绿盟实际环境下IPS测试方案文档格式.docx
《绿盟实际环境下IPS测试方案文档格式.docx》由会员分享,可在线阅读,更多相关《绿盟实际环境下IPS测试方案文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
RAM:
256M以上
NIC:
100/1000M
2、网络设备
根据本规下的测试平台,需要准备相应的网络环境。
三.3软件环境
1、操作系统
Windows2000/xp/2003(ChineseVersion)
3、辅助测试工具
用于监控网络流量,包括snifferpro、数据包录制软件。
三.4攻击法和相应工具的准备
在测试当中,我们选取一些典型的攻击法,用于功能测试。
●选择检测难度较大的攻击,这样可以比拟IPS产品的引擎和攻击特征编写能力。
●选择最近出现的危害较大的攻击法,这样可以比拟IPS产品的攻击特征库更新频率,进而评估各供给商的的技术能力。
●选择能覆盖到各种常用协议和应用效劳器的攻击,如FTP、、SMTP等。
四.静态测试
表格1根本情况
产品情况
产品根本情况
结果
1
产品名称
2
测试版本号
3
版本发布时间
4
支持语言
表格2硬件配置
硬件情况
产品硬件配置
CPU
存
硬盘
网络接口
表格3管理式
安装管理
管理情况
控制台软硬件需求
管理式
远程管理支持
远程管理认证式
5
是否有日志系统
6
是否可自定义规那么
7
工作模式
8
响应式
升级式
自动升级
手动升级
升级频度
升级包获取式
升级是否断网
表格4入侵保护能力:
系统功能
入侵保护能力
阻断黑客攻击
阻断蠕虫、网络病毒攻击
阻断间谍软件
阻断P2P下载软件
阻断IM即时通讯软件
阻断网络在线游戏
阻断在线视频
表格5其他功能:
其他功能
其他功能情况
是否支持硬件BYPASS功能
是否支持置防火墙
五.功能测试
五.1产品初步评估
产品初步评估是指对产品供给商的资质,产品本身的特性,部配置,适用围,技术支持能力,核心技术,产品本地化,产品认证等面进展的书面的初步评估。
工程
测试结果
备注
OS类型、版本
界面语言
接口数量
产品类型
产品技术实现
本地化技术支持
五.2根本管理功能测试
入侵保护系统的重要功能之一就是要表达其可管理性,主要包括对报警信息、对数据库的管理、对网络引擎及下级控制台等组件的管理,所以首先要考察该系统的管理能力。
【测试法】
1.登录控制台界面〔分别考察WEB控制台、windows控制台〕;
2.查看其各组件的分布情况,包括管理界面、报警显示界面、数据库、日志查询系统;
3.配置多级管理模式,满足控制台——控制台——控制台——引擎的部署构造;
4.添加多个虚拟引擎〔即只添加IP〕看其是否有数量限制;
5.查看可支持的其他组件;
【测试结果】
软件部署
具备Web控制台
☐通过☐局部通过
☐未通过☐未测试
具备集中管理的Windows控制台
☐通过☐局部通过☐未通过☐未测试
具备独立的日志分析中心
可以独立安装数据库
设备监控管理
可以在控制台上显示并控制所有探测器
一个控制台是否可管理多个探测器
一个探测器是否可以同时被多个控制台监控
主、辅控制台对各探测器的控制能力有明确的权限区别
支持分布式探测,集中式管理
支持多层管理
多级的构造是否受限制可管理多少级别
支持管理权限划分,不同级别的控制台权限不同
是否可以显示该系统整体的部署拓扑图或树型构造图
是否可以从主控给下级子控及子控的下级下发策略等规那么文件
主控是否可以有选择的接收报警信息
是否可以将下级的日志同步到主控来〔同步的容是可以自行设定的〕
是否具备全局预警的功能〔即其中的一个子控可以收到其它子控发来的报警信息〕
五.3防火墙
置防火墙是IPS的一种功能,IPS通过防火墙加强访问控制。
好的防火墙功能可以有效的阻断攻击。
【测试目的】
检测IPS的防火墙功能。
防火墙功能
无防火墙规那么情况下,攻击机访问目标机上的web效劳
☐通过☐局部通过
配置防火墙规那么情况下,攻击机访问目标机上的web效劳
验证实现动态/静态地址转换,反向地址转换功能,实现一对一地址映射功能
验证实现动态/静态地址转换,反向地址转换功能,实现一对多地址映射功能
验证实现动态/静态地址转换,反向地址转换功能,实现多对多地址映射功能
验证策略路由
验证路由模式工作式
验证透明模式和非透明模式等工作式
五.4攻击特征库管理
攻击特征是IPS系统用来判断什么是入侵行为的标准,所以攻击特征的质量和数量都非常重要。
某些IPS系统还支持用户自定义特征。
本局部的测试要求入侵保护系统具有协议分析能力,可自定义基于应用层协议的特征。
1.测试IPS的攻击特征库的质量和管理便性。
2.演示IPS产品的攻击特征库的策略编辑法。
3.演示IPS产品的攻击特征的数量。
规那么库管理
