实际环境下IPS测试方案绿盟样本

目录（Contents）一. 测试需求 4二. 测试单元 52.1 静态测试 52.2 功能测试 5三. 测试环境 63.1 网络连接平台 63.2 硬件设备 63.3 软件环境 73.4 袭击办法和相应工具准备 7四. 静态测试 8五. 功能测试 105.1 产品初步评估 105.2 基本管理功能测试 105.3 防火墙 125.4 袭击特性库管理 135.5 流量管理 135.6 硬件BYPASS 145.7 系统软件、袭击特性库升级能力 155.8 日记分析系统 165.9 事件过滤 175.10 流量分析 175.11 自身安全性能 185.12 响应方式 19

测试需求本着实事求是态度，在项目建设前，对网络入侵保护产品（IPS）实际测试。本次参加测试公司有北京绿盟科技IPS：产品型号：中联绿盟信息技术有限公司ICEYE-600P测试单元普通而言，测试分为实验室测试和现场测试。本次测试均为现场测试，本次产品现场测试涉及四个某些：静态测试功能测试静态测试重要考察设备外观、硬件配备、文档等。功能测试重要考查待测产品（设备）自身功能特性，通过访谈并操作方式验证待测产品功能（设备），其中功能测试中又分为基本功能和附属功能测试两个某些。测试环境网络连接平台在实际环境中，设备布置在互联网出口位置，测试系统界面、布置方式、升级、软件应用、日记管理、审计管理、袭击检测阻断、流量管理等功能。硬件设备1、计算机依照本规范下测试平台，至少需要准备1台计算机，作为管理机，其最低配备规定如下：CPU：PIII800以上RAM：256MNIC：100/1000M2、网络设备依照本规范下测试平台，需要准备相应网络环境。软件环境1、操作系统Windows/xp/(ChineseVersion)3、辅助测试工具用于监控网络流量，涉及snifferpro、数据包录制软件。袭击办法和相应工具准备在测试当中，咱们选用某些典型袭击办法，用于功能测试。选取检测难度较大袭击，这样可以比较IPS产品引擎和袭击特性编写能力。选取近来浮现危害较大袭击办法，这样可以比较IPS产品袭击特性库更新频率，进而评估各供应商技术能力。选取能覆盖到各种惯用合同和应用服务器袭击，如FTP、HTTP、SMTP等。静态测试表格SEQ表格\*ARABIC1基本状况产品状况产品基本状况成果1产品名称2测试版本号3版本发布时间4支持语言表格SEQ表格\*ARABIC2硬件配备硬件状况产品硬件配备成果1CPU2内存3硬盘4网络接口表格SEQ表格\*ARABIC3管理方式安装管理管理状况成果1控制台软硬件需求2管理方式3远程管理支持4远程管理认证方式5与否有日记系统6与否可自定义规则7工作模式8响应方式升级方式1自动升级2手动升级3升级频度4升级包获取方式5升级与否断网表格SEQ表格\*ARABIC4入侵保护能力：系统功能入侵保护能力成果1阻断黑客袭击2阻断蠕虫、网络病毒袭击3阻断间谍软件4阻断P2P下载软件5阻断IM即时通讯软件6阻断网络在线游戏7阻断在线视频表格SEQ表格\*ARABIC5其她功能：其她功能其她功能状况成果1与否支持硬件BYPASS功能2与否支持内置防火墙功能测试产品初步评估产品初步评估是指对产品供应商资质，产品自身特性，内部配备，合用范畴，技术支持能力，核心技术，产品本地化，产品认证等方面进行书面初步评估。项目测试成果备注OS类型、版本界面语言接口数量产品类型产品技术实现本地化技术支持基本管理功能测试入侵保护系统重要功能之一就是要体现其可管理性，重要涉及对报警信息、对数据库管理、对网络引擎及下级控制台等组件管理，因此一方面要考察该系统管理能力。