绿盟实际环境下IPS测试方案(完整版)
绿盟IPS测试方案
目录(Contents)
一.测试需求 (3)
二.测试单元 (4)
2.1静态测试 (4)
2.2功能测试 (4)
三.测试环境 (5)
3.1网络连接平台 (5)
3.2硬件设备 (5)
3.3软件环境 (6)
3.4攻击方法和相应工具的准备 (6)
四.静态测试 (7)
五.功能测试 (9)
5.1产品初步评估 (9)
5.2基本管理功能测试 (9)
5.3防火墙 (11)
5.4攻击特征库管理 (12)
5.5流量管理 (12)
5.6硬件BYPASS (13)
5.7系统软件、攻击特征库升级能力 (14)
5.8日志分析系统 (15)
5.9事件过滤 (16)
5.10流量分析 (16)
5.11自身安全性能 (17)
5.12响应方式 (18)
一. 测试需求
本着实事求是的态度,在项目建设前,对网络入侵保护产品(IPS)的实际测试。本次参与测试的公司有北京绿盟科技的IPS:
产品型号:
中联绿盟信息技术有限公司ICEYE-600P
二. 测试单元
一般而言,测试分为实验室测试和现场测试。本次测试均为现场测试,本次产品的现场测试包括四个部分:
?静态测试
?功能测试
2.1 静态测试
主要考察设备的外观、硬件配置、文档等。
2.2 功能测试
主要考查待测产品(设备)本身的功能特性,通过访谈并操作的方式验证待测产品功能(设备),其中功能测试中又分为基本功能和附属功能测试两个部分。
三. 测试环境
3.1 网络连接平台
在实际环境中,设备部署在互联网出口位置,测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测阻断、流量管理等功能。
3.2 硬件设备
1、计算机
根据本规范下的测试平台,至少需要准备1台计算机,作为管理机,其最低的配置要求如下:
CPU: PIII 800以上
RAM: 256M以上
NIC: 100/1000M
2、网络设备
根据本规范下的测试平台,需要准备相应的网络环境。
3.3 软件环境
1、操作系统
Windows 2000/xp/2003 (Chinese Version)
3、辅助测试工具
用于监控网络流量,包括sniffer pro、数据包录制软件。
3.4 攻击方法和相应工具的准备
在测试当中,我们选取一些典型的攻击方法,用于功能测试。
●选择检测难度较大的攻击,这样可以比较IPS产品的引擎和攻击特征编写能力。
●选择最近出现的危害较大的攻击方法,这样可以比较IPS产品的攻击特征库更新频率,进而评估各
供应商的的技术能力。
●选择能覆盖到各种常用协议和应用服务器的攻击,如FTP、HTTP、SMTP等。
四. 静态测试表格 1 基本情况
表格 2 硬件配置
表格3管理方式
表格 4 入侵保护能力:
表格5其他功能:
五. 功能测试
5.1 产品初步评估
产品初步评估是指对产品供应商的资质,产品本身的特性,内部配置,适用范围,技术支持能力,核心技术,产品本地化,产品认证等方面进行的书面的初步评估。
5.2 基本管理功能测试
入侵保护系统的重要功能之一就是要体现其可管理性,主要包括对报警信息、对数据库的管理、对网络引擎及下级控制台等组件的管理,所以首先要考察该系统的管理能力。
【测试方法】
1.登录控制台界面(分别考察WEB控制台、windows控制台);
2.查看其各组件的分布情况,包括管理界面、报警显示界面、数据库、日志查询系统;
3.配置多级管理模式,满足控制台——控制台——控制台——引擎的部署结构;
4.添加多个虚拟引擎(即只添加IP)看其是否有数量限制;
5.查看可支持的其他组件;
【测试结果】
5.3 防火墙
