XXX网络入侵防御系统测试报告方案Word文档格式.docx

XXX网络入侵防御系统测试报告方案Word文档格式.docx

《XXX网络入侵防御系统测试报告方案Word文档格式.docx》由会员分享，可在线阅读，更多相关《XXX网络入侵防御系统测试报告方案Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

防洪泵站自动化远程控制系统三级保护改造设备采购项目的

实际需求，测试方案如下。

二.测试单元

此次测试在内容方面主要由三个部分组成:

1..功能测试

功能测试是对IPS产品可用性、易用性的综合评估。

通过功能测试筛选出能够满足测试目的中功能需求内容的产品。

2..攻击测试

攻击测试主要是评估产品是否能够及时、准确、完整的发现黑客的攻击企图和行为，包括各种类型的攻击。

如：

预攻击探测扫描、后门攻击、拒绝服务攻击、应用服务攻击等等。

同时也包括IPS躲避技术和逃避技术的测试。

3..性能测试

性能测试主要是评估IPS产品的吞吐量、延时等性能参数。

三.测试环境及准备

在测试前必须对整个测试过程有周密的计划，测试人员要对整个测试过程有全面的了解。

准备详细周密的测试实施细则是测试正常进行的和顺利完成的前提。

测试人员需要对于测试实施细则进行充分的了解和讨论，以确保测试方案的正确执行，并保证高质量的测试工作。

环境准备

空间（单个产品测试，临时搭建环境）

根据测试的内容和规模不同，所需要的计算机、网络连接设备等的数量也不一样，但是

一般的最小的测试也应该需要3台以上的计算机和1台交换机等网络连接设备，所以最好能够有独立的测试环境来进行测试。

如果没有独立的环境，那么提供的测试场所也至少可以容纳3台以上的计算机和所有测试人员。

电源保障

由于在测试中需要的计算机等设备比较多，所以对环境中电源的要求也就相应的比较高，所以应该选择电源功率比较大的环境（房间），用于连接各种设备的电源插座也要求比较好，

否则由于电源的原因造成的测试环境的问题就会影响测试中的很多问题。

网络连接保障

为了保证测试的顺利进行，测试环境网络应该是独立的网络，但是为了查阅资料的方便,

也需要保证测试环境和参加测试人员的计算机能够方便地接入Internet。

网络连接平台

拓扑一：

虚拟线+监听混合部署

PC1

G1/1

Direct-A

图3.1测试拓扑一

拓扑二：

用户管理

pc3斑控服\务器

G1/1|yJHnDirect-A

拓扑三：

非对称路由

10.10

10.1022/27

Q

\/PC4-域成员

PC+Agent

出理口M

PC2

图3.2测试拓扑二

flrlpcs

[wjlOAO.4.1/24

iproute1O.WA,12bb.2bS,2bb.O10.10.3,15X3Lipmute14K10JJ2bb.2bb,2h5.O10.10.2.1W

XJO.10.3.2/24

Gl/1/

Directg：

F：

“二w-

\61/1

L/3q^qirectA

Mi♦

W?

7吴不^C2

10.10.2.1/24K

G

ID.lUp.

拓扑四：

NGTP和高级威胁防御

/I

/Direct-A

<

aO.lO,3.1/24

jiproute'

10.10.4.1255,755.?

5501。

一16九？

Siproute1U,1（J,4.12b5.Zbb.25b,O1U,1U.2.21U

.2/24

w1

10.10.1.1/24

图3.3测试拓扑三

ESPC

镜像口

客户端PC

管理口M

图3.4测试拓扑四

具体的主机配置如下:

