實用文案綠盟IPS測試方案文案大全實用文案目錄（Contents）一. 測試需求 3二. 測試單元 42.1 靜態(tài)測試 42.2 功能測試 4三. 測試環(huán)境 53.1 網絡連接平臺 53.2 硬件設備 53.3 軟件環(huán)境 63.4 攻擊方法和相應工具的準備 6四. 靜態(tài)測試 7五. 功能測試 95.1 產品初步評估 95.2 基本管理功能測試 95.3 防火墻 115.4 攻擊特征庫管理 125.5 流量管理 125.6 硬件BYPASS 135.7 系統(tǒng)軟件、攻擊特征庫升級能力 145.8 日志分析系統(tǒng) 155.9 事件過濾 165.10 流量分析 165.11 自身安全性能 175.12 響應方式 18文案大全實用文案一. 測試需求本著實事求是的態(tài)度，在項目建設前，對網絡入侵保護產品（ IPS）的實際測試。本次參與測試的公司有北京綠盟科技的 IPS：產品型號：中聯(lián)綠盟信息技術有限公司 ICEYE-600P文案大全實用文案二. 測試單元一般而言，測試分為實驗室測試和現(xiàn)場測試。本次測試均為現(xiàn)場測試，本次產品的現(xiàn)場測試包括四個部分：靜態(tài)測試功能測試2.1靜態(tài)測試主要考察設備的外觀、硬件配置、文檔等。2.2功能測試主要考查待測產品（設備）本身的功能特性，通過訪談并操作的方式驗證待測產品功能（設備），其中功能測試中又分為基本功能和附屬功能測試兩個部分。文案大全實用文案三. 測試環(huán)境3.1網絡連接平臺在實際環(huán)境中，設備部署在互聯(lián)網出口位置，測試系統(tǒng)的界面、部署方式、升級、軟件應用、日志管理、審計管理、攻擊檢測阻斷、流量管理等功能?；ヂ?lián)網防火墻入侵防御系統(tǒng)IPS核心交換機IPS的控制平臺企業(yè)內部網3.2硬件設備1、計算機根據(jù)本規(guī)范下的測試平臺，至少需要準備 1臺計算機，作為管理機，其最低的配置要求如下：CPU:PIII800 以上RAM:256M以上NIC:100/1000M2、網絡設備根據(jù)本規(guī)范下的測試平臺，需要準備相應的網絡環(huán)境。文案大全實用文案3.3軟件環(huán)境1、操作系統(tǒng)Windows2000/xp/2003(ChineseVersion)3、輔助測試工具用于監(jiān)控網絡流量，包括 snifferpro 、數(shù)據(jù)包錄制軟件。3.4攻擊方法和相應工具的準備在測試當中，我們選取一些典型的攻擊方法，用于功能測試。選擇檢測難度較大的攻擊，這樣可以比較 IPS產品的引擎和攻擊特征編寫能力。選擇最近出現(xiàn)的危害較大的攻擊方法，這樣可以比較 IPS產品的攻擊特征庫更新頻率，進而評估各供應商的的技術能力。選擇能覆蓋到各種常用協(xié)議和應用服務器的攻擊，如 FTP、HTTP、SMTP等。文案大全實用文案四. 靜態(tài)測試表格1 基本情況產品情況 產品基本情況 結果產品名稱測試版本號版本發(fā)布時間支持語言表格2 硬件配置硬件情況 產品硬件配置 結果CPU內存硬盤網絡接口表格3管理方式安裝管理 管理情況 結果控制臺軟硬件需求管理方式遠程管理支持遠程管理認證方式是否有日志系統(tǒng)是否可自定義規(guī)則工作模式響應方式升級方式自動升級手動升級升級頻度升級包獲取方式升級是否斷網文案大全實用文案表格4 入侵保護能力：系統(tǒng)功能 入侵保護能力 結果阻斷黑客攻擊阻斷蠕蟲、網絡病毒攻擊阻斷間諜軟件阻斷P2P下載軟件阻斷IM即時通訊軟件阻斷網絡在線游戲阻斷在線視頻表格5其他功能：其他功能 其他功能情況 結果是否支持硬件BYPASS功能是否支持內置防火墻文案大全實用文案五. 