-
DPtech
IPS2000
测试方案
杭州迪普科技有限公司
2011
年
07
月
杭州迪普科技有限公司
目
录
DPtech IPS2000
测试方案
.................................................
..................................................
........................... 1
第
1
章
产品介绍
.
..................................................
..................................................
.........................................
1
第
2
章
测试计划
.
..................................................
..................................................
.........................................
2
2.1
测试方案
.......................
..................................................
..................................................
............................. 2
2.2
测试环境
.......................
..................................................
..................................................
............................. 2
2.2.1
透明模式
.
.................................
..................................................
..................................................
........... 2
2.2.2
旁路模式
.
..................................................
..................................................
............................................
3
第
3
章
测试内容
.
..................................................
..................................................
.........................................
4
3.1
功能特性
.......................
..................................................
..................................................
............................. 4
3.2
响应方式
.......................
..................................................
..................................................
............................. 4
3.3
管理特性
.......................
..................................................
..................................................
............................. 4
3.4
安全性
........................
..................................................
..................................................
................................ 5
3.5
高可靠性
.......................
..................................................
..................................................
............................. 5
第
4
章
测试方法及步骤
....................
..................................................
..................................................
.......... 6
4.1
功能特性
.......................
..................................................
..................................................
............................. 6
4.1.1
攻击防护
.
.................................
..................................................
..................................................
........... 6
4.1.2
防病毒
.
.
..................................................
..................................................
...............................................
