绿盟实际环境下IPS测试方案(完整版)

1、绿盟IPS测试方案目录（Contents）一.测试需求4j5P 4衣H 000 000 000000o 5功能测试5三. 测试环境6网络连接平台6硕件设备6软件坏境7攻击方法和相应工具的准备7四. 静态测试8五. 功能测试10产品初步评估10基木管理功能測试10防火墙12攻击特征库管理13流量管理13硕件 BYPASS 14系统软件、攻击特征库升级能力15日吉分析系统16爭件过憾17流址分析17自身安全性能18响应方式19测试需求木普实爭求是的态度.在项目建设前.对网络入侵保护产品（IPS）的实际测试。木次参与测试的公司有北 京绿盟科技的IPS：产品型号:中联绿盟信息技术冇限公司ICEYE-6

2、00P测试单元一般而言，测试分为实验空测试和现场测试。木次测试均为现场测试.木次产品的现场测试包括四个部 分：静态测试功能测试2. 1静态测试主要考察设备的外观、唤件配迓、文档等。2. 2功能测试主要考査待测产品（设备）木身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功 能测试中又分为基木功能和附屈功能测试两个部分。三.测试环境3. 1网络连接平台在实际环境中设备部署在互联网出口位宜，测试系统的界血、部署方式.升级.软件应用、日总管理、 审计管理.攻击检测阻断、流址管理等功能C3. 2硬件设备1、计算机根据木规范下的测试平台，至少需雯准备1台汁算机.作为管理机，其昴低的配迓要

3、求如下:CPU: PIII 800 以上RAJI: 256M 以上NIC: 100/1000M2. 网络设备根据木规范下的测试平台，需要准备相应的网络环境C3. 3软件环境i操作系统Windows 2000/xp/2003 (Chinese Version)3、辅助测试工具用于监控网络流址.包括sniffer pro.数据包录制软件。3. 4攻击方法和相应工具的准备在测试十中.我们选取一些典型的攻击方法，用于功能测试。选择检测难度较大的攻击，这样可以比较IPS产品的引宰和攻击特征编写能力。选择最近出现的危害较大的攻击方法.这样可以比较IPS产品的攻击特征库更新频率，进而评估幹 供应商的的技术能

4、力。选择能覆盖到各种常用协议和应用服务湍的攻击.如FTP、HTTP、SMTP等。U!静态测试衣格1基本情况产品情况产品基本情况结果1产品名称2测试版木号3版木发布时间4支持语言衣格2硬件配置硬件情况产品硬件配置结果1CPU2内存3锁盘4网络接口衣格3管理方式安装骨理管理悄况结果1控制台软硕件需求2管理方式3远程管埋支持4远程管理认证方式5是否有日,忐系统6是否可自定义规则7工作模式8响应方式升级方式1自动升级2于动升级3升级频度4升级包获取方式5升级是否断网表格4入侵保护能力:系统功能入侵保护能力结果1阻断黑客攻击2阻断蠕虫、网络病毒攻击3阻断间谋软件4阻断P2P下载软件5阻断即时通讯软件6阻

5、断网络在线游戏7阻断在线视频表格5其他功能:其他功能其他功能情况结果1是否支持硬件BYPASS功能2是否支持内宜防火堆五.功能测试5. 1产品初步评估产品初步评估是抬对产品供应商的资质，产品木身的特性，内部配置.适用范困，技术支持能力，核心技 术.产品木地化.产品认证等方面进行的书面的初步评估。项目测试结果备注OS类型、版本界面语言接口数虽产品类型产品技术实现木地化技术支持5- 2基本管理功能测试入侵保护系统的重要功能之一就是要体现其可管理性，主婆包括对报警信息.对数据库的管理、对网络引 犁及下级控制台等组件的管理.所以首先要考察该系统的管理能力。【测试方法】1登录控制台界面（分别考察WEB控

6、制台、windows控制台）：2. 査看其徐组件的分布情况，包括管理界面、报警显示界面.数据库、日总査询系统：3配迓女级管理模式.满足控制台一一控制台控制台一一引擎的部署结构：4添加女个虚拟引孥（即只添加IP）看其是否有数虽限制：5.査看可支持的其他组件:【测试结果】项目测试结果备注通过部分通过具备骨eb控制台未通过未测试具备集中管理的Windows控制通过部分通过软件台未通过未测试部署具备独立的日志分析中心通过部分通过未通过未测试通过部分通过可以独立安装数据库未通过未测试可以在控制台上显示并控制所通过部分通过有探测器未通过未测试一个控制台是否可管理女个探通过部分通过设备测器未通过未测试监控一

