IPS设备测试大纲.docx

1、 郑州威科姆科技股份有限公司 关于XXXXIPS设备 测试文档 用户服务中心集成部 2008年X月 目 录 一、 用户需求 1 二、 关键技术指标 1 三、 测试目的 1 四、 测试环境 1 五、 测试时间 2 六、 测试地点 2 七、 测试参与者 2 八、 测试设备 2 九、 XXXIPS设备功能简介 3 十、 测试项 3 十一、 测试数据 5 1. IPS基本功能测试 5 1) 特征检测能力测试 5 2) 特征阻断能力 6 3) 基于策略的检测 7 4) Metas

2、ploit测试 8 5) BT检测和阻断 8 6) 流量控制 9 7) Skype的检测和阻断 9 8) QQ的检测和阻断 10 9) MSN的检测和阻断 10 10) DDOS攻击检测和阻断 11 11) Bypass功能测试 11 12) 安全审计测试 12 13) 报表测试 13 14) 特征库升级测试 13 2. 基本性能测试 13 3. 设备部署方式及工程化测试 14 十二、 测试结论 14 一、 用户需求 用户要求防火墙吞吐量要求1G，2个千兆电口或2个千兆光口，端口支持bypass功能，能够实现设备对常用协议限定以及攻击保护和检测。

3、二、 关键技术指标 1) 支持常用协议限定 2) 攻击检测和保护机制 3) 报表功能 4) 设定不同保护策略 5) 硬件设备的bypass功能 6) 带宽管理 7) 硬件端口及硬件性能 三、 测试目的 检验IPS设备的相关功能，以验证该设备是否适于用户需求。并为项目设备采购提供给数方面的参考。 四、 测试环境 检测攻击部署 当检测攻击检测和保护功能时，要求设置两台主机在相同网段，攻击主机中装有常用攻击软件如TCP flood、UDP flood、狂ping、扫描软件等。 检测相应协议限制部署 当检测相应协议限制功能时，要求PC能够连

4、接到公网上，开启IM类通讯软件、p2p下载类软件、流媒体类软件。 五、 测试时间 开始时间 结束时间 2008 年 X 月 X 日 2008 年 X 月 X 日 六、 测试地点 测试地点： 网络用户服务中心系统集成实验室 七、 测试参与者 测试人员 公司及部门 电话 电子邮件地址 八、 测试设备 测试XXXIPS设备需要准备如下设备： 设备名称 数量 准备方 准备情况 XXXIPS设备 1 Client PC 2

5、 Layer3交换机 1 网线 若干 九、 XXXIPS设备功能简介 XXX IPS入侵防护系统主要由硬件平台、专用操作系统、IPS管理服务系统、IPS安全引擎等四个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计，并且使用专门ASIC内容处理芯片进行扫描和模式匹配的加速；专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统；IPS安全引擎采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。 十、 测试项 测试项 测试要求 正确结果 备注 1 规则升级及管理 规则库

6、支持本地及在线升级/更新频率至少每周一次 Pass □ Fail □ 2 设备管理 支持web和控制台管理 Pass □ Fail □ 3 部署模式 支持路由模式，透明模式，直通模式 Pass □ Fail □ 4 带宽管理 可通过协议，端口，IP及时间等要素对流量进行管理 Pass □ Fail □ 5 攻击特征库管理 攻击规则库支持按危险程度分类 Pass □ Fail □ 攻击规则库支持按服务类型分类 Pass □ Fail □

7、 可以对单条具体规则设置单独的响应方式 Pass □ Fail □ 可以对某类规则设置共同的响应方式 Pass □ Fail □ 支持自定义新的规则 Pass □ Fail □ 6 硬件BYPASS 支持接口BYPASS功能 Pass □ Fail □ 7 日志管理 支持日志分析和日志查询，支持日志清楚和备份管理 Pass □ Fail □ 8 报表管理 支持多种报表格式/可自动生成日报周报月报 Pass □ Fail □ 9 审计管理 支持用户审计功能，支持用户分组和权限分级

8、 Pass □ Fail □ 10 流量分析 支持分协议流量分析/支持以图表方式显示流量/支持流量图表保存功能/支持查看每类流量前10位用户/支持查看常见协议流量占用最大带宽的前10位的用户IP列表 Pass □ Fail □ 11 入侵防护功能 支持IP碎片重组、TCP流汇聚、TCP状态跟踪、协议识别、协议分析、协议异常检测、特征检测、关联分析、流量异常检测、拒绝服务攻击检测 Pass □ Fail □ 12 响应方式 支持监控/阻断/日志告警/邮件告警/自定义/ SNMP Trap等多种响应方式

