入侵防御系统测试方案.doc

IPS 测试方案 第 1 页 共 29 页 网络入侵防御系统测试方案网络入侵防御系统测试方案 参测厂商参测厂商 测试单位测试单位 测试时间测试时间 IPS 测试方案 第 2 页 共 29 页 目目 录录 1参测产品情况调查参测产品情况调查 4 1 1表格一 测试产品基本情况调查表 4 1 2表格二 认证 检测及鉴定情况 4 1 3表格三 分值比例 5 2 测试环境测试环境 5 2 1功能测试环境 5 2 2现网测试环境 6 2 3测试设备清单 6 2 4测试工具 6 3 测试总流程测试总流程 7 3 1 测试准备 7 3 2 测试实施 7 3 3 测试记录 7 3 4 测试报告 7 4 测试内容测试内容 8 4 1管理功能测试 8 4 1 1 引擎管理控制功能 8 4 1 2 控制中心基本管理功能 8 4 1 3 部署方式测试 9 4 1 4 策略编辑 9 4 1 5 精确报警 10 4 1 6 攻击特征库管理 10 4 1 7 自定义窗口显示功能 11 4 1 8 事件过滤 11 4 1 9 动态策略 12 4 1 10 响应方式 12 4 1 11 系统软件 攻击特征升级能力 12 4 2辅助功能测试 13 4 2 1用户管理 13 4 2 2用户安全审计 13 4 2 3报表分析功能1 TOP10统计 14 4 2 4报表分析功能2 交叉报表 15 4 2 5日志分析系统 15 4 3攻击测试 16 4 3 1邮件病毒传播保护测试 16 4 3 2蠕虫病毒传播保护测试 17 4 3 3系统漏洞攻击 攻击包回放 17 IPS 测试方案 第 3 页 共 29 页 4 3 4系统漏洞攻击 真实攻击 18 4 3 5木马连接保护测试 18 4 3 6拒绝服务攻击 19 4 3 7IPS规避攻击 19 4 3 8间谍广告程序攻击 20 4 3 9 SQL注入攻击 20 4 3 10 URL过滤 21 4 3 11其它攻击测试 21 4 4现网运行测试 22 4 4 1多路IPS测试 22 4 4 2IP 端口访问控制测试 23 4 4 3带宽管理测试 24 4 4 4P2P下载检测功能 24 4 4 5网络游戏行为 25 4 4 6网络聊天行为 25 4 4 7在线视频行为 25 4 4 8恶意代码网站检测功能 26 4 4 9现网测试延迟 26 4 5软硬 BYPASS功能测试 27 4 4 1软Bypass功能测试 27 4 4 2硬Bypass功能测试 27 4 6其他功能测试 28 5 测试结果综述测试结果综述 28 IPS 测试方案 第 4 页 共 29 页 1 参测产品情况调查参测产品情况调查 1 1 表格一 测试产品基本情况调查表表格一 测试产品基本情况调查表 项目说明 产品信息 产品生产厂家 产品名称及版本 产品型号 界面语言 以太网监听口 电口 数量 标配 个 千兆光监听口 无 有 标配 个 可扩展 个 特征库攻击特征数量 特征库的更新周期 产品的组成和部署 产品组件 探测器 管理器 其它 请注明 探测器管理方式 本地化技术支持 本地化技术工程师数量 应急响应事件处理能力 1 2 表格二表格二 认证 检测及鉴定情况认证 检测及鉴定情况 项目说明 公安部销售许可证 有 无 国家信息安全测试认证中心认证 有 无 保密局涉密信息系统产品检测证书 有 无 计算机软件著作权登记证 有 无 其他注明 其他注明 IPS 测试方案 第 5 页 共 29 页 1 3 表格三 分值比例表格三 分值比例 项目比例及说明 管理功能测试 15 人性化的管理有助于减少管理员的工作量 辅助功能测试10 报表等功能有助于管理员的总结和汇报 攻击测试40 精确阻断乃 IPS 最主要功能 现网运行稳定性 3 条线路 20 多链路部署 不影响业务 现网告警准确 软硬 Bypass 功能测试10 软硬 Bypass 是否好用为 IPS 关键功能 其他功能测试5 其他方面的补充测试 2 测试环境测试环境 2 1 功能测试环境功能测试环境 功能测试环境拓扑 具体的主机配置如下 各主机的 ip 地址依据测试中 IPS 的部署方式不同而进行相应的设置 各主机均安装 Windows2000 以上操作系统 服务器安装 IIS 功能测试环境主要测试攻击 病毒等在现网测试可能造成业务影响的项目 IPS 测试方案 第 6 页 共 29 页 2 2 现网测试环境现网测试环境 现网环境采取多路 NIPS 部署 每路 NIPS 单独防护一个 ISP 接入链路 一台 NIPS 可以同时防护多条链路 目前包括 DDN 线路总共需要防护 3 条线路 每条线路采取透明 模式部署 不影响现有网络接口和业务数据流程 NIPS 的各路 NIPS 是相互独立的 彼此之间没有数据交换 互不干扰 保证了各链路 流量的自身安全 NIPS 实时监测各种流量 提供从网络层 应用层到内容层的深度安全防护 现网测试重点关注上网行为管理 恶意代码网站防护 流量管理功能以及网络延迟测 试 所用软件和工具 远程桌面连接工具 BT 下载工具 QQ MSN 等 2 3 