IPS测试方案

IPS测试方案1测试说明1.测试时间：2.测试人员：3.参测产品型号：2测试内容测试时网络拓扑图：2.1DDOS攻击测试针对SYNFlood攻击攻击工具：HGOD描述：测试IPS是否检测和阻断攻击测试结果描述：攻击报文数量－阻断攻击报文的数量针对UDPFlood攻击攻击工具：阿拉丁UDP洪水攻击描述：测试IPS是否检测和阻断攻击测试结果描述：攻击报文数量－阻断攻击报文的数量针对ICMPFlood攻击攻击工具：HGOD测试结果描述：攻击报文数量－阻断攻击报文的数量针对IGMPFlood攻击攻击工具：HGOD测试结果描述：攻击报文数量－阻断攻击报文的数量测试结果统计：测试项名称DDOS攻击测试测试项编号IPS-Test-1测试项描述拒绝服务攻击测试测试目的检测IPS系统对SYN_Flood、UDP_Flood、ICMP、IGMP拒绝服务攻击的防护效果测试产品型号结果说明测试时间测试工程师有效防护TCPFlood攻击，并且没有阻断正常的网络访问HGOD分别使用不同线程、不同封包大小进行攻击可以有效防护UDPflood攻击阿拉丁UDP洪水软件使用超强最高级别，不同的封包大小进行攻击可以有效防护ICMPflood攻击，并且没有阻断正常的ping数据包，HGOD分别使用不同线程、不同封包大小进行攻击可以有效防护IGMPflood攻击HGOD分别使用不同线程、不同封包大小进行攻击2.2扫描软件测试针对SuperScan扫描测试攻击工具：SuperScan描述：测试IPS是否检测和阻断攻击测试结果描述：在SecIPS3600保护下可有效防止SuperScan扫描针对XScan扫描测试攻击工具：Xscan扫描测试描述：测试IPS是否检测和阻断攻击测试结果描述：在SecIPS3600保护下可有效防止XScan扫描测试结果统计：测试项名称扫描软件测试测试项编号IPS-Test-2测试项描述针对SuperScan,X_Scan测试目的模拟针对实际应用环境的业务系统，检测系统对HTTP攻击测试产品型号结果说明测试时间测试工程师可检测：Superscan,X_Scan扫描软件的攻击开防护后，可以阻断大量扫描2.3蠕虫病毒防护测试SQLSlammerSniffer发包测试攻击工具：SnifferandSlammer.capFile描述：测试IPS是否检测和阻断攻击测试结果描述：在SecIPS3600保护下可有效防止SQLSlammer攻击BagleSniffer发包测试攻击工具：SnifferandBagle.capFile描述：测试IPS是否检测和阻断攻击测试结果描述：在SecIPS3600保护下可有效防止Bagle攻击测试结果统计：测试项名称蠕虫病毒防护测试测试项编号IPS-Test-3测试项描述检测一些流行的网络型病毒、木马，阻挡其扩散传播。测试目的检测一些流行的网络型病毒、木马，阻挡其扩散传播。测试产品型号结果说明测试时间测试工程师可检测到并拦截SQLSlammer,W32.Blaster,BagleAB及其变种的各种网络病毒数据包使用sniffer发送真实的网络型病毒数据包。IPS设备对于文件型病毒不具备防御能力2.4聊天软件阻挡测试MSN聊天软件测试攻击工具：MSN聊天软件描述：测试IPS是否检测和阻断MSN聊天软件测试结果描述：在SecIPS3600保护下可有效阻断MSN聊天软件QQ聊天软件测试攻击工具：QQ聊天软件描述：测试IPS是否检测和阻断QQ聊天软件测试结果描述：在SecIPS3600保护下可有效阻断QQ聊天软件测试结果统计：测试项名称聊天软件阻挡测试测试项编号IPS-Test-4测试项描述针对MSN及QQ等聊天软件进行测试测试目的在SecIPS3600保护下是否可有效阻断聊天软件测试产品型号结果说明测试时间测试工程师可检测并阻挡：MSN及QQ等聊天软件开防护后，可以阻断2.5P2P软件阻挡测试迅雷P2P软件测试攻击工具：迅雷P2P软件描述：测试IPS是否检测和阻断迅雷P2P软件测试结果描述：在SecIPS3600保护下可有效阻断迅雷P2P软件FlashGet下载软件测试攻击工具：FlashGet下载软件描述：测试IPS是否检测和阻断FlashGet下载软件测试结果描述：在SecIPS3600保护下可有效阻断FlashGet下载软件测试结果统计：测试项名称P2P软件阻挡测试测试项编号IPS-Test-5测试项描述针对迅雷及FlashGet等P2P软件进行测试测试目的在SecIPS3600保护下是否可有效阻断P2P软件测试产品型号结果说明测试时间测试工程师可检测并阻挡：迅雷及FlashGet等P2P软件开防护后，可以阻断3SecIPS3600其它特点SecIPS3600根据自身产品的特色，可作为今后产品选型的参考。