CheckPoint IPS测试方案.docx

CheckPoint IPS测试方案.docx

《CheckPoint IPS测试方案.docx》由会员分享，可在线阅读，更多相关《CheckPoint IPS测试方案.docx（12页珍藏版）》请在冰豆网上搜索。

CheckPointIPS测试方案

IPS测试方案

1测试说明

1.测试时间：

2.测试人员：

3.参测产品型号：

2测试内容

测试时网络拓扑图：

2.1DDOS攻击测试

●针对SYNFlood攻击

攻击工具：

HGOD

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

攻击报文数量－阻断攻击报文的数量

●针对UDPFlood攻击

攻击工具：

阿拉丁UDP洪水攻击

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

攻击报文数量－阻断攻击报文的数量

●针对ICMPFlood攻击

攻击工具：

HGOD

测试结果描述：

攻击报文数量－阻断攻击报文的数量

●针对IGMPFlood攻击

攻击工具：

HGOD

测试结果描述：

攻击报文数量－阻断攻击报文的数量

测试结果统计：

测试项名称

DDOS攻击测试

测试项编号

　IPS-Test-1

测试项描述

拒绝服务攻击测试

测试目的

检测IPS系统对SYN_Flood、UDP_Flood、ICMP、IGMP拒绝服务攻击的防护效果

测试产品型号

结果

说明

测试时间

测试工程师

有效防护TCPFlood攻击，并且没有阻断正常的网络访问

HGOD分别使用不同线程、不同封包大小进行攻击

可以有效防护UDPflood攻击

阿拉丁UDP洪水软件使用超强最高级别，不同的封包大小进行攻击

可以有效防护ICMPflood攻击，并且没有阻断正常的ping数据包，

HGOD分别使用不同线程、不同封包大小进行攻击

可以有效防护IGMPflood攻击

HGOD分别使用不同线程、不同封包大小进行攻击

2.2扫描软件测试

●针对SuperScan扫描测试

攻击工具：

SuperScan

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

在CheckPointIPS12200保护下可有效防止SuperScan扫描

●针对XScan扫描测试

攻击工具：

Xscan扫描测试

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

在CheckPointIPS12200保护下可有效防止XScan扫描

测试结果统计：

测试项名称

扫描软件测试

测试项编号

　IPS-Test-2

测试项描述

针对SuperScan,X_Scan

测试目的

模拟针对实际应用环境的业务系统，检测系统对HTTP攻击

测试产品型号

结果

说明

测试时间

测试工程师

可检测：

Superscan,X_Scan扫描软件的攻击

开防护后，可以阻断大量扫描

2.3蠕虫病毒防护测试

●SQLSlammerSniffer发包测试

攻击工具：

SnifferandSlammer.capFile

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

在CheckPointIPS12200保护下可有效防止SQLSlammer攻击

●BagleSniffer发包测试

攻击工具：

SnifferandBagle.capFile

描述：

测试IPS是否检测和阻断攻击

测试结果描述：

在CheckPointIPS12200保护下可有效防止Bagle攻击

测试结果统计：

测试项名称

蠕虫病毒防护测试

测试项编号

　IPS-Test-3

测试项描述

检测一些流行的网络型病毒、木马，阻挡其扩散传播。

测试目的

检测一些流行的网络型病毒、木马，阻挡其扩散传播。

测试产品型号

结果

说明

测试时间

测试工程师

可检测到并拦截SQLSlammer,W32.Blaster,BagleAB及其变种的各种网络病毒数据包

使用sniffer发送真实的网络型病毒数据包。

IPS设备对于文件型病毒不具备防御能力

2.4聊天软件阻挡测试

●MSN聊天软件测试

攻击工具：

MSN聊天软件

描述：

测试IPS是否检测和阻断MSN聊天软件

测试结果描述：

在CheckPointIPS12200保护下可有效阻断MSN聊天软件

●QQ聊天软件测试

攻击工具：

QQ聊天软件

描述：

测试IPS是否检测和阻断QQ聊天软件

测试结果描述：

在CheckPointIPS12200保护下可有效阻断QQ聊天软件

测试结果统计：

测试项名称

聊天软件阻挡测试

测试项编号

　IPS-Test-4

测试项描述

针对MSN及QQ等聊天软件进行测试

测试目的

在CheckPointIPS12200保护下是否可有效阻断聊天软件

测试产品型号

结果

说明

测试时间

测试工程师

可检测并阻挡：

MSN及QQ等聊天软件

开防护后，可以阻断

2.5P2P软件阻挡测试

●迅雷P2P软件测试

攻击工具：

迅雷P2P软件

描述：

测试IPS是否检测和阻断迅雷P2P软件

测试结果描述：

在CheckPointIPS12200保护下可有效阻断迅雷P2P软件

●FlashGet下载软件测试

攻击工具：

FlashGet下载软件

描述：

测试IPS是否检测和阻断FlashGet下载软件

测试结果描述：

在CheckPointIPS12200保护下可有效阻断FlashGet下载软件

