《IPS设备测试大纲.docx》由会员分享,可在线阅读,更多相关《IPS设备测试大纲.docx(16页珍藏版)》请在三一办公上搜索。
1、 威科姆科技 郑州威科姆科技股份有限公司关于XXXXIPS设备测试文档用户服务中心集成部2008年X月目 录一、用户需求1二、关键技术指标1三、测试目的1四、测试环境1五、测试时间2六、测试地点2七、测试参与者2八、测试设备2九、XXXIPS设备功能简介3十、测试项3十一、测试数据51.IPS基本功能测试51)特征检测能力测试52)特征阻断能力63)基于策略的检测74)Metasploit测试85)BT检测和阻断86)流量控制97)Skype的检测和阻断98)QQ的检测和阻断109)MSN的检测和阻断1010)DDOS攻击检测和阻断1111)Bypass功能测试1112)安全审计测试1213)
2、报表测试1314)特征库升级测试132.基本性能测试133.设备部署方式及工程化测试14十二、测试结论14郑州威科姆科技股份有限公司-用户服务中心一、 用户需求 用户要求防火墙吞吐量要求1G,2个千兆电口或2个千兆光口,端口支持bypass功能,能够实现设备对常用协议限定以及攻击保护和检测。二、 关键技术指标1) 支持常用协议限定2) 攻击检测和保护机制3) 报表功能4) 设定不同保护策略5) 硬件设备的bypass功能6) 带宽管理7) 硬件端口及硬件性能三、 测试目的检验IPS设备的相关功能,以验证该设备是否适于用户需求。并为项目设备采购提供给数方面的参考。四、 测试环境 检测攻击部署 当
3、检测攻击检测和保护功能时,要求设置两台主机在相同网段,攻击主机中装有常用攻击软件如TCP flood、UDP flood、狂ping、扫描软件等。检测相应协议限制部署 当检测相应协议限制功能时,要求PC能够连接到公网上,开启IM类通讯软件、p2p下载类软件、流媒体类软件。五、 测试时间开始时间结束时间2008 年 X 月 X 日2008 年 X 月 X 日六、 测试地点测试地点: 网络用户服务中心系统集成实验室 七、 测试参与者测试人员公司及部门电话电子邮件地址八、 测试设备测试XXXIPS设备需要准备如下设备:设备名称数量准备方准备情况XXXIPS设备 1Client PC2Layer3交换
4、机1网线若干九、 XXXIPS设备功能简介 XXX IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速;专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;IPS安全引擎采用模块化设计,针对不同的应用环境和不同的安全策略,可以配置不同的功能模块。十、 测试项测试项测试要求正确结果备注1规则升级及管理规则库支持本地及在线升级/更新频率至少每周一次Pass Fail 2设备管理支持web和控制台管理Pass F
5、ail 3部署模式支持路由模式,透明模式,直通模式Pass Fail 4带宽管理可通过协议,端口,IP及时间等要素对流量进行管理Pass Fail 5攻击特征库管理攻击规则库支持按危险程度分类Pass Fail 攻击规则库支持按服务类型分类Pass Fail 可以对单条具体规则设置单独的响应方式Pass Fail 可以对某类规则设置共同的响应方式Pass Fail 支持自定义新的规则Pass Fail 6硬件BYPASS支持接口BYPASS功能Pass Fail 7日志管理支持日志分析和日志查询,支持日志清楚和备份管理Pass Fail 8报表管理支持多种报表格式/可自动生成日报周报月报Pas
6、s Fail 9审计管理支持用户审计功能,支持用户分组和权限分级Pass Fail 10流量分析支持分协议流量分析/支持以图表方式显示流量/支持流量图表保存功能/支持查看每类流量前10位用户/支持查看常见协议流量占用最大带宽的前10位的用户IP列表Pass Fail 11入侵防护功能支持IP碎片重组、TCP流汇聚、TCP状态跟踪、协议识别、协议分析、协议异常检测、特征检测、关联分析、流量异常检测、拒绝服务攻击检测Pass Fail 12响应方式支持监控/阻断/日志告警/邮件告警/自定义/ SNMP Trap等多种响应方式Pass Fail 13多路IPS支持多路IPSPass Fail 14防
7、火墙功能支持简单的防火墙功能Pass Fail 15吞吐量600MbpsPass Fail 16最大并发TCP会话数200,000Pass Fail 17每秒并发TCP会话数150,000Pass Fail 18规则库18000Pass Fail 19平均无故障时间(MTBF)100,000小时Pass Fail 十一、 测试数据1. IPS基本功能测试1) 特征检测能力测试测试拓扑图:测试步骤:1)IPS透明接入,选用多个常见的攻击手段,比如:使用XSCAN工具2)开启IPS的检测功能,行为方式都是“通过”3)分别在IPS两端连接一台主机。4) 在一台PC上使用选择好的攻击手段攻击IPS另一
