radware defensepro功能测试报告

1、Radware DefensePro安全功能测试报告Radware China2014目录测试目的1测试环境1硬件环境1软件环境1测试拓扑图2测试步骤网络层防护测试2应用层防护测试19反扫描防护测试38检测与防护（IPS）测试内容60内容防护测试内容63Bypass 功能测试66测试总结6841 测试目的本次测试主要是为了验证 Radware DefensePro 设备能否有效检测、阻断、向服务器的各类数据括网络层及应用层 DDoS数据包、应用层数据包等等。2 测试环境为了能够清晰的展现 DefensePro 的测试效果，我们构架以

2、下的测试环境：2.1 硬件环境ØØØØØØ客户端 PC 数量 ：2服务器数量：1管理工作站数量：1 二层交换机数量：1 DefensePro网线若干数量：12.2 软件环境ØØØØ应用软件：IIS, Apache server客户端操 服务器端操类软件：WINDOWS 7; ;：WINDOWS Server 2003;²²²Radware Raptor HTTP flood 软件HTTP 扫描软件测试虚拟机2.3测试拓扑图测试拓扑说明:客户端1:192.168.10

3、0.5，Windows 8 系统，通过VM Workstation 运行Radware Raptor客户端；客户端 2:10，Windows 7 系统，通过 VM Workstation 运行Radware Raptor客户端；DefensePro 的管理服务器地址Vision 地址为30，Vision 软件版本为 2.15；DefensePro 的管理口地址为 22，DefensePro 软件版本为 6.09；服务器的地址为 ，运行的为 Windows server 2003。3 测试步骤

4、3.1 网络层防护测试测试编号：3.1.1测试目的：SYN Flood防护性能测试；验证是否能防护大量 SYN Flood且保持正常业务不受影响。测试步骤：SYN Flood防护测试步骤1. 在无 的情况下，确定各应用能够正常 。2. 在 仪表开启源 IP、端口均随机的 SYN Flood ，对目标服务器 80 和 443 端口进行 ，并使用客户端 目标服务器 HTTP 和 HTTPS 应用，加大 流量，使客户端对目标服务器页面 明显变慢或服务中断。查看并 目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：3. 停止，使目标服务器页面可以正常。4. 打开防护功能，执

5、行与第二步骤相同方式和流量，检测在正常客户端上是否能正常目标服务器页面。查看并目标服务器服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：测试结果：1. 服务器在状态下，未开启防护功能时，设备检测到 syn flood类型，并Forward 放行流量，参考如下：2. 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到 syn flood类型，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常：5. 能在报告中实时显示流量的具体特征内容。6. 能在告警仪表板中实时显示，告知网络

6、管理员当前的状况：测试编号：3.1.2测试目的：TCP Flood防护性能测试；验证是否能防护大量 TCP RST Flood且保持正常业务不受影响。测试步骤：TCP Floods (ACK+FIN, RESET, SYN+ACK and TCP fragment floods)防护测试步骤在无的情况下，确定各应用能够正常。1. 在仪表开启源 IP、端口均随机的 TCP Flood，对目标服务器 80 和 443 端口进行，并使用客户端目标服务器 HTTP 和 HTTPS 应用，加大流量，使客户端对目标服务器页面明显变慢或服务中断。查看并目标服务器以下参数：Ø CPU 使用率：

7、16; 内存使用率 ：2. 停止，使目标服务器页面可以正常。3. 打开防护功能，执行与第二步骤相同方式和流量，检测在正常客户端上是否能正常目标服务器页面。查看并目标服务器服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：预期结果：1. 服务器在状态下，未开启防护功能时，设备检测到 Reset flood类型，并Forward 放行流量，参考如下：备注：测试结果符合预期2. 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到 RST flood类型，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时

8、，服务器利用率回归正常：5. 能在报告中实时显示流量的具体特征内容：6.能在告警仪表板中实时显示，告知网络管理员当前的状况：测试编号：3.1.3测试目的：UDP Flood防护测试步骤：UDP Flood防护测试步骤1. 在无的情况下，确定各应用能够正常访。2. 在客户端开启源 IP、端口均随机的 UDP Flood，对 DNS 服务器进行，并使用同备注：测试结果符合预期；DefensePro 能够防范的 TCP 层面的其他类型还包括：TCP ACK+FIN Flood、TCP SYN+ACK Flood、TCP Fragmentation Flood 等：一客户端(模拟服务器)和不同客户端H

