入侵防御系統(tǒng)測試方案

IPSIPS測試方案第第10頁28頁網(wǎng)絡(luò)入侵防范系統(tǒng)測試方案目錄\l“_TOC_250053“參測產(chǎn)品狀況調(diào)查 4\l“_TOC_250052“表格一：測試產(chǎn)品根本狀況調(diào)查表 4\l“_TOC_250051“表格二：認證、檢測及鑒定狀況 4表格三：分值比例 5測試環(huán)境 5功能測試環(huán)境 5現(xiàn)網(wǎng)測試環(huán)境 6測試設(shè)備清單 6測試工具 6\l“_TOC_250050“測試總流程 7\l“_TOC_250049“測試預(yù)備 7\l“_TOC_250048“測試實施 7\l“_TOC_250047“測試記錄 7\l“_TOC_250046“測試報告 7\l“_TOC_250045“測試內(nèi)容 8\l“_TOC_250044“治理功能測試 8\l“_TOC_250043“引擎治理掌握功能 8\l“_TOC_250042“掌握中心根本治理功8\l“_TOC_250041“部署方式測9\l“_TOC_250040“策略編輯 9\l“_TOC_250039“準確報警 10\l“_TOC_250038“攻擊特征庫治理 10\l“_TOC_250037“自定義窗口顯示功11\l“_TOC_250036“大事過濾 11\l“_TOC_250035“動態(tài)策略 12\l“_TOC_250034“響應(yīng)方式 12\l“_TOC_250033“系統(tǒng)軟件、攻擊特征升級力量12\l“_TOC_250032“關(guān)心功能測試 13\l“_TOC_250031“用戶治理 13\l“_TOC_250030“用戶安全審13\l“_TOC_250029“報表分析功能1——TOP10統(tǒng)計 14\l“_TOC_250028“報表分析功能2——穿插報表 15\l“_TOC_250027“日志分析系15\l“_TOC_250026“攻擊測試 16\l“_TOC_250025“郵件病毒傳播保護測16\l“_TOC_250024“蠕蟲病毒傳播保護測17\l“_TOC_250023“系統(tǒng)漏洞攻擊〔攻擊包回放17\l“_TOC_250022“系統(tǒng)漏洞攻擊〔真實攻擊18\l“_TOC_250021“木馬連接保護測18\l“_TOC_250020“拒絕效勞攻19\l“_TOC_250019“IPS躲避攻擊 19\l“_TOC_250018“間諜廣告程序攻20\l“_TOC_250017“SQL注入攻20\l“_TOC_250016“URL過濾 21\l“_TOC_250015“其它攻擊測試 21\l“_TOC_250014“現(xiàn)網(wǎng)運行測試 22\l“_TOC_250013“多路IPS測試 22\l“_TOC_250012“IP、端口訪問掌握測23\l“_TOC_250011“帶寬治理測24\l“_TOC_250010“P2P下載檢測功24\l“_TOC_250009“網(wǎng)絡(luò)玩耍行25\l“_TOC_250008“網(wǎng)絡(luò)談天行25\l“_TOC_250007“在線視頻行25\l“_TOC_250006“惡意代碼網(wǎng)站檢測功26\l“_TOC_250005“現(xiàn)網(wǎng)測試延26\l“_TOC_250004“軟硬BYPAS功能測試 27\l“_TOC_250003“軟Bypass功能測試 27\l“_TOC_250002“硬Bypass功能測試 27\l“_TOC_250001“其他功能測試 28\l“_TOC_250000“測試結(jié)果綜述 28參測產(chǎn)品狀況調(diào)查表格一：測試產(chǎn)品根本狀況調(diào)查表工程說明產(chǎn)品信息產(chǎn)品生產(chǎn)廠家產(chǎn)品名稱及版本產(chǎn)品型號界面語言以太網(wǎng)監(jiān)聽口〔電口〕數(shù)量□標配個千兆光監(jiān)聽口特征庫攻擊特征數(shù)量特征庫的更周期產(chǎn)品的組成和部署產(chǎn)品組件探測器治理方式本地化技術(shù)支持本地化技術(shù)工程師數(shù)量應(yīng)急響應(yīng)大事處理力量

無有，標配 個，可擴展 個□探測器□治理器□其它，請注明表格二：認證、檢測及鑒定狀況工程說明公安部銷售許可證□有□無國家信息安全測試認證中心認證□有□無涉密信息系統(tǒng)產(chǎn)品檢測證書□有□無計算機軟件著作權(quán)登記證□有□無其他注明：其他注明：表格三：分值比例工程治理功能測試關(guān)心功能測試攻擊測試現(xiàn)網(wǎng)運行穩(wěn)定性〔3條線路〕軟硬Bypass功能測試其他功能測試