测试设备清单测试设备清单 测试设备 序号名称数 量 硬件配置操作系统应用软件 1入侵保护设备1入侵保护引擎 程序 2 千兆交换机 1标准 1000M Ethernet 速率 100 1000M RJ45 口 3PC4CPU P4 以上 RAM 512M 以上 NIC 100 1000M Windows2000 XP管理控制中心 软件 攻击测 试中的攻击机 被攻击机与正 常访问客户端 2 4 测试工具测试工具 序号名称角色 功能操作系统 1Sniffer4 7 或 Iris攻击测试中回放攻击包Win2000 xp 2 第三方合法测试工具攻击测试工具Win2000 xp Linux 3有漏洞的服务器IIS Server Apache BindWin2000 xp Linux IPS 测试方案 第 7 页 共 29 页 3 测试总流程测试总流程 3 1 测试准备测试准备 测试前期的准备工作包括如下内容 测试方案的编写 借鉴国内外各种 IPS 的测试方案并结合用户自身的特点及本 次项目的需求编写此方案 测试环境的搭建 按照 2 1 的测试环境拓扑图来搭建测试环境 按照 2 2 的现 网部署要求在现网测试 测试工具的整理 回放的攻击都为测试前用 Iris 进行的录制 保证攻击的有 效性和测试的一致性 其他测试手段 为了完整体现 IPS 的全面防御攻击的能力 评分标准测试之前由测试单位统一制定 测试开始前 参测厂商可以提出异议 一旦测试正式开始 参测厂商无法不得异议 3 2 测试实施测试实施 参测厂商可派 1 2 名技术人员在现场操作 厂家的测试环境搭建完成后不得擅自 更改设置及相关的参数 以保证测试结果的有效性 如果未经同意擅自更改设置取消 该厂商的测试资格 3 3 测试记录测试记录 测试过程中边测试边填写测试记录 采取截图记录等方式 如果参测厂商对所做记录 有异议要在测试现场提出 测试记录由双方签字确认后生效 并不得更改 3 4 测试报告测试报告 在测试完成后由测试单位对测试结果进行评估 并对参测厂商出具最终正式测试报告 电子文档和纸质 IPS 测试方案 第 8 页 共 29 页 4 测试内容测试内容 4 1 管理功能管理功能测试测试 4 1 1 引擎管理控制功能引擎管理控制功能 测试项目管理控制功能 测试目的测试 IPS 的控制中心对引擎的控制和管理能力 测试步骤 1 按照测试环境拓扑图搭建测试环境 2 安装控制中心 3 在控制中心上添加 网络引擎 组件 4 控制中心连接引擎 并下发策略 5 从攻击机 ping 被攻击机 预期结果 1 引擎跟控制中心之间的连接正常 2 策略可以正常下发各级引擎 3 ping 操作可以在显示中心正常报警 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 2 控制中心基本管理功能控制中心基本管理功能 测试项目基本管理功能 测试目的考察 IPS 系统的基本管理功能 测试步骤 1 登录控制管理端界面 分别考察 WEB 控制台 windows 控制台 2 查看其各组件的分布情况 包括管理界面 报警显示界面 数据 库 日志查询系统 3 配置多级管理模式 满足控制台 控制台 控制台 引擎 的部署结构 4 添加多个虚拟引擎 即只添加 IP 看其是否有数量限制 5 查看可支持的其他组件 预期结果 1 具备独立的控制台 2 具备 web 控制台和 windows 控制台 3 具备独立的报警显示界面 IPS 测试方案 第 9 页 共 29 页 4 可以设置多个报警显示界面 5 具备独立的日志分析中心 6 可以在控制台上显示并控制所有探测器 7 控制台可管理多个探测器 8 有图形化的设备显示 9 可以通过设备拓扑图对设备进行管理 10 系统支持网络时间同步 NTP 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 3 部署方式测试部署方式测试 测试项目部署方式 测试目的 支持多种部署方式 以适应各种网络环境 包括路由模式 交换模式 直通模式等 测试步骤 1 按照测试拓扑将 IPS 接入网络 2 利用 IPS 的前两个接口将 IPS 分别配置为路由模式 透明模式 DIRECT 直通模式 并测试 IPS 两接口间网络是否通畅 3 在上述任一种模式中 例如直通模式 将第三个接口配置为监 听口 并用笔记本接在监听口上 用 sniffer 回放一种攻击包 查看 IPS 是否有告警 测试监听口是否生效 4 混合模式的测试 由于时间关系 可任意挑选两种模式 利用 1 2 3 4 两组端口分别配置两种模式 进行组合测试 也可根据情 况增加测试项 预期结果 1 支持路由模式 2 支持交换模式 3 支持直通模式 4 支持混合模式 直通 监听模式 5 支持 NAT 模式 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 4 策略编辑策略编辑 测试项目策略编辑 IPS 测试方案 第 10 页 共 29 页 测试目的测试 IPS 的策略定义能力 测试步骤 1 打开策略管理菜单 2 