天融信网络入侵防御系统白皮书

1、 天融信网络入侵防御系统白皮书目 录 TOC o 1-3 h z u HYPERLINK l _Toc528176915 1产品功能描述 PAGEREF _Toc528176915 h 3 HYPERLINK l _Toc528176916 1.1入侵防御系统 PAGEREF _Toc528176916 h 3 HYPERLINK l _Toc528176917 1.1.1系统概述 PAGEREF _Toc528176917 h 3 HYPERLINK l _Toc528176918 1.1.2功能描述 PAGEREF _Toc528176918 h 3 HYPERLINK l _Toc528

2、176919 2产品硬件规格及性能参数 PAGEREF _Toc528176919 h 4 HYPERLINK l _Toc528176920 2.1入侵防御 ：TI-51628 PAGEREF _Toc528176920 h 4 HYPERLINK l _Toc528176921 3产品测试方案 PAGEREF _Toc528176921 h 5 HYPERLINK l _Toc528176922 3.1入侵防御系统测试方案 PAGEREF _Toc528176922 h 5 HYPERLINK l _Toc528176923 3.1.1测试说明 PAGEREF _Toc528176923

3、h 5 HYPERLINK l _Toc528176924 3.1.2测试环境 PAGEREF _Toc528176924 h 6 HYPERLINK l _Toc528176925 3.1.3攻击测试内容和方法 PAGEREF _Toc528176925 h 9 HYPERLINK l _Toc528176926 3.1.4WEB过滤测试内容和方法 PAGEREF _Toc528176926 h 17 HYPERLINK l _Toc528176927 3.1.5应用监控测试和方法 PAGEREF _Toc528176927 h 17 HYPERLINK l _Toc528176928 3.

4、1.6防病毒测试内容和方法 PAGEREF _Toc528176928 h 18 HYPERLINK l _Toc528176929 3.1.7防火墙联动. PAGEREF _Toc528176929 h 19 HYPERLINK l _Toc528176930 3.1.8事件审计 PAGEREF _Toc528176930 h 19 HYPERLINK l _Toc528176931 3.1.9测试结果 PAGEREF _Toc528176931 h 21产品功能描述入侵防御系统系统概述天融信公司的网络入侵防御系统（以下简称TopIDP产品）采用在线部署方式，能够实时检测和阻断包括溢出攻击、

5、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为，有效保护用户网络IT服务资源，使其免受各种外部攻击侵扰。TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为，确保网络业务通畅。TopIDP产品还提供了详尽的攻击事件记录、各种统计报表，并以可视化方式动态展示，实现实时的全网威胁分析。功能描述网络适应性直连、路由、IDS监听及混合模式接入。多端口链路聚合，支持11种负载均衡算法。支持IPv6、MPLS、PPPoE网络。入侵防御能力全面防御溢出攻击（BufferOverflow）、 RPC攻击（RPC）、WEBCG

6、I攻击（WebAccess）、拒绝服务（DDOS）、木马（TrojanHorse）、蠕虫（VirusWorm）、扫描（Scan）、HTTP攻击类（HTTP）、系统漏洞类（system）。TopIDP产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为，可以准确地发现并阻断各种网络恶意攻击。产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。全面支持DOS/DDOS防御，通过构建统计性攻击模型和异常包攻击模型，可以

7、全面防御SYN flood、ICMP flood、UDP flood、DNS Flood，DHCP flood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为；系统可以通过自学习模式，针对用户所需保护的服务器进行智能防御。针对本地化业务系统，深度挖掘业务系统漏洞，形成防御阻断规则后直接应用于入侵防御系统，更有效保护企业信息化资产。系统支持IPv6协议的攻击检测，完全识别IPv6封包下的攻击检测。可视化实时报表功能实时显示按发生次数排序的攻击事件排名，使网络攻击及其威胁程度一目了然。可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表，更可

8、以显示24小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能，用户可以轻松实现全网威胁分析。产品硬件规格及性能参数入侵防御 ：TI-51628配置说明2U机架式结构最大配置为26个接口，默认包括2个扩展槽位2个作为HA口和管理口，4个10/100/1000BASE-T接口（支持Bypass）和4个SFP插槽性能描述标配模块化双冗余电源整机吞吐率：10Gbps最大并发连接数：230万每秒新建连接数：7万IPS吞吐率：4Gbps硬件参数尺寸：460 *426* 89mm（2U）电源：100-240V，(正负10%的误差） AC，（47-63HZ），4.5-2A，300W平均无故障时间（M

