绿盟实际环境下IPS测试方案(完整版)

1、绿盟IPS测试方案目录(Contents) TOC o 1-5 h z 一.测试需求1二测试单元2静态测试2功能测试2测试环境3网络连接平台3硕件设备3软件环境4攻击方法和相应工具的准备4静态测试5功能测试7产品初步评估7基木管理功能测试7防火墙9攻击特征库管理9流虽管理10硕件 BYPASS11系统软件、攻击特征库升级能力12日志分析系统12事件过濾13流量分析14自身安全性能15响应方式15测试需求木普实事求是的态度，在项目建设前，对网络入侵保护产品(IPS的实际测试。木次参和测试的公司有北京绿盟科技的IPS：产品型号:中联绿盟信息技术有限公司ICEYE600P测试单元一般而言，测试分为实

2、验室测试和现场测试。木次测试均为现场测试.木次产品的现场测试包括四个部 分：静态测试功能测试2.1静态测试主要考察设备的外观、唤件配迓、文档等。2.2功能测试主要考查待测产品（设备）木身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功 能测试中又分为基木功能和附属功能测试两个部分。三.测试环境3.1网络连接平台在实际环境中.设备部署在互联网岀口位宜，测试系统的界而、部署方式.升级.软件使用、日总管理、审汁管理、攻击检测阻断、流址管理等功能CIPS的控制平台仁计算机根据木规范下的测试平台，至少需要准备1台计算机.作为管理机，其报低的配貝要求如下:CPU： Pill 800 以上R

3、AM: 256M 以上NIC： 100/1000M2、网络设备根据木规范下的测试平台，需要准备相应的网络环境3-3软件环境K操作系统Windows 2000/xp/2003 (Chinese Version)3、辅助测试工具用于监控网络流址.包括sniffer pro.数据包录制软件。3.4攻击方法和相应工具的准备在测试十中.我们选取一些典型的攻击方法，用于功能测试。选择检测难度较大的攻击，这样可以比较IPS产品的引犁和攻击特征編写能力。选择最近出现的危害较大的攻击方法，这样可以比较IPS产品的攻击特征库更新频率，进而评估各 供应商的的技术能力。 选择能覆盖到以种常用协议和使用服务器的攻击如、

4、SMTP等。U!静态测试表格1基本情况产品情况产品基本情况结果1产品名称2测试版木号3版木发布时间4支持语言表格2硬件配苣硬件情况产品破件配置结果1CPU2内存3便盘4网络接口表格3管理方式安装管理管理情况结果1控制台软硬件需求2管理方式3远程管理支持4远程管理认证方式5是否有日总系统6是否可自定义规则711作模式8响应方式升级方式1自动升级2手动升级3升级频度4升级包获取方式5升级是否断网表格4入侵保护能力:系统功能入侵保护能力结果1阻断黑客攻击2阻断蠕虫.网络病毒攻击3阻断间谋软件4阻断P2P下载软件5阻断IM即时通讯软件6阻断网络在线游戏7阻断在线视频表格5其他功能:其他功能其他功能情况

5、结果是否支持硕件BYPASS功1能2是否支持内宜防火堆五.功能测试5.1产品初步评估产品初步评估是抬对产品供应商的资质，产品木身的特性，内部配置.适用范困，技术支持能力，核心技 术.产品木地化.产品认证等方面进行的书面的初步评估。项目测试结果备注OS类型、版木界面语言接口数虽产品类型产品技术实现木地化技术支持5.2基本管理功能测试入侵保护系统的重要功能之一就是要休现其可管理性.主要包括对报警信息、对数据库的管理.对网络引 擎及下级控制台等组件的管理，所以首先要考察该系统的管理能力。【测试方法】登录控制台界面（分别考察WEB控制台、windows控制台）:査看其徐组件的分布情况.包括管理界面、报

6、警显示界面、数据库、日志査询系统：3配迓女级管理模式.满足控制台一一控制台控制台一一引宰的部署结构：添加多个虚拟引宰（即只添加IP）看其是否有数虽限制：査看可支持的其他组件；【测试结果】项目测试结果备注具备集中管理的Windows控制未通过通过未测试部分通过软件台未通过未测试部署通过部分通过具备独立的日吉分析中心未通过未测试通过部分通过可以独立安装数据库未通过未测试可以在控制台上显示并控制所通过部分通过有探测器未通过未测试一个控制台是否可管理女个探通过部分通过设备测器未通过未测试监控一个探测器是否可以同时被多通过部分通过管理个控制台监控未通过未测试主、辅控制台对各探测器的控通过部分通过制能力有

