绿盟实际环境下IPS测试方案设计(完整版)

实用文案绿盟IPS测试方案文案大全实用文案目录（Contents）一. 测试需求 3二. 测试单元 42.1 静态测试 42.2 功能测试 4三. 测试环境 53.1 网络连接平台 53.2 硬件设备 53.3 软件环境 63.4 攻击方法和相应工具的准备 6四. 静态测试 7五. 功能测试 95.1 产品初步评估 95.2 基本管理功能测试 95.3 防火墙 115.4 攻击特征库管理 125.5 流量管理 125.6 硬件BYPASS 135.7 系统软件、攻击特征库升级能力 145.8 日志分析系统 155.9 事件过滤 165.10 流量分析 165.11 自身安全性能 175.12 响应方式 18文案大全实用文案一. 测试需求本着实事求是的态度，在项目建设前，对网络入侵保护产品（ IPS）的实际测试。本次参与测试的公司有北京绿盟科技的 IPS：产品型号：中联绿盟信息技术有限公司 ICEYE-600P文案大全实用文案二. 测试单元一般而言，测试分为实验室测试和现场测试。本次测试均为现场测试，本次产品的现场测试包括四个部分：静态测试功能测试2.1静态测试主要考察设备的外观、硬件配置、文档等。2.2功能测试主要考查待测产品（设备）本身的功能特性，通过访谈并操作的方式验证待测产品功能（设备），其中功能测试中又分为基本功能和附属功能测试两个部分。文案大全实用文案三. 测试环境3.1网络连接平台在实际环境中，设备部署在互联网出口位置，测试系统的界面、部署方式、升级、软件应用、日志管理、审计管理、攻击检测阻断、流量管理等功能。互联网防火墙入侵防御系统IPS核心交换机IPS的控制平台企业内部网3.2硬件设备1、计算机根据本规范下的测试平台，至少需要准备 1台计算机，作为管理机，其最低的配置要求如下：CPU:PIII800 以上RAM:256M以上NIC:100/1000M2、网络设备根据本规范下的测试平台，需要准备相应的网络环境。文案大全实用文案3.3软件环境1、操作系统Windows2000/xp/2003(ChineseVersion)3、辅助测试工具用于监控网络流量，包括 snifferpro 、数据包录制软件。3.4攻击方法和相应工具的准备在测试当中，我们选取一些典型的攻击方法，用于功能测试。选择检测难度较大的攻击，这样可以比较 IPS产品的引擎和攻击特征编写能力。选择最近出现的危害较大的攻击方法，这样可以比较 IPS产品的攻击特征库更新频率，进而评估各供应商的的技术能力。选择能覆盖到各种常用协议和应用服务器的攻击，如 FTP、HTTP、SMTP等。文案大全实用文案四. 静态测试表格1 基本情况产品情况 产品基本情况 结果产品名称测试版本号版本发布时间支持语言表格2 硬件配置硬件情况 产品硬件配置 结果CPU内存硬盘网络接口表格3管理方式安装管理 管理情况 结果控制台软硬件需求管理方式远程管理支持远程管理认证方式是否有日志系统是否可自定义规则工作模式响应方式升级方式自动升级手动升级升级频度升级包获取方式升级是否断网文案大全实用文案表格4 入侵保护能力：系统功能 入侵保护能力 结果阻断黑客攻击阻断蠕虫、网络病毒攻击阻断间谍软件阻断P2P下载软件阻断IM即时通讯软件阻断网络在线游戏阻断在线视频表格5其他功能：其他功能 其他功能情况 结果是否支持硬件BYPASS功能是否支持内置防火墙文案大全实用文案五. 功能测试5.1产品初步评估产品初步评估是指对产品供应商的资质，产品本身的特性，内部配置，适用范围，技术支持能力，核心技术，产品本地化，产品认证等方面进行的书面的初步评估。项目 测试结果 备注OS类型、版本界面语言接口数量产品类型产品技术实现本地化技术支持5.2基本管理功能测试入侵保护系统的重要功能之一就是要体现其可管理性，主要包括对报警信息、对数据库的管理、对网络引擎及下级控制台等组件的管理，所以首先要考察该系统的管理能力。【测试方法】1． 登录控制台界面（分别考察 WEB控制台、windows控制台）；2． 查看其各组件的分布情况，包括管理界面、报警显示界面、数据库、日志查询系统；3． 配置多级管理模式，满足控制台——控制台——控制台——引擎的部署结构；4． 