Deep Edge深度威胁安全网关平台POC测试报告

1、PAGE Deep Edge深度威胁安全网关平台POC测试报告文件类型：POC报告文档目 录 TOC o 1-4 h z u HYPERLINK l _Toc449571757 1.测试背景 PAGEREF _Toc449571757 h 4 HYPERLINK l _Toc449571758 2.测试目的 PAGEREF _Toc449571758 h 4 HYPERLINK l _Toc449571759 3.测试计划 PAGEREF _Toc449571759 h 4 HYPERLINK l _Toc449571760 3.1.测试时间、地点 PAGEREF _Toc449571760

2、h 4 HYPERLINK l _Toc449571761 3.2.测试人员 PAGEREF _Toc449571761 h 4 HYPERLINK l _Toc449571762 3.3.分工界面 PAGEREF _Toc449571762 h 5 HYPERLINK l _Toc449571763 3.4.测试环境 PAGEREF _Toc449571763 h 5 HYPERLINK l _Toc449571764 3.4.1.硬件环境 PAGEREF _Toc449571764 h 5 HYPERLINK l _Toc449571765 3.4.2.软件环境 PAGEREF _Toc4

3、49571765 h 5 HYPERLINK l _Toc449571766 3.4.3.应用环境 PAGEREF _Toc449571766 h 5 HYPERLINK l _Toc449571767 3.4.4.测试设备、工具 PAGEREF _Toc449571767 h 5 HYPERLINK l _Toc449571768 4.测试方案 PAGEREF _Toc449571768 h 6 HYPERLINK l _Toc449571769 4.1.测试环境拓扑图 PAGEREF _Toc449571769 h 6 HYPERLINK l _Toc449571770 4.2.系统配置管

4、理测试 PAGEREF _Toc449571770 h 6 HYPERLINK l _Toc449571771 4.3.安全策略测试 PAGEREF _Toc449571771 h 6 HYPERLINK l _Toc449571772 4.4.NAT测试 PAGEREF _Toc449571772 h 8 HYPERLINK l _Toc449571773 4.5.IPS功能测试 PAGEREF _Toc449571773 h 8 HYPERLINK l _Toc449571774 4.6.AV功能测试 PAGEREF _Toc449571774 h 9 HYPERLINK l _Toc44

5、9571775 4.7.上网行为管理功能测试 PAGEREF _Toc449571775 h 9 HYPERLINK l _Toc449571776 4.8.WRS功能测试 PAGEREF _Toc449571776 h 10 HYPERLINK l _Toc449571777 4.9.垃圾邮件及病毒邮件测试 PAGEREF _Toc449571777 h 11 HYPERLINK l _Toc449571778 4.10.虚拟补丁功能测试 PAGEREF _Toc449571778 h 11 HYPERLINK l _Toc449571779 5.测试结论 PAGEREF _Toc44957

6、1779 h 12 测试背景亚信安全作为业界极具影响力的专业防病毒解决方案及服务提供商，对XXXX防病毒网关测试项目给予高度重视，并将指派XXX作为测试项目经理进入测试项目小组，直接掌控测试项目的技术水平和质量。亚信安全将根据XXXX防病毒网关测试项目的具体要求，结合自己的业界经验及测试项目管理经验，努力满足XXXX对本测试项目提出的目标。测试目的设备性能测试：考察亚信安全下一代安全网关Deep Edge性能上是否满足XX公司组网要求设备功能测试：考察亚信安全下一代安全网关Deep Edge功能上是否满足XX安全需求测试计划测试时间、地点测试时间：XX月XX日至XX月XX日。测试地点：测试人员

7、姓名承担的主要工作负责人主 要 测 试 人 员分工界面XX单位： 负责准备好测试环境；协助测试；监督测试按计划进行。亚信安全：提供技术支持；进行测试操作。测试环境硬件环境客户端PC 、Deep Edge设备、FTP/WEB服务器各一台软件环境 各版本操作系统、IIS、DB等环境软件应用环境如测试环境拓扑图所示：安全网关的GE0接口连接客户端PC，GE1连接FTP/Web服务器，两个接口之间工作在透明模式（桥模式）下，客户端PC经过NAT地址转换后可以接入互联网，出口为GE3。安全网关的GE3接口接入Internet。配置访问控制策略，使得客户端PC能够访问FTP/Web服务器、日志务器和Int

8、ernet。测试设备、工具模拟病毒攻击的软件相关的发包软件及模拟包PUTTY测试方案测试环境拓扑图透明网桥测试测试说明测试DE透明网桥功能测试内容通过配置DE的透明网桥模式，实现网络透传。预置条件设备已经配置为透明网桥模式且已经串接到网络当中 测试过程通过透明桥接模式实现串联访问网络预期结果能够直接访问网络测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_路由模式测试测试说明测试DE路由模式功能测试内容通过将DE配置为路由模式，测试其作为路由网关的传输功能。预置条件设备已经配置为路由模式并添加相关的路由表，同时设备已经接入网络测试过程通过路由网关模式（DE为内网网关时）