7、个探测器是否可以同时被笫通过部分通过管理个控制台监控未通过未测试主、辅控制台对各探测器的控通过部分通过制能力有明确的权限区别未通过未测试通过部分通过支持分布式探测.集中式管理未通过未测试通过部分通过支持多层管理未通过未测试多级的结构是否受限制可管理通过部分通过多少级别未通过未测试支持管理权限划分，不同级别通过部分通过管理的控制台权限不同未通过未测试方式是否可以显示该系统整体的部通过部分通过署拓扑图或树型结构图未通过未测试是否可以从主控给下级子控及通过部分通过子控的下级下发策略等规则文未通过未测试件主控是否可以有选择的接收报通过部分通过警信息未通过未测试部分通过未测试部分通过未测试是否可以将下级

8、的日总同步到 通过 主控來（同步的内容是可以自未通过 行设定的）是否具备全局预警的功能（即 通过其中的一个子控可以收到其它 未通过子控发來的报警信息）内迓防火墻是IPS的一种功能，IPS通过防火墙加强访问控制。好的防火堆功能可以有效的阻断攻击。【测试目的】检测IPS的防火墙功能。【测试结果】项目测试结果备注无防火墙规则情况下攻击机访问目标通过部分通过机上的web服务未通过未测试配逬防火墙规则情况下，攻击机访问目通过部分通过标机上的web服务未通过未测试验证实现动态/静态地址转换反向地通过部分通过址转换功能，实现一对一地址映射功能未通过未测试验证实现动态/静态地址转换.反向地通过部分通过址转换功

9、能.实现一对女地址映知功能未通过未测试防火增功能验证实现动态/静态地址转换.反向地通过部分通过址转换功能.实现多对多地址映射功能未通过未测试通过部分通过验证策略路由未通过未测试通过部分通过验证路由模式工作方式未通过未测试验证透明模式和非透明模式等工作方通过部分通过式未通过未测试5. 4攻击特征库管理攻击特征是IPS系统用來判断什么是入侵行为的标准.所以攻击特征的质虽和数虽都非常重婆。某些IPS 系统还支持用户自定义特征。木部分的测试要求入侵保护系统具有协议分析能力，可自定义基于应用层协议的 特征。【测试方法】1 测试IPS的攻击特征库的质址和管理方便性。2. 演示IPS产品的攻击特征库的策略编

10、紺方法。3. 演示IPS产品的攻击特征的数虽。【测试结果】项目测试结果备注通过部分通过攻击规则库按危险程度分类未通过未测试通过部分通过攻击规则库按服务类型分类未通过未测试对每个规则有详细注释说明.通过部分通过规则库包括该攻击影响的操作系统未通过未测试管理和解决方案可以对某条具体规则设宜单通过部分通过独的响应方式未通过未测试可以对某类规则设貝共同的通过部分通过响应方式未通过未测试通过部分通过是否支持自定义新的规则未通过未测试5. 5流量管理流量管理是IPS的新増功能.主要通过协议，端口 IP及时间等要素对流虽进行管理。【测试目的】测试NIPS对流虽的管理。【测试结果】项目测试结果备注验证BTeM

11、ule协议进行流虽通过部分通过管理未通过未测试验证根据时间对流虽进行管通过部分通过流址管理未通过未测试理验证根据IP地址对流虽进行通过部分通过管理未通过未测试验证根据端口对流虽进行管通过部分通过理未通过未测试56硬件BYPASS唤件BYPASS是IPS的一种増强功能.保证设备岀现界常不I：作时，网络依然能够畅通。【测试方法】1将IPS接入实际网络：2检测IPS在不加电、系统启动到就绪过程中、系统出现界常不工作时，BYPASS功能是否有效。【测试结果】项目验证设备不加电时是否能够处于ByPass状态验证设备在系统启动到就绪过程中是否 能够处于ByPass状态验证设备在系统出现界常不匸作时是否 换

12、件BYPASS 能够处于ByPass状态验证设备在系统异常切换到ByPass状态后直接掉电是否能够保持ByPass状 态测试结果备注通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试验证网络引擎设宜强制换件ByPass后 能否正常处于ByPass状态验证系统处于资源占用较商情况下通过部分通过watchdog能否保持正常丄作未通过未测试验证设备运行稳定性通过部分通过未通过未测试5. 7系统软件、攻击特征库升级能力随着攻击于段的不断更新，IPS系统也必须保持快速的升级和更新能力。包括软件版木的升级和持征库的 更新.尤其是特征库的

