设备测试大纲

设备测试大纲关于XXXXIPS设备测试文档用户服务中心集成部2008年X月TOC\o"1-5"\h\z一、 用户需求 1二、 关键技术指标 1\o"CurrentDocument"三、 测试目的 1\o"CurrentDocument"四、 测试环境 1\o"CurrentDocument"五、 测试时刻 2\o"CurrentDocument"六、 测试地点 2\o"CurrentDocument"七、 测试参与者 2\o"CurrentDocument"八、 测试设备 2\o"CurrentDocument"九、 XXXIPS设备功能简介 3\o"CurrentDocument"十、 测试项 3\o"CurrentDocument"十一、测试数据 5IPS差不多功能测试 5特点检测能力测试 5特点阻断能力 6基于策略的检测 7Metasploit测试 8BT检测和阻断 8流量操纵 9Skype的检测和阻断 9QQ的检测和阻断 10MSN的检测和阻断 10DDOS攻击检测和阻断 11Bypass功能测试 11安全审计测试 12报表测试 12特点库升级测试 13差不多性能测试 13设备部署方式及工程化测试 14\o"CurrentDocument"十二、 测试结论 14用户需求用户要求防火墙吞吐量要求1G,2个千兆电口或2个千兆光口，端口支持bypass功能，能够实现设备对常用协议限定以及攻击爱护和检测。1） 支持常用协议限定2） 攻击检测和爱护机制3） 报表功能4） 设定不同爱护策略5） 硬件设备的bypass功能6） 带宽治理7） 硬件端口及硬件性能三、测试目的检验IPS设备的相关功能，以验证该设备是否适于用户需求。并为项目设备采购提供给数方面的参考。四、测试环境检测攻击部署PC（攻击检测攻击部署PC（攻击）IPSPC（受攻击）当检测攻击检测和爱护功能时，要求设置两台主机在相同网段，攻击主机中装有常用攻击软件如TCPflood、UDPflood、狂ping、扫描软件等。

检测相应协议限制部署PC IPS检测相应协议限制部署PC IPS当检测相应协议限制功能时，要求PC能够连接到公网上，开启IM类通讯软件、p2p下载类软件、流媒体类软件。五、测试时刻开始时刻终止时刻2008年X月X日2008年X月X日六、测试地点测试地点： 网络用户服务中心系统集成实验室 七、测试参与者测试人员公司及部门测试人员公司及部门电子邮件地址八、测试设备测试XXXIPS设备需要预备如下设备:设备名称数量预备方预备情形XXXIPS设备1ClientPC2Layer3交换机1网线若干九、 XXXIPS设备功能简介XXXips入侵防护系统要紧由硬件平台、专用操作系统、ips治理服务系统、ips安全引擎等四个部分组成。硬件平台依照用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计，同时使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采纳模块化设计，针对不同的应用环境和不同的安全策略，能够配置不同的功能模块。十、测试项测试项测试要求正确结果备注1规则升级及治理规则库支持本地及在线升级/更新频率至少每周一次Pass□Fail□2设备治理支持web和操纵台治理Pass□Fail□3部署模式支持路由模式，透亮模式，直通模式Pass□Fail□4带宽治理可通过协议，端口，IP及时刻等要素对流量进行治理Pass□Fail□5攻击特点库治理攻击规则库支持按危险程度分类Pass□Fail□攻击规则库支持按服务类型分类Pass□Fail□能够对单条具体规则设置单独的响应方式Pass□Fail□能够对某类规则设置共同的响应方式Pass□Fail□支持自定义新的规则Pass□Fail□6硬件BYPASS支持接口BYPASS功能Pass□