攻击规那么库按危险程度分类
攻击规那么库按效劳类型分类
对每个规那么有详细注释说明,包括该攻击影响的操作系统和解决案
可以对某条具体规那么设置单独的响应式
可以对某类规那么设置共同的响应式
是否支持自定义新的规那么
五.5流量管理
流量管理是IPS的新增功能,主要通过协议,端口,IP及时间等要素对流量进展管理。
测试NIPS对流量的管理。
流量管理
验证BT,eMule协议进展流量管理
验证根据时间对流量进展管理
验证根据IP地址对流量进展管理
验证根据端口对流量进展管理
五.6硬件BYPASS
硬件BYPASS是IPS的一种增强功能,保证设备出现异常不工作时,网络依然能够畅通。
1将IPS接入实际网络;
2检测IPS在不加电、系统启动到就绪过程中、系统出现异常不工作时,BYPASS功能是否有效。
硬件BYPASS
验证设备不加电时是否能够处于ByPass状态
验证设备在系统启动到就绪过程中是否能够处于ByPass状态
验证设备在系统出现异常不工作时是否能够处于ByPass状态
验证设备在系统异常切换到ByPass状态后直接掉电是否能够保持ByPass状态
验证网络引擎设置强制硬件ByPass后能否正常处于ByPass状态
验证系统处于资源占用较高情况下watchdog能否保持正常工作
验证设备运行稳定性
五.7系统软件、攻击特征库升级能力
随着攻击手段的不断更新,IPS系统也必须保持快速的升级和更新能力。
包括软件版本的升级和特征库的更新,尤其是特征库的及时更新非常重要。
升级需要包括事件特征库的升级以保持事件特征库的最新,还需要包括软件自身的升级〔控制端及引擎端〕
1.测试IPS系统的升级式有几种。
2.测试能否在控制台上对IPS探测器进展升级包的远程升级。
3.演示事件特征库的升级式;
4.演示控制端的升级式;
5.演示引擎端的升级式;
6.演示多级管理时事件库及引擎的升级式;
控制软件升级
支持在线升级
支持离线升级
规那么库升级
支持离线升级〔规那么库升级包为EXE式〕
规那么库更新的频率〔以公司为准,公司显示规那么升级容描述〕
五.8日志分析系统
日志分析系统是事后进展平安事件分析的重要工具,需要能够根据用户的需要产生各种形式的报告,如表格形式、柱状图、饼图等,并且可以根据用户需要设置各种过滤条件,如IP地址、事件名称等,可以自动的产生日报、报、月报,并且可以导出成多种格式的文件。
1.演示日志分析系统〔报表〕的生成式;
2.演示可支持的查询条件;
3.演示可支持的导出格式;
日志分析
支持日志统计分析
支持查询分析
报表文档
生成事件的月报表
生成流量的报表
将生成的报表保存为doc
将生成的报表保存为html
任务
定时给管理员发送报表
日志管理
定时日志备份
日志恢复
日志去除
日志归并
五.9事件过滤
IPS基于时间、IP地址、编号、类型等条件组合对事件进展过滤。
2根据时间、IP地址、编号、类型等条件组合,观察事件过滤结果。
事件过滤
是否设置事件来源〔地址、编号、类型〕
是否设置事件发生的时间
是否设置事件结果及引擎所采取的动作
五.10流量分析
流量分析是入侵保护系统的重要组成局部,可以帮助用户准确地掌握当前整个网络各种协议的流量分布,以及占用最大带宽的具体协议的用户,好的协议流量分布技术需要具有直观的显示效果,而且应该具有保存当前带宽分布图功能。
2演示协议流量分布效果图;
3查看协议分布效果图的刷新;
4观察占用当前带宽最大的某个协议的用户列表;
流量分析
协议流量分布图〔要求直观〕
协议流量分布图的刷新时间可调
可以观察占用最大带宽的协议的前10位的用户IP列表
可以观察自定义协议流量占用最大带宽的前10位的用户IP列表
可以观察常见协议流量占用最大带宽的前10位的用户IP列表〔如、smtp、pop3、BT等〕
五.11自身平安性能
作为平安产品其自身的平安性是一个很重要的因素,如果自身存在系统缺陷或设计缺陷话很容易被攻击者利用从而使得平安系统失去自身的作用,掩盖了其真实的攻击行为。
1.查看其组件是否具备用户审计模块;
2.查看对于用户的管理是否进展了分组设置,对于每个组是否都有不同权限;
自身平安性能
是否具备用户审计模块
是否支持用户权限分组
对于不同的用户是否可以赋予不同的权限
对于每个用户的是否具备登录失败处理
五.12响应式
IPS通过丢弃数据包、丢弃连截会话来主动防御,阻断攻击流量,同时采取告警等响应式。
好的防护功能可以有效、迅速的阻断攻击,同时及时提醒网络管理员。
【测试目标】
测试IPS系统对于常见的响应式。
将IPS系统的策略置为最大值,应用最新的升级包。
开启IPS阻断功能时对被攻击目标主机进展攻击,检测入侵保护系统的响应情况。
阻断
日志告警
告警
运行用户自定义命令
打印机输出
SNMPTrap
防火墙联动
TCPKiller