各主机的IP地址依据测试中IPS的部署方式不同而进行相应的设置，建议安装

安全中心用来进行日志收集及设备的统一管理，需安装

进行

IPSHA测试，须准备两台同型号IPS设备

Web信誉测试，须将攻击机接入互联网

工具

Iris或科来

Windows2003操作系统

IPS在线升级功能测试，须将IPS管理口或安全中心接入互联网

安装IIS或Apache,建有测试WEB站点，PC2安装Metasploit攻击软件和包回放

当进行Metasploit攻击测试时，PC1建议更换为未打补丁的Windows2000操作系统或

其他与攻击条目对应的未打补丁的操作系统。

硬件设备

计算机

根据本规范下的测试平台，至少需要准备3台计算机，作为攻击主机和目标主机、管理

机。

网络设备

根据本规范下的测试平台，需要准备相应的网络设备。

下面是测试所需要的网络设备：

交换机一台，须支持SPAN（Portmirror）功能。

网线若干，如有光纤接口，还需光纤线。

软件测试工具

根据本规范下的测试平台，需要通过回放攻击数据包测试IPS的攻击检测，可选用的网

络流量回放工具有：

Snifferpro、Iris等。

软件环境

操作系统

Windows2000professional（ChineseVersion）+IIS

Windows2003professional（ChineseVersion）

服务系统

IISServer、Apache、Bind

测试工具

攻击包回放工具：

SNIFFER、IRIS或科来网络分析系统

应用软件：

浏览器：

IE、Firefox

Ftp、Outlook或Foxmail、远程桌面连接工具、BT下载工具、QQ、MSN等

四.功能测试

产品初步评估

产品初步评估是指对产品供应商的资质，产品本身的特性，内部配置，适用范围，技术支持能力，核心技术，产品本地化，产品认证等方面进行的书面的初步评估。

评估项目

版本

界面语言

接口数量

接口支持类型（光口、电口）

设备的OS平台

本地化技术支持

基本管理功能测试

ips版本的重要功能之一就是要体现其可管理性，主要包括对报警信息、对数据库的管理、

对网络引擎及下级安全管理中心等组件的管理。

具有高可管理性的产品在节省设备管理成本的同时，更能保证安全设备的策略统一，及灵活配置。

因此，在这里首先要考察该系统的管理能力。

测试方法

登录控制台界面（分别考察设备控制台、安全管理中心控制台）；

查看其各组件的分布情况，包括管理界面、报警显示界面、数据库、日志查询系统；

在安全管理中心添加多个虚拟引擎（即只添加IP）,查看其是否有数量限制；

部署方式测试

ips支持虚拟线部署、非对称路由部署、路由模式部署、二层接入模式部署；

具体拓扑见以下：

按照各测试拓扑将IPS接入网络，测试内网是否能够正常与外网通信，设备能够检测到异常攻击行为；

4.3.1虚拟线部署拓扑

Internet

4.3.2非对称路由部署拓扑

il0.10.4j/24

iprouteW.W.1.12b5.25b.2hb.O10,10.415iproute10.10.1.1255.255.255.010.10.2.110

IS1021032/24

Gl/1

NIPS

Gl/1Direct-A

52/1

DirectA

Gl/2

10.10.2.1/24

10,10.^/1/24

iproute1010.4,1255.255.2^5.010.10.2.25

Oproute10.10.4.1255.255.255.010.10.2.210

4.3.3路由模式拓扑

内用：

192,163.1-0.0/24

4.3.4二层接入部署拓扑

10.10.10.31/24-10.10.10.50/24

202.100.100.3/24

10.10.10.2/24-10.10.10.30/24

多链路接入测试

一台IPS能否支持多条线路接入也是评判IPS的一个标准。

支持多路的IPS能够极大节

省用户的投资，提升性价比。

多路又分为物理多路和虚拟多路。

在每一种物理多路部署方式中又可进行虚拟多路方式的部署，这样可以为不同的网络，不同的主机，不同的时间段来提供特制的检测规则，不同的大大提升IPS部署配置的灵活性。

物理多路是指不同的部署方式下用多个物理接口实现提供多个网络接入，多条网络通路。