Fail□7日志治理支持日志分析和日志查询，支持日志清晰和备份治理Pass□Fail□8报表治理支持多种报表格式/可自动生成日报周报月报Pass□Fail□9审计治理支持用户审计功能，支持用户分组和权限分级Pass□Fail□10流量分析支持分协议流量分析/支持以图表方式显示流量/支持流量图表储存功能/支持查看每类流量前10位用户/支持查看常见协议流量占用最大带宽的前10位的用户IP列表Pass□Fail□11入侵防护功能支持IP碎片重组、TCP流汇聚、TCP状态跟踪、协议识别、协议分析、协议专门检测、特点检测、关联分析、流量专门检测、拒绝服务攻击检测Pass□Fail□12响应方式支持监控/阻断/日志告警/邮件告警/自定义/SNMPTrap等多种响应方式Pass□Fail□13多路IPS支持多路IPSPass□Fail□14防火墙功能支持简单的防火墙功能Pass□Fail□15吞吐量N600MbpsPass□Fail□16最大并发TCP会话数^200,000Pass□Fail□17每秒并发TCP会话数N150,000Pass□Fail□18规则库N18000Pass□Fail□19平均无故障时刻（MTBF）N100,000小时Pass□Fail□卜一、测试数据1.IPS差不多功能测试1）特点检测能力测试测试拓扑图:PC（攻击） IPS PC（受攻击）测试步骤：1） IPS透亮接入，选用多个常见的攻击手段，比如：使用XSCAN工具2） 开启IPS的检测功能，行为方式差不多上“通过”3） 分别在IPS两端连接一台主机。4） 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC预期结果：IPS能够检测到攻击。实际结果：特点名称测试结果备注.Unknown.Tunnelling可记录SNMP.Restricted.OID可记录UDP.Publicmunity.String可记录NBTStat.Query可记录Portmap.Getport.UDP可记录Private.Access.UDP可记录Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录Aestiva.HTML/OS.Cross-Site.Scripting可记录.GET.Request.Directory.Traversal可记录PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录

.CGI.Bigconf.cgi.Access可记录PhpInclude.Worm.B可记录CGI.AN-dmand.Execution.A可记录FormMail.Flood.Servers.Anonymous.Email可记录IIS.Escape.Character.Decode.Executable可记录2）特点阻断能力测试拓扑图:PC（攻击PC（攻击）IPSPC（受攻击）测试步骤：1） IPS透亮接入，选用多个常见的攻击手段，比如：端口扫描（XScan）2） 开启IPS的检测功能，行为方式差不多上“丢弃”3） 分别在IPS两端连接一台主机。4） 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC预期结果：IPS能够阻断穿过IPS的攻击。实际结果：特点名称测试结果备注.Unknown.Tunnelling可记录可阻断SNMP.Restricted.OID可记录可阻断UDP.Publicmunity.String可记录可阻断NBTStat.Query可记录可阻断Portmap.Getport.UDP可记录可阻断Private.Access.UDP可记录可阻断