7、明确的权限区别未通过未测试通过部分通过支持分布式探测.集中式管理未通过未测试通过部分通过支持女层管理未通过未测试笋级的结构是否受限制可管理通过部分通过多少级别未通过未测试支持管理权限划分，不同级别通过部分通过的控制台权限不同未通过未测试管理是否可以显示该系统整体的部通过部分通过方式署拓扑图或树型结构图未通过未测试是否可以从主控给下级子控及通过部分通过子控的下级下发策略等规则文未通过未测试件主控是否可以有选择的接收报通过部分通过警信息未通过未测试是否可以将下级的日忐同步到通过部分通过主控來（同步的内容是可以自未通过未测试行设定的）通过 口部分通过具备Web控制台是否具备全局预警的功能（即通过 口

8、部分通过 其中的一个子控可以收到其它未通过 口未测试子控发來的报警信息）5.3防火墙内迓防火墻是ips的一种功能.ips通过防火增加强访问控制。好的防火墙功能可以有效的阻断攻击。【测试目的】检测IPS的防火墙功能C【测试结果】项目测试结果备注无防火墙规则悄况下攻击机访问目标通过 口部分通过机上的web服务未通过 口未测试配宜防火增规则情况下，攻击机访问目通过 口部分通过标机上的web服务未通过 口未测试验证实现动态/静态地址转换.反向地通过 口部分通过址转换功能，实现一对一地址映射功能未通过 口未测试验证实现动态/静态地址转换.反向地通过 口部分通过址转换功能，实现一对多地址映射功能 防火增功

9、能未通过 口未测试验证实现动态/静态地址转换反向地通过 口部分通过址转换功能.实现女对女地址映对功能未通过 口未测试验证策略路由通过 口部分通过未通过 口未测试验证路由模式工作方式通过 口部分通过未通过 口未测试验证透明模式和非透明模式等工作方通过 口部分通过式未通过 口未测试5.4攻击特征库管理攻击特征是IPS系统用來判断什么是入侵行为的标准，所以攻击特征的质量和数虽都非常重耍。某些IPS 系统还支持用户自定义特征。木部分的测试要求入侵保护系统具有协议分析能力.可自定义基于使用层协议的 特征。【测试方法】测试IPS的攻击特征库的质虽和管理方便性。演示IPS产品的攻击特征库的策略编辑方法。演示

10、IPS产品的攻击特征的数址。【测试结果】项目测试结果攻击规则库按危险程度分类通过 口部分通过未通过 口未测试攻击规则库按服务类型分类通过 口部分通过对每个规则有详细注释说明，未通过 口未测试包括该攻击影响的操作系统通过 口部分通过和解决方案未通过 口未测试可以对某条具体规则设宜也通过 口部分通过独的响应方式未通过 口未测试可以对某类规则设置共同的通过 口部分通过响应方式未通过 口未测试是否支持自定义新的规则通过 口部分通过未通过 口未测试规则库管理备注5.5流量管理流虽管理是ips的新増功能.主要通过协议，端口ip及时间等要素对流虽进行管理。【测试目的】测试NIPS对流虽的管理。【测试结果】项

11、目测试结果部分通过备注验证BT, eMule协议进行流通过流址管址管理未通过未测试理验证根据时间对流虽进行管通过部分通过理未通过未测试验证根据IP地址对流量进行通过部分通过管理未通过未测试验证根据端口对流虽进行管通过部分通过理未通过未测试5.6 硬件 BYPASS唤件BYPASS是IPS的一种增强功能保证设备出现界常不工作时网络依然能够畅通。【测试方法】1将IPS接入实际网络:2检测IPS在不加电、系统启动到就绪过程中.系统出现界常不工作时，BYPASS功能是否有效。【测试结果】项目测试结果备注验证设备不加电时是否能够处于通过 口部分通过ByPass状态未通过 口未测试验证设备在系统启动到就绪

12、过程中是否通过 口部分通过能够处于ByPass状态未通过 口未测试验证设备在系统出现界常不工作时是否通过 口部分通过能够处于ByPass状态未通过 口未测试验证设备在系统界常切换到ByPass状锁件通过 口部分通过态后直接掉电是否能够保持ByPass状BYPASS未通过 口未测试态醴证网络引擎设宜强制换件ByPass后通过 口部分通过能否正常处于ByPass状态未通过 口未测试验证系统处于资源占用较高情况下通过 口部分通过watchdog能否保持正常工作未通过 口未测试验证设备运行稳定性通过 口部分通过未通过 口未测试5.7系统软件、攻击特征库升级能力随着攻击于段的不断更新，IPS系统也必须保

