天融信对外测试方案流量清洗Word下载.docx
《天融信对外测试方案流量清洗Word下载.docx》由会员分享,可在线阅读,更多相关《天融信对外测试方案流量清洗Word下载.docx(21页珍藏版)》请在冰豆网上搜索。
林苏毅
测试时间
测试地点
2测试环境
2.1.1测试功能性和安全性测试环境
图1
2.1.2性能测试环境
图2
2.2测试环境所需设备配置表
测试机
硬件配置
操作系统
IP地址
软件配置
2.3测试仪表
仪表名称
工具类型
安装位置
3测试产品情况
项目
描述
产品形态
□硬件□软件
产品名称
产品型号
产品版本号
产品硬件信息
处理器:
内存:
存储介质:
网络接口:
4基本功能测试
4.1.1系统管理
功能要求:
ADS应至少支持Cli、webui的管理方式。
测试方法:
1)将流量清洗产品的串口与管理客户端相连,然后用Cli对流量清洗产品进行管理;
2)用管理客户端对流量清洗产品的webui进行管理;
预期结果:
1)支持Cli的管理方式;
2)支持webui的管理方式;
3)支持集中管理器的管理方式。
4.1.2用户管理
ADS应支持多种用户的管理,每个管理用户都拥有不同的管理权限。
1)用超级管理员管理流量清洗产品;
2)用管理用户管理流量清洗产品;
3)用审计用户管理流量清洗产品。
1)超级管理员具备所有管理权限;
2)管理用户具备部分管理权限;
3)审计用户只具备审计权限。
4.1.3系统监控
ADS应能够监视各协议事件并对其进行实时显示和统计。
1)从client1上通过攻击工具向server1上发送synflood、udpflood、cc攻击
1)分别能够对synflood、udpflood、cc攻击进行统计;
2)能够对各事件进行实时显示。
4.1.4日志存储查看检索
功能要求:
ADS产品应该能够记录保护对象产生的攻击记录,并能够提供本地查询的功能
1)配置ADS保护对象为test,配置一条httpflood攻击防御策略,发送匹配策略的流量,通过web登陆设备管理页面,在日志报表中进行查看
2)按照被保护对象组对攻击日志进行查找
3)按照目的IP对攻击日志进行查找
4)按照二级保护对象对攻击日志进行查找
1)可以按照保护组对象对日志进行查找
2)可以按照目的IP对日志进行查找
3)可以按照二级保护对象对日志进行查找
4.1.5报表生成
ADS产品具备可以生成攻击报表的功能,生成的攻击报表具有自定义生成时间的功能
1)配置ADS保护对象为test,配置一条httpflood攻击防御策略,发送匹配策略的流量,登陆web页面,修改系统时间比攻击时间长24小时
2)配置手动导出报表,选择按天导出报表内容
3)配置手动导出报表,选择按时间段导出报表内容
4)配置自动导出报表,选择按照日、月、年导出报表,并修改相应的系统时间
1)可以手动按照时间导出报表
2)可以自动按照规定时间以邮件形式发送攻击报表
4.1.6攻击取证
ADS产品具备对攻击进行取证的功能
1)配置ADS保护对象为test,开启自动抓包功能
2)配置异常抓包数量为1000,配置攻击检测功能,发送匹配策略的攻击流量,查看设备抓包日志
3)配置攻击抓包数量为1000,配置tcp源认证功能,发送匹配策略的synflood攻击,查看抓包日志
1)可以根据检测阈值抓取超过阈值的攻击流量报文
2)可以根据防御配置抓取未通过认证的攻击流量报文
4.1.7抓包功能
ADS产品具备对流量进行过滤抓包的功能
1)开启设备抓包功能,发送目的地址为3.3.3.3的混合流量
2)配置抓包功能抓取其中tcp协议的流量报文
3)配置抓取个数为50个
1)可以根据协议类型对流量进行抓包
2)可以调整抓取报文的个数
4.1.8二级保护对象功能
ADS产品具备配置二级保护对象的功能
1)配置ADS产品保护组为3.3.3.3-3.3.3.10,配置TCPFLOOD攻击防护功能
2)配置ADS二级保护对象为3.3.3.5,配置HTTPFLOOD攻击防护功能
3)发送匹配目的地址为保护组3.3.3.10的httpflood攻击
4)发送匹配目的地址为二级保护对象为3.3.3.5的httpflood攻击
1)所有匹配3.3.3.10的httpflood攻击穿透ADS设备
2)所有匹配二级保护3.3.3.5的httpflood攻击被设备阻断
4.1.9保护组黑白名单功能
ADS产品可以支持基于保护组的黑白名单功能
1)配置两个防御保护组,被保护对象分别为ZONE1:
3.3.3.3和ZONE2:
3.3.3.4。
2)给ZONE1配置一个静态源黑名单为3.3.3.10,以源为3.3.3.10的地址访问两个被保护组的web服务