8
4.1.3
访问控制
.
..................................................
..................................................
..........................................
10
4.1.4
最大连接数与
DDoS .................
..................................................
..................................................
........ 11
4.1.5
黑名单功能
.
.................................................
..................................................
.......................................
12
4.2
响应方式
.......................
..................................................
..................................................
........................... 13
4.2.1
阻断方式
.
.................................
..................................................
..................................................
......... 13
4.2.2
日志管理
.
..................................................
..................................................
..........................................
14
4.3
管理特性
.......................
..................................................
..................................................
........................... 15
4.3.1
设备管理
.
.................................
..................................................
..................................................
......... 15
4.3.2
报表特性
.
..................................................
..................................................
..........................................
16
4.4
安全特性
.......................
..................................................
..................................................
........................... 17
4.4.1
用户的安全性
.
...............................
..................................................
..................................................
... 17
4.4.2
设备的安全性
.
................................................ .................................................. .................................... 19
第
5
章
测试总结
.
..................................................
..................................................
.......................................
21
杭州迪普科技有限公司
第
1
章
产品介绍
随着网络的飞速发展,以蠕虫、木马、间谍软件、
DDoS
攻击
、带宽滥用为代表的应
用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行
检查和规则匹配,但
目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因
此仅仅分析单个报
文头意义不大。
IPS
正是通过对报文进行深度检测,
对应用层威胁进行实时防御的安全产
< br>品。但目前大多数
IPS
都是从原有的
< br>IDS
平台改制而来,性能低、误报和漏报率高、可
靠性
差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只
能通过
减少或关闭特征库来规避。这样的
IPS
不仅起不到安全防御的
作用,甚至会成为
网络中的故障点。
如何保证
IPS
在深度检测条件下仍能保证线速处理、
微秒级时延?很显然,
传统的基
于串行设计思想
的硬件和软件架构,无论是
X86
、
A
SIC
或是
NP
,都无法承受成千上万
条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库??。迪普科技在
IPS2000 N
系列
IPS
中,
创新性的采用了并发硬件处理架构,
并采用独
有的“并行流过滤
引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略
可以一次匹配完
成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延
