DPtech IPS系列入侵防御系统测试方案设计.docx
- 文档编号:28749382
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:28
- 大小:59.56KB
DPtech IPS系列入侵防御系统测试方案设计.docx
《DPtech IPS系列入侵防御系统测试方案设计.docx》由会员分享,可在线阅读,更多相关《DPtech IPS系列入侵防御系统测试方案设计.docx(28页珍藏版)》请在冰豆网上搜索。
DPtechIPS系列入侵防御系统测试方案设计
DPtechIPS2000测试方案
迪普科技
2011年07月
DPtechIPS2000测试方案1
第1章产品介绍1
第2章测试计划2
2.1测试方案2
2.2测试环境2
2.2.1透明模式2
2.2.2旁路模式3
第3章测试容4
3.1功能特性4
3.2响应方式4
3.3管理特性4
3.4安全性5
3.5高可靠性5
第4章测试方法及步骤6
4.1功能特性6
4.1.1攻击防护6
4.1.2防病毒8
4.1.3访问控制10
4.1.4最接数与DDoS11
4.1.5黑功能12
4.2响应方式13
4.2.1阻断方式13
4.2.2日志管理14
4.3管理特性15
4.3.1设备管理15
4.3.2报表特性16
4.4安全特性17
4.4.1用户的安全性17
4.4.2设备的安全性19
第5章测试总结21
第1章产品介绍
随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?
很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
迪普科技在IPS2000N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。
同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。
漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。
迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。
迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-dayAttack)的能力,最大程度的保护用户安全。
目前,迪普科技已成为中国国家漏洞库的主要提供者之一。
借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。
IPS2000N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。
IPS2000N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
第2章
测试计划
2.1测试方案
DPtechIPS产品主要包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDos攻击等几大主体功能,本文档的测试项主要以上述主体功能的测试展开;同时,测试中还涉及到限流等多种响应方式,设备的可管理性、高可靠性等诸多方面的测试,以充分展示设备的完备功能和高性能。
2.2测试环境
2.2.1透明模式
图1透明模式
设备或软件名称
描述
数量
IPS主机
用于实现入侵检测,保障网络安全
1
PC主机
用于安装UMC统一管理平台软件,及实现攻击与被攻击
3
2.2.2旁路模式
图2旁路模式
设备或软件名称
描述
数量
IPS主机
用于实现入侵检测,保障网络安全
1
PC主机
用于安装UMC统一管理平台软件,及实现攻击与被攻击
3
SW主机
用于引出攻击镜像流量,实现旁路入侵检测
1
第3章
测试容
3.1功能特性
产品功能包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDoS攻击等几大主体功能。
DPtechIPS通常部署为Online的工作模式,在数据传输的路径中,任何数据流都必须经过设备做检测,一旦发现有蠕虫、病毒、后门、木马、间谍软件、可疑代码、网络钓鱼等攻击行为,DPtechIPS会立即阻断攻击,隔离攻击源,屏蔽蠕虫、病毒和间谍软件等,同时记录日志告知网络管理员。
防病毒管理通过采用实时分析,自动阻截携带病毒的报文与异常流量。
针对这些异常流量,通常施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。
访问控制包括带宽应用限速、网络应用访问控制、URL过滤三大功能。
网络流量按照其用途的不同划分成不同的服务类型,例如HTTP服务、FTP服务、E-Mail服务等,对不同的服务类型实施不同的流量限速、阻断控制行为。