13、及时更新非常重雯。升级需要包括爭件特征库的升级以保持事件持征库的最新，还需要 包括软件自身的升级（控制端及引宰端）【测试方法】1. 测试IPS系统的升级方式有几种。2. 测试能否在控制台上对IPS探测器进行升级包的远程升级。3 演示爭件特征库的升级方式：4演示控制端的升级方式：5 演示引擎端的升级方式：6 演示多级管理时爭件库及引擎的升级方式：【测试结果】项目测试结果备注通过部分通过支持在线升级控制软件升未通过未测试级支持离线升级通过部分通过未通过未测试通过部分通过支持在线升级未通过未测试支持离线升级（规则库升级包通过部分通过规则库升级为EXE方式）未通过未测试规则库更新的频率（以公司网通过部

14、分通过站为准.公司网站显示规则升未通过未测试级内容描述）5. 8日志分析系统日总:分析系统是爭后进行安全爭件分析的重要匸具.需要能够根据用户的需要产生各种形式的报告.如表 格形式、柱状图饼图等，并且可以根据用户需要设宜各种过濾条件.如ip地址.爭件名称等.可以自动的产 生日报、周报、月报并且可以导岀成多种格式的文件。【测试方法】i演示日总:分析系统（报表）的生成方式：2. 演示可支持的查询条件：3. 演示可支持的导出格式：【测试结果】项目测试结果备注通过部分通过支持日志统计分析日志分未通过未测试析支持查询分析通过部分通过未通过未测试通过部分通过生成事件的月报表未通过未测试通过部分通过生成流虽的

15、周报表报表文未通过未测试档将生成的报表保存为doc通过部分通过未通过未测试通过部分通过将生成的报表保存为html未通过未测试通过部分通过任务定时给管理员发送报表未通过未测试通过部分通过定时日志备份日志管未通过未测试理日志恢复通过部分通过未通过未测试通过部分通过日志清除未通过未测试通过部分通过日志归并未通过未测试59事件过滤IPS基于时间、IP地址、编号、类型等条件组合对爭件进行过滤。【测试方法】1将IPS接入实际网络：2根据时间、IP地址、编号、类型等条件组合，察看事件过濾结果。【测试结果】项目测试结果备注是否设置爭件來源（地址.编号、类型）通过部分通过未通过未测试爭件过濾是否设宜爭件发生的时

16、间通过部分通过未通过未测试是否设置事件结果及引率所采取的动作通过部分通过未通过未测试5. 10流量分析流量分析是入侵保护系统的重要组成部分，可以帮助用户准确地堂握十前整个网络各种协议的流虽分布. 以及占用最大带宽的具体协议的用户.好的协议流虽分布技术需要具有直观的显示效果，而且应该具有保存、“I 前带宽分布图功能。【测试方法】1将IPS接入实际网络：2演示协议流址分布效果图：3查看协议分布效果图的刷新：4察看占用半前帯宽最大的某个协议的用户列表:【测试结果】项目协议流址分布图（要求直观）协议流址分布图的刷新时间可调可以察看占用最大带宽的协议的前10位的用户IP列表流虽分析可以察看自定义协议流址

17、占用最大带宽的前10位的用户IP列表可以察看常见协议流虽占用垠大带宽的前】0位的用户IP列表（如 http、smtp. pop3、BT等）测试结果备注通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试5.11自身安全性能作为安全产品其自身的安全性是一个很重要的伙I素.如果自身存在系统缺陷或设计缺陷话很容易被攻击者 利用从而使得安全系统失去自身的作用.掩盖了其真实的攻击行为。【测试方法】1. 査看其组件是否具备用户审汁模块：2. 査看对于用户的管理是否进行了分组设迓.对于每个组是否都有不同权限:【测试结果】项目测试结果备注是否具备用户审讣模块通过部分通过自身安全未通过未测试性能是否支持用户权限分组通过部分通过未通过未测试对干不同的用户是否可以赋予不同的权限对于每个用户的是否具备登录失败处理通过部分通过未通过未测试通过部分通过未通过未测试512响应方式IPS通过丢弃数据包、丢弃连截会话來主动防御.阻断攻击流址，同时采取告警等响应方式。好的防护功 能