IPS设备测试大纲.docx
《IPS设备测试大纲.docx》由会员分享,可在线阅读,更多相关《IPS设备测试大纲.docx(19页珍藏版)》请在冰点文库上搜索。
IPS设备测试大纲
IPS设备测试大纲
关于XXXXIPS设备
测试文档
用户服务中心集成部
2008年X月
用户需求
用户要求防火墙吞吐量要求1G,2个千兆电口或2个千兆光口,端口支持bypass功能,能够实现设备对常用协议限定以及攻击爱护和检测。
关键技术指标
支持常用协议限定
攻击检测和爱护机制
报表功能
设定不同爱护策略
硬件设备的bypass功能
带宽治理
硬件端口及硬件性能
测试目的
检验IPS设备的有关功能,以验证该设备是否适于用户需求。
并为项目设备采购提供给数方面的参考。
测试环境
检测攻击部署
当检测攻击检测和爱护功能时,要求设置两台主机在相同网段,攻击主机中装有常用攻击软件如TCPflood、UDPflood、狂ping、扫描软件等。
检测相应协议限制部署
当检测相应协议限制功能时,要求PC能够连接到公网上,开启IM类通讯软件、p2p下载类软件、流媒体类软件。
测试时刻
开始时刻
终止时刻
2008年X月X日
2008年X月X日
测试地点
测试地点:
网络用户服务中心系统集成实验室
测试参与者
测试人员
公司及部门
电话
电子邮件地址
测试设备
测试XXXIPS设备需要预备如下设备:
设备名称
数量
预备方
预备情形
XXXIPS设备
1
ClientPC
2
Layer3交换机
1
网线
若干
XXXIPS设备功能简介
XXXIPS入侵防护系统要紧由硬件平台、专用操作系统、IPS治理服务系统、IPS安全引擎等四个部分组成。
硬件平台按照用户使用环境的不同,选取专用安全平台或基于高性能服务器架构进行设计,同时使用专门ASIC内容处理芯片进行扫描和模式匹配的加速;专用操作系统为自主研发的高效强化安全的实时嵌入式操作系统;IPS安全引擎采纳模块化设计,针对不同的应用环境和不同的安全策略,能够配置不同的功能模块。
测试项
测试项
测试要求
正确结果
备注
1
规则升级及治理
规则库支持本地及在线升级/更新频率至少每周一次
Pass□
Fail□
2
设备治理
支持web和操纵台治理
Pass□
Fail□
3
部署模式
支持路由模式,透亮模式,直通模式
Pass□
Fail□
4
带宽治理
可通过协议,端口,IP及时刻等要素对流量进行治理
Pass□
Fail□
5
攻击特点库治理
攻击规则库支持按危险程度分类
Pass□
Fail□
攻击规则库支持按服务类型分类
Pass□
Fail□
能够对单条具体规则设置单独的响应方式
Pass□
Fail□
能够对某类规则设置共同的响应方式
Pass□
Fail□
支持自定义新的规则
Pass□
Fail□
6
硬件BYPASS
支持接口BYPASS功能
Pass□
Fail□
7
日志治理
支持日志分析和日志查询,支持日志清晰和备份治理
Pass□
Fail□
8
报表治理
支持多种报表格式/可自动生成日报周报月报
Pass□
Fail□
9
审计治理
支持用户审计功能,支持用户分组和权限分级
Pass□
Fail□
10
流量分析
支持分协议流量分析/支持以图表方式显示流量/支持流量图表储存功能/支持查看每类流量前10位用户/支持查看常见协议流量占用最大带宽的前10位的用户IP列表
Pass□
Fail□
11
入侵防护功能
支持IP碎片重组、TCP流汇聚、TCP状态跟踪、协议识不、协议分析、协议专门检测、特点检测、关联分析、流量专门检测、拒绝服务攻击检测
Pass□
Fail□
12
响应方式
支持监控/阻断/日志告警/邮件告警/自定义/SNMPTrap等多种响应方式
Pass□
Fail□
13
多路IPS
支持多路IPS
Pass□
Fail□
14
防火墙功能
支持简单的防火墙功能
Pass□
Fail□
15
吞吐量
≥600Mbps
Pass□
Fail□
16
最大并发TCP会话数
≥200,000
Pass□
Fail□
17
每秒并发TCP会话数
≥150,000
Pass□
Fail□
18
规则库
≥18000
Pass□
Fail□
19
平均无故障时刻(MTBF)
≥100,000小时
Pass□
Fail□
测试数据
IPS差不多功能测试
特点检测能力测试
测试拓扑图:
测试步骤:
1)IPS透亮接入,选用多个常见的攻击手段,例如:
使用XSCAN工具
2)开启IPS的检测功能,行为方式差不多上“通过”
3)分不在IPS两端连接一台主机。