URL过滤是一种网页过滤功能,支持根据IP地址、主机名和正则表达式对HTTP的请求报文进行过滤。
URL过滤依赖一个URL过滤规则数据库,用户可以灵活定制URL过滤规则进行URL过滤。
3.2响应方式
当设备检测到有攻击发生时,能采取如下方式来响应:
发送Reset报文:
可向攻击源或目标服务器分别发送Reset报文,强行中断连接,及时保护目标服务器的安全性;
设备的攻击日志记录方式多种多样,除了支持设备本地存储,还能实时上报到Syslog日志主机、发送E-mail告警,方便IT人员及时了解网络安全状况。
3.3管理特性
为方便IT人员管理,设备提供了良好的可管理性。
支持HTTPS等安全管理方式,支持Web的友好界面,简化IPS的配置,方便用户操作和维护。
特征库的升级支持手动和自动两种方式,用户可根据实际情况随意选择特征库的升级时间。
设备支持完备的日志和报表功能。
设备能根据网络攻击情况,根据攻击事件、攻击源、攻击目的,攻击级别、动作类型,统计报表,方便用户了解网络安全状况。
3.4安全性
可设置管理员的权限,不同权限的管理员访问设备的功能权限不同。
可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。
在登录参数设置上,包括超时时间、错误登录锁定和锁定后解锁。
3.5高可靠性
DPtechIPS具有极高的软硬件可靠性,支持端口模块热插拔,支持双电源,支持在检测引擎失效的情况下二层直通,支持在掉电的情况下仍然可以转发数据,保证网络的畅通。
设备置的监测模块以很高的频率定时地监测自身的健康状况,一旦探测到检测引擎、软件系统故障或者流量过大时,该模块会将设备设置成一个简单的二层交换设备,这个功能称为“软件bypass”。
此时,网络流量将在两个接口之间直接贯通,从而保持网络业务的连续性。
抗掉电保护,在设备异常掉电后,当IPS恢复供电,系统的状态、相关日志和配置信息正常保存。
第4章
测试方法及步骤
4.1功能特性
4.1.1攻击防护
木马程序-冰河(在线部署)
测试目的
验证设备对木马程序-冰河(在线部署)的防护
测试条件
1、测试组网,参见图1
2、添加IPS策略,安全级别选为高,需保护的IT资源全选
3、组网模式中,将接口选为透明模式
测试过程
1、使能软件bypass功能
2、PC1运行冰河8.0服务器,PC2运行冰河8.0客户端,并对PC1进行控制
3、得到预期结果1
4、在PC1被控制情况下,禁止软件bypass功能
5、得到预期结果2
6、关闭,并重新运行PC2的冰河客户端,对PC1进行控制
7、得到预期结果3
预期结果
1、PC1被成功控制,且无IPS阻断日志
2、PC1没有继续被控制,且生成IPS阻断日志
3、PC1没有被控制,且生成IPS阻断日志
其它说明和注意事项
测试结果
木马程序-冰河(旁路部署)
测试目的
验证设备对木马程序-冰河(旁路部署)的检测
测试条件
1、测试组网,参见图2
2、添加IPS策略,安全级别选为高,需保护的IT资源全选
3、组网模式中,将接口选为旁路模式
测试过程
1、PC1运行冰河8.0服务器,PC2运行冰河8.0客户端,并对PC1进行控制
2、得到预期结果1
预期结果
1、PC1被成功控制,且有IPS阻断日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
溢出程序-MS08-067
测试目的
验证设备对MS08-067漏洞的防护
测试条件
1、测试组网,参见图1
2、添加IPS策略,安全级别选为高,需保护的IT资源全选
测试过程
1、禁止软件bypass功能
2、PC2运行攻击脚本
3、得到预期结果1
4、使能软件bypass功能
5、PC2运行攻击脚本
6、得到预期结果2
预期结果
1、PC1没有开启4444端口,且生成IPS阻断日志
2、PC1开启4444端口,通过远程telnet可以获取到管理员权限,且无IPS阻断日志
其它说明和注意事项
旁路模式下,无法直接执行动作
攻击脚本只能攻击成功一次
测试结果
攻击报文-死亡之Ping
测试目的
验证设备对攻击报文-死亡之Ping的防护
测试条件
1、测试组网,参见图1
2、添加IPS策略,安全级别选为高,需保护的IT资源全选
测试过程
1、使能软件bypass功能
2、PC2使用Iris发送死亡之Ping攻击报文
3、得到预期结果1
4、禁止软件bypass功能
5、PC2使用Iris发送死亡之Ping攻击报文
6、得到预期结果2
预期结果
1、PS无IPS阻断日志
2、IPS生成IPS阻断日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
SQL注入攻击
测试目的
验证基本SQL注入防护功能
测试条件
1、测试组网,参见图1
2、定义SQL注入防护策略,网络用户组默认,策略动作为阻断
测试过程
1、在IPS网侧访问任一外网地址,以www.baidu./为例,在URL后添加字符串“?