9、Pass □ Fail □ 13 多路IPS 支持多路IPS Pass □ Fail □ 14 防火墙功能 支持简单的防火墙功能 Pass □ Fail □ 15 吞吐量 ≥600Mbps Pass □ Fail □ 16 最大并发TCP会话数 ≥200,000 Pass □ Fail □ 17 每秒并发TCP会话数 ≥150,000 Pass □ Fail □ 18 规则库 ≥18000 Pass □ Fail □ 19 平均无故障时间（MTBF） ≥10

10、0,000小时 Pass □ Fail □ 十一、 测试数据 1. IPS基本功能测试 1) 特征检测能力测试 测试拓扑图： 测试步骤： 1）IPS透明接入，选用多个常见的攻击手段，比如：使用XSCAN工具 2）开启IPS的检测功能，行为方式都是“通过” 3）分别在IPS两端连接一台主机。 4) 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC 预期结果： IPS能够检测到攻击。 实际结果： 特征名称 测试结果 备注 HTTP.Unknown.Tunnelling 可记录 SNMP.Restricted.OID 可记录

11、 UDP.Public.Community.String 可记录 NBTStat.Query 可记录 Portmap.Getport.UDP 可记录 Private.Access.UDP 可记录 Sun.iPlanet.Admin.Server.Cross.Site.Scripting 可记录 Aestiva.HTML/OS.Cross-Site.Scripting 可记录 HTTP.GET.Request.Directory.Traversal 可记录 PHP.Topic.Calendar.calendar_scheduler.Cros

12、s-Site.Scripting 可记录 HTTP.CGI.Bigconf.cgi.Access 可记录 PhpInclude.Worm.B 可记录 CGI.AN-HTTPd.Command.Execution.A 可记录 FormMail.Flood.Servers.Anonymous.Email 可记录 IIS.Escape.Character.Decode.Executable 可记录 2) 特征阻断能力 测试拓扑图: 测试步骤： 1）IPS透明接入，选用多个常见的攻击手段，比如：端口扫

13、描（XScan） 2）开启IPS的检测功能，行为方式都是“丢弃” 3）分别在IPS两端连接一台主机。 4) 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC 预期结果： IPS能够阻断穿过IPS的攻击。 实际结果： 特征名称 测试结果 备注 HTTP.Unknown.Tunnelling 可记录可阻断 SNMP.Restricted.OID 可记录可阻断 UDP.Public.Community.String 可记录可阻断 NBTStat.Query 可记录可阻断 Portmap.Getport.UDP 可记录可阻断 Priva

14、te.Access.UDP 可记录可阻断 Sun.iPlanet.Admin.Server.Cross.Site.Scripting 可记录可阻断 Aestiva.HTML/OS.Cross-Site.Scripting 可记录可阻断 HTTP.GET.Request.Directory.Traversal 可记录可阻断 PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting 可记录可阻断 HTTP.CGI.Bigconf.cgi.Access 可记录可阻断 PhpInclude.Wo

15、rm.B 可记录可阻断 CGI.AN-HTTPd.Command.Execution.A 可记录可阻断 FormMail.Flood.Servers.Anonymous.Email 可记录可阻断 IIS.Escape.Character.Decode.Executable 可记录可阻断 3) 基于策略的检测 测试拓扑图： 测试步骤： 1）IPS透明接入，选用常见的攻击工具，比如ping large 2）开启IPS的检测功能，行为方式都是“丢弃” 3）分别在IPS的两

16、边连接一台客户端主机。 4）配置策略，源地址配置攻击PC的IP，攻击PC向受攻击PC发起攻击 5）配置策略，源地址配置与攻击PC不同的IP，攻击PC向受攻击PC发起攻击 预期结果： 步骤4）的结果应该能够阻断攻击，步骤5）的结果应该不能够阻断攻击。 实际结果：与预期结果一致。 4) Metasploit测试 测试拓扑图： 测试步骤： 1）IPS透明接入。两端各连接一台主机。 2）启用IPS检测功能，特征行为配置为“丢弃” 3）在一段PC上使用Metasploit工具攻击另一端PC 预期结果： IPS可以检测并阻断攻击，被攻击PC系统不受影响。 实际结果：

17、测试名称 测试结果 备注 Microsoft IIS 5.0 Printer Host Header Overflow 可记录可阻断 5) BT检测和阻断 测试拓扑图： 测试步骤： 1）IPS透明接入，配置IPS，设置P2P中BT行为模式“通过”，仅作检测。 2）在客户端主机上安装BT软件，上互联网下载文件。 4）启用BT下载文件。 5）修改步骤1）中的行为模式为“丢弃”，步骤重复4）。 预期结果： IPS能够检测和阻止BT下载。 实际结果： 测试名称 测试结果 备注 用BT软件下载 可记录可阻断 6) 流量控制 测试拓扑图：