的增加。同时,
迪普科技
IPS
还采用
了管理平面和数据平面相分离技术,这种的分离式双通道设计,不
仅消除了管理通道与数
据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据
通道独特的大规模并发处
理机制,
极大的降低了报文处理的时延,
大大提升了用户体验。
以
IPS2000-TS-N
为例,<
/p>
IPS2000-TS-N
是全球第一款可提供万兆端口的
IPS
产品,
即使在
同时开启其内置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部
署
于多个大型数据中心、园区出口。
漏洞库的全面性、专业性、
及时性是决定
IPS
对攻击威胁能否有效防御的另一关键。
迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公
告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得
到业界普遍认可并成为微软的
MAPP
合作伙伴
,微软在发布漏洞之前,迪普科技能提前
获取该漏洞的详细信息,并且利用这一时间差及
时制作可以防御该漏洞的数字补丁。迪
普科技
IPS
漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并
且能够自动分发到用户驻地的
IPS
中,从而使得用户驻地的<
/p>
IPS
在最快时间内具备防御
零时差攻击
(
Zero-day Attack
)的能力,最大程度的保护
用户安全。目前,迪普科技已成
为中国国家漏洞库的主要提供者之一。借助迪普科技专业
漏洞研究团队的持续投入和漏
洞库的持续升级,不仅显著提升了
IPS
的可用性,并极大减少了
IPS
误报、漏报给用户
带来的困扰。
IPS2000 N
系列是目前全球唯一可提供万兆线速处理能
力的
IPS
产品,并在漏洞库的
基础上
,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、
DDo
S
攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防
御平台。
IPS2000 N
系列部署简单、
即插即用,配合应用
Bypass
等高可靠性设计,可满
足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安
全保障的最佳选择。
杭州迪普科技有限公司
第
2
章
测试计划
2.1
测试方案
DPtech IPS
产品主要包括
IPS
攻击防护、
防病毒管理、
访问控制、
流量分析、
防
DDos
攻击等几大主体功能,本文档的测试项主
要以上述主体功能的测试展开;同时,测试中
还涉及到限流等多种响应方式,设备的可管
理性、高可靠性等诸多方面的测试,以充分
展示设备的完备功能和高性能。
2.2
测试环境
2.2.1
透明模式
图
1
透明模式
设备或软件名称
IPS
主机
PC
主机
描
述
用于实现入侵检测,保障网络安全
用
于安装
UMC
统一管理平台软件,及实现攻击与被攻击
数量
1
3
杭州迪普科技有限公司
2.2.2
旁路模式
图
2
旁路模式
设备或软件名称
IPS
主机
PC
主机
SW
主机
描
述
用于实现入侵检测,保障网络安全
用
于安装
UMC
统一管理平台软件,及实现攻击与被攻击
用于引出攻击镜像流量,实现旁路入侵检测
数量
1
3
1
杭州迪普科技有限公司
第
3
章
测试内容
3.1
功能特性
产品功能包括
IPS
攻击防护、防病毒管理、访问控制、流量分析、防
DDoS
攻击等几
大主体功能。
DPtech
IPS
通常部署为
Online
的工作模式,在数据传输的路径中,任何数据流都必<
/p>
须经过设备做检测,一旦发现有蠕虫、病毒、后门、木马、间谍软件、可疑代码、网络
钓鱼等攻击行为,
DPtech
IPS<
/p>
会立即阻断攻击,隔离攻击源,屏蔽蠕虫、病毒和间谍软
件等,同
时记录日志告知网络管理员。
防病毒管理通过采用实时分析,
自动阻截携带病毒的报文与异常流量。
针对这些异常
流量,通常施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。
<
/p>
访问控制包括带宽应用限速、网络应用访问控制、
URL
过滤三大功能。网络流量按
照其用途的不同划分成不同的服务类型,例如
HTTP
服务、
FTP
服务、
E-Mail
服务等,
对不同的服务类型实施不同的流量限速、
阻断控制行为。
URL
过滤是一种网页过滤功能,
支持根据
I
P
地址、
主机名和正则表达式对
HTT
P
的请求报文进行过滤。
URL
过滤依
赖一
个
URL
过滤规则数据库,用户可
以灵活定制
URL
过滤规则进行
URL
过滤。
3.2
响应方式
当设备检测到有攻击发生时,能采取如下方式来响应:
发送
Reset
报文:可向攻击源或目标服务
器分别发送
Reset
报文,强行中断连接,及
时保护目标服务器的安全性;
设备的攻击日志记录方
式多种多样,
除了支持设备本地存储,
还能实时上报到
Syslog
日志主机、发送
E-mail
告警,方便
IT
人员及时了解网络安全状况
。
3.3
管理特性
为方便
IT
人员管理,
设备提供了良好的可管理性。
支持
HTTPS
等安全管理方式,
< br>支
持
Web
的友好界面,简化<
/p>
IPS
的配置,方便用户操作和维护。特征库的升级支持手动和<
/p>
自动两种方式,用户可根据实际情况随意选择特征库的升级时间。设备支持完备的日志
和报表功能。设备能根据网络攻击情况,根据攻击事件、攻击源、攻击目的,攻击级别、
杭州迪普科技有限公司
动作类型,统计报表,方便用户了解网络安全状况。
3.4
安全性
可设置管理员的权限,
不同权限的管理员访问设备的功能权限不同。
可设置的权限选
项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。在登录参数
设置上,包括超时时间、错误登录锁定和锁定后解锁。
3.5
高可靠性
DPtech IPS
具有极高的软硬件可靠性,
支持端口模块热插拔,
< br>支持双电源,
支持在检
测引擎失效的情况下二层直通,支
持在掉电的情况下仍然可以转发数据,保证网络的畅
通。
设备内置的监测模块以很高的频率定时地监测自身的健康状况,一旦探测到检测引
擎、软件系统故障或者流量过大时,该模块会将设备设置成一个简单的二层交换设备,
这个功能称为“软件
bypass