功能測試5.1產品初步評估產品初步評估是指對產品供應商的資質，產品本身的特性，內部配置，適用范圍，技術支持能力，核心技術，產品本地化，產品認證等方面進行的書面的初步評估。項目 測試結果 備注OS類型、版本界面語言接口數(shù)量產品類型產品技術實現(xiàn)本地化技術支持5.2基本管理功能測試入侵保護系統(tǒng)的重要功能之一就是要體現(xiàn)其可管理性，主要包括對報警信息、對數(shù)據(jù)庫的管理、對網絡引擎及下級控制臺等組件的管理，所以首先要考察該系統(tǒng)的管理能力?！緶y試方法】1． 登錄控制臺界面（分別考察 WEB控制臺、windows控制臺）；2． 查看其各組件的分布情況，包括管理界面、報警顯示界面、數(shù)據(jù)庫、日志查詢系統(tǒng)；3． 配置多級管理模式，滿足控制臺——控制臺——控制臺——引擎的部署結構；4． 添加多個虛擬引擎（即只添加 IP）看其是否有數(shù)量限制；5． 查看可支持的其他組件；文案大全實用文案【測試結果】項目具備Web控制臺具備集中管理的Windows控制軟件臺部署具備獨立的日志分析中心可以獨立安裝數(shù)據(jù)庫可以在控制臺上顯示并控制所有探測器一個控制臺是否可管理多個探設備測器監(jiān)控管理一個探測器是否可以同時被多個控制臺監(jiān)控主、輔控制臺對各探測器的控制能力有明確的權限區(qū)別支持分布式探測，集中式管理支持多層管理多級的結構是否受限制可管理多少級別支持管理權限劃分,不同級別管理方式的控制臺權限不同是否可以顯示該系統(tǒng)整體的部署拓撲圖或樹型結構圖是否可以從主控給下級子控及子控的下級下發(fā)策略等規(guī)則文件主控是否可以有選擇的接收報警信息

測試結果 備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實用文案是否可以將下級的日志同步到通過 部分通過主控來（同步的內容是可以自未通過 未測試行設定的）是否具備全局預警的功能（即通過 部分通過其中的一個子控可以收到其它未通過 未測試子控發(fā)來的報警信息）5.3防火墻內置防火墻是 IPS的一種功能，IPS通過防火墻加強訪問控制。好的防火墻功能可以有效的阻斷攻擊?！緶y試目的】檢測IPS的防火墻功能?！緶y試結果】項目無防火墻規(guī)則情況下， 攻擊機訪問目標機上的web服務配置防火墻規(guī)則情況下， 攻擊機訪問目標機上的web服務驗證實現(xiàn)動態(tài) /靜態(tài)地址轉換，反向地址轉換功能，實現(xiàn)一對一地址映射功能驗證實現(xiàn)動態(tài) /靜態(tài)地址轉換，反向地址轉換功能，實現(xiàn)一對多地址映射功能防火墻功能驗證實現(xiàn)動態(tài) /靜態(tài)地址轉換，反向地址轉換功能，實現(xiàn)多對多地址映射功能驗證策略路由驗證路由模式工作方式驗證透明模式和非透明模式等工作方式