自定义用户策略 test 针对 http 协议不同字段设置各种参数 3 打开新策略 test 并针对某一条事件定义响应方式 4 定义响应模板 并将新模板应用都所有 TCP 协议的事件 5 导出 导入策略 预期结果 1 具备策略向导功能 2 可以制定用用自定义策略 自定义协议超过 40 种 3 可以单独对某一条事件定义响应方式 也可以批量针对多条事件 定义响应方式 4 支持响应模板功能 5 策略可以方便导出和导入 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 5 精确报警精确报警 测试项目精确报警 测试目的考察入侵防御系统针对具体环境对入侵事件做进一步精确分析的能力 测试方法配置好目标主机的相关信息 分别触发符合条件的事件和为符合条件的事件 查看环境匹配窗口中的报警内容 测试步骤1 在显示中心的环境匹配信息设置中 配置好被攻击机的相关信息 包括 主机名 IP 地址 操作系统类型 协议 TCP 端口 80 2 打开环境匹配报警窗口 3 从 windows 攻击机上采用 GUI Unicode 工具对被攻击机发起 Unicode 攻 击 4 查看综合显示中心的报警情况 预期结果1 Unicode 攻击事件作为经过环境匹配后的精确事件 将在环境匹配窗口 中报警 同时也在高级事件窗口中进行报警 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 6 攻击特征库管理攻击特征库管理 测试项目攻击特征库管理 测试目的考察入侵防御系统具有协议分析能力 可自定义基于应用层协议的特征 测试方法 1 测试 IPS 的攻击特征库的质量和管理方便性 IPS 测试方案 第 11 页 共 29 页 2 演示 IPS 产品的攻击特征库的策略编辑方法 3 演示 IPS 产品的攻击特征的数量 测试步骤1 各厂家产品操作过程不同 自行演示 预期结果攻击规则库按危险程度分类 2 攻击规则库按服务类型分类 3 对每个规则有详细注释说明 包括该攻击影响的操作系统和解决方案 4 可以对某条具体规则设置单独的响应方式 5 可以对某类规则设置共同的响应方式 6 支持自定义新的规则 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 7 自定义窗口显示功能自定义窗口显示功能 测试项目自定义窗口显示功能 测试目的验证入侵防御系统是否支持窗口自定义及窗口过滤功能 测试方法在入侵防御系统界面增加窗口 并让该窗口只显示 IP 为 的报警信息 测试步骤1 在入侵防御系统界面增加一个新的报警显示窗口 2 设置该窗口的过滤条件 只显示源 IP 为 的报警信息 3 用 sniffer 回放两条事件 其中一条事件中的源地址与步骤 2 中的源地 址一致 4 查看报警信息 预期结果1 可以增加新的窗口 2 设置的过滤条件生效 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 8 事件过滤事件过滤 测试项目事件过滤 测试目的验证入侵防御系统是否基于时间 IP 地址 编号 类型等条件组合对不关心 的事件进行过滤 测试方法根据时间 IP 地址 编号 类型等条件组合进行过滤 察看事件过滤结果 测试步骤各厂家产品操作过程不同 自行演示 预期结果1 是否可根据事件来源 地址 编号 类型 设置的过滤条件生效 2 是否可根据事件发生的时间过滤 3 是否可根据事件结果及引擎所采取的动作 IPS 测试方案 第 12 页 共 29 页 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 9 动态策略动态策略 测试项目动态策略 测试目的检查入侵防御系统是否支持根据预设的事件发生频率来动态调整策略中应用 的响应方式 合并条件以及过滤条件 从而减少报警日志量或者自动对高级 事件调高相应级别 测试方法定义好动态策略 规则 触发事件 查看策略的有效性 测试步骤1 打开动态策略编辑菜单 2 添加新方案 3 添加动态策略规则 事件 ICMP PING 长度异常 阀值 5 条 分钟 事 件级别调整为 高级事件 响应方式 日志 报警 合并方式 按照源 IP 合并 4 应用方案 5 触发事件 ping IP L 10000 t 查看报警 预期结果 ICMP PING 长度异常 事件的报警级别自动调整为高级 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 10 响应方式响应方式 测试项目响应方式 测试目的考察入侵防御系统对入侵事件的相应手段是否丰富灵活 测试方法通过界面操作和沟通的方式呈现各种响应方式 测试步骤现场演示和沟通介绍 预期结果产品支持的响应方式包括以下几种 1 屏幕报警 2 日志保存 3 声音报警 4 邮件报警 5 rst 阻断 6 防火 墙联动 7 执行用户自定义程序 8 全局预警 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 1 