實用文案綠盟IPS測試方案文案大全實用文案目錄（Contents）一. 測試需求 3二. 測試單元 42.1 靜態測試 42.2 功能測試 4三. 測試環境 53.1 網絡連接平臺 53.2 硬件設備 53.3 軟件環境 63.4 攻擊方法和相應工具的準備 6四. 靜態測試 7五. 功能測試 95.1 產品初步評估 95.2 基本管理功能測試 95.3 防火墻 115.4 攻擊特征庫管理 125.5 流量管理 125.6 硬件BYPASS 135.7 系統軟件、攻擊特征庫升級能力 145.8 日志分析系統 155.9 事件過濾 165.10 流量分析 165.11 自身安全性能 175.12 響應方式 18文案大全實用文案一. 測試需求本著實事求是的態度，在項目建設前，對網絡入侵保護產品（ IPS）的實際測試。本次參與測試的公司有北京綠盟科技的 IPS：產品型號：中聯綠盟信息技術有限公司 ICEYE-600P文案大全實用文案二. 測試單元一般而言，測試分為實驗室測試和現場測試。本次測試均為現場測試，本次產品的現場測試包括四個部分：靜態測試功能測試2.1靜態測試主要考察設備的外觀、硬件配置、文檔等。2.2功能測試主要考查待測產品（設備）本身的功能特性，通過訪談并操作的方式驗證待測產品功能（設備），其中功能測試中又分為基本功能和附屬功能測試兩個部分。文案大全實用文案三. 測試環境3.1網絡連接平臺在實際環境中，設備部署在互聯網出口位置，測試系統的界面、部署方式、升級、軟件應用、日志管理、審計管理、攻擊檢測阻斷、流量管理等功能。互聯網防火墻入侵防御系統IPS核心交換機IPS的控制平臺企業內部網3.2硬件設備1、計算機根據本規范下的測試平臺，至少需要準備 1臺計算機，作為管理機，其最低的配置要求如下：CPU:PIII800 以上RAM:256M以上NIC:100/1000M2、網絡設備根據本規范下的測試平臺，需要準備相應的網絡環境。文案大全實用文案3.3軟件環境1、操作系統Windows2000/xp/2003(ChineseVersion)3、輔助測試工具用于監控網絡流量，包括 snifferpro 、數據包錄制軟件。3.4攻擊方法和相應工具的準備在測試當中，我們選取一些典型的攻擊方法，用于功能測試。選擇檢測難度較大的攻擊，這樣可以比較 IPS產品的引擎和攻擊特征編寫能力。選擇最近出現的危害較大的攻擊方法，這樣可以比較 IPS產品的攻擊特征庫更新頻率，進而評估各供應商的的技術能力。選擇能覆蓋到各種常用協議和應用服務器的攻擊，如 FTP、HTTP、SMTP等。文案大全實用文案四. 靜態測試表格1 基本情況產品情況 產品基本情況 結果產品名稱測試版本號版本發布時間支持語言表格2 硬件配置硬件情況 產品硬件配置 結果CPU內存硬盤網絡接口表格3管理方式安裝管理 管理情況 結果控制臺軟硬件需求管理方式遠程管理支持遠程管理認證方式是否有日志系統是否可自定義規則工作模式響應方式升級方式自動升級手動升級升級頻度升級包獲取方式升級是否斷網文案大全實用文案表格4 入侵保護能力：系統功能 入侵保護能力 結果阻斷黑客攻擊阻斷蠕蟲、網絡病毒攻擊阻斷間諜軟件阻斷P2P下載軟件阻斷IM即時通訊軟件阻斷網絡在線游戲阻斷在線視頻表格5其他功能：其他功能 其他功能情況 結果是否支持硬件BYPASS功能是否支持內置防火墻文案大全實用文案五. 功能測試5.1產品初步評估產品初步評估是指對產品供應商的資質，產品本身的特性，內部配置，適用范圍，技術支持能力，核心技術，產品本地化，產品認證等方面進行的書面的初步評估。項目 測試結果 備注OS類型、版本界面語言接口數量產品類型產品技術實現本地化技術支持5.2基本管理功能測試入侵保護系統的重要功能之一就是要體現其可管理性，主要包括對報警信息、對數據庫的管理、對網絡引擎及下級控制臺等組件的管理，所以首先要考察該系統的管理能力。【測試方法】1． 登錄控制臺界面（分別考察 WEB控制臺、windows控制臺）；2． 查看其各組件的分布情況，包括管理界面、報警顯示界面、數據庫、日志查詢系統；3． 配置多級管理模式，滿足控制臺——控制臺——控制臺——引擎的部署結構；4． 添加多個虛擬引擎（即只添加 IP）看其是否有數量限制；5． 