《实际环境下IPS测试方案(绿盟)》由会员分享,可在线阅读,更多相关《实际环境下IPS测试方案(绿盟)(18页珍藏版)》请在金锄头文库上搜索。
1、目录(Contents)一.测试需求4二.测试单元52.1静态测试52.2功能测试5三.测试环境63.1网络连接平台63.2硬件设备63.3软件环境73.4攻击方法和相应工具的准备7四.静态测试8五.功能测试105.1产品初步评估105.2基本管理功能测试105.3防火墙125.4攻击特征库管理135.5流量管理135.6硬件BYPASS145.7系统软件、攻击特征库升级能力155.8日志分析系统165.9事件过滤175.10流量分析175.11自身安全性能185.12响应方式19一. 测试需求本着实事求是的态度,在项目建设前,对网络入侵保护产品(IPS)的实际测试。本次参与测试的公司有北京绿
2、盟科技的IPS:产品型号:中联绿盟信息技术有限公司 ICEYE-600P二. 测试单元一般而言,测试分为实验室测试和现场测试。本次测试均为现场测试,本次产品的现场测试包括四个部分:n 静态测试n 功能测试2.1 静态测试主要考察设备的外观、硬件配置、文档等。2.2 功能测试主要考查待测产品(设备)本身的功能特性,通过访谈并操作的方式验证待测产品功能(设备),其中功能测试中又分为基本功能和附属功能测试两个部分。三. 测试环境3.1 网络连接平台在实际环境中,设备部署在互联网出口位置,测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测阻断、流量管理等功能。 3.2 硬件设备1、
3、计算机根据本规范下的测试平台,至少需要准备1台计算机,作为管理机,其最低的配置要求如下:CPU: PIII 800以上RAM: 256M以上NIC: 100/1000M 2、网络设备根据本规范下的测试平台,需要准备相应的网络环境。3.3 软件环境1、操作系统Windows 2000/xp/2003 (Chinese Version)3、辅助测试工具用于监控网络流量,包括sniffer pro、数据包录制软件。 3.4 攻击方法和相应工具的准备在测试当中,我们选取一些典型的攻击方法,用于功能测试。l 选择检测难度较大的攻击,这样可以比较IPS产品的引擎和攻击特征编写能力。l 选择最近出现的危害较
4、大的攻击方法,这样可以比较IPS产品的攻击特征库更新频率,进而评估各供应商的的技术能力。l 选择能覆盖到各种常用协议和应用服务器的攻击,如FTP、HTTP、SMTP等。四. 静态测试表格 1 基本情况产品情况产品基本情况结果1产品名称2测试版本号3版本发布时间4支持语言表格 2 硬件配置硬件情况产品硬件配置结果1CPU2内存3硬盘4网络接口表格 3管理方式安装管理管理情况结果1控制台软硬件需求2管理方式3远程管理支持4远程管理认证方式5是否有日志系统6是否可自定义规则7工作模式8响应方式升级方式1自动升级2手动升级3升级频度4升级包获取方式5升级是否断网表格 4 入侵保护能力:系统功能入侵保护
5、能力结果1阻断黑客攻击2阻断蠕虫、网络病毒攻击3阻断间谍软件4阻断P2P下载软件5阻断IM即时通讯软件6阻断网络在线游戏7阻断在线视频表格 5其他功能:其他功能其他功能情况结果1是否支持硬件BYPASS功能2是否支持内置防火墙五. 功能测试5.1 产品初步评估产品初步评估是指对产品供应商的资质,产品本身的特性,内部配置,适用范围,技术支持能力,核心技术,产品本地化,产品认证等方面进行的书面的初步评估。项目测试结果备注OS类型、版本界面语言接口数量产品类型产品技术实现本地化技术支持5.2 基本管理功能测试入侵保护系统的重要功能之一就是要体现其可管理性,主要包括对报警信息、对数据库的管理、对网络引
6、擎及下级控制台等组件的管理,所以首先要考察该系统的管理能力。【测试方法】1 登录控制台界面(分别考察WEB控制台、windows控制台);2 查看其各组件的分布情况,包括管理界面、报警显示界面、数据库、日志查询系统;3 配置多级管理模式,满足控制台控制台控制台引擎的部署结构;4 添加多个虚拟引擎(即只添加IP)看其是否有数量限制;5 查看可支持的其他组件;【测试结果】项目测试结果备注软件部署具备Web控制台 o 通过 o 部分通过o 未通过 o 未测试具备集中管理的Windows控制台o 通过 o 部分通过 o 未通过 o 未测试具备独立的日志分析中心o 通过 o 部分通过 o 未通过 o 未