比例及說明15%〔人性化的治理有助于削減治理員的工作量〕10%〔報表等功能有助于治理員的總結(jié)和匯報〕40%〔準確阻斷乃IPS最主要功能〕20%〔多鏈路部署，不影響業(yè)務(wù)，現(xiàn)網(wǎng)告警準確〕10%〔軟硬Bypass是否好用為IPS關(guān)鍵功能〕5%〔其他方面的補充測試〕測試環(huán)境功能測試環(huán)境功能測試環(huán)境拓撲具體的主機配置如下：各主機的ip地址依據(jù)測試中IPS的部署方式不同而進展相應(yīng)的設(shè)置各主機均安裝Windows2023以上操作系統(tǒng)效勞器安裝IIS功能測試環(huán)境主要測試攻擊、病毒等在現(xiàn)網(wǎng)測試可能造成業(yè)務(wù)影響的工程?，F(xiàn)網(wǎng)測試環(huán)境現(xiàn)網(wǎng)環(huán)境實行多路NIPS部署，每路NIPS單獨防護一個ISP接入鏈路，一臺NIPS可以同時防護多條鏈路；目前包括DDN線路總共需要防護3條線路，每條線路實行透亮模式部署。不影響現(xiàn)有網(wǎng)絡(luò)接口和業(yè)務(wù)數(shù)據(jù)流程。NIPS的各路NIPS是相互獨立的，彼此之間沒有數(shù)據(jù)交換，互不干擾，保證了各鏈路流量的自身安全；NIPS實時監(jiān)測各種流量，供給從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護?，F(xiàn)網(wǎng)測試重點關(guān)注上網(wǎng)行為治理所用軟件和工具：遠程桌面連接工具、BT下載工具、QQ、MSN等測試設(shè)備清單測試設(shè)備序號名稱

數(shù) 硬件配置 操作系統(tǒng) 應(yīng)用軟件量入侵保護設(shè)備 1千兆交換機 1PC 4 CPU:P4以上 Windows2023/XPRAM:512M以上NIC:100/1000M

入侵保護引擎程序標準 1000MEthernet速率，100/1000MRJ45口治理掌握中心攻擊機與正常訪問客戶端測試工具序號序號12.3名稱Sniffer4.7Iris第三方合法測試工具有漏洞的效勞器角色/功能攻擊測試中回放攻擊包攻擊測試工具IISServer、Apache、Bind操作系統(tǒng)Win2023\xpWin2023\xp\LinuxWin2023\xp\Linux測試總流程測試預(yù)備測試前期的預(yù)備工作包括如下內(nèi)容：測試方案的編寫——借鑒國內(nèi)外各種IPS的測試方案并結(jié)合用戶自身的特點及本次工程的需求編寫此方案。2.12.2網(wǎng)部署要求在現(xiàn)網(wǎng)測試。測試工具的整理——回放的攻擊都為測試前用Iris性和測試的全都性。其他測試手段——為了完整表達IPS的全面防范攻擊的力量。評分標準測試之前由測試單位統(tǒng)一制定，測試開頭前，參測廠商可以提出異議，一旦測試正式開頭，參測廠商無法不得異議。測試實施參測廠商可派1－2名技術(shù)人員在現(xiàn)場操作，廠家的測試環(huán)境搭建完成后不得擅自廠商的測試資格。測試記錄異議要在測試現(xiàn)場提出，測試記錄由雙方簽字確認后生效，并不得更改。測試報告在測試完成后由測試單位對測試結(jié)果進展評估，并對參測廠商出具最終正式測試報告〔電子文檔和紙質(zhì)。測試內(nèi)容治理功能測試引擎治理掌握功能測試工程測試目的測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

治理掌握功能IPS的掌握中心對引擎的掌握和治理力量12345ping被攻擊機123ping操作可以在顯示中心正常報警〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：掌握中心根本治理功能測試工程測試目的測試步驟預(yù)期結(jié)果

根本治理功能IPS系統(tǒng)的根本治理功能1、登錄掌握治理端界面〔分別考察WEBwindows掌握臺〕2日志查詢系統(tǒng)；3、配置多級治理模式，滿足掌握臺——掌握臺——掌握臺——引擎的部署構(gòu)造；4〔即只添加IP〕看其是否有數(shù)量限制；5、查看可支持的其他組件；具備獨立的掌握臺web掌握臺和windows掌握臺具備獨立的報警顯示界面可以設(shè)置多個報警顯示界面測試結(jié)果結(jié)果說明簽字確認

具備獨立的日志分析中心可以在掌握臺上顯示并掌握全部探測器掌握臺可治理多個探測器有圖形化的設(shè)備顯示可以通過設(shè)備拓撲圖對設(shè)備進展治理系統(tǒng)支持網(wǎng)絡(luò)時間同步〔NTP〕〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：部署方式測試測試工程測試目的