”。此时,网络流
量将在两个接口之间直接贯通,从而保持
网络业务的连续性。
抗掉电保护,在设备异常掉电后,当
IPS
恢复供电,系统的状态、相关日志和配置信
息正常保存。
杭州迪普科技有限公司
第
4
章
测试方法及步骤
4.1
功能特性
4.1.1
攻击防护
木马程序
< br>-
冰河(在线部署)
测试目的
测试条件
验证设备对木马程序
-
冰河(在线部署)的防护
1
、测试组网,参见图
1
2
、添加
IPS
策略,安
全级别选为高,需保护的
IT
资源全选
3
、组网模式中,将接口选为透明模式
测试过程
1
、使能软件
bypass
功能
2
、
PC1
运行冰河
8.0
服务器,
PC2
运行冰河
8.0
客户端,并对
PC1
进行控制
3
、得到预期结果
1
4
、在
PC1
被控制情况下,
禁止软件
bypass
功能
5
、得到预期结果
2
6
、关闭,并重新运行
PC2
的冰河客户端,对
PC1
进行控制
7
、得到预期结果
3
预期结果
1
、
PC1
被成功控制,且无
IPS
阻断日志
2
、<
/p>
PC1
没有继续被控制,且生成
IPS<
/p>
阻断日志
3
、
PC1
没有被控制,且生成
IPS
阻断日志
其它说明和注意事项
测试结果
木马程序
-
冰河(旁路部署)
测试目的
测试条件
验证设备对木马程序
-
冰河(旁路部署)的检测
1
、测试组网,参见图
2
2
、添加
IPS
策略,安
全级别选为高,需保护的
IT
资源全选
3
、组网模式中,将接口选为旁路模式
测试过程
1
、
PC1
运行冰河
8.0
服务器,
PC2
运行冰河
8
.0
客户端,并对
PC1
进行控制
2
、得到预期结果
1
预期结果
1
、
PC1
被成功控制,且有
IPS
阻断日志
杭州迪普科技有限公司
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
溢出程序
-MS08-067
测试目的
测试条件
验证设备对
MS08-067
漏洞的防护
1
、测试组网,参见图
1
2
、添加
IPS
策略,安
全级别选为高,需保护的
IT
资源全选
测试过程
1
、禁止软件
bypass
功能
2
、
PC2
运行攻击
脚本
3
、得到预期结果
1
4
、使能软件
bypass
功
能
5
、
PC
2
运行攻击脚本
6
、得到预期结果
2
预期结果
1
、
PC1
没有开启
4444
端口,且生成
IPS
阻断日志
2
、
PC1
开启
4444
端口,通过远程
te
lnet
可以获取到管理员权限,且无
IPS
< br>阻断日志
其它说明和注意事项
旁路模式下,无法直接执行动作
攻击脚本只能攻击成功一次
测试结果
攻击报文
-
死亡之
Ping
测试目的
测试条件
验证设备对攻击报文
-
死亡之
Ping
的
防护
1
、测试组网,参见图
1
2
、添加
IPS
策略,安
全级别选为高,需保护的
IT
资源全选
测试过程
1
、使能软件
bypass
功能
2
、
PC2
使用
Iris
发送死亡之
Ping
攻击报文
3
、得到预期结果
1
4
、禁止软件
bypass
功
能
5
、
PC
2
使用
Iris
发送死亡之
Ping
攻击报文
6
、得到预期结果
2
预期结果
1
、
PS
无
IPS
阻断日志
2
、
IPS
生成
IPS
阻断日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
杭州迪普科技有限公司
SQL
注入攻击
测试目的
测试条件
验证基本
< br>SQL
注入防护功能
1
、测试组网,参见图
1
2
、定义
SQL
注入防护
策略,网络用户组默认,策略动作为阻断
测试过程
1
、在
IPS
内网侧访问任一外网地址,以
/
为例,在
URL
后添加
字符串“
?id='or'1'='1
”并敲回
车访问,有预期结果
1
预期结果
<
/p>
1
、
IPS
中出
现
SQL
注入阻断日志,不能访问百度首页;
< br>
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
4.1.2
防病毒
HTTP
方式的病毒防护
测试目的
测试条件
验证
HTTP
方式的病毒防护
1
、测试组网,参见图
1
2
、
PC1
使用
xitami
建立
HTTP
服务器
3
、添加
A
V
策略,并下发
测试过程
1
、使能软件
bypass
功能
2
、
PC2
访问
PC1
的
HTTP
服务器,下载病毒文件
3
、得到预期结果
1
4
、禁止软件
bypass
功
能
5
、
PC
2
访问
PC1
的
HTTP
服务器,下载病毒文件
6
、得到预期结果
2
预期结果
1
、可正常下载,设备无相关日志
2
、下载被阻断,设备产生相应日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
杭州迪普科技有限公司
FTP
方式的病毒防护
测试目的
测试条件
验证
FTP
方式的病毒防护
1
、测试组网,参见图
1
2
、
PC1
使用
wftp
建立
FTP
服
务器,
PC2
使用
Cute-FTP<
/p>
做
FTP
客户端
3
、添加
A
V
策略,并下发
测试过程
1
、使能软件
bypass
功能
2
、
PC2
通过
FTP
客户端,从
PC1
< br>下载病毒文件
3
、得到预期结果
1
4
、禁止软件
bypass
功
能
5
、
PC
2
通过
FTP
客户端,从
PC1
下载病毒文件
6
、得到预期结果
2
预期结果
1
、可正常下载,设备无相关日志
2
、下载被阻断,设备产生相应日志
其它说明和注意事项
旁路模式下,无法直接执行动作
测试结果
SMTP/POP3
方式的病毒防护
测试目的
测试条件
验证
SMTP/POP3
方式的病毒防护
1
、测试组网,参见图
1
2
、
PC1
建立邮件服务
器,
PC2
使用
outlook
客户端
3
、添加<
/p>
A
V
策略,并下发
测试过程
1
、使能软件
bypass
功能
<
/p>
2
、
PC2
通过
outlook
客户端,向
PC1
邮件服务器上传病毒文件
3
、得到预期结果
1
4
、禁止软件
bypass
功
能
5
、
P
PC2
通过
outlook
客户端,向
PC1
邮件服务器上传病毒文件
6
、得到预期结果
2
预期结果
1
、可正常上传,设备无相关日志
2
、上传被阻断,设备产生相应日志
-
-
-
-
-
-
-
-
-
上一篇:心内科常用药及常用英文简称
下一篇:上网行为管理系统测试方案-北苑店