4)在一台PC上使用选择好的攻击手段攻击IPS另一边的PC
预期结果:
IPS能够检测到攻击。
实际结果:
特点名称
测试结果
备注
HTTP.Unknown.Tunnelling
可记录
SNMP.Restricted.OID
可记录
可记录
NBTStat.Query
可记录
Portmap.Getport.UDP
可记录
Private.Access.UDP
可记录
Sun.iPlanet.Admin.Server.Cross.Site.Scripting
可记录
Aestiva.HTML/OS.Cross-Site.Scripting
可记录
HTTP.GET.Request.Directory.Traversal
可记录
PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting
可记录
HTTP.CGI.Bigconf.cgi.Access
可记录
PhpInclude.Worm.B
可记录
可记录
FormMail.Flood.Servers.Anonymous.Email
可记录
IIS.Escape.Character.Decode.Executable
可记录
特点阻断能力
测试拓扑图:
测试步骤:
1)IPS透亮接入,选用多个常见的攻击手段,例如:
端口扫描(XScan)
2)开启IPS的检测功能,行为方式差不多上“丢弃”
3)分不在IPS两端连接一台主机。
4)在一台PC上使用选择好的攻击手段攻击IPS另一边的PC
预期结果:
IPS能够阻断穿过IPS的攻击。
实际结果:
特点名称
测试结果
备注
HTTP.Unknown.Tunnelling
可记录可阻断
SNMP.Restricted.OID
可记录可阻断
可记录可阻断
NBTStat.Query
可记录可阻断
Portmap.Getport.UDP
可记录可阻断
Private.Access.UDP
可记录可阻断
Sun.iPlanet.Admin.Server.Cross.Site.Scripting
可记录可阻断
Aestiva.HTML/OS.Cross-Site.Scripting
可记录可阻断
HTTP.GET.Request.Directory.Traversal
可记录可阻断
PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting
可记录可阻断
HTTP.CGI.Bigconf.cgi.Access
可记录可阻断
PhpInclude.Worm.B
可记录可阻断
可记录可阻断
FormMail.Flood.Servers.Anonymous.Email
可记录可阻断
IIS.Escape.Character.Decode.Executable
可记录可阻断
基于策略的检测
测试拓扑图:
测试步骤:
1)IPS透亮接入,选用常见的攻击工具,例如pinglarge
2)开启IPS的检测功能,行为方式差不多上“丢弃”
3)分不在IPS的两边连接一台客户端主机。
4)配置策略,源地址配置攻击PC的IP,攻击PC向受攻击PC发起攻击
5)配置策略,源地址配置与攻击PC不同的IP,攻击PC向受攻击PC发起攻击
预期结果:
步骤4)的结果应该能够阻断攻击,步骤5)的结果应该不能够阻断攻击。
实际结果:
与预期结果一致。
Metasploit测试
测试拓扑图:
测试步骤:
1)IPS透亮接入。
两端各连接一台主机。
2)启用IPS检测功能,特点行为配置为“丢弃”
3)在一段PC上使用Metasploit工具攻击另一端PC
预期结果:
IPS能够检测并阻断攻击,被攻击PC系统不受阻碍。
实际结果:
测试名称
测试结果
备注
MicrosoftIIS5.0PrinterHostHeaderOverflow
可记录可阻断
BT检测和阻断
测试拓扑图:
测试步骤:
1)IPS透亮接入,配置IPS,设置P2P中BT行为模式“通过”,仅作检测。
2)在客户端主机上安装BT软件,上互联网下载文件。
4)启用BT下载文件。
5)修改步骤1)中的行为模式为“丢弃”,步骤重复4)。
预期结果:
IPS能够检测和阻止BT下载。
实际结果:
测试名称
测试结果
备注
用BT软件下载
可记录可阻断
流量操纵
测试拓扑图:
测试步骤:
1)IPS透亮接入,配置IPS,设置P2P中BT行为模式为限制速率
2)在客户端主机上安装BT软件,上互联网下载文件。
4)启用BT下载文件。
预期结果:
IPS能够检测到BT下载,并将速率限制在配置范畴左右
实际结果:
测试名称
测试结果
备注
用BT软件下载
可限制下载速率
Skype的检测和阻断
测试拓扑图:
测试步骤:
1)IPS透亮接入,配置IPS,设置P2P中Skype行为模式“通过”,仅作检测。
2)在客户端主机上安装Skype软件,上互联网谈天。
3)修改步骤1)中的行为模式为“丢弃”,步骤重复2。
预期结果:
IPS能够检测到并能够阻断Skype的通讯。
实际结果:
测试名称
测试结果
备注
用Skype软件联机互联网
可记录可阻断
QQ的检测和阻断
测试拓扑图:
测试步骤:
1)IPS透亮接入,配置IPS,设置P2P中QQ行为模式“通过”,仅作检测。
2)在客户端主机上安装QQ软件,上互联网谈天。
3)修改步骤1)中的行为模式为“丢弃”,步骤重复2。
预期结果:
IPS能够检测到并能够阻断QQ的通讯。
实际结果:
测试名称
测试结果
备注
使用QQ连接互联网
可记录可阻断
MSN的检测和阻断
测试拓扑图:
测试步骤:
1)IPS透亮接入,配置IPS,设置P2P中MSN行为模式“通过”,仅作检测。
2)在客户端主机上安装MSN软件,上互联网谈天。
3)修改步骤1)中的行为模式为“丢弃”,步骤重复2。
4)配置特定的登陆帐号,测试阻断。
预期结果:
IPS能够检测到并能够阻断MSN的通讯。
实际结果:
测试名称
测试结果
备注
用MSN联机互联网
可记录可阻断
用MSN制定帐号联机互联网
可按照特定帐号阻断
DDOS攻击检测和阻断
测试拓扑图:
测试步骤:
1)IPS透亮接入,选用常见的DOS攻击手段,例如:
(SYN_FLOOD,ICMP_FLOOD)。
2)开启IPS的检测功能,行为方式差不多上“通过”
3)分不在IPS的两边连接一台主机。
4)一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器”
5)修改步骤2)的行为方式为“阻断”,重复步骤4)
预期结果:
IPS能够检测和阻断DOS攻击。
实际结果:
测试名称
测试结果
备注
SYN_FLOOD
可记录可阻断
Port_Scan
可记录可阻断
LARGE_PING
可记录可阻断
Bypass功能测试
测试拓扑图:
测试步骤:
1)IPS透亮接入。
两端各连接一台主机,一台为客户端,
2)关闭IPS设备电源,
3)测试两台设备间的连同性,ping命令测试
测试结果:
该设备不支持Bypass功能(该功能使得设备在显现硬件故障或者受到严峻攻击无法响应的情形下仍能够保证设备正常通信)
安全审计测试
测试拓扑图:
测试步骤:
1)IPS透亮接入。
2)一台PC和一台安全平台通过交换机连接在IPS内口,通过IPS连接互联网
3)通过安全治理平台收集IPS的攻击日志,以用来审计和生成各种报表。
预期结果:
能够收集IPS产生的攻击日志,并能够进行审计和报表生成
实测结果:
与预期结果一致。
报表测试
测试拓扑图:
测试步骤:
1)IPS透亮接入,选用常见的DOS攻击手段,例如:
(SYN_FLOOD,ICMP_FLOOD)。
2)开启IPS的检测功能,行为方式差不多上“通过”
3)分不在IPS的两边连接一台主机。
4)一端PC使用选择SYN_FLOOD和ICMP_FLOOD攻击手段攻击IPS另一边的“服务器”
5)查看有关治理报表
测试结果:
无报表功能,仅能提供简单的日志功能,无法提供对攻击统计,攻击排名,攻击数量和种类统计,无法对网络安全状况作出评估。
特点库升级测试
测试拓扑图:
测试步骤:
1)从官方网站下载最新的入侵防护代码库,进行系统特点库的升级
测试结果:
无法在网站上得到最新的特点库,本测试项要紧考察IPS设备特点库的更新是否及时,IPS设备的防护成效要紧靠完善的IPS特点库。
差不多性能测试
防火墙性能测试拓扑图
2口(一进一出)吞吐量测试
其中,在做吞吐量测试时,使用Iperf、Netper测试软件。
Iperf基准
测试时刻
单向
双向
文件传输
文件大小
10秒
Scp:
MB/s
960MB
60秒
Iperf:
Mbits/sec
960MB
Netper基准
批量网络流量的性能:
测试时刻
Tcp协议
Udp协议
10秒
//本地系统的发送统计
//远端系统接收统计
60秒
//本地系统的发送统计
//远端系统接收统计
要求应答网络流量的性能:
要求数据
TCP_RR
TCP_CRR
UDP_RR
R=1bytes
R=1024bytes
设备部署方式及工程化测试
测试结论
测试人员签名: