《(设备管理)IPS设备测试大纲》由会员分享,可在线阅读,更多相关《(设备管理)IPS设备测试大纲(16页珍藏版)》请在金锄头文库上搜索。
1、 威科姆科技 郑州威科姆科技股份有限公司关于XXXXIPS设备测试文档用户服务中心集成部2008年X月目 录一、用户需求1二、关键技术指标1三、测试目的1四、测试环境1五、测试时间2六、测试地点2七、测试参与者2八、测试设备2九、XXXIPS设备功能简介3十、测试项3十一、测试数据51.IPS基本功能测试51)特征检测能力测试52)特征阻断能力63)基于策略的检测74)Metasploit测试85)BT检测和阻断86)流量控制97)Skype的检测和阻断98)QQ的检测和阻断109)MSN的检测和阻断1010)DDOS攻击检测和阻断1111)Bypass功能测试1112)安全审计测试1213)
2、报表测试1314)特征库升级测试132.基本性能测试133.设备部署方式及工程化测试14十二、测试结论14郑州威科姆科技股份有限公司-用户服务中心一、 用户需求 用户要求防火墙吞吐量要求1G,2个千兆电口或2个千兆光口,端口支持bypass功能,能够实现设备对常用协议限定以及攻击保护和检测。二、 关键技术指标1) 支持常用协议限定2) 攻击检测和保护机制3) 报表功能4) 设定不同保护策略5) 硬件设备的bypass功能6) 带宽管理7) 硬件端口及硬件性能三、 测试目的检验IPS设备的相关功能,以验证该设备是否适于用户需求。并为项目设备采购提供给数方面的参考。四、 测试环境 检测攻击部署 当
3、检测攻击检测和保护功能时,要求设置两台主机在相同网段,攻击主机中装有常用攻击软件如TCP flood、UDP flood、狂ping、扫描软件等。检测相应协议限制部署 当检测相应协议限制功能时,要求PC能够连接到公网上,开启IM类通讯软件、p2p下载类软件、流媒体类软件。五、 测试时间开始时间结束时间2008 年 X 月 X 日2008 年 X 月 X 日六、 测试地点测试地点: 网络用户服务中心系统集成实验室 七、 测试参与者测试人员公司及部门电话电子邮件地址八、 测试设备测试XXXIPS设备需要准备如下设备:设备名称数量准备方准备情况XXXIPS设备 1Client PC2Layer3交换
4、机1网线若干九、 XXXIPS设备功能简介 XXX IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速;专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;IPS安全引擎采用模块化设计,针对不同的应用环境和不同的安全策略,可以配置不同的功能模块。十、 测试项测试项测试要求正确结果备注1规则升级及管理规则库支持本地及在线升级/更新频率至少每周一次Pass Fail 2设备管理支持web和控制台管理Pass F
5、ail 3部署模式支持路由模式,透明模式,直通模式Pass Fail 4带宽管理可通过协议,端口,IP及时间等要素对流量进行管理Pass Fail 5攻击特征库管理攻击规则库支持按危险程度分类Pass Fail 攻击规则库支持按服务类型分类Pass Fail 可以对单条具体规则设置单独的响应方式Pass Fail 可以对某类规则设置共同的响应方式Pass Fail 支持自定义新的规则Pass Fail 6硬件BYPASS支持接口BYPASS功能Pass Fail 7日志管理支持日志分析和日志查询,支持日志清楚和备份管理Pass Fail 8报表管理支持多种报表格式/可自动生成日报周报月报Pas
6、s Fail 9审计管理支持用户审计功能,支持用户分组和权限分级Pass Fail 10流量分析支持分协议流量分析/支持以图表方式显示流量/支持流量图表保存功能/支持查看每类流量前10位用户/支持查看常见协议流量占用最大带宽的前10位的用户IP列表Pass Fail 11入侵防护功能支持IP碎片重组、TCP流汇聚、TCP状态跟踪、协议识别、协议分析、协议异常检测、特征检测、关联分析、流量异常检测、拒绝服务攻击检测Pass Fail 12响应方式支持监控/阻断/日志告警/邮件告警/自定义/ SNMP Trap等多种响应方式Pass Fail 13多路IPS支持多路IPSPass Fail 14防