id='or'1'='1”并敲回车访问,有预期结果1
预期结果
1、IPS中出现SQL注入阻断日志,不能访问XX首页;
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
4.1.2防病毒
HTTP方式的病毒防护
测试目的
验证HTTP方式的病毒防护
测试条件
1、测试组网,参见图1
2、PC1使用xitami建立HTTP服务器
3、添加AV策略,并下发
测试过程
1、使能软件bypass功能
2、PC2访问PC1的HTTP服务器,下载病毒文件
3、得到预期结果1
4、禁止软件bypass功能
5、PC2访问PC1的HTTP服务器,下载病毒文件
6、得到预期结果2
预期结果
1、可正常下载,设备无相关日志
2、下载被阻断,设备产生相应日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
FTP方式的病毒防护
测试目的
验证FTP方式的病毒防护
测试条件
1、测试组网,参见图1
2、PC1使用wftp建立FTP服务器,PC2使用Cute-FTP做FTP客户端
3、添加AV策略,并下发
测试过程
1、使能软件bypass功能
2、PC2通过FTP客户端,从PC1下载病毒文件
3、得到预期结果1
4、禁止软件bypass功能
5、PC2通过FTP客户端,从PC1下载病毒文件
6、得到预期结果2
预期结果
1、可正常下载,设备无相关日志
2、下载被阻断,设备产生相应日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
SMTP/POP3方式的病毒防护
测试目的
验证SMTP/POP3方式的病毒防护
测试条件
1、测试组网,参见图1
2、PC1建立服务器,PC2使用outlook客户端
3、添加AV策略,并下发
测试过程
1、使能软件bypass功能
2、PC2通过outlook客户端,向PC1服务器上传病毒文件
3、得到预期结果1
4、禁止软件bypass功能
5、PPC2通过outlook客户端,向PC1服务器上传病毒文件
6、得到预期结果2
预期结果
1、可正常上传,设备无相关日志
2、上传被阻断,设备产生相应日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
4.1.3访问控制
对FTP传输限速
测试目的
验证设备对FTP传输的带宽限速
测试条件
1、测试组网,参见图1
2、PC1启动wftp,做FTP服务器;PC2启动Cute-FTP,做FTP客户端
3、添加带宽限速规则,选择指定接口对和用户组,状态为使能,设置限速参数为:
文件传输,上行:
80kbps,下行:
80kbps,其它参数默认
测试过程
1、在不创建带宽限速的规则的情况下,PC使用FTP下载文件
2、在原本网络条件良好的情况下,得到预期结果1
3、在创建带宽限速的规则的情况下,PC使用FTP下载文件
4、得到预期结果2
预期结果
1、FTP下载没有被限速
2、FTP的下载速度被限制在80kbps或10KB/s以下
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
网络访问控制
测试目的
验证设备对FTP的访问控制
测试条件
1、测试组网,参见图1
2、PC1启动wftp,做FTP服务器;PC2启动Cute-FTP,做FTP客户端
3、添加带宽限速规则,选择指定接口对和用户组,状态为使能,服务类型为文件传输,黑,其它参数默认
测试过程
1、在不创建访问控制的规则的情况下,PC2使用FTP下载文件
2、得到预期结果1
3、在创建访问控制的规则的情况下,PC2使用FTP下载文件
4、得到预期结果2
预期结果
1、FTP正常下载
2、无法建立FTP连接
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