部署方式支持多種部署方式，以適應(yīng)各種網(wǎng)絡(luò)環(huán)境，包括路由模式，交換模式，直通模式等。依據(jù)測試拓撲將IPS接入網(wǎng)絡(luò)；利用IPS的前兩個接口將IPS分別配置為路由模式，透亮模式，DIRECT直通模式，并測試IPS兩接口間網(wǎng)絡(luò)是否通暢。在上述任一種模式中〔例如直通模式〕，將第三個接口配置為監(jiān)聽測試步驟口，并用筆記本接在監(jiān)聽口上，用sniffer回放一種攻擊包，查看IPS是否有告警，測試監(jiān)聽口是否生效?；旌夏Ｊ降臏y試，由于時間關(guān)系，可任意選擇兩種模式，利用1－2，3－4兩組端口分別配置兩種模式，進展組合測試。也可依據(jù)狀況增加測試項。12預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

34/監(jiān)聽模式5NAT模式〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：策略編輯測試工程測試工程測試目的策略編輯IPS的策略定義力量測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

12test，針對協(xié)議不同字段設(shè)置各種參數(shù)。3、翻開策略test，并針對某一條大事定義響應(yīng)方式4TCP協(xié)議的大事5/導(dǎo)入策略1240種3、可以單獨對某一條大事定義響應(yīng)方式，也可以批量針對多條大事定義響應(yīng)方式45〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：準確報警測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

準確報警考察入侵防范系統(tǒng)針對具體環(huán)境對入侵大事做進一步準確分析的力量查看環(huán)境匹配窗口中的報警內(nèi)容1、在顯示中心的環(huán)境匹配信息設(shè)置中，配置好被攻擊機的相關(guān)信息，包括主機名、IP地址、操作系統(tǒng)類型、協(xié)議=TCP、端口=802、翻開環(huán)境匹配報警窗口3windows攻擊機上承受GUI_Unicode工具對被攻擊機發(fā)起Unicode攻擊41Unicode攻擊大事作為經(jīng)過環(huán)境匹配后的準確大事，將在環(huán)境匹配窗口中報警，同時也在高級大事窗口中進展報警〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：攻擊特征庫治理測試工程測試目的測試方法

攻擊特征庫治理考察入侵防范系統(tǒng)具有協(xié)議分析力量，可自定義基于應(yīng)用層協(xié)議的特征測試IPS的攻擊特征庫的質(zhì)量和治理便利性。演示IPS產(chǎn)品的攻擊特征庫的策略編輯方法。演示IPS產(chǎn)品的攻擊特征的數(shù)量。測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

1、各廠家產(chǎn)品操作過程不同，自行演示攻擊規(guī)章庫按危急程度分類23456〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：自定義窗口顯示功能測試工程測試目的測試方法測試步驟

自定義窗口顯示功能驗證入侵防范系統(tǒng)是否支持窗口自定義及窗口過濾功能在入侵防范系統(tǒng)界面增加窗口，并讓該窗口只顯示IP為×××的報警信息12IP3sniffer2全都4預(yù)期結(jié)果12測試結(jié)果〔〕通過 〔〕未通過〔〕未測試結(jié)果說明簽字確認主測方：參測方：大事過濾測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明

大事過濾驗證入侵防范系統(tǒng)是否基于時間、IP地址、編號、類型等條件組合對不關(guān)心的大事進展過濾依據(jù)時間、IP地址、編號、類型等條件組合進展過濾，觀察大事過濾結(jié)果各廠家產(chǎn)品操作過程不同，自行演示1〔地址、編號、類型〕設(shè)置的過濾條件生效23〔〕通過 〔〕未通過 〔〕未測試簽字確認簽字確認主測方：參測方：動態(tài)策略測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

動態(tài)策略檢查入侵防范系統(tǒng)是否支持依據(jù)預(yù)設(shè)的大事發(fā)生頻率來動態(tài)調(diào)整策略中應(yīng)用的響應(yīng)方式、合并條件以及過濾條件，從而削減報警日志量或者自動對高級大事調(diào)高相應(yīng)級別定義好動態(tài)策略〔規(guī)章，觸發(fā)大事，查看策略的有效性123=ICMP_PING_長度特別，閥值=5條/分鐘，大事級別調(diào)整為“高級大事=依據(jù)源IP并；45、觸發(fā)大事：pingIPL10000t，查看報警“ICMP_PING_長度特別”大事的報警級別自動調(diào)整為高級〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：響應(yīng)方式測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

響應(yīng)方式考察入侵防范系統(tǒng)對入侵大事的相應(yīng)手段是否豐富敏捷通過界面操作和溝通的方式呈現(xiàn)各種響應(yīng)方式現(xiàn)場演示和溝通介紹產(chǎn)品支持的響應(yīng)方式包括以下幾種：12345、rst阻斷6、防火墻聯(lián)動78、全局預(yù)警〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：系統(tǒng)軟件、攻擊特征升級力量測試工程測試目的