添加多个虚拟引擎（即只添加 IP）看其是否有数量限制；5． 查看可支持的其他组件；文案大全实用文案【测试结果】项目具备Web控制台具备集中管理的Windows控制软件台部署具备独立的日志分析中心可以独立安装数据库可以在控制台上显示并控制所有探测器一个控制台是否可管理多个探设备测器监控管理一个探测器是否可以同时被多个控制台监控主、辅控制台对各探测器的控制能力有明确的权限区别支持分布式探测，集中式管理支持多层管理多级的结构是否受限制可管理多少级别支持管理权限划分,不同级别管理方式的控制台权限不同是否可以显示该系统整体的部署拓扑图或树型结构图是否可以从主控给下级子控及子控的下级下发策略等规则文件主控是否可以有选择的接收报警信息

测试结果 备注通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试文案大全实用文案是否可以将下级的日志同步到通过 部分通过主控来（同步的内容是可以自未通过 未测试行设定的）是否具备全局预警的功能（即通过 部分通过其中的一个子控可以收到其它未通过 未测试子控发来的报警信息）5.3防火墙内置防火墙是 IPS的一种功能，IPS通过防火墙加强访问控制。好的防火墙功能可以有效的阻断攻击。【测试目的】检测IPS的防火墙功能。【测试结果】项目无防火墙规则情况下， 攻击机访问目标机上的web服务配置防火墙规则情况下， 攻击机访问目标机上的web服务验证实现动态 /静态地址转换，反向地址转换功能，实现一对一地址映射功能验证实现动态 /静态地址转换，反向地址转换功能，实现一对多地址映射功能防火墙功能验证实现动态 /静态地址转换，反向地址转换功能，实现多对多地址映射功能验证策略路由验证路由模式工作方式验证透明模式和非透明模式等工作方式

测试结果备注通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试通过部分通过未通过未测试文案大全实用文案5.4攻击特征库管理攻击特征是 IPS系统用来判断什么是入侵行为的标准，所以攻击特征的质量和数量都非常重要。某些 IPS系统还支持用户自定义特征。本部分的测试要求入侵保护系统具有协议分析能力，可自定义基于应用层协议的特征。【测试方法】测试IPS的攻击特征库的质量和管理方便性。演示IPS产品的攻击特征库的策略编辑方法。演示IPS产品的攻击特征的数量。【测试结果】项目测试结果备注攻击规则库按危险程度分类通过部分通过未通过未测试攻击规则库按服务类型分类通过部分通过未通过未测试对每个规则有详细注释说明，包括该攻击影响的操作系统通过部分通过规则库未通过未测试和解决方案管理可以对某条具体规则设置单通过部分通过独的响应方式未通过未测试可以对某类规则设置共同的通过部分通过响应方式未通过未测试是否支持自定义新的规则通过部分通过未通过未测试5.5流量管理流量管理是 IPS的新增功能，主要通过协议，端口， IP及时间等要素对流量进行管理。【测试目的】测试NIPS对流量的管理。文案大全实用文案【测试结果】项目测试结果备注验证BT，eMule协议进行流量通过部分通过管理未通过未测试验证根据时间对流量进行管通过部分通过流量管理未通过未测试理验证根据IP地址对流量进行通过部分通过管理未通过未测试验证根据端口对流量进行管通过部分通过理未通过未测试5.6硬件BYPASS硬件BYPASS是IPS的一种增强功能，保证设备出现异常不工作时，网络依然能够畅通。【测试方法】将IPS接入实际网络；2检测IPS在不加电、系统启动到就绪过程中、系统出现异常不工作时， BYPASS功能是否有效。【测试结果】项目测试结果备注验证设备不加电时是否能够处于ByPass通过部分通过状态未通过未测试验证设备在系统启动到就绪过程中是否通过部分通过能够处于ByPass状态未通过未测试验证设备在系统出现异常不工作时是否通过部分通过硬件BYPASS能够处于ByPass状态未通过未测试验证设备在系统异常切换到ByPass状态后直接掉电是否能够保持ByPass状通过部分通过态未通过未测试验证网络引擎设置强制硬件ByPass后通过部分通过能否正常处于ByPass状态未通过未测试文案大全实用文案验证系统处于资源占用较高情况下通过部分通过watchdog能否保持正常工作未通过未测试验证设备运行稳定性通过部分通过未通过未测试5.7系统软件、攻击特征库升级能力随着攻击手段的不断更新，IPS系统也必须保持快速的升级和更新能力。