測試結果備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實用文案5.4攻擊特征庫管理攻擊特征是 IPS系統(tǒng)用來判斷什么是入侵行為的標準，所以攻擊特征的質量和數(shù)量都非常重要。某些 IPS系統(tǒng)還支持用戶自定義特征。本部分的測試要求入侵保護系統(tǒng)具有協(xié)議分析能力，可自定義基于應用層協(xié)議的特征?！緶y試方法】測試IPS的攻擊特征庫的質量和管理方便性。演示IPS產品的攻擊特征庫的策略編輯方法。演示IPS產品的攻擊特征的數(shù)量。【測試結果】項目測試結果備注攻擊規(guī)則庫按危險程度分類通過部分通過未通過未測試攻擊規(guī)則庫按服務類型分類通過部分通過未通過未測試對每個規(guī)則有詳細注釋說明，包括該攻擊影響的操作系統(tǒng)通過部分通過規(guī)則庫未通過未測試和解決方案管理可以對某條具體規(guī)則設置單通過部分通過獨的響應方式未通過未測試可以對某類規(guī)則設置共同的通過部分通過響應方式未通過未測試是否支持自定義新的規(guī)則通過部分通過未通過未測試5.5流量管理流量管理是 IPS的新增功能，主要通過協(xié)議，端口， IP及時間等要素對流量進行管理。【測試目的】測試NIPS對流量的管理。文案大全實用文案【測試結果】項目測試結果備注驗證BT，eMule協(xié)議進行流量通過部分通過管理未通過未測試驗證根據(jù)時間對流量進行管通過部分通過流量管理未通過未測試理驗證根據(jù)IP地址對流量進行通過部分通過管理未通過未測試驗證根據(jù)端口對流量進行管通過部分通過理未通過未測試5.6硬件BYPASS硬件BYPASS是IPS的一種增強功能，保證設備出現(xiàn)異常不工作時，網絡依然能夠暢通?！緶y試方法】將IPS接入實際網絡；2檢測IPS在不加電、系統(tǒng)啟動到就緒過程中、系統(tǒng)出現(xiàn)異常不工作時， BYPASS功能是否有效。【測試結果】項目測試結果備注驗證設備不加電時是否能夠處于ByPass通過部分通過狀態(tài)未通過未測試驗證設備在系統(tǒng)啟動到就緒過程中是否通過部分通過能夠處于ByPass狀態(tài)未通過未測試驗證設備在系統(tǒng)出現(xiàn)異常不工作時是否通過部分通過硬件BYPASS能夠處于ByPass狀態(tài)未通過未測試驗證設備在系統(tǒng)異常切換到ByPass狀態(tài)后直接掉電是否能夠保持ByPass狀通過部分通過態(tài)未通過未測試驗證網絡引擎設置強制硬件ByPass后通過部分通過能否正常處于ByPass狀態(tài)未通過未測試文案大全實用文案驗證系統(tǒng)處于資源占用較高情況下通過部分通過watchdog能否保持正常工作未通過未測試驗證設備運行穩(wěn)定性通過部分通過未通過未測試5.7系統(tǒng)軟件、攻擊特征庫升級能力隨著攻擊手段的不斷更新，IPS系統(tǒng)也必須保持快速的升級和更新能力。包括軟件版本的升級和特征庫的更新，尤其是特征庫的及時更新非常重要。升級需要包括事件特征庫的升級以保持事件特征庫的最新，還需要包括軟件自身的升級（控制端及引擎端）【測試方法】測試IPS系統(tǒng)的升級方式有幾種。測試能否在控制臺上對IPS探測器進行升級包的遠程升級。3．演示事件特征庫的升級方式；4．演示控制端的升級方式；5．演示引擎端的升級方式；6．