8、边的PC预期结果:IPS能够检测到攻击。实际结果:特征名称测试结果备注HTTP.Unknown.Tunnelling可记录SNMP.Restricted.OID可记录UDP.Public.Community.String可记录NBTStat.Query可记录Portmap.Getport.UDP可记录Private.Access.UDP可记录Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录Aestiva.HTML/OS.Cross-Site.Scripting可记录HTTP.GET.Request.Directory.Traversal可记录PH
9、P.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录HTTP.CGI.Bigconf.cgi.Access可记录PhpInclude.Worm.B可记录CGI.AN-HTTPd.Command.Execution.A可记录FormMail.Flood.Servers.Anonymous.Email可记录IIS.Escape.Character.Decode.Executable可记录2) 特征阻断能力测试拓扑图:测试步骤:1)IPS透明接入,选用多个常见的攻击手段,比如:端口扫描(XScan)2)开启IPS的检测功能,行为方式都
10、是“丢弃”3)分别在IPS两端连接一台主机。4) 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC预期结果:IPS能够阻断穿过IPS的攻击。实际结果:特征名称测试结果备注HTTP.Unknown.Tunnelling可记录可阻断SNMP.Restricted.OID可记录可阻断UDP.Public.Community.String可记录可阻断NBTStat.Query可记录可阻断Portmap.Getport.UDP可记录可阻断Private.Access.UDP可记录可阻断Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录可阻断Aestiv
11、a.HTML/OS.Cross-Site.Scripting可记录可阻断HTTP.GET.Request.Directory.Traversal可记录可阻断PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录可阻断HTTP.CGI.Bigconf.cgi.Access可记录可阻断PhpInclude.Worm.B可记录可阻断CGI.AN-HTTPd.Command.Execution.A可记录可阻断FormMail.Flood.Servers.Anonymous.Email可记录可阻断IIS.Escape.Character
12、.Decode.Executable可记录可阻断3) 基于策略的检测测试拓扑图:测试步骤:1)IPS透明接入,选用常见的攻击工具,比如ping large2)开启IPS的检测功能,行为方式都是“丢弃”3)分别在IPS的两边连接一台客户端主机。4)配置策略,源地址配置攻击PC的IP,攻击PC向受攻击PC发起攻击5)配置策略,源地址配置与攻击PC不同的IP,攻击PC向受攻击PC发起攻击预期结果:步骤4)的结果应该能够阻断攻击,步骤5)的结果应该不能够阻断攻击。实际结果:与预期结果一致。4) Metasploit测试测试拓扑图:测试步骤:1)IPS透明接入。两端各连接一台主机。2)启用IPS检测功能
13、,特征行为配置为“丢弃”3)在一段PC上使用Metasploit工具攻击另一端PC预期结果:IPS可以检测并阻断攻击,被攻击PC系统不受影响。实际结果:测试名称测试结果备注Microsoft IIS 5.0 Printer Host Header Overflow可记录可阻断5) BT检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中BT行为模式“通过”,仅作检测。2)在客户端主机上安装BT软件,上互联网下载文件。4)启用BT下载文件。5)修改步骤1)中的行为模式为“丢弃”,步骤重复4)。预期结果:IPS能够检测和阻止BT下载。实际结果:测试名称测试结果备注用BT软件