11 系统软件 攻击特征升级能力系统软件 攻击特征升级能力 测试项目软件 攻击特征升级能力 IPS 测试方案 第 13 页 共 29 页 测试目的IPS 系统也必须保持快速的升级和更新能力 包括软件版本的升级和特征库 的更新 尤其是特征库的及时更新非常重要 测试方法 1 测试 IPS 系统的升级方式有几种 2 测试能否在控制台上对 IPS 探测器进行升级包的远程升级 3 演示事件特征库的升级方式 4 演示控制端的升级方式 5 演示引擎端的升级方式 6 演示多级管理时事件库及引擎的升级方式 测试步骤现场演示和沟通介绍 预期结果 1 控制软件升级支持在线升级 2 控制软件升级支持离线升级 3 规则库升级支持在线升级 4 规则库升级支持离线升级 5 规则库更新的频率 以公司网站为准 公司网站显示规则升级内容描述 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 2 辅助功能辅助功能测试测试 4 2 1 用户管理用户管理 测试项目用户管理功能 测试目的测试 IPS 系统是否具备角色 权限的管理分配能力 测试方法尝试增加 删除管理员账户 修改管理员权限 测试步骤1 登录用户管理审计模块 2 添加新管理员账户 test venus123 3 修改 test 的管理权限 4 删除 test 账户 预期结果1 产品具备多用户管理功能 分为管理员 审计员 用户等角色 2 可以对账户进行添加 编辑 删除等管理 3 管理员账户权限分配 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 IPS 测试方案 第 14 页 共 29 页 4 2 2 用户安全审计用户安全审计 测试项目用户安全审计 测试目的考察入侵防御系统的自身安全性 测试方法检查入侵防御系统的用户管理功能和管理 IP 的安全性 测试步骤1 查看产品是否具备用户审计模块 2 查看对于用户的管理是否进行了分组设置 对于每个组是否都有不同权 限 3 查看设置是否有登录失败的处理机制 4 除了系统自带的口令认证方式外是否还有其他的辅助认证方式或预留接 口 5 用端口扫描工具查看系统是否开放了常用的端口 6 Ping 引擎的管理端口 ip 验证管理端口是否屏蔽了 ping 预期结果1 产品具备用户审计模块 2 支持用户权限分组 3 对于不同的用户可以赋予不同的权限 4 对于每个用户的具备登录失败处理 5 每个用户都有完整的日志审查 6 支持可扩展的身份认证方式或提供接口 7 探测器没有开放常用端口 8 管理端口已经屏蔽 Ping 9 监听端口没有 IP 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 2 3 报表分析功能报表分析功能 1 TOP10 统计统计 测试项目报表分析功能 1 TOP10 统计 测试目的检查入侵防御系统的 TOP 统计功能 测试方法采用报表分析系统对事件进行统计分析 测试步骤1 打开日志分析中心 2 鼠标选中报表模板中的 攻击类型统计 再设置好查询的时间段 查看 按照攻击类型统计的报表 并导出到 doc 格式 3 鼠标选中报表模板中的 源地址统计 再设置好查询的时间段 查看按 照源地址统计的报表 并导出到 doc 格式 4 鼠标选中报表模板中的 目的地址统计 再设置好查询的时间段 查看 按照目的地址统计的报表 并导出到 doc 格式 预期结果1 可以查询并导出攻击类型 TOP10 报表 2 可以查询并导出攻击地址 TOP10 报表 IPS 测试方案 第 15 页 共 29 页 3 可以查询并导出被攻击地址 TOP10 报表 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 2 4 报表分析功能报表分析功能 2 交叉报表交叉报表 测试项目交叉报表 测试目的考察入侵防御系统的报表分析中 是否具备多个特征的关联查询的能力 测试方法查看产品的交叉报表查询结果 测试步骤1 启动日志分析模块 2 配置需要查询的时间段 3 查看交叉报表 预期结果1 可以按照事件类型跟源地址 目的地址 引擎设备等形成关联报表 2 可以按照事件的危险级别跟源地址 目的地址 引擎设备等形成关联报 表 3 可以按照源地址跟事件类型 危险级别等形成关联报表 4 可以按照目的地址跟事件类型 危险级别等形成关联报表 5 可以按照引擎设备跟事件类型 危险级别等形成关联报表 6 双击关联报表的统计记录 可以展开显示详细的事件 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 2 5 日志分析系统日志分析系统 测试项目日志分析能力 测试目的能够根据用户的需要产生各种形式的报告 如表格形式 柱状图 饼图等 并且可以根据用户需要设置各种过滤条件 如 IP 地址 事件名称等 可以 自动的产生日报 周报 月报 并且可以导出成多种格式的文件 测试方法 1 演示日志分析系统 报表 的生成方式 2 演示可支持的查询条件 3 演示可支持的导出格式 