演示多級管理時事件庫及引擎的升級方式；【測試結果】項目測試結果備注支持在線升級通過部分通過控制軟件升未通過未測試級支持離線升級通過部分通過未通過未測試支持在線升級通過部分通過未通過未測試支持離線升級（規(guī)則庫升級包通過部分通過規(guī)則庫升級為EXE方式）未通過未測試規(guī)則庫更新的頻率（以公司網站為準，公司網站顯示規(guī)則升通過部分通過級內容描述）未通過未測試文案大全實用文案5.8日志分析系統(tǒng)日志分析系統(tǒng)是事后進行安全事件分析的重要工具，需要能夠根據(jù)用戶的需要產生各種形式的報告，如表格形式、柱狀圖、餅圖等，并且可以根據(jù)用戶需要設置各種過濾條件，如IP地址、事件名稱等，可以自動的產生日報、周報、月報，并且可以導出成多種格式的文件?！緶y試方法】1． 演示日志分析系統(tǒng)（報表）的生成方式；2． 演示可支持的查詢條件；3． 演示可支持的導出格式；【測試結果】項目測試結果備注支持日志統(tǒng)計分析通過部分通過日志分未通過未測試析支持查詢分析通過部分通過未通過未測試生成事件的月報表通過部分通過未通過未測試生成流量的周報表通過部分通過報表文未通過未測試檔通過部分通過將生成的報表保存為doc未通過未測試通過部分通過將生成的報表保存為html未通過未測試任務定時給管理員發(fā)送報表通過部分通過未通過未測試定時日志備份通過部分通過日志管未通過未測試理日志恢復通過部分通過未通過未測試文案大全實用文案通過部分通過日志清除未通過未測試通過部分通過日志歸并未通過未測試5.9事件過濾IPS基于時間、IP地址、編號、類型等條件組合對事件進行過濾?！緶y試方法】將IPS接入實際網絡；根據(jù)時間、IP地址、編號、類型等條件組合，察看事件過濾結果。【測試結果】項目 測試結果 備注通過 部分通過是否設置事件來源（地址、編號、類型）未通過 未測試通過 部分通過事件過濾 是否設置事件發(fā)生的時間未通過 未測試通過 部分通過是否設置事件結果及引擎所采取的動作未通過 未測試5.10 流量分析流量分析是入侵保護系統(tǒng)的重要組成部分，可以幫助用戶準確地掌握當前整個網絡各種協(xié)議的流量分布，以及占用最大帶寬的具體協(xié)議的用戶，好的協(xié)議流量分布技術需要具有直觀的顯示效果，而且應該具有保存當前帶寬分布圖功能?！緶y試方法】將IPS接入實際網絡；演示協(xié)議流量分布效果圖；查看協(xié)議分布效果圖的刷新；察看占用當前帶寬最大的某個協(xié)議的用戶列表；文案大全實用文案【測試結果】項目測試結果備注協(xié)議流量分布圖（要求直觀）通過部分通過未通過未測試協(xié)議流量分布圖的刷新時間通過部分通過可調未通過未測試可以察看占用最大帶寬的協(xié)通過部分通過議的前10位的用戶IP列表未通過未測試流量分析可以察看自定義協(xié)議流量占用最大帶寬的前10位的用戶通過部分通過IP列表未通過未測試可以察看常見協(xié)議流量占用最大帶寬的前10位的用戶IP通過部分通過列表（如http、smtp、pop3、未通過未測試BT等）5.11 自身安全性能作為安全產品其自身的安全性是一個很重要的因素，如果自身存在系統(tǒng)缺陷或設計缺陷話很容易被攻擊者利用從而使得安全系統(tǒng)失去自身的作用，掩蓋了其真實的攻擊行為。【測試方法】1． 查看其組件是否具備用戶審計模塊；2． 查看對于用戶的管理是否進行了分組設置，對于每個組是否都有不同權限；【測試結果】項目測試結果備注是否具備用戶審計模塊通過部分通過自身安全未通過未測試性能通過部分通過是否支持用戶權限分組未通過未測試文案大全實用文案通過 部分通過對于不同的用戶是否可以賦予不同的權限未通過 未測試通過 部分通過對于每個用戶的是否具備登錄失敗處理未通過 未測試5.12 響應方式IPS通過丟棄數(shù)據(jù)包、丟棄連截會話來主動防御，阻斷攻擊流量，同時采取告警等響應方式。好的防護功