Sun.iPlanet.Admin.Server.Cross.Site.Scripting可记录可阻断Aestiva.HTML/OS.Cross-Site.Scripting可记录可阻断.GET.Request.Directory.Traversal可记录可阻断PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting可记录可阻断.CGI.Bigconf.cgi.Access可记录可阻断PhpInclude.Worm.B可记录可阻断CGI.AN-dmand.Execution.A可记录可阻断FormMail.Flood.Servers.Anonymous.Email可记录可阻断IIS.Escape.Character.Decode.Executable可记录可阻断3）基于策略的检测测试拓扑图:PC（攻击） IPS PC（受攻击）测试步骤：1） IPS透亮接入，选用常见的攻击工具，比如pinglarge2） 开启IPS的检测功能，行为方式差不多上“丢弃”3） 分别在IPS的两边连接一台客户端主机。4） 配置策略，源地址配置攻击PC的IP，攻击PC向受攻击PC发起攻击5） 配置策略，源地址配置与攻击PC不同的IP，攻击PC向受攻击PC发起攻击预期结果：步骤4）的结果应该能够阻断攻击，步骤5）的结果应该不能够阻断攻击。实际结果：与预期结果一致。Metasploit测试测试拓扑图:PC（攻击） IPS PC（受攻击）测试步骤：1） ips透亮接入。两端各连接一台主机。2） 启用IPS检测功能，特点行为配置为“丢弃”3） 在一段PC上使用Metasploit工具攻击另一端PC预期结果：IPS能够检测并阻断攻击，被攻击PC系统不受阻碍。实际结果：测试名称测试结果备注MicrosoftIIS5.0PrinterHostHeaderOverflow可记录可阻断5）BT检测和阻断测试拓扑图:测试步骤：1） IPS透亮接入，配置IPS，设置P2P中BT行为模式“通过”，仅作检测。2） 在客户端主机上安装BT软件，上互联网下载文件。4） 启用BT下载文件。5） 修改步骤1）中的行为模式为“丢弃”，步骤重复4）。预期结果：IPS能够检测和阻止BT下载。实际结果：测试名称测试结果备注用BT软件下载可记录可阻断6）流量操纵测试拓扑图:PC IPS测试步骤：1） IPS透亮接入，配置IPS，设置P2P中BT行为模式为限制速率2） 在客户端主机上安装BT软件，上互联网下载文件。4）启用BT下载文件。预期结果：IPS能够检测到BT下载，并将速率限制在配置范畴左右实际结果：测试名称测试结果备注用BT软件下载可限制下载速率7）Skype的检测和阻断测试拓扑图：PCIPSPCIPS测试步骤：1） IPS透亮接入，配置IPS，设置P2P中Skype行为模式“通过”，仅作检测。2） 在客户端主机上安装Skype软件，上互联网谈天。3） 修改步骤1）中的行为模式为“丢弃”，步骤重复2。预期结果：IPS能够检测到并能够阻断Skype的通讯。实际结果：测试名称测试结果备注用Skype软件联机互联网可记录可阻断8）QQ的检测和阻断测试拓扑图:PC IPS测试步骤：1） IPS透亮接入，配置IPS，设置P2P中QQ行为模式“通过”，仅作检测。2） 在客户端主机上安装QQ软件，上互联网谈天。3） 修改步骤1）中的行为模式为“丢弃”，步骤重复2。预期结果：IPS能够检测到并能够阻断QQ的通讯。实际结果：测试名称测试结果备注使用QQ连接互联网可记录可阻断9）MSN的检测和阻断测试拓扑图:PCIPSPCIPS测试步骤：1） IPS透亮接入，配置IPS，设置P2P中MSN行为模式“通过”，仅作检测。2） 在客户端主机上安装MSN软件，上互联网谈天。3） 修改步骤1）中的行为模式为“丢弃”，步骤重复2。4） 配置特定的登陆帐号，测试阻断。预期结果：IPS能够检测到并能够阻断MSN的通讯。实际结果：测试名称测试结果备注用MSN联机互联网可记录可阻断用MSN制定帐号联机互联网可依照特定帐号阻断10）DDOS攻击检测和阻断测试拓扑图:PC（攻击测试拓扑图:PC（攻击）IPSPC（受攻击）测试步骤：1） IPS透亮接入，选用常见的DOS攻击手段，比如：（SYN_FLOOD,ICMP_FLOOD）。2） 开启IPS的检测功能，行为方式差不多上“通过”3） 分别在IPS的两边连接一台主机。4） 一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器5） 修改步骤2）的行为方式为“阻断”，重复步骤4）预期结果：IPS能够检测和阻断DOS攻击。实际结果：测试名称测试结果备注SYN_FLOOD可记录可阻断Port_Scan可记录可阻断LARGE_PING可记录可阻断11）Bypass功能测试测试拓扑图：

测试步骤：1） IPS透亮接入。两端各连接一台主机，一台为客户端，2） 关闭IPS设备电源，3） 测试两台设备间的连同性，ping命令测试测试结果：该设备不支持Bypass功能（该功能使得设备在显现硬件故障或者受到严峻攻击无法响应的情形下仍能够保证设备正常通信）12）安全审计测试测试拓扑图:pc 安管平台测试步骤：1） IPS透亮接入。2） 一台PC和一台安全平台通过交换机连接在IPS内口，通过IPS连接互联网3） 通过安全治理平台收集IPS的攻击日志，以用来审计和生成各种报表。预期结果：能够收集IPS产生的攻击日志，并能够进行审计和报表生成实测结果：与预期结果一致。13）报表测试测试拓扑图：测试步