实际环境下IPS测试方案(绿盟).doc-道客多多

资源描述

1、目录（Contents ）一. 测试需求 .4二. 测试单元 .52.1 静态测试 .52.2 功能测试 .5三. 测试环境 .63.1 网络连接平台 63.2 硬件设备 .63.3 软件环境 .73.4 攻击方法和相应工具的准备 7四. 静态测试 .8五. 功能测试 .105.1 产品初步评估 105.2 基本管理功能测试 105.3 防火墙 125.4 攻击特征库管理 135.5 流量管理 .135.6 硬件 BYPASS.145.7 系统软件、攻击特征库升级能力 .155.8 日志分析系统 165.9 事件过滤 .175.10 流量分析 .175.11 自身安全性能 185.12 响应方

2、式 .19一. 测试需求本着实事求是的态度，在项目建设前，对网络入侵保护产品（IPS）的实际测试。本次参与测试的公司有北京绿盟科技的 IPS：产品型号：中联绿盟信息技术有限公司 ICEYE-600P二. 测试单元一般而言，测试分为实验室测试和现场测试。本次测试均为现场测试，本次产品的现场测试包括四个部分：静态测试功能测试2.1 静态测试主要考察设备的外观、硬件配置、文档等。2.2 功能测试主要考查待测产品（设备）本身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功能测试中又分为基本功能和附属功能测试两个部分。三. 测试环境3.1 网络连接平台在实际环境中，设备部署在互联网出

3、口位置，测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测阻断、流量管理等功能。互联网防火墙入侵防御系统 IPS核心交换机企业内部网IPS的控制平台3.2 硬件设备1、计算机根据本规范下的测试平台，至少需要准备 1 台计算机，作为管理机，其最低的配置要求如下：CPU: PIII 800 以上RAM: 256M 以上NIC: 100/1000M 2、网络设备根据本规范下的测试平台，需要准备相应的网络环境。3.3 软件环境1、操作系统Windows 2000/xp/2003 (Chinese Version)3、辅助测试工具用于监控网

4、络流量，包括 sniffer pro、数据包录制软件。 3.4 攻击方法和相应工具的准备在测试当中，我们选取一些典型的攻击方法，用于功能测试。选择检测难度较大的攻击，这样可以比较 IPS 产品的引擎和攻击特征编写能力。选择最近出现的危害较大的攻击方法，这样可以比较 IPS 产品的攻击特征库更新频率，进而评估各供应商的的技术能力。选择能覆盖到各种常用协议和应用服务器的攻击，如 FTP、HTTP 、SMTP 等。四. 静态测试表格 1 基本情况产品情况产品基本情况结果1 产品名称2 测试版本号3 版本发布时间4 支持语言表格 2 硬件配置硬件情况产品硬件配置结果1 CPU2 内存3

5、硬盘4 网络接口表格 3 管理方式安装管理管理情况结果1 控制台软硬件需求2 管理方式3 远程管理支持4 远程管理认证方式5 是否有日志系统6 是否可自定义规则7 工作模式8 响应方式升级方式1 自动升级2 手动升级3 升级频度4 升级包获取方式5 升级是否断网表格 4 入侵保护能力：系统功能入侵保护能力结果1 阻断黑客攻击2 阻断蠕虫、网络病毒攻击3 阻断间谍软件4 阻断 P2P 下载软件5 阻断 IM 即时通讯软件6 阻断网络在线游戏7 阻断在线视频表格 5 其他功能：其他功能其他功能情况结果1是否支持硬件 BYPASS 功能2 是否支持内置防火墙五. 功能测试5.1 产品初步

6、评估产品初步评估是指对产品供应商的资质，产品本身的特性，内部配置，适用范围，技术支持能力，核心技术，产品本地化，产品认证等方面进行的书面的初步评估。项目测试结果备注OS 类型、版本界面语言接口数量产品类型产品技术实现本地化技术支持5.2 基本管理功能测试入侵保护系统的重要功能之一就是要体现其可管理性，主要包括对报警信息、对数据库的管理、对网络引擎及下级控制台等组件的管理，所以首先要考察该系统的管理能力。【测试方法】1 登录控制台界面（分别考察 WEB 控制台、windows 控制台）；2 查看其各组件的分布情况，包括管理界面、报警显示界面、数据库、日志查询系统；3 配置多级管理模式，满足控

7、制台控制台控制台引擎的部署结构；4 添加多个虚拟引擎（即只添加 IP）看其是否有数量限制；5 查看可支持的其他组件；【测试结果】项目测试结果备注具备 Web 控制台通过部分通过未通过未测试具备集中管理的 Windows 控制台通过部分通过未通过未测试具备独立的日志分析中心通过部分通过未通过未测试软件部署可以独立安装数据库通过部分通过未通过未测试可以在控制台上显示并控制所有探测器通过部分通过未通过未测试一个控制台是否可管理多个探测器通过部分通过未通过未测试一个探测器是否可以同时被多个控制台监控通过部分通过未通过未测试设备监控管理主、辅控