13、持快速的升级和更新能力。包括软件版木的升级和持征库的 更新，尤其是特征库的及时更新非常重要。升级需要包括爭件特征库的升级以保持事件持征库的昴新.还需要 包括软件自身的升级（控制端及引爭端）【测试方法】测试IPS系统的升级方式有几种。测试能否在控制台上对IPS探测器进行升级包的远程升级。演示爭件特征库的升级方式：演示控制端的升级方式：演示引擎端的升级方式：6 演示女级管理时事件库及引宰的升级方式:【测试结果】项目测试结果通过 口部分通过支持在线升级控制软件升未通过 口未测试级通过 口部分通过支持离线升级未通过 口未测试通过 口部分通过支持在线升级未通过 口未测试支持离线升级（规则库升级包通过 口

14、部分通过规则库升级为EXE方式）未通过 口未测试规则库更新的频率（以公司网通过 口部分通过站为准.公司网站显示规则升未通过 口未测试级内容描述）备注5.8日志分析系统日，忐分析系统是爭后进行安全爭件分析的重要匸具，需要能够根据用户的需要产生各种形式的报告，如表 格形式、柱状图、饼图等，并且可以根据用户需婆设迓各种过滤条件.如ip地址、爭件名称等.可以自动的产 生日报.周报、月报并且可以导出成多种格式的文件。【测试方法】演示日志分析系统（报表）的生成方式：演示可支持的查询条件:3.演示可支持的导出格式:【测试结果】项目测试结果备注通过部分通过支持日志统计分析日志分未通过未测试析支持查询分析通过部

15、分通过未通过未测试通过部分通过生成事件的月报表未通过未测试通过部分通过生成流虽的周报表报表文未通过未测试档将生成的报表保存为doc通过部分通过未通过未测试通过部分通过将生成的报表保存为html未通过未测试通过部分通过任务定时给管理员发送报表未通过未测试通过部分通过定时日志备份未通过未测试通过部分通过日志恢复日志管未通过未测试理日志清除通过部分通过未通过未测试通过部分通过日志归并未通过未测试5.9事件过滤ips基于时间、ip地址、编号.类型等条件组合对事件进行过滤。【测试方法】1将IPS接入实际网络：2根据时间.IP地址、编号、类型等条件组合，察看爭件过濾结果。【测试结果】项目测试结果备注通过部

16、分通过是否设宜爭件來源（地址.编号、类型）未通过未测试通过部分通过事件过滤是否设宜爭件发生的时间未通过未测试通过部分通过是否设逬事件结果及引擎所采取的动作未通过未测试5.10流量分析流址分析是入侵保护系统的重要组成部分.可以帮助用户准确地卑握、T前整个网络各种协议的流量分布.以及占用最大带宽的具体协议的用户好的协议流虽分布技术需要具有直观的显示效果.而且应该具有保存、勺 前带宽分布图功能。【测试方法】1将IPS接入实际网络：2演示协议流虽分布效果图：3査看协议分布效果图的刷新：4察看占用、前带宽最大的某个协议的用户列表:【测试结果】项目通过测试结果部分通过协议流虽分布图（要求直观）未通过未测试

17、协议流虽分布图的刷新时间通过部分通过可调未通过未测试可以察看占用最大带宽的协通过部分通过议的前10位的用户IP列表未通过未测试可以察看自定义协议流址占通过部分通过用最大带宽的前10位的用户未通过未测试IP列表流虽分析备注可以察看常见协议流虽占用最大带宽的前10位的用户IP 通过 口部分通过列表（如http. smtp. pop3、 未通过 口未测试BT等）5.11自身安全性能作为安全产品其自身的安全性是一个很重要的因素.如果自身存在系统缺陷或设计缺陷话很容易被攻击者 利用从而使得安全系统失去自身的作用，掩盖了其真实的攻击行为。【测试方法】查看其组件是否具备用户审讣模块：査看对于用户的管理是否进行了分组设宜.对于每个组是否都有不同权限：【测试结果】项目测试结果备注通过部分通过是否具备用户审汁模块未通过未测试自身安全通过部分通过性能是否支持用户权限分组未通过未测试通过部分通过对干不同的用户是否可以赋予不同的权限未通过未测试通过部分通过对干每个用户的是否具备登录失败处理未通过未测试5.12响应方式IPS通过丢弁数据包、丢介:连截会话來主动防御.阻断攻击流虽，同时采収告警等响应方式。好的防护功