9、访问网络跨网段的静态路由访问预期结果能够通过路由模式访问网络测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_旁路监控模式测试测试说明测试DE的旁路监控功能测试内容通过旁路监控部署形式实现SPAN模式的流量威胁检测预置条件DE已经配置成监控模式并且交换机已经将流量镜像到网关测试过程交换机将监控流量镜像到DE网关进行分析预期结果支持SPAN模式的流量监控测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_系统配置管理测试测试说明系统配置管理测试测试内容考察DE是否具备灵活的配置管理功能，是否支持通过加密方式(SSH或HTTPS)进行管理。预置条件US

10、G设备已经接入到网络中，并完成基本配置测试过程支持通过SSH进行配置管理支持通过加密的HTTPS方式进行配置管理预期结果支持上述各种管理方式测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_安全策略测试测试说明通过安全策略控制数据包的行为测试内容考察安全网关产品是否支持安全策略控制模式预置条件DE设备已经接入到网络中，并完成相关配置测试过程配置安全策略允许（Permit）客户端PC机到ftp服务器的访问从PC 访问 ftp服务器，可以正常访问ftp服务器在DE上修改该安全策略为禁止（Deny）两接口之间的通信从PC 不能访问 ftp服务器预期结果安全策略可以根据配置来控

11、制允许或拒绝报文通过。测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_测试说明通过接口、地址、时间表、服务控制安全策略生效的条件测试内容考察安全网关产品是否支持安全策略匹配条件预置条件DE设备已经接入到网络中，并完成相关配置测试过程配置安全策略允许（Permit）两接口之间的通信，采用接口、地址、时间表、服务条件在符合该接口、地址、时间范围和服务条件时，从客户PC 访问FTP服务器才可以通讯预期结果可以设置接口、地址、时间表、服务控制安全策略生效的条件测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_NAT测试测试说明源地址转换NAT测试测试内

12、容考察安全网关产品是否支持源地址转换预置条件DE设备已经接入到网络中，并完成相关配置测试过程配置地址池、源地址转换和安全策略允许通讯从客户端PC可以访问外网地址和网页预期结果通过NAT转换后可以正常访问外网测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_虚拟补丁功能测试测试说明测试DE的虚拟补丁功能测试内容通过模拟攻击测试查看是否可识别攻击威胁并作出响应预置条件DE设备已经接入到网络中，并完成相关配置测试过程针对性测试：针对以下服务器、终端、服务及通讯分类中的攻击样本，使用Metasploit进行测试关闭安全网关产品上相应安全防护策略并配置允许（permit）两接口之

13、间的通信可从6000+规则中任意选取规则，根据规则对应的CVE编号，使用Metasploit进行测试启用安全网关产品上相应安全防护策略启用后模拟攻击失败并可在DE上查看相应日志信息预期结果虚拟补丁功能能够正常使用，并产生日志1文件服务器防护 NetTerm NetFTPF 用户缓存命令或 3Com 3CDaemon FTP 服务器溢出测试结果通过 不通过2Web 服务器防护 Microsoft Windows Explorer 拖放远程代码执行、Microsoft IIS WebDAV 长请求缓存溢出等测试结果通过 不通过3邮件服务器防护 Sendmail Signal Race 漏洞、Mic

14、rosoft Exchange SMTP Service Extended Verb 请求缓存溢出等测试结果通过 不通过4通用服务防护 Microsoft SSL PCT Buffer Overflow Vulnerability、Solaris Telnetd User Authentication Bypass Vulnerability 等测试结果通过 不通过5客户端防护 Microsoft Visual Studio WMI 对象代理未指定代码执行、Microsoft Internet Explorer XMLHTTP ActiveX Control setRequestHeader

15、代码执行等测试结果通过 不通过6即时通讯防护 IBM Lotus Sametime Multiplexer Buffer Overflow、MSN MSNP2P Message Integer Overflow 等测试结果通过 不通过7其他防护 SIP Foundry sipiXtapi 缓存溢出测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_常见攻击测试测试说明测试DE针对各类常见攻击的防护能力测试内容通过模拟攻击测试查看是否可识别攻击威胁并作出响应预置条件DE设备已经接入到网络中，并完成相关配置测试过程针对性测试：针对以下服务器、终端、服务及通讯分类中的攻击样本，

16、使用Metasploit或Python进行测试关闭安全网关产品上相应安全防护策略并配置允许（permit）两接口之间的通信指定攻击方式，使用Metasploit进行测试启用安全网关产品上相应安全防护策略启用后模拟攻击失败并可在DE上查看相应日志信息预期结果IPS功能能够正常使用，并产生日志1MS12020漏洞攻击（1）在DE 设备查找并关闭CVE-2012-0002对应防护策略（2）预先准备包含的CVE-2012-0002（MS12-020，KB2621440）漏洞的Windows2003 系统机器（3）客户机使用rdpclient工具发送指定攻击包。（4）观察受攻击Windows2003蓝屏

