XXX 网络入侵防御系统测试报告方案
- 格式:docx
- 大小:3.14 MB
- 文档页数:17
网络安全产品方案入侵防御系统测试方案厂家:XXXXX科技有限公司产品型号:XXXXXXXXX目录一. 测试需求 (1)二. 测试单元 (1)三. 测试环境及准备 (1)3.1环境准备 (2)3.2网络连接平台 (2)3.3硬件设备 (5)3.4软件环境 (5)四. 功能测试 (6)4.1产品初步评估 (6)4.2基本管理功能测试 (6)4.3部署方式测试 (6)4.3.1 虚拟线部署拓扑 (7)4.3.2 非对称路由部署拓扑 (8)4.3.3 路由模式拓扑 (9)4.3.4 二层接入部署拓扑 (10)4.4多链路接入测试 (10)4.5应用管理测试 (11)4.6数据泄露防护 (11)4.7信誉 (12)4.8防病毒测试 (13)4.9IP V6测试 (13)4.9.1 流量分析 (14)4.10用户认证测试 (15)一. 测试需求本着实事求是的态度,在项目建设时,我方(XXXXX科技有限公司) 组织了相关人员针对入侵防御系统(后简称为IPS)的测试工作,目标是通过严格的测试,来验证IPS的各项功能和性能是否能满足项目: 防洪泵站自动化远程控制系统三级保护改造设备采购项目的实际需求,测试方案如下。
二. 测试单元此次测试在内容方面主要由三个部分组成:1. 功能测试功能测试是对IPS产品可用性、易用性的综合评估。
通过功能测试筛选出能够满足测试目的中功能需求内容的产品。
2. 攻击测试攻击测试主要是评估产品是否能够及时、准确、完整的发现黑客的攻击企图和行为,包括各种类型的攻击。
如:预攻击探测扫描、后门攻击、拒绝服务攻击、应用服务攻击等等。
同时也包括IPS躲避技术和逃避技术的测试。
3. 性能测试性能测试主要是评估IPS产品的吞吐量、延时等性能参数。
三. 测试环境及准备在测试前必须对整个测试过程有周密的计划,测试人员要对整个测试过程有全面的了解。
准备详细周密的测试实施细则是测试正常进行的和顺利完成的前提。
测试人员需要对于测试实施细则进行充分的了解和讨论,以确保测试方案的正确执行,并保证高质量的测试工作。
3.1 环境准备◆ 空间(单个产品测试,临时搭建环境)根据测试的内容和规模不同,所需要的计算机、网络连接设备等的数量也不一样,但是一般的最小的测试也应该需要3台以上的计算机和1台交换机等网络连接设备,所以最好能够有独立的测试环境来进行测试。
如果没有独立的环境,那么提供的测试场所也至少可以容纳3台以上的计算机和所有测试人员。
◆ 电源保障由于在测试中需要的计算机等设备比较多,所以对环境中电源的要求也就相应的比较高,所以应该选择电源功率比较大的环境(房间),用于连接各种设备的电源插座也要求比较好,否则由于电源的原因造成的测试环境的问题就会影响测试中的很多问题。
◆ 网络连接保障为了保证测试的顺利进行,测试环境网络应该是独立的网络,但是为了查阅资料的方便,也需要保证测试环境和参加测试人员的计算机能够方便地接入Internet 。
3.2 网络连接平台拓扑一:虚拟线+监听混合部署NIPSPC1G1/1Direct-AG1/2Direct-AG1/3监听口镜像口PC2图 3.1 测试拓扑一拓扑二:用户管理NIPSPC1G1/1Direct-AG1/2Direct-APC2管理口MPC3-域控服务器PC4-域成员PC+Agent图3.2 测试拓扑二拓扑三:非对称路由图3.3 测试拓扑三拓扑四:NGTP 和高级威胁防御客户端PCDirectA G1/1管理口MDirectA G1/2ESPC镜像口G1/1管理口M图3.4测试拓扑四具体的主机配置如下:◆ 各主机的IP 地址依据测试中IPS 的部署方式不同而进行相应的设置,建议安装Windows2003操作系统◆ 安全中心用来进行日志收集及设备的统一管理,需安装Windows2003操作系统 ◆ 进行IPS 在线升级功能测试,须将IPS 管理口或安全中心接入互联网 ◆ 进行IPS HA 测试,须准备两台同型号IPS 设备 ◆ 进行Web 信誉测试,须将攻击机接入互联网◆ PC1安装IIS 或Apache ,建有测试WEB 站点,PC2安装Metasploit 攻击软件和包回放工具Iris 或科来◆ 当进行Metasploit 攻击测试时,PC1建议更换为未打补丁的Windows 2000操作系统或其他与攻击条目对应的未打补丁的操作系统。