9、TBF）：超过60，000小时工作温度：045平台净重：9.07KG产品毛重：12.68KG符合的标准规范环境保护GB/T 9813-2000；电磁辐射GB/T 17618-1998 ；GB 9254-2008运输方式快递、物流其它要求接地线的数量、线径：1根,大于等于0.75平方毫米.接地线数量、线径：1根,线径大于等于0.75平方毫米.接地电阻：小于100毫欧电源品牌：新巨电源型号：R1S2-5300V4V产品测试方案入侵防御系统测试方案测试说明测试目的本测试方案根据入侵检测产品的特点及测试标准，结合典型应用环境及场景，详细描述各功能和性能的测试内容、测试方法和测试结果评定，为全面和准确的

10、评估入侵检测产品在实际应用中的功能和性能的符合度提供参考。测试依据 GB/T 20275-2006测试人员、时间及测试地点测 试 方测试人员测试时间测试地点测试环境测试功能性和安全性测试环境图1-1功能性和安全性测试环境说明：SW1上f0/1、f0/2、f0/3属于同一VLAN，将f0/1收发流量镜像到f0/3，f0/3与被测设备的监听口直接相连；SW2上6个接口f0/1-6属于同一VLAN，被测设备和防火墙的管理口eth0均连在该交换机上；只有当IDS需要与防火墙联动测试时才开启相应策略，测试其他功能时防火墙只是负责转发数据不对流量作检测、阻断等操作。攻击检测和性能测试环境图1-2性能测试环

11、境说明：交换机的f0/1与f0/2属于同一VLAN，将f0/1的收发流量镜像到f0/3，f0/3与被测设备的监听口直接相连，被测设备管理口eth0与一台管理PC相连。测试环境所需设备配置表测试机硬件配置操作系统IP地址软件配置攻击PCXP科来数据包播放工具管理PCWin7开启FTP、TFTP服务服务器XP开启FTP、HTTP服务集中管理客户端Win7集中管理服务器XP交换机支持端口镜像测试仪表仪表名称工具类型安装位置BPS测试仪表IXIA测试仪表攻击测试内容和方法攻击检测拒绝服务类攻击检测（新增） 功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频

12、、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6拒绝服务类攻击，输出拒绝服务类攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4拒绝服务类攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6拒绝服务类攻击；预期结果：能够对IPv4的拒绝服务类攻击进行检测，背景流量无误报，输出拒绝服务类攻击告警日志并能够记录攻击报文；能够对IPv6的拒绝服务类攻击进行检测，背景流量无误报，输出拒绝服务类攻击告警日志并能够记录攻击报文；跨站脚本类攻击检测（新增） 功能要求：在正常混合

13、流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6跨站脚本类攻击，输出跨站脚本类攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4跨站脚本类攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6跨站脚本类攻击；预期结果：能够对IPv4的拒绝服务类攻击进行检测，背景流量无误报，输出跨站脚本类攻击告警日志并能够记录攻击报文；能够对IPv6的拒绝服务类攻击进行检测，背景流量无误报，输出跨站脚本类攻击

14、告警日志并能够记录攻击报文；缓冲区溢出攻击检测（新增） 功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6缓冲区溢出攻击，输出缓冲区溢出攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4缓冲区溢出攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6缓冲区溢出攻击；预期结果：能够对IPv4的缓冲区溢出攻击进行检测，背景流量无误报，输出跨站脚本类攻击告警日志并能够记录攻击报文

15、；能够对IPv6的缓冲区溢出攻击进行检测，背景流量无误报，输出跨站脚本类攻击告警日志并能够记录攻击报文；SQL注入攻击检测（新增） 功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6SQL注入攻击，输出SQL注入攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4 SQL注入攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6 SQL注入攻击；预期结果：能够对IPv4的缓冲

16、区溢出攻击进行检测，背景流量无误报，输出SQL注入攻击告警日志并能够记录攻击报文；能够对IPv6的缓冲区溢出攻击进行检测，背景流量无误报，输出SQL注入攻击告警日志并能够记录攻击报文；扫描类攻击检测（新增） 功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6扫描类攻击，输出扫描类攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4扫描类攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景

17、流量和IPv6 扫描类攻击；预期结果：能够对IPv4的缓冲区溢出攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；能够对IPv6的缓冲区溢出攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；口令暴力攻击检测（新增）功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6扫描类攻击，输出口令暴力攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量和IPv4口令暴力攻击；按照测试拓扑图1

18、-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6 口令暴力攻击；预期结果：能够对IPv4的口令暴力攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；能够对IPv6的口令暴力攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；木马攻击检测（新增）功能要求：在正常混合流量(混合流量至少包括HTTP、FTP、SMTP、POP3、DNS、网页视频、即时通讯、P2P下载、语音通话等)时可以检测到IPv4、IPv6扫描类攻击，木马攻击告警日志并能够记录攻击报文；测试方法：按照测试拓扑图1-2，BPS测试仪发送IPv4 80%设备吞吐量的背景流量