虚拟多路是在每个物理通道下，根据不同的IP,时间和动作这些对象来创建多组检测防护规

则，避免一条物理链路只能用一组规则的尴尬局面。

虚拟线模式物理多路测试：

将所有接口均配置在不同的虚拟线（direct）,在不同的接

口之间分别设置不同的IPS规则。

虚拟线模式虚拟多路测试：

将IPS任两个接口配置在同一个虚拟线中，在这两个接

口之间，一条物理链路里，根据不同的IP/时间等对象配置多条IPS规则，实现不

同的网络访问有不同的IPS。

应用管理测试

NIPS可以实现对企业内部网络资源中的应用的识别和管理，对即时通讯、P2P下载、网

络游戏、在线视频和网络流媒体等应用进行监控并阻断。

按照拓扑1将设备接入网络；

在IPS配置上配置应用管理策略；

使用PC1连接到Internet,进行一些对QQ、视频、微博的访问，或者根据已知应用列表操作一些其他常见应用，并查看日志；

在IPS上配置自定义应用，在PC1上进行操作并查看日志。

数据泄露防护

ips可以自学习服务器的正常外联行为，通过手工确认并添加到服务器合法外联中。

通过

学习结果可以检测服务器的异常外联并对其进行防护，进而协助网管排查是否有跳转等攻击行为。

同时针对通过IPS的流量进行文件识别和敏感数据保护，监控内部特定格式文件的外发，防止内部敏感数据（电话、身份证、银行卡）的外泄。

测试方法：

1、按拓扑一搭建好环境，使PC1可以访问PC2;

2、在IPS中配置数据泄露防护策略；

3、配置文件识别策略对特定文件格式进行检测，使用PC1向PC2发送不同格式的文件，

查看IPS日志；

4、在对象中配置敏感数据对象，配置敏感数据保护策略对电话号码、身份证、银行卡信息进行检测防护，查看IPS日志；

5、在IPS设备上开启服务器异常自学习功能，识别PC2的外联行为；

6、利用自学习内容添加服务器合法连接或者手工设置服务异常连接策略，之后使用其他

外网设备连接PC2,查看IPS日志。

攻击溯源测试

如果设备可以连接外网，即需要能够连接至XXXXX科技云站点，当设备上触发告警日志后，对于源目的ip地址为外网的地址，点击该地址，可以查看该ip对应的地理位置、开放服务，以及该ip上的其他攻击信息。

1、按拓扑三搭建好测试环境，保证设备可以至XXXXX科技云站点；

2、在PC1上回放攻击数据包，此时可以在NIPS上看到告警，点击源目的ip地址链接，可以调整至XXXXX云安全站点，查看该ip的物理位置、开放服务等信息。

4.7信誉

信誉测13t包含web信誉、僵尸网络防护以及文件信誉，该模块为与信誉云或者安全中心联动使用功能。

Web信誉是针对危险域名的统计库，IPS可以针对访问危险域名进行告警和阻断。

僵尸网络防护（Botnet防护）是当内部用户访问僵尸网络时，XXXXXNIPS设备会产生

告警信息并会进行阻断，防止用户沦为僵尸网络其中一员。

文件信誉是针对异常文件的统计库，可以根据各文件信誉值进行告警或者阻断。

按照拓扑图3.4进行部署，保证设备可以访问XXXXX信誉云站点；

在ESPC上添加NIPS设备，并确认已成功连接

设备启用信誉功能，开启Botnet防护，访问僵尸网络，查看IPS日志（在进行该

项测试时，建议使用虚拟机对恶意URL或者botnet服务器进行http访问，以免真

实物理机中毒）

启用Botne阻断，访问僵尸网络，查看IPS日志

开启web信誉，针对1-2设置游标允许，2-4设置游标告警，4-5设置游标阻断，访问不同信誉值的站点地址，查看IPS日志

设置web信誉白名单，访问白名单站点，查看IPS日志

开启文件信誉功能，针对1-2设置游标允许，2-4设置游标告警，4-5设置游标阻断，

客户端经过设备邮件协议传输不同信誉值的文件样本，查看IPS日志高级威胁防御

高级威胁防御是通过跟TAC联动进行异常文件传输的检测和阻断，tac可以区分本地实体设

备tac和云端tac;

.按照拓扑图3.4进行部署，使IPS上配置TAC地址、TACAPI账号，使IPS与TAC联动成功；

.开启检测开关；

.客户端使用邮件协议像外网传输危险文件（保证文件信誉库中不包含此文件）；

.客户端再次像外网传输步骤3中的文件；

.URL过滤：

URL库是针对域名地址的分类库，IPS通过URL分类库策略对于客户端访问的网站进行监控和控制功能。

按照拓扑1进行部署，使PC1能够通过IPS访问internet;