预期结果1 支持日志统计分析 2 支持查询分析 3 生成事件的月报表 4 生成流量的周报表 5 将生成的报表保存为 html IPS 测试方案 第 16 页 共 29 页 6 定时日志备份 7 日志恢复 8 日志清除 9 日志归并 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 3 攻击测试攻击测试 攻击测试应包括真实攻击测试与攻击数据包回放两部分 真实攻击测试采用实际的攻 击工具在测试环境下对有漏洞的目标系统执行攻击 用于测试 IPS 对最新出现的严重漏洞 攻击的检测和阻断能力 真实攻击测试由于对测试环境的搭建有很高的要求 所以只能进 行有限数量的攻击测试 攻击数据包回放采用收集到的攻击报文数据 将攻击场景回放到 IPS 的监听端口来测试 IPS 的检测能力 由于只需回放数据流 对测试环境的要求相对较 低 可以进行大量攻击检测的验证 真实攻击测试与攻击数据包回放最好者采用第三方的 攻击测试工具 真实攻击测试相关的具体攻击项目的选择应符合如下标准 攻击工具完全由第三方独立开发和维护 攻击项目应该是最近最新的严重威胁级别的攻击 攻击工具应该具有规避 IPS 检测的功能 可以对 IPS 的抗攻击变形能力进行 考察 回放攻击数据相关的具体攻击项目应符合如下选择标准 覆盖到尽可能多的常用协议和应用 如 HTTP SMTP FTP IM P2P 等 相关的应用软件使用比较广泛 比如微软 Windows 系统相关的网络服务 攻击相关的漏洞是比较新近的 比如选择 2004 年以后漏洞攻击 测试方法 1 真实攻击测试 选用集成化的第三方攻击测试软件 MetaSploit 3 0 以减少收集攻击工具的工作量 在单独的攻击机器上 安装配置 MetaSploit 3 0 在目标机器上安装一个默认配置的 Widnows 2000 Server 中文版 打开攻击测试必要的网络服务 也可以在目标机器上运行 VMWare 类的虚拟机作为被攻击的目标 配置 IPS 过滤从攻击机器到目标机器的 流量 依次执行选择的攻击项目 检查 IPS 的告警和阻断情况 IPS 测试方案 第 17 页 共 29 页 2 回放攻击数据测试 将安装了数据包回放工具 IRIS 的攻击机接入网络 NIPS 的 一个工作端口配置为监听模式 依次打开每个攻击包进行回放 查看 NIPS 控制 台上是否能够产生告警 清除告警信息后执行下一个测试 4 3 1 邮件病毒传播保护测试邮件病毒传播保护测试 测试项目病毒传播保护测试 1 测试目的测试 IPS 针对病毒传播的所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放邮件病毒数据包 VIRUS POP3 vbs cap SMTP MydoomAC cap VIRUS SMTP pif cap 预期结果携带病毒附件的邮件接收不成功 IPS 对 病毒 阻断成功并有报警信息 POP3 服务接收 VBS 病毒邮件 SMTP 服务发送 Mydoom AC 蠕虫病毒附件 SMTP 服务发送可疑病毒附件 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 2 蠕虫病毒传播保护测试蠕虫病毒传播保护测试 测试项目蠕虫病毒传播保护测试 测试目的测试 IPS 针对病毒传播的所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放邮件病毒数据包 CodeRed worm unicode cap CodeRed worm http cap Sasser worm cap Slammer worm cap 预期结果病毒体下载不成功 IPS 对蠕虫病毒阻断成功并有报警信息 Code Red 蠕虫利用 Unicode 漏洞攻击 Code Red 蠕虫传播 Sasser 震荡波 蠕虫传播 Slammer 蠕虫攻击 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 IPS 测试方案 第 18 页 共 29 页 4 3 3 系统漏洞攻击系统漏洞攻击 攻击包回放 攻击包回放 测试项目系统漏洞攻击测试 测试目的测试 IPS 针对针对系统漏洞的攻击所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放利用系统漏洞的攻击数据包 FTP wuftpd site exec cap MSRPC dcom remote overflow cap IIS unicode decode cap 预期结果IPS 对攻击包阻断成功并有报警信息 Wu ftpd SITE EXEC 命令溢出攻击 BUGTRAQ ID 1387 CVE CAN ID CVE 2000 0573 微软 IIS Unicode 解码漏洞攻击 BUGTRAQ ID 1806 CVE CAN ID CVE 2000 0884 微软 RCP DCOM 接口溢出攻击 BUGTRAQ ID 8205 CVE