軟件、攻擊特征升級力量IPS系統(tǒng)也必需保持快速的升級和更力量更，尤其是特征庫的準時更格外重要測試方法 1. 測試IPS系統(tǒng)的升級方式有幾種。測試能否在掌握臺上對IPS探測器進展升級包的遠程升級。演示大事特征庫的升級方式；演示掌握端的升級方式；演示引擎端的升級方式；演示多級治理時大事庫及引擎的升級方式；測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

現(xiàn)場演示和溝通介紹1、掌握軟件升級支持在線升級2、掌握軟件升級支持離線升級3、規(guī)章庫升級支持在線升級4、規(guī)章庫升級支持離線升級5〔〕〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：關(guān)心功能測試用戶治理測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

用戶治理功能IPS系統(tǒng)是否具備角色、權(quán)限的治理安排力量嘗試增加、刪除治理員賬戶，修改治理員權(quán)限1、登錄用戶治理審計模塊2、添加治理員賬戶test/venus1233test的治理權(quán)限4test賬戶1〔分為治理員、審計員、用戶等角色〕23〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：用戶安全審計測試工程測試工程用戶安全審計測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

考察入侵防范系統(tǒng)的自身安全性檢查入侵防范系統(tǒng)的用戶治理功能和治理IP的安全性1234、除了系統(tǒng)自帶的口令認證方式外是否還有其他的關(guān)心認證方式或預(yù)留接口56Ping引擎的治理端口ip驗證治理端口是否屏蔽了ping12345678、治理端口已經(jīng)屏蔽Ping9、監(jiān)聽端口沒有IP〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：1——TOP10統(tǒng)計測試工程測試目的測試方法測試步驟預(yù)期結(jié)果測試結(jié)果結(jié)果說明簽字確認

報表分析功能1——TOP10統(tǒng)計檢查入侵防范系統(tǒng)的TOP統(tǒng)計功能承受報表分析系統(tǒng)對大事進展統(tǒng)計分析12、鼠標選中報表模板中的“攻擊類型統(tǒng)計依據(jù)攻擊類型統(tǒng)計的報表，并導(dǎo)出到doc格式3、鼠標選中報表模板中的“源地址統(tǒng)計源地址統(tǒng)計的報表，并導(dǎo)出到doc格式4依據(jù)目的地址統(tǒng)計的報表，并導(dǎo)出到doc格式1TOP10報表2TOP10報表3TOP10報表〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：報表分析功能2——穿插報表測試工程測試目的測試方法測試步驟

穿插報表考察入侵防范系統(tǒng)的報表分析中，是否具備多個特征的關(guān)聯(lián)查詢的力量查看產(chǎn)品的穿插報表查詢結(jié)果1、啟動日志分析模塊；2、配置需要查詢的時間段；3、查看穿插報表；預(yù)期結(jié)果 1、可以依據(jù)大事類型跟源地址、目的地址、引擎設(shè)備等形成關(guān)聯(lián)報表234、可以依據(jù)目的地址跟大事類型、危急級別等形成關(guān)聯(lián)報表5、可以依據(jù)引擎設(shè)備跟大事類型、危急級別等形成關(guān)聯(lián)報表6測試結(jié)果結(jié)果說明簽字確認

〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：日志分析系統(tǒng)測試工程測試目的測試方法

日志分析力量能夠依據(jù)用戶的需要產(chǎn)生各種形式的報告，如表格形式、柱狀圖、餅圖等，并且可以依據(jù)用戶需要設(shè)置各種過濾條件，如IP地址、大事名稱等，可以自動的產(chǎn)生日報、周報、月報，并且可以導(dǎo)出成多種格式的文件。演示日志分析系統(tǒng)〔報表〕的生成方式；演示可支持的查詢條件；演示可支持的導(dǎo)出格式；預(yù)期結(jié)果12345html6789測試結(jié)果〔〕通過 〔〕未通過〔〕未測試結(jié)果說明簽字確認主測方：參測方：攻擊測試攻擊測試應(yīng)包括真實攻擊測試與攻擊數(shù)據(jù)包回放兩局部工具在測試環(huán)境下對有漏洞的目標系統(tǒng)執(zhí)行攻擊，用于測試IPS對最消滅的嚴峻漏洞攻擊數(shù)量的攻擊測試；攻擊數(shù)據(jù)包回放承受收集到的攻擊報文數(shù)據(jù)，將攻擊場景回放到IPS的監(jiān)聽端口來測試IPS的檢測力量，由于只需回放數(shù)據(jù)流，對測試環(huán)境的要求相對較低，可試工具。真實攻擊測試相關(guān)的具體攻擊工程的選擇應(yīng)符合如下標準：攻擊工具完全由第三方獨立開發(fā)和維護。攻擊工程應(yīng)當是最近最的嚴峻威逼級別的攻擊。攻擊工具應(yīng)當具有躲避IPS檢測的功能，可以對IPS的抗攻擊變形力量進展考察?；胤殴魯?shù)據(jù)相關(guān)的具體攻擊工程應(yīng)符合如下選擇標準：掩蓋到盡可能多的常用協(xié)議和應(yīng)用，如、SMTP、FTP、IM、P2P等。相關(guān)的應(yīng)用軟件使用比較廣泛，比方微軟Windows系統(tǒng)相關(guān)的網(wǎng)絡(luò)效勞。攻擊相關(guān)的漏洞是比較近的，比方選擇2023年以后漏洞攻擊。測試方法真實攻擊測試：選用集成化的第三方攻擊測試軟件MetaSploit“://metasploit/“3.0(://metasploit/)裝配置MetaSploit3.0，在目標機器上安裝一個默認配置的Widnows2023Server中文版，翻開攻擊測試必要的網(wǎng)絡(luò)效勞，也可以在目標機器上運行VMWare類的虛擬機作為被攻擊的目標，配置IPS過濾從攻擊機器到目標機器的流量，依次執(zhí)行選擇的攻擊工程，檢查IPS的告警和阻斷狀況。IRIS的攻擊機接入網(wǎng)絡(luò)，NIPS的一NIPS掌握臺上是否能夠產(chǎn)生告警，去除告警信息后執(zhí)行下一個測試。郵件病毒傳播保護測試測試工程測試目的測試步驟

1IPS針對病毒傳播的所供給的保護功能12預(yù)期結(jié)果預(yù)期結(jié)果VIRUS_POP3_vbs.capSMTP_MydoomAC.capVIRUS_SMTP_pif.cap攜帶病毒附件的郵件接收不成功，IPS對“病毒”阻斷成功并有報警信息POP3效勞接收VBS病毒郵件SMTP效勞發(fā)送Mydoom.AC蠕蟲病毒附件SMTP效勞發(fā)送可疑病毒附件測試結(jié)果結(jié)果備注簽字確認〔〕通過〔〕未通過〔〕未測試主測方：參測方：蠕蟲病毒傳播保護測試測試工程測試目的測試步驟預(yù)期結(jié)果

蠕蟲病毒傳播保護測試IPS針對病毒傳播的所供給的保護功能12CodeRed_worm_unicode.capCodeRed_worm_.capSasser_worm.capSlammer_worm.cap病毒體下載不成功，IPS對蠕蟲病毒阻斷成功并有報警信息CodeRed蠕蟲利用Unicode漏洞攻擊CodeRed蠕蟲傳播Sasser〔震蕩波〕蠕蟲傳播Slammer蠕蟲攻擊測試結(jié)果結(jié)果備注

〔〕通過

〔〕未通過 〔〕未測試簽字確認 主測方： 參測方：系統(tǒng)漏洞攻擊〔攻擊包回放〕測試工程測試目的測試步驟預(yù)期結(jié)果

系統(tǒng)漏洞攻擊測試IPS針對針對系統(tǒng)漏洞的攻擊所供給的保護功能12FTP_wuftpd_site_exec.capMSRPC_dcom_remote_overflow.capIIS_unicode_decode.capIPS對攻擊包阻斷成功并有報警信息Wu-ftpdWu-ftpdSITEEXEC命令溢出攻擊BUGTRAQID:1387CVE(CAN)ID:CVE-2023-0573IISUnicode解碼漏洞攻擊BUGTRAQID:1806CVE(CAN)ID:CVE-2023-0884微軟RCPDCOM接口溢出攻擊BUGTRAQID:8205CVE(CAN)ID:CVE-2023-0352測試結(jié)果結(jié)果備注簽字確認〔〕通過〔〕未通過〔〕未測試主測方：參測方：系統(tǒng)漏洞攻擊〔真實攻擊〕測試工程測試目的測試步驟預(yù)期結(jié)果

系統(tǒng)漏洞攻擊測試IPS針對針對系統(tǒng)漏洞的攻擊所供給的保護功能1234Metasploit工具對應(yīng)用程序漏洞進展利用，檢測漏洞利用的效果5IPS防護規(guī)章64步和第五步，比照效果IPS對掃描行為報警，依據(jù)IPS策略設(shè)置阻斷高風險的漏洞掃描插件IPS對Metasploit攻擊阻斷。測試結(jié)果結(jié)果備注