8、制台对各探测器的控制能力有明确的权限区别通过部分通过未通过未测试支持分布式探测，集中式管理通过部分通过未通过未测试支持多层管理通过部分通过未通过未测试多级的结构是否受限制可管理多少级别通过部分通过未通过未测试支持管理权限划分,不同级别的控制台权限不同通过部分通过未通过未测试是否可以显示该系统整体的部署拓扑图或树型结构图通过部分通过未通过未测试是否可以从主控给下级子控及子控的下级下发策略等规则文件通过部分通过未通过未测试管理方式主控是否可以有选择的接收报警信息通过部分通过未通过未测试是否可以将下级的日志同步到主控来（同步的内容是可以

9、自行设定的）通过部分通过未通过未测试是否具备全局预警的功能（即其中的一个子控可以收到其它子控发来的报警信息）通过部分通过未通过未测试5.3 防火墙内置防火墙是 IPS 的一种功能，IPS 通过防火墙加强访问控制。好的防火墙功能可以有效的阻断攻击。【测试目的】检测 IPS 的防火墙功能。【测试结果】项目测试结果备注无防火墙规则情况下，攻击机访问目标机上的 web 服务通过部分通过未通过未测试配置防火墙规则情况下，攻击机访问目标机上的 web 服务通过部分通过未通过未测试验证实现动态/静态地址转换，反向地址转换功能，实现一对一地址映射功能通过部分通过未通过

10、未测试验证实现动态/静态地址转换，反向地址转换功能，实现一对多地址映射功能通过部分通过未通过未测试验证实现动态/静态地址转换，反向地址转换功能，实现多对多地址映射功能通过部分通过未通过未测试验证策略路由通过部分通过未通过未测试防火墙功能验证路由模式工作方式通过部分通过未通过未测试验证透明模式和非透明模式等工作方式通过部分通过未通过未测试5.4 攻击特征库管理攻击特征是 IPS 系统用来判断什么是入侵行为的标准，所以攻击特征的质量和数量都非常重要。某些 IPS系统还支持用户自定义特征。本部分的测试要求入侵保护系统具有协议分析能力，可自定义基于应用层协议的

11、特征。【测试方法】1. 测试 IPS 的攻击特征库的质量和管理方便性。2. 演示 IPS 产品的攻击特征库的策略编辑方法。3. 演示 IPS 产品的攻击特征的数量。【测试结果】项目测试结果备注攻击规则库按危险程度分类通过部分通过未通过未测试攻击规则库按服务类型分类通过部分通过未通过未测试对每个规则有详细注释说明，包括该攻击影响的操作系统和解决方案通过部分通过未通过未测试可以对某条具体规则设置单独的响应方式通过部分通过未通过未测试可以对某类规则设置共同的响应方式通过部分通过未通过未测试规则库管理是否支持自定义新的规则通过部分通过未通过未测试5.

12、5 流量管理流量管理是 IPS 的新增功能，主要通过协议，端口，IP 及时间等要素对流量进行管理。【测试目的】测试 NIPS 对流量的管理。【测试结果】项目测试结果备注验证 BT，eMule 协议进行流量管理通过部分通过未通过未测试验证根据时间对流量进行管理通过部分通过未通过未测试验证根据 IP 地址对流量进行管理通过部分通过未通过未测试流量管理验证根据端口对流量进行管理通过部分通过未通过未测试5.6 硬件 BYPASS硬件 BYPASS 是 IPS 的一种增强功能，保证设备出现异常不工作时，网络依然能够畅通。【测试方法】1 将 IPS 接入实际网络；2 检

13、测 IPS 在不加电、系统启动到就绪过程中、系统出现异常不工作时，BYPASS 功能是否有效。【测试结果】项目测试结果备注验证设备不加电时是否能够处于ByPass 状态通过部分通过未通过未测试验证设备在系统启动到就绪过程中是否能够处于 ByPass 状态通过部分通过未通过未测试验证设备在系统出现异常不工作时是否能够处于 ByPass 状态通过部分通过未通过未测试硬件BYPASS验证设备在系统异常切换到 ByPass 状态后直接掉电是否能够保持 ByPass 状态通过部分通过未通过未测试验证网络引擎设置强制硬件 ByPass 后能否正常处于 ByPass 状态

14、通过部分通过未通过未测试验证系统处于资源占用较高情况下watchdog 能否保持正常工作通过部分通过未通过未测试验证设备运行稳定性通过部分通过未通过未测试5.7 系统软件、攻击特征库升级能力随着攻击手段的不断更新，IPS 系统也必须保持快速的升级和更新能力。包括软件版本的升级和特征库的更新，尤其是特征库的及时更新非常重要。升级需要包括事件特征库的升级以保持事件特征库的最新，还需要包括软件自身的升级（控制端及引擎端）【测试方法】1. 测试 IPS 系统的升级方式有几种。2. 测试能否在控制台上对 IPS 探测器进行升级包的远程升级。3演示事件特征库的升级方式；4演示控制端