CAN ID CVE 2003 0352 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 4 系统漏洞攻击 真实攻击 系统漏洞攻击 真实攻击 测试项目系统漏洞攻击测试 测试目的测试 IPS 针对针对系统漏洞的攻击所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 被攻击的服务器存在系统和应用程序漏洞 3 使用漏洞扫描工具对被攻击服务器漏洞扫描 4 使用 Metasploit 工具对应用程序漏洞进行利用 检测漏洞利用的效果 5 开启 IPS 防护规则 6 重复第 4 步和第五步 对比效果 预期结果IPS 对扫描行为报警 根据 IPS 策略设置阻断高风险的漏洞扫描插件 IPS 对 Metasploit 攻击阻断 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 IPS 测试方案 第 19 页 共 29 页 4 3 5 木马连接保护测试木马连接保护测试 测试项目木马连接保护测试 1 测试目的测试 IPS 针对木马连接的所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 在被攻击机上种植木马服务器端 在攻击机上安装木马客户端 3 从攻击机向被攻击机发起连接 观察被攻击机能否被攻击机控制 4 回放木马连接的数据包 观察 IPS 报警 Backdoor Netbus cap Backdoor NetbusPro cap Backdoor huigezi mini cap Backdoor netthief cap 预期结果木马连接被 IPS 检测并阻断 无法连接成功 回放数据包时 IPS 有准确报警 NetBus 木马 NetBus Pro 木马 灰鸽子木马 MINI 版 网络神偷木马 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 6 拒绝服务攻击拒绝服务攻击 测试项目拒绝服务攻击测试 测试目的测试 IPS 针对拒绝服务攻击所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放拒绝服务攻击数据包 FTP IIS wildcard DOS S s cap udp flood cap smarf attack cap tcp scan syn ack cap 预期结果IPS 对攻击包阻断成功并有报警信息 Windows NT IIS 4 0 FTP NLST 命令远程拒绝服务攻击 UDP Flood 淹没拒绝服务攻击 ICMP Flood 淹没拒绝服务攻击 服务器端口扫描 SYNACK 扫描 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 IPS 测试方案 第 20 页 共 29 页 4 3 7IPS 规避攻击规避攻击 测试项目IPS 规避攻击测试 测试目的测试 IPS 针对 IPS 规避攻击所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放拒绝服务攻击数据包 frag1 cap 一组经过分片的攻击项目 Frag2 cap 一组经过分片的攻击项目 whisker1 cap 一组经过特殊编码的攻击项目 Whisker8 cap 一组经过特殊编码的攻击项目 预期结果IPS 对攻击包阻断成功并有报警信息 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 8 间谍广告程序攻击间谍广告程序攻击 测试项目间谍广告程序攻击测试 测试目的测试 IPS 针对间谍广告程序攻击所提供的保护功能 测试步骤1 按照拓扑图搭建测试环境 2 回放间谍广告程序攻击数据包 adware sbwlm s newdotnet download cap adware sewlm s favoriteman download cap 预期结果IPS 对攻击包阻断成功并有报警信息 Windows 系统下 Adware NewDotNet 下载安装程序 Windows 系统下 Adware FavoriteMan 下载安装程序 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 9 SQL 注入攻击注入攻击 测试项目SQL 注入攻击防护测试 测试目的考察 IPS 是否可以检测并阻断 SQL 注入攻击 保证服务器的安全 测试方法利用 SQL 注入攻击工具对目标站点进行 SQL 注入攻击 使用 IPS 进行阻断保护 测试步骤1 准备一台 WEB 服务器 上面安装带有 SQL 注入漏洞的程序 apache 服务器 mysql 数据库和 PHP 环境 IPS 测试方案 第 21 页 共 29 页 2 采用 GET 方式手工提交 SQL 注入语句 3 采用 POST 方式手工提交 SQL 注入语句 4 采用 cookie 方式手工提交 SQL 注入语句 5 回放 SQL 注入的数据包 观察 IPS 报警 PhpBB viewtopic SQL inject cap Complete PHP Counter list SQL inject cap PHP Nuke Your Account SQL inject cap 预期结果攻击行为会被 IPS 检测到并阻断 攻击不成功 回放数据包时 IPS 有准确报警 phpBB viewtopic php SQL 注入攻击攻击 Complete PHP Counter list php SQL 注入攻击 PHP Nuke Your Account 模块 SQL 注入攻击 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 10 URL 过滤过滤 测试项目URL 过滤 测试目的考察 IPS 是否可以针对指定 URL 进行过滤 同时考察 IPS 支持事件自定义的能力 测试方法正常情况下访问 URL 查看访问结果 设定 IPS 过滤策略后再次访问该 URL 访问 应该被限制 测试步骤1 从测试机上 IE 访问某站点 如 可以正确访问 2 IPS 自定义一条 HTTP 网络特征事件 test 设置协议参数 ip dip sinaIP 并设定响 应方式为 报警 日志 串行 RST 阻断 串行丢包阻断 下发策略后 再访问采 用 IP 访问 sina 访问不成功 3 修改 2 中自定义特征事件的参数为 http url str sina 或 http url sina 重新下发 策略 再访问 访问不成功 4 编辑策略 修改事件 test 的响应方式 设置阻断过滤条件 时间条件 在设定的 时间段外访问 访问不成功 预期结果IPS 可以根据 IP URL 和时间来对指定 URL 进行过滤 IPS 具备网络特征事件自定义能力 测试结果 通过 未通过 未测试 结果备注 签字确认主测方 参测方 4 3 11 其它攻击测试其它攻击测试 本项测试主要考察 IPS 的完备性 即对主流网络入侵事件的监测能力 测试项采用 Iris 或 Sniffer 回放 cap 包方式进行 IPS 测试方案 第 22 页 共 29 页 攻击类型事件名称测试结果备注 TCP Ipswitch IMail LDAP Daemon 远程缓 冲区溢出漏洞利用 SMTP 命令参数 缓冲区溢出攻击尝试 HTTP IIS idq 缓冲区溢出攻击 ftp aix 溢出漏洞 cap Apache win32 分块编码漏洞 cap HTTP idq ida cap RPC snmpxdmid overflow dmp SMTP EXPN 溢出攻击 cap TELNET Solaris Telnet 溢出漏洞 cap TCP CDE dtspcd 缓冲区溢出攻击尝试 cap 溢出攻击 SNMP NODEMGR 远程缓冲区溢出漏洞利 用 FTP 口令穷举探测 TDS MS SQL 口令穷举探测 ICMP Smurf 拒绝服务攻击应答及网络探测 SCAN UDP 端口扫描 SCAN SYNONLY TCP 端口扫描 HTTP msdac cap Windows NT IIS MSDAC RDS 远程命令执行漏洞扫描探测 30 HTTP Nessus CGI 扫描 dmp 漏洞扫描 器 Nessus 扫描探测 CGI 漏洞 WEB APACHE ASP attack dmp Apache ASP source asp 脚本漏洞扫描探测 探测和扫 描 SCAN ICMP 扫描探测 NetBIOS disk enumeration S 30498 cap Windows SMB 枚举系统磁盘信息操作 枚举攻击 NetBIOS share enumeration S s cap Windows SMB 枚举系统共享操作 HTTP dvwssr overflow cap 扩展察看 CGI 脚 本源代码攻击 HTTP asp overflow cap ISAPI 扩展远程缓冲 区溢出攻击 HTTP printer overflow cap ISAPI 扩展映射远 程缓冲区溢出攻击 HTTP iishack htr dmp ISAPI 扩展远程缓冲 区溢出攻击 IIS 攻击 www gowhh u webdav cap WebDAV 远程 缓冲区溢出攻击 测试结果 通过 未通过 未测试 IPS 测试方案 第 23 页 共 29 页 结果说明 签字确认主测方 参测方 4 4 现网运行测试现网运行测试 4 4 1 多路多路 IPS 测试测试 一台 IPS 能否支持多条线路接入也是评判 IPS 的一个标准 支持多路的 IPS 能够极大 节省用户的投资 提升性价比 多路又分为物理多路和虚拟多路 在每一种物理多路部署方式中又可进行虚拟多路方 式的部署 这样可以为不同的网络 不同的主机 不同的时间段来提供特制的检测规则 不同的大大提升 IPS 部署配置的灵活性 物理多路是指不同的部署方式下用多个物理接口实现提供多个网络接入 多条网络通路 