19、和IPv4木马攻击；按照测试拓扑图1-2，BPS测试仪发送IPv6 80%设备吞吐量的背景流量和IPv6 木马攻击；预期结果：能够对IPv4的木马攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；能够对IPv6的木马攻击进行检测，背景流量无误报，输出扫描类攻击告警日志并能够记录攻击报文；协议分析 功能要求：支持对常用协议（如：FTP、HTTP、TCP、UDP协议等）的检测。测试方法：在攻击检测规则中搜索常用协议（如：FTP、HTTP、TCP、UDP等）；在攻击PC机上，发送常用协议（如：FTP、HTTP）的攻击报文。预期结果：在攻击检测策略中可以搜索到常用协议相关的规则；

20、可检测到FTP、HTTP协议的攻击；攻击逃逸 功能要求：支持对碎片重组、TCP流重组、协议端口重定位、URL字符串变形和shell代码变形等攻击逃逸的检测。测试方法：在攻击PC机上，发送攻击经过碎片重组、TCP流重组、协议端口重定位、URL字符串变形和shell代码变形等攻击逃逸处理。预期结果：能够检测各类逃逸后的攻击。自定义规则 功能要求：支持用户自定义的攻击规则。测试方法：在攻击PC机上，发起能够包含用户自定义规则特征的报文。预期结果：能够检测该报文为攻击报文。DDOS类攻击检测 功能要求：支持对异常包、统计型攻击（如synflood）、DNS攻击、DHCP攻击和CC攻击报文的检测；攻击流

21、量与正常流量混合时可以检测到攻击。测试方法：在攻击PC机上，发送各种ddos攻击（如land、smurf、ping fo death、winnuke，synflood、dnsflood、CC攻击）；在攻击PC机上发送各种类型攻击时加正常流量；预期结果：能够检测上述各类攻击能够检测上述各类攻击，并不影响正常流量攻击报文取证（新增）功能要求：支持对检测到的攻击行为的报文进行记录和下载。测试方法：在攻击PC机上，发送各种蠕虫、RPC攻击、WEBCGI、木马、系统漏洞、溢出攻击类攻击；预期结果：检测到的攻击事件报文的记录； 支持攻击事件报文下载； 攻击行为特征记录（新增）功能要求：在攻击检测告警日志中

22、支持对检测到的攻击行为的攻击特征进行记录。测试方法：在攻击PC机上，发送各种蠕虫、RPC攻击、WEBCGI、木马、系统漏洞、溢出攻击类攻击；预期结果：在攻击检测告警日志中对检测到的攻击行为的攻击特征进行记录； 跨站攻击行为攻击路径记录（新增）功能要求：在攻击检测告警日志中支持对检测到的跨站攻击行为的攻击路径（URL）进行记录。测试方法：在攻击PC机上，发送跨站攻击类攻击；预期结果：在攻击检测告警日志中对检测到的跨站攻击行为的攻击路径（URL）进行记录。WEB过滤测试内容和方法 功能要求：支持URL过滤功能，可对URL规则库内的URL进行识别并分类显示。测试方法：访问常用的网站，且该网站的地址在

23、URL规则库内，如：；预期结果：可被识别，且匹配到URL相应的分类下；应用监控测试和方法IM监控 功能要求：支持对即时通讯类的识别及监控功能。测试方法：在攻击PC机上，分别用不同的账号登录QQ；两个不同的QQ间传输一个1G的文件。预期结果：能够识别QQ登录的行为；能够看到QQ文件传输的速率及连接数等信息；P2P监控 功能要求：支持对P2P下载类的识别及监控功能。测试方法：在客户端PC机上使用迅雷下载文件。预期结果：能够识别迅雷下载的行为，同时可见迅雷下载时的速率及连接数等信息；游戏监控 功能要求：支持对网络游戏类的识别及监控功能。测试方法：在客户端PC上玩QQ游戏，如QQ飞车、QQ三国等。预期

24、结果：能够识别QQ游戏的行为，同时可见该游戏的速率及连接数等信息；防病毒测试内容和方法 功能要求：支持FTP、HTTP、SMTP和POP3协议的病毒检测功能；支持压缩报文的检测。测试方法：分别用FTP、HTTP、SMTP和POP3协议传输单独的病毒文件分别用FTP、HTTP、SMTP和POP3协议传输压缩后的病毒文件。预期结果：四种协议均能够检测出病毒报文；四种协议均能够检测出压缩后的病毒报文；防火墙联动.功能要求：支持与防火墙联动功能，在IDS检测到攻击事件时，防火墙能够将其阻断。测试方法：在防火墙和IDS设备上配置联动功能，IDS启用攻击检测策略。在攻击PC机上向服务器端发起攻击。预期结果：IDS可检测到攻击，防火墙可自动生成策略并对攻击进行阻断；事件审计日志 功能要求：支持日志的存储、查询、发送功能；支持日志存储空间报警；支持日志事件分级、合并；支持日志明细及可视化；测试方法：在攻