15、的升级方式；5演示引擎端的升级方式；6演示多级管理时事件库及引擎的升级方式；【测试结果】项目测试结果备注支持在线升级通过部分通过未通过未测试控制软件升级支持离线升级通过部分通过未通过未测试支持在线升级通过部分通过未通过未测试规则库升级支持离线升级（规则库升级包为 EXE 方式）通过部分通过未通过未测试规则库更新的频率（以公司网站为准，公司网站显示规则升级内容描述）通过部分通过未通过未测试5.8 日志分析系统日志分析系统是事后进行安全事件分析的重要工具，需要能够根据用户的需要产生各种形式的报告，如表格形式、柱状图、饼图等，并且可以根据用户需要设置各种过

16、滤条件，如 IP 地址、事件名称等，可以自动的产生日报、周报、月报，并且可以导出成多种格式的文件。【测试方法】1 演示日志分析系统（报表）的生成方式；2 演示可支持的查询条件；3 演示可支持的导出格式；【测试结果】项目测试结果备注支持日志统计分析通过部分通过未通过未测试日志分析支持查询分析通过部分通过未通过未测试生成事件的月报表通过部分通过未通过未测试生成流量的周报表通过部分通过未通过未测试将生成的报表保存为 doc 通过部分通过未通过未测试报表文档将生成的报表保存为 html 通过部分通过未通过未测试任务定时给管理员发送报表通过部分通过

17、未通过未测试日志管理定时日志备份通过部分通过未通过未测试日志恢复通过部分通过未通过未测试日志清除通过部分通过未通过未测试日志归并通过部分通过未通过未测试5.9 事件过滤IPS 基于时间、IP 地址、编号、类型等条件组合对事件进行过滤。【测试方法】1 将 IPS 接入实际网络；2 根据时间、IP 地址、编号、类型等条件组合，察看事件过滤结果。【测试结果】项目测试结果备注是否设置事件来源（地址、编号、类型）通过部分通过未通过未测试是否设置事件发生的时间通过部分通过未通过未测试事件过滤是否设置事件结果及引擎所采取的动作通过部分通过未通过未

18、测试5.10 流量分析流量分析是入侵保护系统的重要组成部分，可以帮助用户准确地掌握当前整个网络各种协议的流量分布，以及占用最大带宽的具体协议的用户，好的协议流量分布技术需要具有直观的显示效果，而且应该具有保存当前带宽分布图功能。【测试方法】1 将 IPS 接入实际网络；2 演示协议流量分布效果图；3 查看协议分布效果图的刷新；4 察看占用当前带宽最大的某个协议的用户列表；【测试结果】项目测试结果备注协议流量分布图（要求直观）通过部分通过未通过未测试协议流量分布图的刷新时间可调通过部分通过未通过未测试可以察看占用最大带宽的协议的前 10 位的用户 IP 列表通过部分通过

19、未通过未测试可以察看自定义协议流量占用最大带宽的前 10 位的用户IP 列表通过部分通过未通过未测试流量分析可以察看常见协议流量占用最大带宽的前 10 位的用户IP 列表（如http、 smtp、pop3 、BT 等）通过部分通过未通过未测试5.11 自身安全性能作为安全产品其自身的安全性是一个很重要的因素，如果自身存在系统缺陷或设计缺陷话很容易被攻击者利用从而使得安全系统失去自身的作用，掩盖了其真实的攻击行为。【测试方法】1 查看其组件是否具备用户审计模块；2 查看对于用户的管理是否进行了分组设置，对于每个组是否都有不同权限；【测试结果】项目测试结果备注自身安全性能是否

20、具备用户审计模块通过部分通过未通过未测试是否支持用户权限分组通过部分通过未通过未测试对于不同的用户是否可以赋予不同的权限通过部分通过未通过未测试对于每个用户的是否具备登录失败处理通过部分通过未通过未测试5.12 响应方式IPS 通过丢弃数据包、丢弃连截会话来主动防御，阻断攻击流量，同时采取告警等响应方式。好的防护功能可以有效、迅速的阻断攻击，同时及时提醒网络管理员。【测试目标】测试 IPS 系统对于常见的响应方式。【测试方法】将 IPS 系统的策略置为最大值，应用最新的升级包。开启 IPS 阻断功能时对被攻击目标主机进行攻击，检测入侵保护系统的响应情况。【测试结果】项目测试结果备注阻断通过部分通过未通过未测试日志告警通过部分通过未通过未测试邮件告警通过部分通过未通过未测试运行用户自定义命令通过部分通过未通过未测试打印机输出通过部分通过未通过未测试响应方式SNMP Trap 通过部分通过未通过未测试防火墙联动通过部分通过未通过未测试TCP Killer 通过部分通过未通过未测试

展开阅读全文