9、TTP 和 HTTPS 应用，加大流量，直到页面明显变慢或服务中断。3. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø 本地网卡使用率4. 停止，使服务器页面可以正常。5. 打开防 DOS 设备防护功能，执行与第二步骤相同方式和流量，检测在发起的客户端和正常客户端上是否能正常页面。6. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø 本地网卡使用率预期结果：1. 服务器在 UDP Flood状态下，未开启防护功能时，设备检测到 UDP flood类型，并 Forward 放行流量，参考

10、如下：2. 服务器在状态下，未开启防护功能时，服务器利用率明显提升，网卡利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到 UDP flood类型，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常：5.能在报告中实时显示流量的具体特征内容：测试编号：3.1.4测试目的：ICMP Flood防护测试步骤：ICMP Flood防护测试步骤1. 在无的情况下，确定各应用能够正常。2. 在客户端开启源 IP、均随机的 ICMP Echo Request，并使用客户端(模拟服务器)和其它客户端HTTP 和 HTTPS 应用，加大流量，直到页面明显

11、变慢或服务中断。3. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：4. 停止，使服务器页面可以正常。5. 打开防 DOS 设备防护功能，执行与第二步骤相同方式和流量，检测在发起的客户端和正常客户端上是否能正常页面。6.能在告警仪表板中实时显示，告知网络管理员当前的状况：备注：测试结果符合预期6. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：预期结果：1. 服务器在状态下，未开启防护功能时，设备检测到 ICMP flood类型， 并 Forward 放行流量，参考如下：2. 服务器在状态下，未开启防护功能时，

12、服务器利用率明显提升，ICMP 增大：3. 服务器在状态下，开启防护功能时，设备检测到 ICMP Flood类型，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常，服务器主动 Ping 的网络变小：5. 能在报告中实时显示流量的具体特征内容：6.能在告警仪表板中实时显示，告知网络管理员当前状况：3.2 应用层防护测试测试编号：3.2.1测试目的：HTTP GET Flood防护测试步骤：HTTP GET Flood防护测试步骤第1、 在无 的情况下，确定 HTTP 应用能够正常 。 在 客户端开启 HTTP GET Flood ， 大量的固定 URL

13、 请求，并使用正常客户端 HTTP 应用，加大 流量，直到页面 明显变慢或服务中断。查看并 目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：第2、 停止，使服务器页面可以正常。第3、 打开防护功能，执行与第二步骤相同方式和流量，检测正常客户端上是否能正常页面。查看并目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：预期结果：1. 服务器在状态下，未开启防护功能时，客户端不能正常页面或服务器被异常消耗，参考如下图所示，在时服务器的小号明显升高。备注：测试结果符合预期2. 服务

14、器在状态下，开启防护功能时，客户端能正常页面且服务器回复正常。参考如下图所示，在开启 DP 设备的安全防护功能后，服务器消耗明显下降。3. 报告能分析出是 HTTP GET flood并且能准确报告出者的 IP 和被的 URL目标等具体内容。4. 能在报告中实时显示流量的具体特征内容。5. 能在报告中实时显示。6. 能在历史报告中显示及流量的具体特征内容。测试编号：3.2.2测试目的：HTTP POST Flood防护测试步骤：HTTP POST Flood 防护测试步骤1. 在无 的情况下，确定 HTTP 应用能够正常 。 在 客户端开启 HTTP POST Flood 攻击， 大量的固定

15、URL 请求，并使用正常客户端 HTTP 应用，加大 流量，直到页面 明显变慢或服务中断。查看并 目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：2. 停止，使服务器页面可以正常。3. 打开防护功能，执行与第二步骤相同方式和流量，检测正常客户端上是否能正常页面。查看并目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：预期结果：1. 服务器在状态下，未开启防护功能时，客户端不能正常页面或服务器被异常消耗。备注：测试结果满足预期2. 服务器在状态下，开启防护功能时，客户端能正常

16、页面且服务器回复正常。3. 报告能分析出是 HTTP POST Flood并且能准确报告出者的 IP 和被的URL 目标等具体内容。4. 能在报告中实时显示流量的具体特征内容。5. 能在报告中实时显示。6. 能在历史报告中显示及流量的具体特征内容。测试编号：3.2.3测试目的：HTTP HEAD Flood防护测试步骤：HTTP HEAD Flood防护测试步骤1. 在无的情况下，确定 HTTP 应用能够正常。 在客户端开启 HTTP HEAD Flood，大量的固定 URL 请求，并使用正常客户端HTTP 应用，加大流量，直到页面明显变慢或服务中断。查看并目标服务器以下参数：Ø C