3)给ZONE1配置一个静态白名单为3.3.3.20,两个保护组中都配置TCPFLOOD攻击防护策略
4)分别向ZONE1对象和ZONE2对象以源为3.3.3.20的地址发送tcpFLOOD攻击
1)无法访问ZONE1的被保护对象web服务
2)可以正常访问ZONE2的被保护对象web服务
3)发送到ZONE1的tcpflood攻击穿过ADS设备
4)发送到ZONE2的tcpflood攻击被ADS设备阻断
5旁路检测清洗
5.1.1镜像流量检测
ADS产品应该能够根据路由器镜像口发送来的流量,判断匹配规则的协议是否有攻击产生
1)配置路由器镜像口,将现网流量通过镜像口导出发往ADS检测口,现网流量中UDP协议流量为10Mbps
2)在ADS产品上开启UDP流量检测功能,配置UDP总阈值为1Mbps
1)ADS产品上日志应该可以报出UDP流量超过阈值,ADS产生报警信息
5.1.2BGP牵引测试
ADS产品应该能够通过发布BGP路由,对检测到攻击特征的流量进行自动牵引
1)在ADS清洗产品上,和路由器直连的接口配置地址1.1.1.1,在路由器和ADS产品直连的接口上配置地址1.1.1.2,路由器配置自身AS号为100,ADS产品上配置自身AS号为200,分别在ADS产品和路由器上分别执行建立EBGP邻居的命令
2)在ADS检测产品上开启netflow服务,配置netflow本地地址和端口,开启UDP流量检测功能,配置UDP总阈值为1Mbps
3)在路由器上开启netflow协议,指定netflow版本为V5版本,指定netflow服务器地址为ADS检测口地址,端口为ADS上配置的netflow协议接收端口,通过路由器发送10Mbps的udp流量
1)ADS清洗产品能够正常和路由器建立EBGP邻居
2)ADS检测产品根据netflow日志检测出UDP流量超过阈值,通告ADS清洗产品进行流量牵引
3)ADS清洗产品应该能够自动发布一条路由,对匹配目的主机的流量进行牵引
5.1.3GRE回注测试
ADS应该支持以GRE隧道的方式将清洗以后得流量进行回注
2)在ADS清洗产品上,启用GRE隧道,配置隧道源的地址为2.2.2.1,ADS清洗产品上将回注路由目的发送至隧道接口,在路由器和ADS清洗产品回注口直连的接口上配置GRE隧道,地址为2.2.2.2
3)在ADS检测产品上开启netflow服务,配置netflow本地地址和端口,开启UDP流量检测功能,配置UDP总阈值为1Mbps
4)在路由器上开启netflow协议,指定netflow版本为V5版本,指定netflow服务器地址为ADS检测口地址,端口为ADS上配置的netflow协议接收端口,通过路由器发送10Mbps的udp流量
4)ADS清洗产品完成清洗以后,可以正常通过GRE隧道将流量回注到现网中
6流量清洗测试
6.1.1TCPFLOOD防御功能测试
功能要求:
ADS产品应该能够对TCP的攻击流量清洗
1)ADS产品开启TCP代理防护功能
2)从client1上通过HGOD对后台server1进行攻击,client2正常访问后台server1上的telnet服务
3)在client1上通过HGODsynflood攻击工具穿过ADS产品对后台server1上的telnet服务进行攻击
4)在client2上正常访问后台server1上的telnet服务
1)不通过清洗设备时,client2无法正常访问后台服务器
2)加入ADS后,攻击流量应该无法通过设备
3)ADS产品上应该有对应的synflood攻击日志产生,并产生报警信息
4)加入ADS后,Client2可以正常访问后台telnet服务
6.1.2UDPFLOOD防御功能测试
ADS产品应该能够对UDP的攻击流量清洗
1)ADS产品开启UDP防护功能
2)在client1上通过UDPFLOOD攻击工具XOIC攻击后台DNS服务器,同时通过client2向后台DNS服务器做正常解析
3)在client1上通过UDPFLOOD攻击工具XOIC穿过ADS产品对后台server1的DNS服务进行攻击
4)从client1上正常向后台server1发起dns查询请求
1)不通过清洗设备时,client2无法正常访问后台DNS服务器
2)加入ADS后,攻击流量应该无法穿过设备
3)ADS产品上应该由对应的UDPFLOOD攻击日志产生,并产生报警信息
4)加入ADS后,Client2可以正常解析到域名
6.1.3ICMP防御功能测试
ADS产品应该能够对ICMP的攻击流量清洗
1)ADS产品开启ICMP防护功能
2)在client1上通过
升级会员 