URL过滤
测试目的
验证设备对URL的过滤
测试条件
1、测试组网,参见图1
2、PC1启动xitami,做HTTP服务器
3、添加URL过滤规则,选择指定接口对和用户组,状态为使能,过滤设置为IP,且地址为PC1的HTTP服务器地址,选择黑,下发URL策略
测试过程
1、PC2访问PC1的web界面
2、得到预期结果1
3、将URL过滤状态改为禁止,下发URL策略,PC2访问PC1的web界面
4、得到预期结果2
5、将URL过滤策略删除,下发URL策略,PC2访问PC1的web界面
6、得到预期结果3
预期结果
1、PC2无法打开PC1的web界面
2、PC2可以打开PC1的web界面
3、PC2可以打开PC1的web界面
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
4.1.4最接数与DDoS
限制FTP传输的连接数
测试目的
验证限制使用FTP传输的连接数
测试条件
1、测试组网,参见图1
2、PC1启动wftp,做FTP服务器;PC2启动Cute-FTP,做FTP客户端
3、添加连接数量超限控制规则,选择指定用户组,状态为使能,设置最接数为2
测试过程
1、在不创建连接数量超限控制的规则的情况下,PC2建立5个FTP连接
2、得到预期结果1
3、在创建连接数量超限控制的规则的情况下,PC2建立5个FTP连接
4、得到预期结果2
预期结果
1、可以建立5个FTP连接
2、无法建立5个FTP连接,建立连接数被限制
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
对SYNFlood的防护
测试目的
验证设备对SYNFlood的防护
测试条件
1、测试组网,参见图1
2、PC1启动wftp,做FTP服务器;PC2启动Cute-FTP,做FTP客户端
3、添加Flood防护规则,指定被保护的目标IP,以及每秒连接数的阈值
测试过程
1、在不创建Flood防护规则的情况下,PC2使用HGod攻击PC1后,建立FTP连接
2、得到预期结果1
3、在创建Flood防护规则的情况下,PC2使用HGod攻击PC1后,建立FTP连接
4、得到预期结果2
预期结果
1、无法建立FTP连接
2、可以建立FTP连接
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
4.1.5黑功能
手动添加黑
测试目的
验证设备手动添加黑功能
测试条件
1、测试组网,参见图1
2、PC1开启PING,对PC2进行连通性验证
测试过程
1、将PC1的IP加入到黑
2、得到预期结果1
预期结果
1、PING中断,PC1无法对PC2发起任何连接
其它说明和注意事项
需开启黑开关,旁路模式下,无法直接执行动作
测试结果
自动添加黑
测试目的
验证设备自动添加黑功能
测试条件
1、测试组网,参见图1
2、PC1持续攻击PC2(如IP扫描、端口扫描、协议扫描等)
3、开启基本攻击防护功能,并配置相应频率
测试过程
1、当攻击频率超过配置频率后
2、得到预期结果1
预期结果
1、自动将攻击源IP加入到黑中,中断其所有连接
其它说明和注意事项
需开启黑开关,旁路模式下,无法直接执行动作
测试结果
4.2响应方式
4.2.1阻断方式
发Reset包阻断攻击
测试目的
发Reset包阻断攻击报文
测试条件
1、测试组网,参见图1
2、添加ips策略,将规则中冰河的动作设置为阻断+双向发送Reset报文
3、PC1与PC2打开抓包工具,分别抓通过各自网卡的报文
测试过程
1、PC1与PC2分别建立冰河的服务器与客户端,PC2对PC1进行控制
2、得到预期结果1
3、查看PC1上捕获的报文
4、得到预期结果2
5、查看PC2上捕获的报文
6、得到预期结果2
预期结果
