通過未測試通過部分通過日志歸并未通過未測試5.9事件過濾IPS基于時間、IP地址、編號、類型等條件組合對事件進(jìn)行過濾?!緶y試方法】將IPS接入實(shí)際網(wǎng)絡(luò);根據(jù)時間、IP地址、編號、類型等條件組合,察看事件過濾結(jié)果?!緶y試結(jié)果】項(xiàng)目 測試結(jié)果 備注通過 部分通過是否設(shè)置事件來源(地址、編號、類型)未通過 未測試通過 部分通過事件過濾 是否設(shè)置事件發(fā)生的時間未通過 未測試通過 部分通過是否設(shè)置事件結(jié)果及引擎所采取的動作未通過 未測試5.10 流量分析流量分析是入侵保護(hù)系統(tǒng)的重要組成部分,可以幫助用戶準(zhǔn)確地掌握當(dāng)前整個網(wǎng)絡(luò)各種協(xié)議的流量分布,以及占用最大帶寬的具體協(xié)議的用戶,好的協(xié)議流量分布技術(shù)需要具有直觀的顯示效果,而且應(yīng)該具有保存當(dāng)前帶寬分布圖功能?!緶y試方法】將IPS接入實(shí)際網(wǎng)絡(luò);演示協(xié)議流量分布效果圖;查看協(xié)議分布效果圖的刷新;察看占用當(dāng)前帶寬最大的某個協(xié)議的用戶列表;文案大全實(shí)用文案【測試結(jié)果】項(xiàng)目測試結(jié)果備注協(xié)議流量分布圖(要求直觀)通過部分通過未通過未測試協(xié)議流量分布圖的刷新時間通過部分通過可調(diào)未通過未測試可以察看占用最大帶寬的協(xié)通過部分通過議的前10位的用戶IP列表未通過未測試流量分析可以察看自定義協(xié)議流量占用最大帶寬的前10位的用戶通過部分通過IP列表未通過未測試可以察看常見協(xié)議流量占用最大帶寬的前10位的用戶IP通過部分通過列表(如http、smtp、pop3、未通過未測試BT等)5.11 自身安全性能作為安全產(chǎn)品其自身的安全性是一個很重要的因素,如果自身存在系統(tǒng)缺陷或設(shè)計(jì)缺陷話很容易被攻擊者利用從而使得安全系統(tǒng)失去自身的作用,掩蓋了其真實(shí)的攻擊行為?!緶y試方法】1. 查看其組件是否具備用戶審計(jì)模塊;2. 查看對于用戶的管理是否進(jìn)行了分組設(shè)置,對于每個組是否都有不同權(quán)限;【測試結(jié)果】項(xiàng)目測試結(jié)果備注是否具備用戶審計(jì)模塊通過部分通過自身安全未通過未測試性能通過部分通過是否支持用戶權(quán)限分組未通過未測試文案大全實(shí)用文案通過 部分通過對于不同的用戶是否可以賦予不同的權(quán)限未通過 未測試通過 部分通過對于每個用戶的是否具備登錄失敗處理未通過 未測試5.12 響應(yīng)方式IPS通過丟棄數(shù)據(jù)包、丟棄連截會話來主動防御,阻斷攻擊流量,同時采取告警等響應(yīng)方式。好的防護(hù)功

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論