3.3 硬件设备◆计算机根据本规范下的测试平台,至少需要准备3台计算机,作为攻击主机和目标主机、管理机。
◆网络设备根据本规范下的测试平台,需要准备相应的网络设备。
下面是测试所需要的网络设备:交换机一台,须支持SPAN(Port mirror)功能。
网线若干,如有光纤接口,还需光纤线。
◆软件测试工具根据本规范下的测试平台,需要通过回放攻击数据包测试IPS的攻击检测,可选用的网络流量回放工具有:Sniffer pro、Iris等。
3.4 软件环境◆操作系统Windows 2000 professional(Chinese Version) + IISWindows 2003 professional(Chinese Version)◆服务系统IIS Server、Apache、Bind◆测试工具攻击包回放工具:SNIFFER、IRIS或科来网络分析系统应用软件:浏览器:IE、FirefoxFtp、Outlook或Foxmail、远程桌面连接工具、BT下载工具、QQ、MSN等四. 功能测试4.1 产品初步评估产品初步评估是指对产品供应商的资质,产品本身的特性,内部配置,适用范围,技术支持能力,核心技术,产品本地化,产品认证等方面进行的书面的初步评估。
4.2 基本管理功能测试IPS版本的重要功能之一就是要体现其可管理性,主要包括对报警信息、对数据库的管理、对网络引擎及下级安全管理中心等组件的管理。
具有高可管理性的产品在节省设备管理成本的同时,更能保证安全设备的策略统一,及灵活配置。
因此,在这里首先要考察该系统的管理能力。
◆测试方法1.登录控制台界面(分别考察设备控制台、安全管理中心控制台);2.查看其各组件的分布情况,包括管理界面、报警显示界面、数据库、日志查询系统;3.在安全管理中心添加多个虚拟引擎(即只添加IP),查看其是否有数量限制;4.3 部署方式测试IPS支持虚拟线部署、非对称路由部署、路由模式部署、二层接入模式部署;具体拓扑见以下:◆测试方法按照各测试拓扑将IPS接入网络,测试内网是否能够正常与外网通信,设备能够检测到异常攻击行为;4.3.1 虚拟线部署拓扑InternetG1/1MNIPSG1/24.3.2 非对称路由部署拓扑4.3.3 路由模式拓扑4.3.4 二层接入部署拓扑NIPSG1/1G1/2G1/310.10.10.2/24-10.10.10.30/2410.10.10.31/24-10.10.10.50/2410.10.10.1/24202.100.100.3/244.4 多链路接入测试一台IPS 能否支持多条线路接入也是评判IPS 的一个标准。
支持多路的IPS 能够极大节省用户的投资,提升性价比。
多路又分为物理多路和虚拟多路。
在每一种物理多路部署方式中又可进行虚拟多路方式的部署,这样可以为不同的网络,不同的主机,不同的时间段来提供特制的检测规则,不同的大大提升IPS 部署配置的灵活性。
物理多路是指不同的部署方式下用多个物理接口实现提供多个网络接入,多条网络通路。
虚拟多路是在每个物理通道下,根据不同的IP ,时间和动作这些对象来创建多组检测防护规则,避免一条物理链路只能用一组规则的尴尬局面。
◆测试方法1. 虚拟线模式物理多路测试:将所有接口均配置在不同的虚拟线(direct),在不同的接口之间分别设置不同的IPS规则。
2. 虚拟线模式虚拟多路测试:将IPS任两个接口配置在同一个虚拟线中,在这两个接口之间,一条物理链路里,根据不同的IP/时间等对象配置多条IPS规则,实现不同的网络访问有不同的IPS。