〔〕通過

〔〕未通過 〔〕未測試簽字確認 主測方： 參測方：木馬連接保護測試測試工程測試目的測試步驟

1IPS針對木馬連接的所供給的保護功能1、依據(jù)拓撲圖搭建測試環(huán)境2、在被攻擊機上種植木馬效勞器端，在攻擊機上安裝木馬客戶端3、從攻擊機向被攻擊機發(fā)起連接，觀看被攻擊機能否被攻擊機掌握4、回放木馬連接的數(shù)據(jù)包，觀看IPS報警Backdoor_Netbus.capBackdoor_NetbusPro.cap預(yù)期結(jié)果木馬連接被IPS檢測并阻斷，無法連接成功回放數(shù)據(jù)包時，IPS有準確報警NetBus木馬NetBusPro木馬灰鴿子木馬MINI版網(wǎng)絡(luò)神偷木馬測試結(jié)果〔〕通過 〔〕未通過〔〕未測試結(jié)果備注簽字確認主測方：參測方：Backdoor_huigezi_mini.capBackdoor_netthief.cap拒絕效勞攻擊Backdoor_huigezi_mini.capBackdoor_netthief.cap測試工程測試目的測試步驟預(yù)期結(jié)果

拒絕效勞攻擊測試IPS針對拒絕效勞攻擊所供給的保護功能12、回放拒絕效勞攻擊數(shù)據(jù)包FTPIISwildcardDOSS(s).capudpflood.capsmarfattack.captcpscan-syn-ack.capIPS對攻擊包阻斷成功并有報警信息WindowsNTIIS/4.0FTPNLST命令遠程拒絕效勞攻擊UDP-Flood漂浮拒絕效勞攻擊ICMP-Flood漂浮拒絕效勞攻擊效勞器端口掃描－SYNACK掃描測試結(jié)果結(jié)果備注

〔〕通過

〔〕未通過 〔〕未測試簽字確認 主測方： 參測方：IPS躲避攻擊測試工程測試目的測試步驟

IPS躲避攻擊測試IPS針對IPS躲避攻擊所供給的保護功能依據(jù)拓撲圖搭建測試環(huán)境，回放拒絕效勞攻擊數(shù)據(jù)包frag1.cap一組經(jīng)過分片的攻擊工程Frag2.cap一組經(jīng)過分片的攻擊工程whisker1.cap一組經(jīng)過特別編碼的攻擊工程Whisker8.cap一組經(jīng)過特別編碼的攻擊工程預(yù)期結(jié)果預(yù)期結(jié)果IPS對攻擊包阻斷成功并有報警信息測試結(jié)果結(jié)果備注簽字確認〔〕通過〔〕未通過〔〕未測試主測方：參測方：間諜廣告程序攻擊測試工程測試目的測試步驟預(yù)期結(jié)果

間諜廣告程序攻擊測試IPS針對間諜廣告程序攻擊所供給的保護功能依據(jù)拓撲圖搭建測試環(huán)境，回放間諜廣告程序攻擊數(shù)據(jù)包adware_sbwlm_s_newdotnet-download.capadware_sewlm_s_favoriteman-download.capIPS對攻擊包阻斷成功并有報警信息Windows系統(tǒng)下AdwareNewDotNet下載安裝程序Windows系統(tǒng)下AdwareFavoriteMan下載安裝程序測試結(jié)果結(jié)果備注

〔〕通過

〔〕未通過 〔〕未測試簽字確認 主測方： 參測方：SQL注入攻擊測試工程測試目的測試方法測試步驟預(yù)期結(jié)果

SQL注入攻擊防護測試IPS是否可以檢測并阻斷SQL注入攻擊，保證效勞器的安全SQL注入攻擊工具對目標站點進展SQL注入攻擊，使用IPS進展阻斷保護1WEBSQL注入漏洞的程序，apache效勞器，mysql數(shù)據(jù)庫和PHP環(huán)境2GET方式手工提交SQL注入語句3POST方式手工提交SQL注入語句4cookie方式手工提交SQL注入語句5SQL注入的數(shù)據(jù)包，觀看IPS報警PhpBB_viewtopic_SQL_inject.capComplete-PHP-Counter_list_SQL_inject.capPHP-Nuke_Your-Account_SQL_inject.cap攻擊行為會被IPS檢測到并阻斷，攻擊不成功回放數(shù)據(jù)包時，IPS有準確報警phpBBviewtopic.phpSQL注入攻擊攻擊CompleteCompletePHPCounterlist.phpSQL注入攻擊PHP-NukeYour_Account模塊SQL注入攻擊測試結(jié)果結(jié)果備注簽字確認〔〕通過〔〕未通過〔〕未測試主測方：參測方：URL過濾測試工程測試目的測試方法測試步驟預(yù)期結(jié)果