内置防火墙是IPS的一种功能,IPS通过防火墙加强访问控制。好的防火墙功能可以有效的阻断攻击。
【测试目的】
检测IPS的防火墙功能。
【测试结果】
5.4 攻击特征库管理
攻击特征是IPS系统用来判断什么是入侵行为的标准,所以攻击特征的质量和数量都非常重要。某些IPS 系统还支持用户自定义特征。本部分的测试要求入侵保护系统具有协议分析能力,可自定义基于应用层协议的特征。
【测试方法】
1. 测试IPS的攻击特征库的质量和管理方便性。
2. 演示IPS产品的攻击特征库的策略编辑方法。
3. 演示IPS产品的攻击特征的数量。
【测试结果】
5.5 流量管理
流量管理是IPS的新增功能,主要通过协议,端口,IP及时间等要素对流量进行管理。
【测试目的】
测试NIPS对流量的管理。
【测试结果】
5.6 硬件BYPASS
硬件BYPASS是IPS的一种增强功能,保证设备出现异常不工作时,网络依然能够畅通。
【测试方法】
1 将IPS接入实际网络;
2 检测IPS在不加电、系统启动到就绪过程中、系统出现异常不工作时,BYPASS功能是否有效。
【测试结果】
5.7 系统软件、攻击特征库升级能力
随着攻击手段的不断更新,IPS系统也必须保持快速的升级和更新能力。包括软件版本的升级和特征库的更新,尤其是特征库的及时更新非常重要。升级需要包括事件特征库的升级以保持事件特征库的最新,还需要包括软件自身的升级(控制端及引擎端)
【测试方法】
1. 测试IPS系统的升级方式有几种。
2. 测试能否在控制台上对IPS 探测器进行升级包的远程升级。
3.演示事件特征库的升级方式;
4.演示控制端的升级方式;
5.演示引擎端的升级方式;
6.演示多级管理时事件库及引擎的升级方式;
【测试结果】
5.8 日志分析系统
日志分析系统是事后进行安全事件分析的重要工具,需要能够根据用户的需要产生各种形式的报告,如表格形式、柱状图、饼图等,并且可以根据用户需要设置各种过滤条件,如IP地址、事件名称等,可以自动的产生日报、周报、月报,并且可以导出成多种格式的文件。
【测试方法】
1.演示日志分析系统(报表)的生成方式;
2.演示可支持的查询条件;
3.演示可支持的导出格式;
【测试结果】
5.9 事件过滤
IPS基于时间、IP地址、编号、类型等条件组合对事件进行过滤。
【测试方法】
1 将IPS接入实际网络;
2 根据时间、IP地址、编号、类型等条件组合,察看事件过滤结果。
【测试结果】
5.10 流量分析
流量分析是入侵保护系统的重要组成部分,可以帮助用户准确地掌握当前整个网络各种协议的流量分布,以及占用最大带宽的具体协议的用户,好的协议流量分布技术需要具有直观的显示效果,而且应该具有保存当前带宽分布图功能。
【测试方法】
1 将IPS接入实际网络;
2 演示协议流量分布效果图;
3查看协议分布效果图的刷新;
4察看占用当前带宽最大的某个协议的用户列表;
【测试结果】
5.11 自身安全性能
作为安全产品其自身的安全性是一个很重要的因素,如果自身存在系统缺陷或设计缺陷话很容易被攻击者利用从而使得安全系统失去自身的作用,掩盖了其真实的攻击行为。
【测试方法】
1.查看其组件是否具备用户审计模块;
2.查看对于用户的管理是否进行了分组设置,对于每个组是否都有不同权限;
【测试结果】
5.12 响应方式
IPS通过丢弃数据包、丢弃连截会话来主动防御,阻断攻击流量,同时采取告警等响应方式。好的防护功能可以有效、迅速的阻断攻击,同时及时提醒网络管理员。
【测试目标】
测试IPS系统对于常见的响应方式。
【测试方法】
将IPS系统的策略置为最大值,应用最新的升级包。开启IPS阻断功能时对被攻击目标主机进行攻击,检测入侵保护系统的响应情况。
【测试结果】