14、下载可记录可阻断6) 流量控制测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中BT行为模式为限制速率2)在客户端主机上安装BT软件,上互联网下载文件。4)启用BT下载文件。预期结果:IPS能够检测到BT下载,并将速率限制在配置范围左右实际结果:测试名称测试结果备注用BT软件下载可限制下载速率7) Skype的检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中Skype行为模式“通过”,仅作检测。2)在客户端主机上安装Skype软件,上互联网聊天。3)修改步骤1)中的行为模式为“丢弃”,步骤重复2。预期结果:IPS能够检测到并能够阻断Skype的通讯。
15、实际结果:测试名称测试结果备注用Skype软件联机互联网可记录可阻断8) QQ的检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中QQ行为模式“通过”,仅作检测。2)在客户端主机上安装QQ软件,上互联网聊天。3)修改步骤1)中的行为模式为“丢弃”,步骤重复2。预期结果:IPS能够检测到并能够阻断QQ的通讯。实际结果:测试名称测试结果备注使用QQ连接互联网可记录可阻断9) MSN的检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中MSN行为模式“通过”,仅作检测。2)在客户端主机上安装MSN软件,上互联网聊天。3)修改步骤1)中的行为模式为“丢
16、弃”,步骤重复2。4)配置特定的登陆帐号,测试阻断。预期结果:IPS能够检测到并能够阻断MSN的通讯。实际结果:测试名称测试结果备注用MSN联机互联网可记录可阻断用MSN制定帐号联机互联网可根据特定帐号阻断10) DDOS攻击检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,选用常见的DOS攻击手段,比如:(SYN_FLOOD,ICMP_FLOOD)。2)开启IPS的检测功能,行为方式都是“通过”3)分别在IPS的两边连接一台主机。4)一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器”5)修改步骤2)的行为方式为“阻断”,重复步骤4)预期结果:IPS
17、能够检测和阻断DOS攻击。实际结果:测试名称测试结果备注SYN_FLOOD可记录可阻断Port_Scan可记录可阻断LARGE_PING可记录可阻断11) Bypass功能测试测试拓扑图:测试步骤:1)IPS透明接入。两端各连接一台主机,一台为客户端, 2)关闭IPS设备电源,3)测试两台设备间的连同性,ping命令测试测试结果:该设备不支持Bypass功能(该功能使得设备在出现硬件故障或者受到严重攻击无法响应的情况下仍能够保证设备正常通信)12) 安全审计测试测试拓扑图:测试步骤:1)IPS透明接入。2)一台PC和一台安全平台通过交换机连接在IPS内口,通过IPS连接互联网3)通过安全管理平
18、台收集IPS的攻击日志,以用来审计和生成各种报表。预期结果:可以收集IPS产生的攻击日志,并可以进行审计和报表生成实测结果:与预期结果一致。13) 报表测试测试拓扑图:测试步骤:1)IPS透明接入,选用常见的DOS攻击手段,比如:(SYN_FLOOD,ICMP_FLOOD)。2)开启IPS的检测功能,行为方式都是“通过”3)分别在IPS的两边连接一台主机。4)一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器”5)查看相关管理报表测试结果:无报表功能,仅能提供简单的日志功能,无法提供对攻击统计,攻击排名,攻击数量和种类统计,无法对网络安全状况作出评估。1
19、4) 特征库升级测试测试拓扑图:测试步骤:1)从官方网站下载最新的入侵防护代码库,进行系统特征库的升级测试结果:无法在网站上得到最新的特征库,本测试项主要考察IPS设备特征库的更新是否及时,IPS设备的防护效果主要靠完善的IPS特征库。2. 基本性能测试防火墙性能测试拓扑图2口(一进一出)吞吐量测试其中,在做吞吐量测试时,使用Iperf、Netper测试软件。Iperf基准测试时间单向双向文件传输文件大小10秒Scp: MB/s960MB60秒Iperf: Mbits/sec960MBNetper基准批量网络流量的性能:测试时间Tcp协议 Udp 协议10秒/本地系统的发送统计/远端系统接收统计60秒/本地系统的发送统计/远端系统接收统计请求应答网络流量的性能:请求数据TCP_RRTCP_CRRUDP_RRR=1 bytesR=1024 bytes3. 设备部署方式及工程化测试十二、 测试结论测试人员签名: 14郑州威科姆电子科技有限公司-用户服务中心集成部