4.5 应用管理测试NIPS可以实现对企业内部网络资源中的应用的识别和管理,对即时通讯、P2P下载、网络游戏、在线视频和网络流媒体等应用进行监控并阻断。
◆测试方法1. 按照拓扑1将设备接入网络;2. 在IPS配置上配置应用管理策略;3. 使用PC1连接到Internet,进行一些对QQ、视频、微博的访问,或者根据已知应用列表操作一些其他常见应用,并查看日志;4. 在IPS上配置自定义应用,在PC1上进行操作并查看日志。
4.6 数据泄露防护IPS可以自学习服务器的正常外联行为,通过手工确认并添加到服务器合法外联中。
通过学习结果可以检测服务器的异常外联并对其进行防护,进而协助网管排查是否有跳转等攻击行为。
同时针对通过IPS的流量进行文件识别和敏感数据保护,监控内部特定格式文件的外发,防止内部敏感数据(电话、身份证、银行卡)的外泄。
测试方法:1、按拓扑一搭建好环境,使PC1可以访问PC2;2、在IPS中配置数据泄露防护策略;3、配置文件识别策略对特定文件格式进行检测,使用PC1向PC2发送不同格式的文件,查看IPS日志;4、在对象中配置敏感数据对象,配置敏感数据保护策略对电话号码、身份证、银行卡信息进行检测防护,查看IPS日志;5、在IPS设备上开启服务器异常自学习功能,识别PC2的外联行为;6、利用自学习内容添加服务器合法连接或者手工设置服务异常连接策略,之后使用其他外网设备连接PC2,查看IPS日志。
攻击溯源测试如果设备可以连接外网,即需要能够连接至XXXXX科技云站点,当设备上触发告警日志后,对于源目的ip地址为外网的地址,点击该地址,可以查看该ip对应的地理位置、开放服务,以及该ip上的其他攻击信息。
测试方法:1、按拓扑三搭建好测试环境,保证设备可以至XXXXX科技云站点;2、在PC1上回放攻击数据包,此时可以在NIPS上看到告警,点击源目的ip地址链接,可以调整至XXXXX云安全站点,查看该ip的物理位置、开放服务等信息。
4.7 信誉信誉测试包含web信誉、僵尸网络防护以及文件信誉,该模块为与信誉云或者安全中心联动使用功能。
Web信誉是针对危险域名的统计库,IPS可以针对访问危险域名进行告警和阻断。
僵尸网络防护(Botnet防护)是当内部用户访问僵尸网络时,XXXXXNIPS设备会产生告警信息并会进行阻断,防止用户沦为僵尸网络其中一员。
文件信誉是针对异常文件的统计库,可以根据各文件信誉值进行告警或者阻断。
测试方法1.按照拓扑图3.4进行部署,保证设备可以访问XXXXX信誉云站点;2.在ESPC上添加NIPS设备,并确认已成功连接3.设备启用信誉功能,开启Botnet防护,访问僵尸网络,查看IPS日志(在进行该项测试时,建议使用虚拟机对恶意URL或者botnet服务器进行http访问,以免真实物理机中毒)4.启用Botne阻断,访问僵尸网络,查看IPS日志5.开启web信誉,针对1-2设置游标允许,2-4设置游标告警,4-5设置游标阻断,访问不同信誉值的站点地址,查看IPS日志6.设置web信誉白名单,访问白名单站点,查看IPS日志7.开启文件信誉功能,针对1-2设置游标允许,2-4设置游标告警,4-5设置游标阻断,客户端经过设备邮件协议传输不同信誉值的文件样本,查看IPS日志高级威胁防御高级威胁防御是通过跟TAC联动进行异常文件传输的检测和阻断,tac可以区分本地实体设备tac和云端tac;◆测试方法1. 按照拓扑图3.4进行部署,使IPS上配置TAC地址、TAC API账号,使IPS与TAC联动成功;2. 开启检测开关;3. 客户端使用邮件协议像外网传输危险文件(保证文件信誉库中不包含此文件);4. 客户端再次像外网传输步骤3中的文件;5. URL过滤: URL库是针对域名地址的分类库,IPS通过URL分类库策略对于客户端访问的网站进行监控和控制功能。