1、PC2无法控制PC1,攻击被阻断,生成阻断日志
2、捕获到Reset报文
其它说明和注意事项
无
测试结果
4.2.2日志管理
本地存储与日志转储
测试目的
攻击日志记录到本地数据库,日志可转储
测试条件
1、测试组网,参见图1
测试过程
1、前置动作,进行IPS的攻击
2、查看web界面上的IPS日志信息
3、得到预期结果1
4、点击查询页面中的导出CSV,弹出对话框
5、点击打开,得到预期结果2
6、点击保存,得到预期结果3
预期结果
1、在web上能查到相关的IPS日志信息
2、文件直接被打开
3、文件保存在所指定目录下
其它说明和注意事项
无
测试结果
Syslog告警方式
测试目的
通过Syslog方式上报攻击日志
测试条件
1、测试组网,参见图1
2、管理者的PC上安装有UMC软件
测试过程
1、将业务日志的输出方向选为管理者主机,并指定该UMC的地址和端口号
2、进行IPS攻击
3、当有攻击日志后,观察UMC中的信息
4、得到预期结果1
预期结果
1、UMC中有相应攻击日志,其容为IPS检测到的攻击信息
其它说明和注意事项
无
测试结果
4.3管理特性
4.3.1设备管理
丰富的管理方式
测试目的
验证设备的管理方式
测试条件
1、测试组网,参见图1
2、管理台用串口和设备相连,管理口用网线和设备管理口相连,且IP地址属同一网段
测试过程
1、IPS支持Web操作(http/https,端口可自定义)、Telnet、SSH、串口管理
2、用上述方式管理设备,得到预期结果1
预期结果
1、各种管理方式均支持
其它说明和注意事项
无
测试结果
手动升级特征库
测试目的
验证手动升级特征库
测试条件
1、组网,参见图1
2、S设备中有该特征库的License
3、中有要升级的特征库文件
测试过程
1、在web上导入该特征库
2、点确定按钮,升级最新的特征库
3、得到预期结果1
预期结果
1、特征库升级成功
其它说明和注意事项
无
测试结果
设备状态检测
测试目的
验证IPSWEB界面查看设备CPU,存使用率
测试条件
1、组网,参见图1
测试过程
1、B界面查看设备的CPU和存使用率
2、预期结果1
预期结果
1、可查看设备的CPU、存使用率
其它说明和注意事项
无
测试结果
4.3.2报表特性
攻击报表
测试目的
查看设备的攻击报表
测试条件
1、测试组网,参见图1
2、本地数据库中已有IPS攻击日志
测试过程
1、在IPS日志模块中,进入IPS日志分析
2、分别根据周期和类型对日志进行分析
3、得到预期结果1
4、查看攻击日志信息
5、得到预期结果2
6、按照条件进行历史事件查询
7、得到预期结果3
预期结果
1、分析的结果与实际相符
2、可查看攻击IP、端口、攻击事件、时间等信息
3、可查询符合该条件下的日志
其它说明和注意事项
无
测试结果
病毒报表
测试目的
查看设备的病毒报表
测试条件
1、测试组网,参见图1
2、本地数据库中已有病毒日志
测试过程
1、在防病毒日志模块中,进入病毒日志分析
2、分别根据周期和类型对日志进行分析
3、得到预期结果1
4、查看病毒日志信息
5、得到预期结果2
6、按照条件进行历史事件查询
7、得到预期结果3
预期结果
1、分析的结果与实际相符
2、可查看病毒IP、端口、攻击事件、时间等信息
3、可查询符合该条件下的日志
其它说明和注意事项
无
测试结果
报表自动导出
测试目的
验证报表自动生成功能
测试条件
1、测试组网,参见图1
2、本地产生攻击日志,并时时输出到UMC
测试过程
1、在UMC报表导出任务中配置相应的报表与自动生成的周期
2、到达周期时间后,得到预期结果1
预期结果
1、可按照配置周期,自动生成报表
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DPtech IPS系列入侵防御系统测试方案设计 IPS 系列 入侵 防御 系统 测试 方案设计