17、PU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：2. 停止，使服务器页面可以正常。3. 打开防护功能，执行与第二步骤相同方式和流量，检测正常客户端上是否能正常页面。查看并目标服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：Ø TCP 连接数量：预期结果：1. 服务器在状态下，未开启防护功能时，客户端不能正常页面或服务器资源被异常消耗。后，服务器消耗明显上升，如下图所示：备注：测试结果满足预期2. 服务器在状态下，开启防护功能时，客户端能正常页面且服务器回复正常。DP防御功能开启后，服务器消耗明显下降：3. 报告能分析出是 HTTP

18、HEAD Flood并且能准确报告出者的 IP 和被的URL 目标等具体内容。4. 能在报告中实时显示流量的具体特征内容。5. 能在报告中实时显示。6. 能在历史报告中显示及流量的具体特征内容。测试编号：3.2.5测试目的：HTTP 应用内容漏洞扫描防护,防止查找 WEB 应用层漏洞；测试步骤：HTTP 应用内容漏洞扫描防护测试步骤1. 在未开启安全防护情况下，客户端使用“应用层漏洞扫描”软件扫描 WEB 服务器，可以得到相应的 web 应用层漏洞结果；所有客户端均可页面；2. 打开防护功能，执行与第一步骤相同方式。预期结果：1. 打开防护功能时，正常客户端能正常所有页面，客户端不能页面。2.

19、 报告分析出是应用层内容扫描，具有相应的应用层扫描内容报告。如下图所示，为设备到 scan的相关日志。备注：测试结果满足预期。备注：测试编号：3.2.6测试目的：HTTP 异常请求不存在物件防护,防止 WEB受不存在物件之异常请求占满；测试步骤：HTTP 异常请求不存在物件防护测试步骤1. 在未开启安全防护情况下，客户端对 WEB 服务器之不存在物件做异常请求，查看服务器使用状况；所有客户端均可页面；2. 打开防护功能，执行与第一步骤相同方式。预期结果：1. 未开启安全防护下，服务器被异常请求占用。如下图所示,未开启安全防护时的服务器消耗情况。2. 开启安全防护下，服务器被异常请求所占用之被有

20、效。如下图所示，为 DefensePro 开启安全防护时的服务器消耗情况。3.报告分析出应用层，且有相应的应用层内容。测试编号：3.2.7测试目的：HTTP防护,防止盗取用户帐号；测试步骤：备注：测试结果满足预期。HTTP猜测防护测试步骤1. 在未开启 DOS 防护情况下，客户端使用“”软件HTTP 服务器；查看服务器日志2. 打开防 DOS 设备防护功能，执行与第一步骤相同方式，再查看服务器日志。预期结果：1. 正常客户端能正常存取 HTTP，客户端不能存取 HTTP。如下图所示，为时的服务器消耗情况。如下图所示，为服务器在防御开启后服务器消耗情况。2. DOS 设备报告分析出是。备注：De

21、fensePro 设备可以防御 HTTP，测试结果满足预期。测试编号：3.2.8测试目的：FTP防护,防止盗取用户帐号；测试步骤：FTP猜测防护测试步骤1. 在未开启 DOS 防护情况下，客户端使用“”软件FTP 服务器；查看服务器日志2. 打开防 DOS 设备防护功能，执行与第一步骤相同方式，再查看服务器日志。预期结果：1. 正常客户端能正常存取 FTP，客户端不能存取 FTP。如下图所示，为时服务器端的尝试登陆日志。如下图所示为防御开启后，服务器端没有新的登陆尝试日志。2. DOS 设备报告分析出是。备注：测试结果满足预期，DP 能够防御 FTP。测试编号：3.2.9测试目的：防御 slo

22、wloris 慢速，保护服务器；测试步骤：Slowloris 慢速防护测试步骤1、在未开启 DOS 防护情况下，客户端使用“slowloris”软件web 服务器；查看服务器2、打开防 DOS 设备防护功能，执行与第一步骤相同方式，再查看服务器日志。预期结果：1 如下图所示，为仅仅开启识别的设备日志，能正常识别但不阻断2 如下图所示，为开启阻断后的设备日志：3 下图所示为设备显示的详情：3.3 反扫描防护测试测试编号：3.3.1测试目的：水平 TCP 扫描防护测试步骤：1. 将 DEFENSEPTO 设置为策略所有2. 主机上启用水平 TCP 扫描工具。3. 查看并WEB 服务器以下参数：&#