查看可支持的其他組件；文案大全實用文案【測試結果】項目具備Web控制臺具備集中管理的Windows控制軟件臺部署具備獨立的日志分析中心可以獨立安裝數據庫可以在控制臺上顯示并控制所有探測器一個控制臺是否可管理多個探設備測器監控管理一個探測器是否可以同時被多個控制臺監控主、輔控制臺對各探測器的控制能力有明確的權限區別支持分布式探測，集中式管理支持多層管理多級的結構是否受限制可管理多少級別支持管理權限劃分,不同級別管理方式的控制臺權限不同是否可以顯示該系統整體的部署拓撲圖或樹型結構圖是否可以從主控給下級子控及子控的下級下發策略等規則文件主控是否可以有選擇的接收報警信息

測試結果 備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實用文案是否可以將下級的日志同步到通過 部分通過主控來（同步的內容是可以自未通過 未測試行設定的）是否具備全局預警的功能（即通過 部分通過其中的一個子控可以收到其它未通過 未測試子控發來的報警信息）5.3防火墻內置防火墻是 IPS的一種功能，IPS通過防火墻加強訪問控制。好的防火墻功能可以有效的阻斷攻擊。【測試目的】檢測IPS的防火墻功能。【測試結果】項目無防火墻規則情況下， 攻擊機訪問目標機上的web服務配置防火墻規則情況下， 攻擊機訪問目標機上的web服務驗證實現動態 /靜態地址轉換，反向地址轉換功能，實現一對一地址映射功能驗證實現動態 /靜態地址轉換，反向地址轉換功能，實現一對多地址映射功能防火墻功能驗證實現動態 /靜態地址轉換，反向地址轉換功能，實現多對多地址映射功能驗證策略路由驗證路由模式工作方式驗證透明模式和非透明模式等工作方式

測試結果備注通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試通過部分通過未通過未測試文案大全實用文案5.4攻擊特征庫管理攻擊特征是 IPS系統用來判斷什么是入侵行為的標準，所以攻擊特征的質量和數量都非常重要。某些 IPS系統還支持用戶自定義特征。本部分的測試要求入侵保護系統具有協議分析能力，可自定義基于應用層協議的特征。【測試方法】測試IPS的攻擊特征庫的質量和管理方便性。演示IPS產品的攻擊特征庫的策略編輯方法。演示IPS產品的攻擊特征的數量。【測試結果】項目測試結果備注攻擊規則庫按危險程度分類通過部分通過未通過未測試攻擊規則庫按服務類型分類通過部分通過未通過未測試對每個規則有詳細注釋說明，包括該攻擊影響的操作系統通過部分通過規則庫未通過未測試和解決方案管理可以對某條具體規則設置單通過部分通過獨的響應方式未通過未測試可以對某類規則設置共同的通過部分通過響應方式未通過未測試是否支持自定義新的規則通過部分通過未通過未測試5.5流量管理流量管理是 IPS的新增功能，主要通過協議，端口， IP及時間等要素對流量進行管理。【測試目的】測試NIPS對流量的管理。文案大全實用文案【測試結果】項目測試結果備注驗證BT，eMule協議進行流量通過部分通過管理未通過未測試驗證根據時間對流量進行管通過部分通過流量管理未通過未測試理驗證根據IP地址對流量進行通過部分通過管理未通過未測試驗證根據端口對流量進行管通過部分通過理未通過未測試5.6硬件BYPASS硬件BYPASS是IPS的一種增強功能，保證設備出現異常不工作時，網絡依然能夠暢通。【測試方法】將IPS接入實際網絡；2檢測IPS在不加電、系統啟動到就緒過程中、系統出現異常不工作時， BYPASS功能是否有效。【測試結果】項目測試結果備注驗證設備不加電時是否能夠處于ByPass通過部分通過狀態未通過未測試驗證設備在系統啟動到就緒過程中是否通過部分通過能夠處于ByPass狀態未通過未測試驗證設備在系統出現異常不工作時是否通過部分通過硬件BYPASS能夠處于ByPass狀態未通過未測試驗證設備在系統異常切換到ByPass狀態后直接掉電是否能夠保持ByPass狀通過部分通過態未通過未測試驗證網絡引擎設置強制硬件ByPass后通過部分通過能否正常處于ByPass狀態未通過未測試文案大全實用文案驗證系統處于資源占用較高情況下通過部分通過watchdog能否保持正常工作未通過未測試驗證設備運行穩定性通過部分通過未通過未測試5.7系統軟件、攻擊特征庫升級能力隨著攻擊手段的不斷更新，IPS系統也必須保持快速的升級和更新能力。