【测试办法】登录控制台界面（分别考察WEB控制台、windows控制台）；查看其各组件分布状况，涉及管理界面、报警显示界面、数据库、日记查询系统；配备多级管理模式，满足控制台——控制台——控制台——引擎布置构造；添加各种虚拟引擎（即只添加IP）看其与否有数量限制；查看可支持其她组件；【测试成果】项目测试成果备注软件布置具备Web控制台通过某些通过未通过未测试具备集中管理Windows控制台通过某些通过未通过未测试具备独立日记分析中心通过某些通过未通过未测试可以独立安装数据库通过某些通过未通过未测试设备监控管理可以在控制台上显示并控制所有探测器通过某些通过未通过未测试一种控制台与否可管理各种探测器通过某些通过未通过未测试一种探测器与否可以同步被各种控制台监控通过某些通过未通过未测试主、辅控制台对各探测器控制能力有明确权限区别通过某些通过未通过未测试管理方式支持分布式探测，集中式管理通过某些通过未通过未测试支持多层管理通过某些通过未通过未测试多级构造与否受限制可管理多少级别通过某些通过未通过未测试支持管理权限划分,不同级别控制台权限不同通过某些通过未通过未测试与否可以显示该系统整体布置拓扑图或树型构造图通过某些通过未通过未测试与否可以从主控给下级子控及子控下级下发方略等规则文献通过某些通过未通过未测试主控与否可以有选取接受报警信息通过某些通过未通过未测试与否可以将下级日记同步到主控来（同步内容是可以自行设定）通过某些通过未通过未测试与否具备全局预警功能（即其中一种子控可以收到其他子控发来报警信息）通过某些通过未通过未测试防火墙内置防火墙是IPS一种功能，IPS通过防火墙加强访问控制。好防火墙功能可以有效阻断袭击。【测试目】检测IPS防火墙功能。【测试成果】项目测试成果备注防火墙功能无防火墙规则状况下，袭击机访问目的机上web服务通过某些通过未通过未测试配备防火墙规则状况下，袭击机访问目的机上web服务通过某些通过未通过未测试验证明现动态/静态地址转换，反向地址转换功能，实现一对一地址映射功能通过某些通过未通过未测试验证明现动态/静态地址转换，反向地址转换功能，实现一对多地址映射功能通过某些通过未通过未测试验证明现动态/静态地址转换，反向地址转换功能，实现多对多地址映射功能通过某些通过未通过未测试验证方略路由通过某些通过未通过未测试验证路由模式工作方式通过某些通过未通过未测试验证透明模式和非透明模式等工作方式通过某些通过未通过未测试袭击特性库管理袭击特性是IPS系统用来判断什么是入侵行为原则，因此袭击特性质量和数量都非常重要。某些IPS系统还支持顾客自定义特性。本某些测试规定入侵保护系统具备合同分析能力，可自定义基于应用层合同特性。【测试办法】1.测试IPS袭击特性库质量和管理以便性。2.演示IPS产品袭击特性库方略编辑办法。3.演示IPS产品袭击特性数量。【测试成果】项目测试成果备注规则库管理袭击规则库按危险限度分类通过某些通过未通过未测试袭击规则库按服务类型分类通过某些通过未通过未测试对每个规则有详细注释阐明，涉及该袭击影响操作系统和解决方案通过某些通过未通过未测试可以对某条详细规则设立单独响应方式通过某些通过未通过未测试可以对某类规则设立共同响应方式通过某些通过未通过未测试与否支持自定义新规则通过某些通过未通过未测试流量管理流量管理是IPS新增功能，重要通过合同，端口，IP及时间等要素对流量进行管理。【测试目】测试NIPS对流量管理。【测试成果】项目测试成果备注流量管理验证BT，eMule合同进行流量管理通过某些通过未通过未测试验证依照时间对流量进行管理通过某些通过未通过未测试验证依照IP地址对流量进行管理通过某些通过未通过未测试验证依照端口对流量进行管理通过某些通过未通过未测试硬件BYPASS硬件BYPASS是IPS一种增强功能，保证设备浮现异常不工作时，网络依然可以畅通。【测试办法】1将IPS接入实际网络；2检测IPS在不加电、系统启动到就绪过程中、系统浮现异常不工作时，BYPASS功能与否有效。