在IPS中配置URL过滤策略，对访问求职招聘、网上购物、网上支付、新闻门户

等类别的行为进行检测，访问类似网站并查看IPS日志；

在IPS中配置URL过滤策略，对赌博、WEB邮箱等类别的访问行为进行阻断，访问类似网站并查看IPS日志。

测试结果

8防病毒测试

IPS支持对于病毒的攻击行为进行防护，该策略可以针对POP3、FTP、HTTP、SMTP、

IMAP五种协议传输的病毒文件进行防护阻断，避免内部网络受到病毒文件的攻击。

同时支持添加病毒白名单，放过特定的病毒。

.按照拓扑一搭建测试环境，使PC1和PC2之间可以相互访问

.在IPS上配置防病毒策略，阻断FTP、HTTP、SMTP、POP3、IMAP协议传输的病毒，PC1向PC3传输病毒文件，查看IPS阻断效果及IPS日志记录

.在IPS上配置防病毒策略，添加病毒白名单，PC1向PC2分别传输白名单中的病毒及非

白名单中的病毒，查看IPS阻断效果及日志记录

.9IPv6测试

IPv6协议是下一代IP协议，目前正得到越来越广泛的应用。

IPS在支持IPv4的同时，

应该同时能够支持IPv6。

.登陆设备，为接口配置IPv6地址，测试是否支持配置；

.按照错误！

未找到引用源。

将设备接入网络，使用透明模式部署。

PC1和PC2使用IPv6

址进行通信，互相ping看能否正常通信;

.配置入侵防护策略，在PC2回放IPv6攻击包；

4,配置应用管理策略，在PC2回放IPv6应用包；

.配置流量管理策略，测试PC2访问PC1时http/ftp等常见服务是否能够正常实现限流；

.查看各策略产生的日志是否能正确显示。

流量管理测试

流量管理是IPS功能的重要组成部分，可以帮助用户准确地掌握当前整个网络各种应用

和IP的流量分布，还可以进行细粒度的流量控制。

4.9,1流量分析

.按照拓扑1进行部署，通过正常网络访问和回放数据包制造各种流量；

.查看各接口流量、总流量（BPS/PPS/TCP会话）；

.查看TCP/UDP协议流量分布效果图；

.查看TOP10的应用和流量大小；

.查看上下行IP速率TOP10IP和流量；

.查看上下行速率TOP10IP各自的TOP10协议分布。

流量控制

测试方法

（一）

将IPS按拓扑1接入网络；

在PC1上开启FTP/HTTP服务；

在IPS上设置FTP和HTTP的带宽管理规则，分别设置最大的上传下载的速率。

在PC2

进彳THTTP下载，FTP上传和下载，测试策略是否生效；

在IPS上设置最大会话数为2,在PC2上telnetPC1的80端口，测试会话数限制功能是否生效；

设置一个时间段，并应用与某个带宽管理规则，测试在时间段内或外的带宽管理功能是

否生效。

测试方法

（二）

将IPS按拓扑1接入网络，使PC1可访问到Internet;

在IPS上设置针对ANY协议的带宽管理策略，限制最大上行和下行带宽；

在PC1上使用迅雷，Bitcomet等P2P软件进行下载，对比配置流量管理策略前后的限

流效果；

4.10用户认证测试

IPS可以实现本地认证、Ldap认证、Radius认证等功能。

只有通过了认证才能正常进行

网络访问的功能。

本地认证：

上传本地认证文件到IPS,启用本地认证功能，添加认证策略，测试用户名

和密码正确或错误时，内外网通信是否正常；

LDAP认证：

在IPS上添加LDAP认证服务器，启用LDAP认证，添加认证策略，测试用户名和密码正确或错误时，内外网通信是否正常；

Radius认证：

在IPS上添加Radius认证服务器，启用RADIUS认证，添加认证策略，测试用户名和密码正确或错误时，内外网通信是否正常。