包括软件版本的升级和特征库的更新，尤其是特征库的及时更新非常重要。升级需要包括事件特征库的升级以保持事件特征库的最新，还需要包括软件自身的升级（控制端及引擎端）【测试方法】测试IPS系统的升级方式有几种。测试能否在控制台上对IPS探测器进行升级包的远程升级。3．演示事件特征库的升级方式；4．演示控制端的升级方式；5．演示引擎端的升级方式；6．演示多级管理时事件库及引擎的升级方式；【测试结果】项目测试结果备注支持在线升级通过部分通过控制软件升未通过未测试级支持离线升级通过部分通过未通过未测试支持在线升级通过部分通过未通过未测试支持离线升级（规则库升级包通过部分通过规则库升级为EXE方式）未通过未测试规则库更新的频率（以公司网站为准，公司网站显示规则升通过部分通过级内容描述）未通过未测试文案大全实用文案5.8日志分析系统日志分析系统是事后进行安全事件分析的重要工具，需要能够根据用户的需要产生各种形式的报告，如表格形式、柱状图、饼图等，并且可以根据用户需要设置各种过滤条件，如IP地址、事件名称等，可以自动的产生日报、周报、月报，并且可以导出成多种格式的文件。【测试方法】1． 演示日志分析系统（报表）的生成方式；2． 演示可支持的查询条件；3． 演示可支持的导出格式；【测试结果】项目测试结果备注支持日志统计分析通过部分通过日志分未通过未测试析支持查询分析通过部分通过未通过未测试生成事件的月报表通过部分通过未通过未测试生成流量的周报表通过部分通过报表文未通过未测试档通过部分通过将生成的报表保存为doc未通过未测试通过部分通过将生成的报表保存为html未通过未测试任务定时给管理员发送报表通过部分通过未通过未测试定时日志备份通过部分通过日志管未通过未测试理日志恢复通过部分通过未通过未测试文案大全实用文案通过部分通过日志清除未通过未测试通过部分通过日志归并未通过未测试5.9事件过滤IPS基于时间、IP地址、编号、类型等条件组合对事件进行过滤。【测试方法】将IPS接入实际网络；根据时间、IP地址、编号、类型等条件组合，察看事件过滤结果。【测试结果】项目 测试结果 备注通过 部分通过是否设置事件来源（地址、编号、类型）未通过 未测试通过 部分通过事件过滤 是否设置事件发生的时间未通过 未测试通过 部分通过是否设置事件结果及引擎所采取的动作未通过 未测试5.10 流量分析流量分析是入侵保护系统的重要组成部分，可以帮助用户准确地掌握当前整个网络各种协议的流量分布，以及占用最大带宽的具体协议的用户，好的协议流量分布技术需要具有直观的显示效果，而且应该具有保存当前带宽分布图功能。【测试方法】将IPS接入实际网络；演示协议流量分布效果图；查看协议分布效果图的刷新；察看占用当前带宽最大的某个协议的用户列表；文案大全实用文案【测试结果】项目测试结果备注协议流量分布图（要求直观）通过部分通过未通过未测试协议流量分布图的刷新时间通过部分通过可调未通过未测试可以察看占用最大带宽的协通过部分通过议的前10位的用户IP列表未通过未测试流量分析可以察看自定义协议流量占用最大带宽的前10位的用户通过部分通过IP列表未通过未测试可以察看常见协议流量占用最大带宽的前10位的用户IP通过部分通过列表（如http、smtp、pop3、未通过未测试BT等）5.11 自身安全性能作为安全产品其自身的安全性是一个很重要的因素，如果自身存在系统缺陷或设计缺陷话很容易被攻击者利用从而使得安全系统失去自身的作用，掩盖了其真实的攻击行为。【测试方法】1． 查看其组件是否具备用户审计模块；2． 查看对于用户的管理是否进行了分组设置，对于每个组是否都有不同权限；【测试结果】项目测试结果备注是否具备用户审计模块通过部分通过自身安全未通过未测试性能通过部分通过是否支持用户权限分组未通过未测试文案大全实用文案通过 部分通过对于不同的用户是否可以赋予不同的权限未通过 未测试通过 部分通过对于每个用户的是否具备登录失败处理未通过 未测试5.12 响应方式IPS通过丢弃数据包、丢弃连截会话来主动防御，阻断攻击流量，同时采取告警等响应方式。好的防护功