【测试成果】项目测试成果备注硬件BYPASS验证设备不加电时与否可以处在ByPass状态通过某些通过未通过未测试验证设备在系统启动到就绪过程中与否可以处在ByPass状态通过某些通过未通过未测试验证设备在系统浮现异常不工作时与否可以处在ByPass状态通过某些通过未通过未测试验证设备在系统异常切换到ByPass状态后直接掉电与否可以保持ByPass状态通过某些通过未通过未测试验证网络引擎设立强制硬件ByPass后能否正常处在ByPass状态通过某些通过未通过未测试验证系统处在资源占用较高状况下watchdog能否保持正常工作通过某些通过未通过未测试验证设备运营稳定性通过某些通过未通过未测试系统软件、袭击特性库升级能力随着袭击手段不断更新，IPS系统也必要保持迅速升级和更新能力。涉及软件版本升级和特性库更新，特别是特性库及时更新非常重要。升级需要涉及事件特性库升级以保持事件特性库最新，还需要涉及软件自身升级（控制端及引擎端）【测试办法】1.测试IPS系统升级方式有几种。2.测试能否在控制台上对IPS探测器进行升级包远程升级。3．演示事件特性库升级方式；4．演示控制端升级方式；5．演示引擎端升级方式；6．演示多级管理时事件库及引擎升级方式；【测试成果】项目测试成果备注控制软件升级支持在线升级通过某些通过未通过未测试支持离线升级通过某些通过未通过未测试规则库升级支持在线升级通过某些通过未通过未测试支持离线升级（规则库升级包为EXE方式）通过某些通过未通过未测试规则库更新频率（以公司网站为准，公司网站显示规则升级内容描述）通过某些通过未通过未测试日记分析系统日记分析系统是事后进行安全事件分析重要工具，需要可以依照顾客需要产生各种形式报告，如表格形式、柱状图、饼图等，并且可以依照顾客需要设立各种过滤条件，如IP地址、事件名称等，可以自动产生日报、周报、月报，并且可以导出成各种格式文献。【测试办法】演示日记分析系统（报表）生成方式；演示可支持查询条件；演示可支持导出格式；【测试成果】项目测试成果备注日记分析支持日记记录分析通过某些通过未通过未测试支持查询分析通过某些通过未通过未测试报表文档生成事件月报表通过某些通过未通过未测试生成流量周报表通过某些通过未通过未测试将生成报表保存为doc通过某些通过未通过未测试将生成报表保存为html通过某些通过未通过未测试任务定期给管理员发送报表通过某些通过未通过未测试日记管理定期日记备份通过某些通过未通过未测试日记恢复通过某些通过未通过未测试日记清除通过某些通过未通过未测试日记归并通过某些通过未通过未测试事件过滤IPS基于时间、IP地址、编号、类型等条件组合对事件进行过滤。【测试办法】1将IPS接入实际网络；2依照时间、IP地址、编号、类型等条件组合，察看事件过滤成果。【测试成果】项目测试成果备注事件过滤与否设立事件来源（地址、编号、类型）通过某些通过未通过未测试与否设立事件发生时间通过某些通过未通过未测试与否设立事件成果及引擎所采用动作通过某些通过未通过未测试流量分析流量分析是入侵保护系统重要构成某些，可以协助顾客精确地掌握当前整个网络各种合同流量分布，以及占用最大带宽详细合同顾客，好合同流量分布技术需要具备直观显示效果，并且应当具备保存当前带宽分布图功能。【测试办法】1将IPS接入实际网络；2演示合同流量分布效果图；3查看合同分布效果图刷新；4察看占用当前带宽最大某个合同顾客列表；【测试成果】项目测试成果备注流量分析合同流量分布图（规定直观）通过某些通过未通过未测试合同流量分布图刷新时间可调通过某些通过未通过未测试可以察看占用最大带宽合同前10位顾客IP列表通过某些通过未通过未测试可以察看自定义合同流量占用最大带宽前10位顾客IP列表通过某些通过未通过未测试可以察看常用合同流量占用最大带宽前10位顾客IP列表（如http、smtp、pop3、BT等）通过某些通过未通过未测试自身安全性能作为安全产品其自身安全性是一种很重要因素，如果自身存在系统缺陷或设计缺陷话很容易被袭击者运用从而使得安全系统失去自身作用，掩盖了其真实袭击行为。【测