测试结果统计：

测试项名称

P2P软件阻挡测试

测试项编号

　IPS-Test-5

测试项描述

针对迅雷及FlashGet等P2P软件进行测试

测试目的

在CheckPointIPS12200保护下是否可有效阻断P2P软件

测试产品型号

结果

说明

测试时间

测试工程师

可检测并阻挡：

迅雷及FlashGet等P2P软件

开防护后，可以阻断

3CheckPointIPS12200其它特点

CheckPointIPS12200根据自身产品的特色，可作为今后产品选型的参考。

3.1基本管理

1.基本管理方式（如：

Telnet、HTTPS、SSH、C/S等）

　管理方式

通过远程管理主机管理IPS设备

产品是否支持多种管理方式

结果

时间

工程师

支持加密管理（客户端通过管理服务器管理设备）

支持中文管理

支持设备带外管理（专用带外管理接口）

客户端与管理服务器间采用C/S架构

2.特征库升级与维护

特征库升级与维护

厂商描述和书面确认

产品是否支持有效的特征库升级方式，以及各种升级方式部署模式。

结果

时间

工程师

支持：

特征库在线自动升级

支持通过管理中心升级

　特征库升级业务不中断

3.系统变更策略对业务的影响

系统变更策略对业务的影响

修改策略检测业务状态

在系统变更策略、系统OS升级系统特征库升级模式下测试

结果

时间

工程师

调整策略对系统无影响

系统升级对通讯无影响

4.策略定制的灵活性

策略定制的灵活性

系统灵活的特征对象检测策略定制

系统是否支持策略分组，支持不同的策略对象

结果

时间

工程师

可针对不同的主机、网段、服务定制IPS检测策略；

可针对不同的主机、网段、服务定制IPS动作策略；

3.2高级管理

高级管理项主要包括：

1.日志/报表

日志与报表

测试IPS系统日志、报表的内容、灵活性

保证IPS系统日志可用、可分析、可审计

结果

时间

工程师

支持Syslog

支持SNMP可透过Getinfo方式:

显示各别端口的状况,流量等等的信息

可定义不同的日志和报警级别，

报表展现灵活

实施应用流量分析和实施攻击报表展示

2.流量分析

流量分析

对应流量的分析

针对IPS产品是否可以支持流量分析、流量管理以及会话连接数管理，并提供实时的系统流量曲线和提示

结果

时间

工程师

功能灵活，基于DDOS的攻击也采用异常流量分析的方式完成

对于不同的异常行为，可采用不同的报警和动作方式

图形界面直观

3.特征自定义

特征自定义

　IPS-T2-003

检测IPS系统是否支持自定义特征和抓包分析

针对实际环境，学习和抓包分析，并提供自定义特征地址

结果

时间

工程师

支持自定义特征

支持IPS设备自身的抓包分析

4.预警

预警测试

对于异常行为和流量的分析和预警

针对系统报警信息和报警方式，是否可以根据预设的门限值进行系统预警

结果

测试时间

测试工程师

主要透过界面IPS实施报警方式，并可发送邮件进行报告

3.3产品特殊应用

1.SMTP应用

邮件系统攻击

检测系统对SMTP注入攻击的检测可以检测Metasploit3等SMTP漏洞注入

2.SQL注入

SQL注入对数据库注入攻击的检测

可以检测“啊D”注入攻击等多种SQL注入对数据库注入攻击的检测

3.缓冲区溢出综合

测试基于HTTP的注入

可检测Metasploit3的HTTP注入

4.木马、蠕虫的防护

检测一些流行的网络型病毒、木马，阻挡其扩散传播。

可检测到并拦截灰鸽子SQLSlammer、W32.Blaster、BagleAB及其变种的各种网络病毒数据包

5.应用程序的控管功能

针对特殊IP地址，对一些软件进行封杀、限制。

关闭、限制一些耗费带宽资源的软件，保证正常的网络流量和应用带宽、保证员工工作效率。

对迅雷、各类BT、FlashGet、eMule软件的下载行为进行了拦截.完全阻挡QQ、MSN聊天软件和PPStream、qqlive流媒体软件.

3.4部署方式

1.透明串联部署

描述：

IPS基本部署模式，在不调整当前任何网络结构的前提下部署设备。

2.Bypass

描述：

IPS产品要支持Bypass的功能，包括硬件Bypass（系统掉电），软件Bypass（系统过载或重大系统升级），应说明以上各种功能支持的情况，是否需要外置设备或其它模块。

3.IDS监听模式部署

描述：

IPS是否支持IDS的监听部署模式，仅作为测试参考。

4.高可用性支持

描述：

IPS基本部署模式，是否支持在HA部署，支持HA同步的数据类型，以及相关的配置方式。

5.设备建议的部署位置

描述：

厂商对IPS产品最佳部署方式的描述，如部署在防火墙前等

6.其它部署模式

描述：

厂商对适合自身IPS产品最佳部署方式的建议或其它特色功能的建议

部署方式

测试IPS系统部署的灵活性

结果

说明

支持：

透明方式部署

基本IPS部署模式

支持：

硬件Bypass功能

支持：

软件Bypass功能（可以通过管理界面直接设置）

硬件自带功能，断电设备自动导通，保证业务连续。

电口和光口缺省支持

支持：

IDS旁路方式　

界面可灵活配置

支持IPS接口组动作关联

保证网络切换

支持对IPS接口的MonitorSPAN监听功能

功能灵活，利于分析

支持VLAN环境

无须配置，自动识别VLAN

支持HA高可用性

支持策略同步和会话同步

厂商建议部署位置：

CheckPointIPS12200可同时使用两对ips同时部署防火墙前后

功能灵活可达到同时防止外对内的攻击以及内对外的泄密事件

4结论