7、测试可以独立安装数据库o 通过 o 部分通过 o 未通过 o 未测试设备监控管理可以在控制台上显示并控制所有探测器o 通过 o 部分通过 o 未通过 o 未测试一个控制台是否可管理多个探测器o 通过 o 部分通过 o 未通过 o 未测试一个探测器是否可以同时被多个控制台监控o 通过 o 部分通过 o 未通过 o 未测试主、辅控制台对各探测器的控制能力有明确的权限区别o 通过 o 部分通过 o 未通过 o 未测试管理方式支持分布式探测,集中式管理o 通过 o 部分通过 o 未通过 o 未测试支持多层管理o 通过 o 部分通过 o 未通过 o 未测试多级的结构是否受限制可管理多少级别o 通过 o
8、部分通过 o 未通过 o 未测试支持管理权限划分,不同级别的控制台权限不同o 通过 o 部分通过 o 未通过 o 未测试是否可以显示该系统整体的部署拓扑图或树型结构图o 通过 o 部分通过 o 未通过 o 未测试是否可以从主控给下级子控及子控的下级下发策略等规则文件o 通过 o 部分通过 o 未通过 o 未测试主控是否可以有选择的接收报警信息o 通过 o 部分通过 o 未通过 o 未测试是否可以将下级的日志同步到主控来(同步的内容是可以自行设定的)o 通过 o 部分通过 o 未通过 o 未测试是否具备全局预警的功能(即其中的一个子控可以收到其它子控发来的报警信息)o 通过 o 部分通过 o 未
9、通过 o 未测试5.3 防火墙内置防火墙是IPS的一种功能,IPS通过防火墙加强访问控制。好的防火墙功能可以有效的阻断攻击。【测试目的】检测IPS的防火墙功能。【测试结果】项目测试结果备注防火墙功能无防火墙规则情况下,攻击机访问目标机上的web服务o 通过 o 部分通过 o 未通过 o 未测试配置防火墙规则情况下,攻击机访问目标机上的web服务o 通过 o 部分通过 o 未通过 o 未测试验证实现动态/静态地址转换,反向地址转换功能,实现一对一地址映射功能o 通过 o 部分通过 o 未通过 o 未测试验证实现动态/静态地址转换,反向地址转换功能,实现一对多地址映射功能o 通过 o 部分通过 o
10、 未通过 o 未测试验证实现动态/静态地址转换,反向地址转换功能,实现多对多地址映射功能o 通过 o 部分通过 o 未通过 o 未测试验证策略路由o 通过 o 部分通过 o 未通过 o 未测试验证路由模式工作方式o 通过 o 部分通过 o 未通过 o 未测试验证透明模式和非透明模式等工作方式o 通过 o 部分通过 o 未通过 o 未测试5.4 攻击特征库管理攻击特征是IPS系统用来判断什么是入侵行为的标准,所以攻击特征的质量和数量都非常重要。某些IPS系统还支持用户自定义特征。本部分的测试要求入侵保护系统具有协议分析能力,可自定义基于应用层协议的特征。【测试方法】1. 测试IPS的攻击特征库的
11、质量和管理方便性。2. 演示IPS产品的攻击特征库的策略编辑方法。3. 演示IPS产品的攻击特征的数量。【测试结果】项目测试结果备注规则库管理攻击规则库按危险程度分类o 通过 o 部分通过 o 未通过 o 未测试攻击规则库按服务类型分类o 通过 o 部分通过 o 未通过 o 未测试对每个规则有详细注释说明,包括该攻击影响的操作系统和解决方案o 通过 o 部分通过 o 未通过 o 未测试可以对某条具体规则设置单独的响应方式o 通过 o 部分通过 o 未通过 o 未测试可以对某类规则设置共同的响应方式o 通过 o 部分通过 o 未通过 o 未测试是否支持自定义新的规则o 通过 o 部分通过 o 未
12、通过 o 未测试5.5 流量管理流量管理是IPS的新增功能,主要通过协议,端口,IP及时间等要素对流量进行管理。【测试目的】测试NIPS对流量的管理。【测试结果】项目测试结果备注流量管理验证BT,eMule协议进行流量管理o 通过 o 部分通过 o 未通过 o 未测试验证根据时间对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试验证根据IP地址对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试验证根据端口对流量进行管理o 通过 o 部分通过 o 未通过 o 未测试5.6 硬件BYPASS硬件BYPASS是IPS的一种增强功能,保证设备出现异常不工作时,网络依然能够畅通。【测试方法】1 将IPS接入实际网络;2 检测IPS在不加电、系统启动到就绪过程中、系统出现异常不工作时,BYPASS功能是否有效。【测试结果】项目测试结果备注硬件BYPASS验证设备不加电时是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统启动到就绪过程中是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统出现异常不工作时是否能够处于ByPass状态o 通过 o 部分通过 o 未通过 o 未测试验证设备在系统异常切换到ByPass状态后直接掉电是否能够保持ByPass状态o 通过 o 部分