包括軟件版本的升級和特征庫的更新，尤其是特征庫的及時更新非常重要。升級需要包括事件特征庫的升級以保持事件特征庫的最新，還需要包括軟件自身的升級（控制端及引擎端）【測試方法】測試IPS系統的升級方式有幾種。測試能否在控制臺上對IPS探測器進行升級包的遠程升級。3．演示事件特征庫的升級方式；4．演示控制端的升級方式；5．演示引擎端的升級方式；6．演示多級管理時事件庫及引擎的升級方式；【測試結果】項目測試結果備注支持在線升級通過部分通過控制軟件升未通過未測試級支持離線升級通過部分通過未通過未測試支持在線升級通過部分通過未通過未測試支持離線升級（規則庫升級包通過部分通過規則庫升級為EXE方式）未通過未測試規則庫更新的頻率（以公司網站為準，公司網站顯示規則升通過部分通過級內容描述）未通過未測試文案大全實用文案5.8日志分析系統日志分析系統是事后進行安全事件分析的重要工具，需要能夠根據用戶的需要產生各種形式的報告，如表格形式、柱狀圖、餅圖等，并且可以根據用戶需要設置各種過濾條件，如IP地址、事件名稱等，可以自動的產生日報、周報、月報，并且可以導出成多種格式的文件。【測試方法】1． 演示日志分析系統（報表）的生成方式；2． 演示可支持的查詢條件；3． 演示可支持的導出格式；【測試結果】項目測試結果備注支持日志統計分析通過部分通過日志分未通過未測試析支持查詢分析通過部分通過未通過未測試生成事件的月報表通過部分通過未通過未測試生成流量的周報表通過部分通過報表文未通過未測試檔通過部分通過將生成的報表保存為doc未通過未測試通過部分通過將生成的報表保存為html未通過未測試任務定時給管理員發送報表通過部分通過未通過未測試定時日志備份通過部分通過日志管未通過未測試理日志恢復通過部分通過未通過未測試文案大全實用文案通過部分通過日志清除未通過未測試通過部分通過日志歸并未通過未測試5.9事件過濾IPS基于時間、IP地址、編號、類型等條件組合對事件進行過濾。【測試方法】將IPS接入實際網絡；根據時間、IP地址、編號、類型等條件組合，察看事件過濾結果。【測試結果】項目 測試結果 備注通過 部分通過是否設置事件來源（地址、編號、類型）未通過 未測試通過 部分通過事件過濾 是否設置事件發生的時間未通過 未測試通過 部分通過是否設置事件結果及引擎所采取的動作未通過 未測試5.10 流量分析流量分析是入侵保護系統的重要組成部分，可以幫助用戶準確地掌握當前整個網絡各種協議的流量分布，以及占用最大帶寬的具體協議的用戶，好的協議流量分布技術需要具有直觀的顯示效果，而且應該具有保存當前帶寬分布圖功能。【測試方法】將IPS接入實際網絡；演示協議流量分布效果圖；查看協議分布效果圖的刷新；察看占用當前帶寬最大的某個協議的用戶列表；文案大全實用文案【測試結果】項目測試結果備注協議流量分布圖（要求直觀）通過部分通過未通過未測試協議流量分布圖的刷新時間通過部分通過可調未通過未測試可以察看占用最大帶寬的協通過部分通過議的前10位的用戶IP列表未通過未測試流量分析可以察看自定義協議流量占用最大帶寬的前10位的用戶通過部分通過IP列表未通過未測試可以察看常見協議流量占用最大帶寬的前10位的用戶IP通過部分通過列表（如http、smtp、pop3、未通過未測試BT等）5.11 自身安全性能作為安全產品其自身的安全性是一個很重要的因素，如果自身存在系統缺陷或設計缺陷話很容易被攻擊者利用從而使得安全系統失去自身的作用，掩蓋了其真實的攻擊行為。【測試方法】1． 查看其組件是否具備用戶審計模塊；2． 查看對于用戶的管理是否進行了分組設置，對于每個組是否都有不同權限；【測試結果】項目測試結果備注是否具備用戶審計模塊通過部分通過自身安全未通過未測試性能通過部分通過是否支持用戶權限分組未通過未測試文案大全實用文案通過 部分通過對于不同的用戶是否可以賦予不同的權限未通過 未測試通過 部分通過對于每個用戶的是否具備登錄失敗處理未通過 未測試5.12 響應方式IPS通過丟棄數據包、丟棄連截會話來主動防御，阻斷攻擊流量，同時采取告警等響應方式。好的防護功