绿盟实际环境下IPS测试方案(完整版)

1、绿色联盟IPS测试计划目录(Contents )1 .测试要求42 .测试单元52.1静态测试52.2功能测试53 .测试环境63.1网络连接平台63.2硬件设备63.3软件环境73.4准备攻击方法和应对工具74 .静态测试85 .功能测试105.1产品的初步评价105.2基本管理功能测试105.3防火墙125.4攻击特征库管理135.5流量管理部135.6硬件BYPASS145.7系统软件、攻击特性库的升级能力155.8日志分析系统165.9事件过滤175.10流量分析175.11自我安全性能185.12响应方式191 .测试要求以实事求是的态度，在项目建设前，对网络入侵保护产品(IPS )

2、进行了实际测试。 参加这次测试的公司有北京绿色技术的IPS产品型号：中联绿色信息技术有限公司ICEYE-600P2 .测试单元一般来说，测试分为实验室测试和现场测试。 这次的测试都是现场测试，这次产品的现场测试由四部分组成n静态测试n功能测试2.1静态测试主要考察设备的外观、硬件构成、文件等。2.2功能测试主要调查被测产品(设备)自身的功能特性，通过采访和操作验证被测产品的功能(设备)，其功能测试包括基本功能和附属功能测试两部分。3 .测试环境3.1网络连接平台在实际环境中，设备位于互联网出口处，并测试系统的接口、部署方式、升级、软件应用程序、日志管理、审计管理、攻击检测块、流量管理等功能。3

3、.2硬件设备1、电脑根据本规范中的测试平台，需要准备至少一台计算机，作为管理功能的最低构成要件如下所示CPU: PIII 800以上RAM: 256M以上nic:/1000m米2 .网络设备根据本规范中的测试平台，需要准备适当的网络环境。3.3软件环境1 .操作系统windows 2000/XP/2003 (Chinese版本)3 .辅助测试工具用于监视sniffer pro、包记录软件等网络通信量。3.4准备攻击方法和相应工具在测试中，选择几种典型的攻击方法用于功能测试。l选择检查难易度高的攻击时，可以比较IPS产品的引擎和攻击特性。l通过选择最近出现的危害较大的攻击方法，可以比较IPS产品

4、攻击特性库的更新频率，评价各供应商的技术能力。选择可以复盖对各种常见协议和应用服务器(包括FTP、HTTP和SMTP )的攻击。4 .静态测试表1的基本产品状况产品的基本结果1产品名称2版本号的测试3发行日期4支持语言表2硬件构成硬件的情况产品硬件配置结果1电脑处理器2记忆体3硬盘驱动器4网络接口，网络接口表3管理方式安装管理管理情况结果1控制台的硬件和软件要求。2管理方式3远程管理支持4远程管理认证方式5是否有日志系统。6是否可以定制规则。7动作模式8响应方式升级方式1自动升级。2手动升级3升级频率4升级包获取方式。5升级是否要关网。表4入侵保护功能：系统功能入侵保护功能结果1阻止黑客攻击。

5、2阻止蠕虫和网络攻击3封锁间谍软件。4阻止P2P下载5阻止IM即时通讯系统6切断互联网的在线游戏。7阻止在线视频。表5其他功能：其他功能其他功能的情况结果1是否支持硬件BYPASS功能2是否支持嵌入的防火墙，以及5 .功能测试5.1产品的初步评价产品初步评价是对产品供应商素质、产品自身特性、内部配置、适用范围、技术支持能力、核心技术、产品本地化、产品认证等方面的书面初步评价。项目测试结果备注操作系统类型、版本接口语言。接口数产品类型产品技术的实现本地化技术支持。5.2基本管理功能测试入侵保护系统的一个重要功能是体现其可管理性，主要包括报警信息、数据库管理、网络引擎和下位控制台等组件的管理，因此

6、首先考察该系统的管理能力。【测试方法】1 .登录控制台界面(分别考察WEB控制台、windows控制台)2 .查看各组件的分布情况。 包括管理界面、报警显示界面、数据库、日志查询系统3 .配置多级管理模式，以满足控制台控制台控制台引擎的布置结构4 .通过添加多个虚拟引擎(即，仅添加IP )来确认是否存在数量限制5 .显示可以支持的其他组件【测试结果】项目测试结果备注软件的引进配备Web控制台o通过o部分通过o不合格o不合格集中管理的Windows控制台o合格o合格o不合格o不合格拥有独立的日志分析中心。o合格o合格o不合格o不合格您可以单独安装数据库.o合格o合格o不合格o不合格设备监视管理您

7、可以在控制台上查看和控制所有探测器o合格o合格o不合格o不合格能否在一个控制台中管理多个探测器o合格o合格o不合格o不合格能否通过多个控制台同时监视一个探测器o合格o合格o不合格o不合格主、辅助控制台在各探测器的控制能力上有明确的权限差异o合格o合格o不合格o不合格管理方式支持分布式探测器，集中管理o合格o合格o不合格o不合格支持多级管理o合格o合格o不合格o不合格多层次的结构能够管理的层次数是否有限制o合格o合格o不合格o不合格支持管理权限的区分，控制台权限的级别不同o合格o合格o不合格o不合格是否可以显示整个系统的部署拓扑图或树图o合格o合格o不合格o不合格主控件是否能够从下位子控件或子控