7、火墙功能支持简单的防火墙功能Pass Fail 15吞吐量600MbpsPass Fail 16最大并发TCP会话数200,000Pass Fail 17每秒并发TCP会话数150,000Pass Fail 18规则库18000Pass Fail 19平均无故障时间(MTBF)100,000小时Pass Fail 十一、 测试数据1. IPS基本功能测试1) 特征检测能力测试测试拓扑图:测试步骤:1)IPS透明接入,选用多个常见的攻击手段,比如:使用XSCAN工具2)开启IPS的检测功能,行为方式都是“通过”3)分别在IPS两端连接一台主机。4) 在一台PC上使用选择好的攻击手段攻击IPS另一
8、边的PC预期结果:IPS能够检测到攻击。实际结果:特征名称测试结果备注HTTP.Unknown.Tunnelling可记录SNMP.Restricted.OID可记录UDP.Public.Community.String可记录NBTStat.Query可记录Portmap.Getport.UDP可记录Private.Access.UDP可记录Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录Aestiva.HTML/OS.Cross-Site.Scripting可记录HTTP.GET.Request.Directory.Traversal可记录PH
9、P.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录HTTP.CGI.Bigconf.cgi.Access可记录PhpInclude.Worm.B可记录CGI.AN-HTTPd.Command.Execution.A可记录FormMail.Flood.Servers.Anonymous.Email可记录IIS.Escape.Character.Decode.Executable可记录2) 特征阻断能力测试拓扑图:测试步骤:1)IPS透明接入,选用多个常见的攻击手段,比如:端口扫描(XScan)2)开启IPS的检测功能,行为方式都
10、是“丢弃”3)分别在IPS两端连接一台主机。4) 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC预期结果:IPS能够阻断穿过IPS的攻击。实际结果:特征名称测试结果备注HTTP.Unknown.Tunnelling可记录可阻断SNMP.Restricted.OID可记录可阻断UDP.Public.Community.String可记录可阻断NBTStat.Query可记录可阻断Portmap.Getport.UDP可记录可阻断Private.Access.UDP可记录可阻断Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录可阻断Aestiv
11、a.HTML/OS.Cross-Site.Scripting可记录可阻断HTTP.GET.Request.Directory.Traversal可记录可阻断PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录可阻断HTTP.CGI.Bigconf.cgi.Access可记录可阻断PhpInclude.Worm.B可记录可阻断CGI.AN-HTTPd.Command.Execution.A可记录可阻断FormMail.Flood.Servers.Anonymous.Email可记录可阻断IIS.Escape.Character
12、.Decode.Executable可记录可阻断3) 基于策略的检测测试拓扑图:测试步骤:1)IPS透明接入,选用常见的攻击工具,比如ping large2)开启IPS的检测功能,行为方式都是“丢弃”3)分别在IPS的两边连接一台客户端主机。4)配置策略,源地址配置攻击PC的IP,攻击PC向受攻击PC发起攻击5)配置策略,源地址配置与攻击PC不同的IP,攻击PC向受攻击PC发起攻击预期结果:步骤4)的结果应该能够阻断攻击,步骤5)的结果应该不能够阻断攻击。实际结果:与预期结果一致。4) Metasploit测试测试拓扑图:测试步骤:1)IPS透明接入。两端各连接一台主机。2)启用IPS检测功能,特征行为配置为“丢弃”3)在一段PC上使用Metasploit工具攻击另一端PC预期结果:IPS可以检测并阻断攻击,被攻击PC系统不受影响。实际结果:测试名称测试结果备注Microsoft IIS 5.0 Printer Host Header Overflow可记录可阻断5) BT检测和阻断测试拓扑图:测试步骤:1)IPS透明接入,配置IPS,设置P2P中BT行为模式“通过”,仅作检测。2)在客户端主机上安装BT软件,上互