18、 测试步骤： 1）IPS透明接入，配置IPS，设置P2P中BT行为模式为限制速率 2）在客户端主机上安装BT软件，上互联网下载文件。 4）启用BT下载文件。 预期结果： IPS能够检测到BT下载，并将速率限制在配置范围左右 实际结果： 测试名称 测试结果 备注 用BT软件下载 可限制下载速率 7) Skype的检测和阻断 测试拓扑图： 测试步骤： 1）IPS透明接入，配置IPS，设置P2P中Skype行为模式“通过”，仅作检测。 2）在客户端主机上安装Skype软件，上互联网聊天。 3）修改步骤1）中的行为模式为“丢弃”，

19、步骤重复2。 预期结果： IPS能够检测到并能够阻断Skype的通讯。 实际结果： 测试名称 测试结果 备注 用Skype软件联机互联网 可记录可阻断 8) QQ的检测和阻断 测试拓扑图： 测试步骤： 1）IPS透明接入，配置IPS，设置P2P中QQ行为模式“通过”，仅作检测。 2）在客户端主机上安装QQ软件，上互联网聊天。 3）修改步骤1）中的行为模式为“丢弃”，步骤重复2。 预期结果： IPS能够检测到并能够阻断QQ的通讯。 实际结果： 测试名称 测试结果 备注 使用QQ连接互联网 可记录可阻断 9) MSN的检测

20、和阻断 测试拓扑图： 测试步骤： 1）IPS透明接入，配置IPS，设置P2P中MSN行为模式“通过”，仅作检测。 2）在客户端主机上安装MSN软件，上互联网聊天。 3）修改步骤1）中的行为模式为“丢弃”，步骤重复2。 4）配置特定的登陆帐号，测试阻断。 预期结果： IPS能够检测到并能够阻断MSN的通讯。 实际结果： 测试名称 测试结果 备注 用MSN联机互联网 可记录可阻断 用MSN制定帐号联机互联网 可根据特定帐号阻断 10) DDOS攻击检测和阻断 测试拓扑图： 测试步骤： 1）IPS透明接入，选用常见的DOS攻击手段，比

21、如：（SYN_FLOOD，ICMP_FLOOD）。 2）开启IPS的检测功能，行为方式都是“通过” 3）分别在IPS的两边连接一台主机。 4）一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器” 5）修改步骤2）的行为方式为“阻断”，重复步骤4） 预期结果： IPS能够检测和阻断DOS攻击。 实际结果： 测试名称 测试结果 备注 SYN_FLOOD 可记录可阻断 Port_Scan 可记录可阻断 LARGE_PING 可记录可阻断 11) Bypass功能测试 测试拓扑图：

22、 测试步骤： 1）IPS透明接入。两端各连接一台主机，一台为客户端， 2）关闭IPS设备电源， 3）测试两台设备间的连同性，ping命令测试 测试结果：该设备不支持Bypass功能（该功能使得设备在出现硬件故障或者受到严重攻击无法响应的情况下仍能够保证设备正常通信） 12) 安全审计测试 测试拓扑图： 测试步骤： 1）IPS透明接入。 2）一台PC和一台安全平台通过交换机连接在IPS内口，通过IPS连接互联网 3）通过安全管理平台收集IPS的攻击日志，以用来审计和生成各种报表。 预期结果： 可以收集IPS产生的攻击日志，并可以进行审计和报表生成 实测结果：

23、与预期结果一致。 13) 报表测试 测试拓扑图： 测试步骤： 1）IPS透明接入，选用常见的DOS攻击手段，比如：（SYN_FLOOD，ICMP_FLOOD）。 2）开启IPS的检测功能，行为方式都是“通过” 3）分别在IPS的两边连接一台主机。 4）一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器” 5）查看相关管理报表 测试结果：无报表功能，仅能提供简单的日志功能，无法提供对攻击统计，攻击排名，攻击数量和种类统计，无法对网络安全状况作出评估。 14) 特征库升级测试 测试拓扑图： 测试步骤： 1）从官方网站下载最新

24、的入侵防护代码库，进行系统特征库的升级 测试结果：无法在网站上得到最新的特征库，本测试项主要考察IPS设备特征库的更新是否及时，IPS设备的防护效果主要靠完善的IPS特征库。 2. 基本性能测试 防火墙性能测试拓扑图 2口（一进一出）吞吐量测试 其中，在做吞吐量测试时，使用Iperf、Netper测试软件。 Iperf基准 测试时间 单向 双向 文件传输 文件大小 10秒 Scp: MB/s 960MB 60秒 Iperf: Mbits/sec 960MB Netper基准 批量网络流量的性能: 测试时间 Tcp协议

25、 Udp 协议 10秒 //本地系统的发送统计 //远端系统接收统计 60秒 //本地系统的发送统计 //远端系统接收统计 请求应答网络流量的性能： 请求数据 TCP_RR TCP_CRR UDP_RR R=1 bytes R=1024 bytes 3. 设备部署方式及工程化测试 十二、 测试结论 测试人员签名：