URL過濾IPS是否可以針對指定URL進展過濾，同時考察IPS支持大事自定義的力量正常狀況下訪問URL，查看訪問結(jié)果，設(shè)定IPS過濾策略后再次訪問該URL，訪問應(yīng)當被限制1IE訪問某站點，如“://sina.cn/“sina.cn，可以正確訪問2IPStestip_dip=sinaIP，并設(shè)定響+串行RST+IPsina，訪問不成功3、修改2_url_str^sina或_url^sin策略，再訪問“://sina.cn/“sina.cn，訪問不成功4、編輯策略，修改大事test的響應(yīng)方式，設(shè)置阻斷過濾條件〔時間條件時間段外訪問“://sina.cn/“sina.cn，訪問不成功IPS可以依據(jù)IP、URL和時間來對指定URL進展過濾IPS具備網(wǎng)絡(luò)特征大事自定義力量測試結(jié)果結(jié)果備注

〔〕通過

〔〕未通過 〔〕未測試簽字確認 主測方： 參測方：其它攻擊測試本項測試主要考察IPSIris或Sniffercap包方式進展：攻擊類型大事名稱TCP_Ipswitch_IMail_LDAP_Daemon_遠程緩沖區(qū)溢出漏洞利用SMTP_命令參數(shù)_緩沖區(qū)溢出攻擊嘗試_IIS_idq_緩沖區(qū)溢出攻擊溢出攻擊ftp_aix_溢出漏洞.capApache_win32_分塊編碼漏洞.capidq-ida.capRPC_snmpxdmidoverflow.dmpSMTP_EXPN_溢出攻擊.cap

測試結(jié)果 備注探測和掃描枚舉攻擊IIS攻擊測試結(jié)果結(jié)果說明簽字確認

TELNET_Solaris_Telnet_溢出漏洞.capTCP_CDE_dtspcd緩沖區(qū)溢出攻擊嘗試.capSNMP_NODEMGR_遠程緩沖區(qū)溢出漏洞利用FTP_口令窮舉探測TDS_MS-SQL_口令窮舉探測ICMP_Smurf_拒絕效勞攻擊應(yīng)答及網(wǎng)絡(luò)探測SCAN_UDP端口掃描SCAN_SYNONLY_TCP端口掃描msdac.capWindowsNTIISMSDACRDS遠程命令執(zhí)行漏洞掃描探測30__Nessus_CGI_掃描.dmp 漏洞掃描器Nessus掃描探測CGI漏洞WEB_APACHE-ASPattack.dmpApache::ASPsource.asp腳本漏洞掃描探測SCAN_ICMP掃描探測NetBIOS disk enumeration S -30498.capWindowsSMB枚舉系統(tǒng)磁盤信息操作NetBIOSshareenumerationS(s).capWindowsSMB枚舉系統(tǒng)共享操作dvwssroverflow.cap擴展觀察CGI腳根源代碼攻擊aspoverflow.capISAPI擴展遠程緩沖區(qū)溢出攻擊printeroverflow.capISAPI擴展映射遠程緩沖區(qū)溢出攻擊_iishack.htr.dmpISAPI擴展遠程緩沖區(qū)溢出攻擊www_gowhh_u_webdav.capWebDAV遠程緩沖區(qū)溢出攻擊〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：現(xiàn)網(wǎng)運行測試IPS測試一臺IPS能否支持多條線路接入也是評判IPS的一個標準。支持多路的IPS能夠極大節(jié)約用戶的投資，提升性價比。的部署，這樣可以為不同的網(wǎng)絡(luò)，不同的主機，不同的時間段來供給特制的檢測規(guī)章的大大提升IPS部署配置的敏捷性。物理多路是指不同的部署方式下用多個物理接口實現(xiàn)供給多個網(wǎng)絡(luò)接入虛擬多路是在每個物理通道下，依據(jù)不同的IP，時間和動作這些對象來創(chuàng)立多組檢測防護規(guī)章，避開一條物理鏈路只能用一組規(guī)章的為難局面。測試工程測試目的測試方法測試步驟

IPS測試IPS能否支持多條線路接入，依據(jù)現(xiàn)網(wǎng)環(huán)境，至少3條線路防護用多個物理接口實現(xiàn)供給多個網(wǎng)絡(luò)接入，多條網(wǎng)絡(luò)通路在每個物理通道下，依據(jù)不同的IP，時間和動作這些對象來創(chuàng)立多組檢測防護規(guī)章1,2口、3,45、6口分別配置為兩路直通模式，在兩路內(nèi)分別設(shè)置不同的入侵保護規(guī)章。交換模式物理多路測試：將全部接口均配置在不同的透亮模式(lay2)區(qū)域，在不同的接口之間分別設(shè)置不同的入侵保護規(guī)章。直通模式虛擬多路測試：將IPS任兩個接口配置為直通模式，在這兩個接口之間，一條物理鏈路里，依據(jù)不同的IP/時間等對象配置多條入侵保護規(guī)章，實現(xiàn)不同的網(wǎng)絡(luò)訪問有不同的入侵保護。交換模式虛擬多路測試：將IPS任兩個接口配置在同一個透亮模式區(qū)域中，在這兩個接口之間，一條物理鏈路里，依據(jù)不同的IP/時間等對象配置多條入侵保護規(guī)章，實現(xiàn)不同的網(wǎng)絡(luò)訪問有不同的入侵保護。預(yù)期結(jié)果直通模式物理多路測試交換模式物理多路測試直通模式虛擬多路測試交換模式虛擬多路測試測試結(jié)果結(jié)果說明簽字確認

〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：IP、端口訪問掌握測試測試工程測試目的測試方法測試步驟

IP、端口訪問掌握測試IPS能否支持IP地址過濾和端口過濾功能內(nèi)置防火墻是IPS的一種功能，IPS能可以有效的阻斷攻擊。IPS配置界面上定義測試環(huán)境中的IP組，時間段和效勞類型；測試無規(guī)章時防火墻兩邊的通信；測試添加規(guī)章后防火墻兩邊的通信是否依據(jù)規(guī)章執(zhí)行；分別設(shè)置一對一，一對多，多對多地址映射，測試防火墻NAT功能；設(shè)置一條策略路由〔源路由〕，測試策略路由功能。預(yù)期結(jié)果 支持對象定義和基于對象的策略配置，對象包括IP/時間/效勞無防火墻規(guī)章狀況下，攻擊機訪問目標機上的web效勞，不能訪問配置防火墻規(guī)章狀況下，攻擊機訪問目標機上的web效勞，可以訪問支持一對多地址映射功能、一對一地址映射功能配置一條策略路由，驗證策略路由功能測試結(jié)果結(jié)果說明簽字確認

〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：帶寬治理測試測試工程測試目的測試步驟

帶寬治理測試IPS能否支持通過協(xié)議，端口，IP準時間等要素對流量進展治理在IPS上設(shè)置帶寬治理規(guī)章〔效勞為any〕，用兩臺客戶端下載大文件，來測試帶寬治理功能里的流量限制功能；telnet來測試IPS的帶寬治理功能中的會話數(shù)限制功能；在IPS上設(shè)置基于協(xié)議的的帶寬治理規(guī)章〔效勞為訊雷或者其他P2P〕，用客戶端訊雷工具下載電影文件，來測試帶寬治理功能里的流量限制功能；設(shè)置一個時間段，并應(yīng)用與某個帶寬治理規(guī)章，測試在時間段內(nèi)或外的帶寬治理功能是否生效。預(yù)期結(jié)果可以限制網(wǎng)絡(luò)間的最大流量和每個IP的最大流量以限制網(wǎng)絡(luò)中的最大會話數(shù)和每個IP的最大會話數(shù)可以基于協(xié)議〔如FTP、訊雷、BT〕進展帶寬治理可以基于時間對象進展帶寬治理測試結(jié)果結(jié)果說明簽字確認

〔〕通過 〔〕未通過 〔〕未測試主測方： 參測方：P2P下載檢測功能測試工程測試目的測試步驟

P2P下載檢測功能IPS能否支持P2P下載檢測功能現(xiàn)網(wǎng)測試一段時間后觀看告警時間中關(guān)于P2P下載檢測針對局部IP設(shè)置P2P下載阻斷行為，在客戶端驗證效果預(yù)期結(jié)果 識別超過110種以上各類主流P2P應(yīng)用軟件及其變種，并可針對加密型以及測試結(jié)果結(jié)果說明簽字確認

非加密型P2P下載進展實時阻斷和治理。包括emule、bitComet、poco、kamun、openext、迅雷、百寶、kugoo、maze、vagaa、ares、kazaa、dc++、winmx、脫兔等?！病惩ㄟ^ 〔〕未通過 〔〕未測試主測方： 參測方：網(wǎng)絡(luò)玩耍行為測試工程測試工程測試目的測試步驟預(yù)期結(jié)果網(wǎng)絡(luò)玩耍檢測功能IPS能否支持網(wǎng)絡(luò)玩耍檢測功能現(xiàn)網(wǎng)測試一段時間后觀看告警時間中關(guān)于網(wǎng)絡(luò)玩耍檢測針對局部IP設(shè)置網(wǎng)絡(luò)玩耍阻斷行為，在客戶端驗證效果能夠阻斷和掌握cs、starcraft、quake、中國玩耍中心、浩方平臺、泡泡堂、傳奇世界、大話西游、封神榜、劍俠情緣、聯(lián)眾玩耍、坦克珍寶、石器時代、warcraft、魔獸世界、黃金島、江湖等主流的網(wǎng)絡(luò)玩耍。測試結(jié)果結(jié)果說明簽字確認〔〕通過〔〕未通過〔〕未測試主測方：參測方：網(wǎng)絡(luò)談天行為測試工程測試工程測試目的測試步驟預(yù)期結(jié)果網(wǎng)絡(luò)談天檢測功能IPS能否支持網(wǎng)絡(luò)談天檢測