8、件的下位分发策略等规则文件o合格o合格o不合格o不合格主机是否具有选定的接收报警信息。o合格o合格o不合格o不合格能否将下级日志与主日志同步(同步内容可以自己设置)o合格o合格o不合格o不合格是否具有全局警报功能(其中一个子控件是否可以接收来自其他子控件的警报信息)o合格o合格o不合格o不合格5.3防火墙内置防火墙是IPS的功能，IPS通过防火墙增强访问控制。 优秀的防火墙功能有效地阻止了攻击。【测试目的】测试IPS的防火墙功能。【测试结果】项目测试结果备注防火墙功能。如果没有防火墙规则，攻击者可以访问目标计算机上的web服务o通过o部分通过o不合格o不合格如果设置了防火墙规则，攻击者将访问目

9、标计算机上的web服务o通过o部分通过o不合格o不合格验证实现了动态/静态地址转换、反向地址转换功能、一对一地址映射功能o通过o部分通过o不合格o不合格验证实现动态/静态地址转换、逆地址转换功能，实现一对多地址映射功能o通过o部分通过o不合格o不合格验证实现动态/静态地址转换、逆地址转换功能，实现多对多地址映射功能o通过o部分通过o不合格o不合格策略路由的验证o通过o部分通过o不合格o不合格确认路由模式的动作。o通过o部分通过o不合格o不合格验证透明模式和非透明模式等动作o通过o部分通过o不合格o不合格5.4攻击特征库管理攻击的特征是IPS系统判断什么是入侵行为的标准，因此攻击的特征的质量和数

10、量非常重要。 有些IPS系统还支持用户定义的功能。 此部分的测试要求入侵保护系统具有协议分析能力，并且可以基于应用层协议来定制特征。【测试方法】1 .测试IPS攻击特性库的质量和管理便利性。2 .演示IPS产品攻击特性库的战略编辑方法。3 .演示IPS产品的攻击特性的数量。【测试结果】项目测试结果备注规则库管理攻击规则库是根据危险度分类的o通过o部分通过o不合格o不合格攻击规则库按服务类型进行分类o通过o部分通过o不合格o不合格每个规则都包含详细的评论，包括受攻击影响的操作系统和解决方案o通过o部分通过o不合格o不合格可以为特定规则设置单独的响应方法o通过o部分通过o不合格o不合格可以为某种规

11、则设定通用的响应方法o通过o部分通过o不合格o不合格是否支持新规则的自订.o通过o部分通过o不合格o不合格5.5流量管理通信管理是IPS的新功能，主要通过协议、端口、IP、时间等因素来管理通信。【测试目的】测试NIPS对通信的管理。【测试结果】项目测试结果备注流量管理验证基于BT，eMule协议的通信管理o通过o部分通过o不合格o不合格验证根据时间来管理通信量.o通过o部分通过o不合格o不合格确认通信是根据IP地址进行管理的。o通过o部分通过o不合格o不合格确认通信是根据端口进行管理的。o通过o部分通过o不合格o不合格5.6硬件总线硬件PS是IPS的扩展功能，确保即使设备不正常工作，网络也能顺

12、利工作。【测试方法】把IPS连接到实际网络上如果IPS无法开机，系统启动后准备就绪，系统无法正常工作，请检查BYPASS功能是否启用。【测试结果】项目测试结果备注硬件BYPASS确认设备未接通电源时，可以进入ByPass状态o通过o部分通过o不合格o不合格确保设备在系统启动和准备就绪期间处于ByPass状态o通过o部分通过o不合格o不合格确认系统不正常工作时，设备处于ByPass状态o通过o部分通过o不合格o不合格在系统异常切换到旁路状态后，验证设备的电源是否能够维持旁路状态o通过o部分通过o不合格o不合格在网络引擎的设置强制硬件ByPass之后，确认是否已成功进入ByPass状态o通过o部分

13、通过o不合格o不合格验证系统在资源消耗高的情况下watchdog能正常工作o通过o部分通过o不合格o不合格验证设备的稳定性o通过o部分通过o不合格o不合格5.7系统软件、攻击特性库的升级能力随着攻击手段不断更新，IPS系统也必须保持快速升级和更新能力。 包括软件版本的升级和特征库的更新，尤其是特征库的及时更新. 为了保持事件特征库的最新信息，升级必须包括事件特征库的升级，以及软件本身的升级(控制端和引擎端)。的升级【测试方法】1 .有多种方法可以测试IPS系统升级。2 .测试控制台是否可以升级IPS探测器。3 .演示事件特征库的升级方式4 .演示控制侧的升级方式5 .演示引擎方面的升级方式6 .演示多级管理时的事件库和引擎升级方法【测试结果】项目测试结果备注控制软件的升级支持在线升级o通过o部分通过o不合格o不合格支持脱机升级。o通过o部分通过o不合格o不合格基于规则的升级。支持在线升级o通过o部分通过o不合格o不合格支持离线升级(基于规则的升级工具包是EXE方法)o通过o部分通过o不合格o不