23、216; CPU 使用率：Ø 内存使用率 ：4. 停止，使服务器回复正常。5. 将 DEFENSEPTO 策略设置为阻断并式，重复，查看 DEFENSEPTO 是否有相应日志。6. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：测试结果：1. 服务器在状态下未开启防护功能时，设备检测到水平TCP 扫描，并Forward放行流量，参考如下：2. 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3 服务器在状态下，开启防护功能时，设备检测到水平 TCP 扫描类型，并丢弃（Drop）流量，参考如下：4 服务器在状态下，开启防护功能时，服务器

24、利用率回归正常：5能在报告中实时显示流量的具体特征内容：6能在告警仪表板中实时显示，告知网络管理员当前的状况：测试编号：3.3.2测试目的：垂直 TCP 扫描防护测试步骤：1. 将 DEFENSEPTO 设置为策略所有2. 主机上启用垂直 TCP 扫描工具。3. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：4. 停止，使服务器回复正常。5. 将 DEFENSEPTO 策略设置为阻断并式，重复，查看 DEFENSEPTO 是否有相应日志。6. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：预期结果：1 服务器在

25、状态下，未开启防护功能时，设备检测到垂直 TCP 扫描类型， 并 Forward 放行流量，参考如下：备注：测试结果符合预期2 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到垂直 TCP 扫描类型，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常：5能在报告中实时显示流量的具体特征内容：6能在告警仪表板中实时显示，告知网络管理员当前的状况：测试编号：3.3.3测试目的：水平 UDP 扫描防护测试步骤：1. 将 DEFENSEPTO 设置为策略所有2. 主机上启用水平 UDP 扫描工具。3. 查

26、看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：4. 停止，使服务器回复正常。5. 将 DEFENSEPTO 策略设置为阻断并式，重复，查看 DEFENSEPTO 是否有相应日志。6. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：测试结果：1 服务器在状态下，未开启防护功能时，设备检测到水平 UDP 扫描类型， 并 Forward 放行流量，参考如下：备注：测试结果符合预期2 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到水平 UDP 扫描类型，并丢弃（D

27、rop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常：5能在报告中实时显示流量的具体特征内容：6能在告警仪表板中实时显示，告知网络管理员当前的状况：测试编号：3.3.4测试目的：垂直 UDP 扫描防护测试步骤：1. 将 DEFENSEPTO 设置为策略所有2. 主机上启用垂直 UDP 扫描工具。3. 查看并WEB 服务器以下参数：Ø CPU 使用率：Ø 内存使用率 ：4. 停止，使服务器回复正常。5. 将 DEFENSEPTO 策略设置为阻断并式，重复，查看 DEFENSEPTO 是否有相应日志。6. 查看并WEB 服务器以下参数：Ø

28、 CPU 使用率：Ø 内存使用率 ：预期结果：1 服务器在状态下，未开启防护功能时，设备检测到垂直 UDP 扫描类型， 并 Forward 放行流量，参考如下：备注：测试结果符合预期2 服务器在状态下，未开启防护功能时，服务器利用率明显提升：3. 服务器在状态下，开启防护功能时，设备检测到垂直 UDP 扫描，并丢弃（Drop）流量，参考如下：4. 服务器在状态下，开启防护功能时，服务器利用率回归正常：5能在报告中实时显示流量的具体特征内容：6能在告警仪表板中实时显示，告知网络管理员当前的状况：3.4检测与防护（IPS）测试内容测试编号：3.4.1测试目的：测试 DefensePro

29、对已知的检测的防护能力测试步骤：检测与已知类型的测试步骤：1. 在未开启防护的情况下，发起，观察 DefensePro 能否正确识别类型备注：测试结果符合预期2. 打开防护功能，发起，察看 DefensePro 能否正确测试结果：1. 在客户端发起 HTTP 异常，2. 未开启防护功能，DefensePro 能够快速准确识别此：3. 通过客户端依次发起 HTTP-MISC 相关的高级包括：CVE-2005-3390、CVE-2007-2815、CVE-2006-3281、Generic-MAP-Nomatch：4. DefensePro 能够准确识别这些类型：5. 通过客户端模拟 DOS 相关的已知类型：6. 设备在未开启防护前，能够正确识别类型；7. 开启防护以后，设备能够正确：3.5 内容防护测试内容测试编号：3.5.1测试目的：拦阻特定 HTTP 请求内容(),防止特定应用内容存取；测试步骤：拦阻特定 HTTP 请求内容测试步骤1 在未开启安全防护情况下，客户端使用浏览器存取特定 HTTP 服务内容 ()；查看服务器日志2 打开防护功能，执行与第一步骤相同存取方式，再查看服务器日志。预期结果：1 客户端无法特定内容()但能正常其他未受限制的所有页面。2 报告分析出是特定