虚拟多路是在每个物理通道下 根据不同的 IP 时间和动作这些对象来创建多组检测防护 规则 避免一条物理链路只能用一组规则的尴尬局面 测试项目多路 IPS 测试 测试目的检查 IPS 能否支持多条线路接入 根据现网环境 至少 3 条线路防护 测试方法用多个物理接口实现提供多个网络接入 多条网络通路 在每个物理通道下 根据不同的 IP 时间和动作这些对象来创建多组检测防 护规则 测试步骤 1 直通模式物理多路测试 将 1 2 口 3 4 口和 5 6 口分别配置为两路直 通模式 在两路内分别设置不同的入侵保护规则 2 交换模式物理多路测试 将所有接口均配置在不同的透明模式 lay2 区 域 在不同的接口之间分别设置不同的入侵保护规则 3 直通模式虚拟多路测试 将 IPS 任两个接口配置为直通模式 在这两个 接口之间 一条物理链路里 根据不同的 IP 时间等对象配置多条入侵保护 规则 实现不同的网络访问有不同的入侵保护 4 交换模式虚拟多路测试 将 IPS 任两个接口配置在同一个透明模式区域 中 在这两个接口之间 一条物理链路里 根据不同的 IP 时间等对象配置 多条入侵保护规则 实现不同的网络访问有不同的入侵保护 预期结果直通模式物理多路测试 交换模式物理多路测试 直通模式虚拟多路测试 交换模式虚拟多路测试 测试结果 通过 未通过 未测试 IPS 测试方案 第 24 页 共 29 页 结果说明 签字确认主测方 参测方 4 4 2IP 端口访问控制测试 端口访问控制测试 测试项目IP 端口访问控制测试 测试目的检查 IPS 能否支持 IP 地址过滤和端口过滤功能 测试方法内置防火墙是 IPS 的一种功能 IPS 通过防火墙加强访问控制 好的防火墙 功能可以有效的阻断攻击 测试步骤 1 在 IPS 配置界面上定义测试环境中的 IP 组 时间段和服务类型 2 测试无规则时防火墙两边的通信 3 测试添加规则后防火墙两边的通信是否按照规则执行 4 分别设置一对一 一对多 多对多地址映射 测试防火墙 NAT 功能 5 设置一条策略路由 源路由 测试策略路由功能 预期结果支持对象定义和基于对象的策略配置 对象包括 IP 时间 服务 无防火墙规则情况下 攻击机访问目标机上的 web 服务 不能访问 配置防火墙规则情况下 攻击机访问目标机上的 web 服务 可以访问 支持一对多地址映射功能 一对一地址映射功能 配置一条策略路由 验证策略路由功能 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 4 3 带宽管理测试带宽管理测试 测试项目带宽管理测试 测试目的检查 IPS 能否支持通过协议 端口 IP 及时间等要素对流量进行管理 测试步骤 在 IPS 上设置带宽管理规则 服务为 any 用两台客户端下载大文件 来 测试带宽管理功能里的流量限制功能 用 telnet 来测试 IPS 的带宽管理功能中的会话数限制功能 在 IPS 上设置基于协议的的带宽管理规则 服务为讯雷或者其他 P2P 用 客户端讯雷工具下载电影文件 来测试带宽管理功能里的流量限制功能 设置一个时间段 并应用与某个带宽管理规则 测试在时间段内或外的带宽 管理功能是否生效 预期结果可以限制网络间的最大流量和每个 IP 的最大流量 以限制网络中的最大会话数和每个 IP 的最大会话数 可以基于协议 如 FTP 讯雷 BT 进行带宽管理 可以基于时间对象进行带宽管理 IPS 测试方案 第 25 页 共 29 页 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 4 4P2P 下载下载检测功能检测功能 测试项目P2P 下载检测功能 测试目的检查 IPS 能否支持 P2P 下载检测功能 测试步骤 现网测试一段时间后观察告警时间中关于 P2P 下载检测 针对部分 IP 设置 P2P 下载阻断行为 在客户端验证效果 预期结果识别超过 110 种以上各类主流 P2P 应用软件及其变种 并可针对加密型以及 非加密型 P2P 下载进行实时阻断和管理 包括 emule bitComet poco kamun openext 迅雷 百宝 kugoo maze vagaa ares kazaa dc winmx 脱兔等 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 4 5 网络游戏行为网络游戏行为 测试项目网络游戏检测功能 测试目的检查 IPS 能否支持网络游戏检测功能 测试步骤 现网测试一段时间后观察告警时间中关于网络游戏检测 针对部分 IP 设置网络游戏阻断行为 在客户端验证效果 预期结果能够阻断和控制 cs starcraft quake 中国游戏中心 浩方平台 泡泡堂 传奇世界 大话西游 封神榜 剑侠情缘 联众游戏 坦克宝贝 石器时代 warcraft 魔兽世界 黄金岛 江湖等主流的网络游戏 测试结果 通过 未通过 未测试 结果说明 签字确认主测方 参测方 4 4 6 网络聊天行为网络聊天行为 测试项目网络聊天检测功能 测试目的检查