17、现象（5）在DE上开启对应CVE编号漏洞防护策略（6）再次开启攻击工具（7）观察受攻击Windows2003未蓝屏（8）DE设备记录相关攻击日志测试结果通过 不通过2DOS/DDOS auxiliary/dos/windows/rdp/ms12_020_maxchannelids首先我们先以此漏洞来进行DOS攻击，其攻击步骤如下:（1）、search CVE-2012-0002（2）、use auxiliary/dos/windows/rdp/ms12_020_maxchannelids（3）、set RHOST (被骇端 IP);（4）、exploit测试结果通过 不通过3Buffer Ov

18、erflow一EXPLOIT MS09-001 SMB Andx Vulnerability Buffer Overflow攻击一，首先我们先以此漏洞来进行Buffer Overflow攻击，其攻击步骤如下:（1）、search CVE-2008-4114（2）、use auxiliary/dos/windows/smb/ms09_001_write (Windows 7 网芳不能设密码)（3）、set RHOST(被骇端 IP);（4）、exploit。测试结果通过 不通过二EXPLOIT Adobe Acrobat and Reader CoolType dll Stack Buffer

19、overflow -1Buffer Overflow攻击二，首先我们先以此漏洞来进行Buffer Overflow攻击，其攻击步骤如下:（1）、search CVE-2010-2883（2）、use exploit/windows/fileformat/adobe_cooltype_sing（3）、set payload windows/exec（4）、set CMD calc.exe（5）、exploit。（6）、将其产生的恶意档案放置在Web server再从Client端下载。测试结果通过 不通过4Web Attack一VULN SQL injection or attempt -2测试

20、结果通过 不通过二EXPLOIT Cross Site Scripting -1 测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_AV功能测试测试说明测试USG的AV功能测试内容通过病毒攻击模拟测试查看是否可识别病毒并作出响应预置条件USG设备已经接入到网络中，并完成相关配置测试过程1客户端pc发送各类病毒攻击，如发送后缀为*.txt,*.Zip,*.EXE文件2安全网关产品上配置安全防护策略允许（permit）两接口之间的通信3可在安全网关中查看相应日志信息 预期结果可以产生日志1 防病毒测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过2防勒

21、索软件测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过3防木马测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过4防蠕虫测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过5防僵尸网络测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过6防后门程序测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过7防间谍软件测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过8防灰色软件测试结果Http 通过 不通过FTP 通过 不通过SMTP 通过 不通过备注甲方人员：_乙方人员：

22、_ 测试日期：_测试日期：_APT联动测试（可选）测试说明测试DE设备和DDAN沙盒设备联动功能测试内容通过配置与DDAN联动，检测DE是否配合APT防护功能预置条件DE和DDAN设备已经接入到网络中，并完成相关配置测试过程1部署DDAN设备2设置DE和DDAN联动3DE是否可以和DDAN设备联动 预期结果文件通过DE传送到DDAN，C&C可以被DE拦截1防未知文档漏洞攻击测试结果通过 不通过2防C&C违规外联测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_上网行为管理功能测试测试说明测试DE的上网行为管理功能测试内容通过配置上网行为管理功能，检测DE是否能限制用户上

23、网的行为，比如登录IE、炒股软件等。预置条件DE设备已经接入到网络中，并完成相关配置测试过程1客户端安装IE、炒股软件等2安全网关产品上配置上网行为管理模板、创建安全防护表开启上网行为管理，创建访问控制策略引用安全防护表3观察客户端IE登录网页或过行炒股软件时的效果。 预期结果不能正常登录IE或炒股软件。测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_WRS功能测试测试说明WEB站点信誉评估测试内容通过配置WRS功能，智能实时评估客户机访问WEB站点是否包含恶意威胁代码，并自动阻止网页访问预置条件DE设备已经接入到网络中，并完成相关配置测试过程1. 打开 Web 浏览

24、器，在地址文本框指定以下文本： HYPERLINK 2. 清空管理员的本地浏览器缓存，然后重新访问同一 URL。如果测试成功，管理员会收到一条下一代应用安全网关安全事件消息预期结果日志当中增加相关记录测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_垃圾邮件及病毒邮件测试测试说明测试SMTP/POP3模块病毒及垃圾邮件防护测试内容测试DE是否能自动辨别并组织相关恶意邮件预置条件DE设备已经接入到网络中，并完成相关配置测试过程1客户机发送带附件的邮件至外部邮箱。2客户机发送SPAM样本邮件至外部邮箱。 预期结果在DE能观察到上报的日志测试结果通过 不通过备注甲方人员：_乙方人员：_ 测试日期：_测试日期：_Https防护功能测试测试说明测试DE能否针对Https协议提供防护测试内容测试DE是否能自动识别Https协议，并提供相应防护功能预置条件DE设备已经接入到网络中，并完成相关配置测试过程1. 在DE 设备设定对Https的各类防护策略2. 访问Https的各类站点3. 观察防护结果预期结果在DE能观察到上报的日志，