1、入侵检测测试方案模拟测试目的是检测设备对入侵特征库的覆盖情况,实际测试目的是观察设备在 Internet 背景下 IPS 所表现的实际能力。第一部份 模拟测试1.1 测试环境AtackLog-servr1.2 测试条件Attack 安装专业测试入侵特征库的 Blade software,Log-server 安装Kiwi_Syslogd.exe 日志记录软件。1.3 测试配置1.3.1 分别连接 Attack 到 ASA 的 outside 和 inside 接口1.3.2 配置 AIP-SSM 监控流量1.3.3 配置 ASA 将 log 发送到 Log-server 上1.3.4 在 ou
2、tside 口发起攻击包括两部份,一是设置,二是实施攻击。设置 setting如图所示,标记共有四处。1、2 处的设置相似,用作设置 NIC1 和 NIC2. 注意选择对应的网卡类型,对应的 MAC 地址,对应的 IP 地址和网关的 MAC 地址;3 处钩选以便设定网关的 MAC 地址;4 处设定每个攻击的时间间隔,设定为3s。如果攻击的间隔太短部分数据包会被 Firewall 核心拒绝,不会到 IDS 引擎。2)攻击 Attack选择全部攻击模拟库,点击 Run Attack 按钮。1.4 测试结果:在 Kiwi Syslog Server 上会实时记录 ASA 检测到的入侵活动,根据攻击模
3、拟库的大小,检测到日志的条目,可以得到一个百分比,此值可以反映 IPS 设备对攻击活动的识别能力。第二部份 实际测试实际测试指在 Internet 背景下来测试 IPS 的功能作用。拟测试的内容有:对 P2P 和 IM 的控制,包括 BitComet、eDonkey 、Skype、QQ、MSN 。P2P 和 IM 流量,特别是 BT 流量,已经严重地影响了 Internet 带来的生产力,阻断 BT 流量的特性也是当前企业十分关注的功能之一。2.1 测试条件要求具备真实的上 Internet 环境,以便测试阻挡 BT,MSN,QQ,Skype 的能力。如果能够提供此环境,可以根据现场情况,设计测试环境。能阻挡 MSN(V7.0 ) 、QQ(V2005 ) 、skype(V1.3)和 eMule(V0.46b). BitComet 0.59 等软件