3.1基本管理1.基本管理方式（如：Telnet、HTTPS、SSH、C/S等）管理方式通过远程管理主机管理IPS设备产品是否支持多种管理方式结果时间工程师支持加密管理（客户端通过管理服务器管理设备）支持中文管理支持设备带外管理（专用带外管理接口）客户端与管理服务器间采用B/S架构2.特征库升级与维护特征库升级与维护厂商描述和书面确认产品是否支持有效的特征库升级方式，以及各种升级方式部署模式。结果时间工程师支持：特征库在线自动升级支持通过管理中心升级特征库升级业务不中断3.SNMP/性能监控SNMP/性能监控厂商描述和书面确认产品是否支持基于SNMP的管理方式结果时间工程师支持：SNMP标准MIB支持4.系统变更策略对业务的影响系统变更策略对业务的影响修改策略检测业务状态在系统变更策略、系统OS升级系统特征库升级模式下测试结果时间工程师调整策略对系统无影响系统升级对通讯无影响5.策略定制的灵活性策略定制的灵活性系统灵活的特征对象检测策略定制系统是否支持策略分组，支持不同的策略对象结果时间工程师可针对不同的主机、网段、服务定制IPS检测策略；可针对不同的主机、网段、服务定制IPS动作策略；可以针对不同VLAN定制IPS策略3.2高级管理高级管理项主要包括：1.日志/报表日志与报表测试IPS系统日志、报表的内容、灵活性保证IPS系统日志可用、可分析、可审计结果时间工程师支持Syslog支持SNMP可透过Getinfo方式:显示各别端口的状况,流量等等的信息可定义不同的日志和报警级别，可针对不同策略定制日志报表展现灵活，支持中文报表有实施应用流量分析和实施攻击报表展示2.流量分析流量分析对应流量的分析针对IPS产品是否可以支持流量分析、流量管理以及会话连接数管理，并提供实时的系统流量曲线和提示结果时间工程师功能灵活，基于DDOS的攻击也采用异常流量分析的方式完成对于不同的异常行为，可采用不同的报警和动作方式图形界面直观3.特征自定义特征自定义IPS-T2-003检测IPS系统是否支持自定义特征和抓包分析针对实际环境，学习和抓包分析，并提供自定义特征地址结果时间工程师支持自定义特征支持IPS设备自身的抓包分析4.预警预警测试对于异常行为和流量的分析和预警针对系统报警信息和报警方式，是否可以根据预设的门限值进行系统预警结果测试时间测试工程师主要透过界面IPS实施报警方式，并可发送邮件进行报告3.3产品特殊应用1.SMTP应用邮件系统攻击检测系统对SMTP注入攻击的检测可以检测Metasploit3等SMTP漏洞注入2.SQL注入SQL注入对数据库注入攻击的检测可以检测“啊D”注入攻击等多种SQL注入对数据库注入攻击的检测3.缓冲区溢出综合测试基于HTTP的注入可检测Metasploit3的HTTP注入4.木马、蠕虫的防护检测一些流行的网络型病毒、木马，阻挡其扩散传播。可检测到并拦截灰鸽子SQLSlammer、W32.Blaster、BagleAB及其变种的各种网络病毒数据包5.应用程序的控管功能针对特殊IP地址，对一些关闭、限制一些耗费带宽资源的软软件进行封杀、限制。件，保证正常的网络流量和应用带宽、保证员工工作效率。对迅雷、各类BT、FlashGet、eMule软件的下载行为进行了拦截.完全阻挡QQ、MSN聊天软件和PPStream、qqlive流媒体软件.3.4部署方式1.透明串联部署描述：IPS基本部署模式，在不调整当前任何网络结构的前提下部署设备。2.Bypass描述：IPS产品要支持Bypass的功能，包括硬件Bypass（系统掉电），软件Bypass（系统过载或重大系统升级），应说明以上各种功能支持的情况，是否需要外置设备或其它模块。3.IDS监听模式部署描述：IPS是否支持IDS的监听部署模式，仅作为测试参考。4.高可用性支持描述：IPS基本部署模式，是否支持在HA部署，支持HA同步的数据类型，以及相关的配置方式。5.设备建议的部署位置描述：厂商对IPS产品最佳部署方式的描述，如部署在防火墙前等6.其它部署模式描述：厂商对适合自身IPS产品最佳部署方式的建议或其它特色功能的建议部署方式测试IPS系统部署的灵活性结果说明支持：透明方式部署基本IPS部署模式支持：硬件Bypass功能支持：软件Bypass功能（可以通过管理界面直接设置）硬件自带功能，断电设备自动导通，保证业务连续。电口和光口缺省支持支持：IDS旁路方式界面可灵活配置支持IPS接口组动作关联保证网络切换支持对IPS接口的Monitor功能灵活，利于分析SPAN监听功能支持VLAN环境无须配置，自动识别VLAN支持HA高可用性支持策略同步和会话同步厂商建议部署位置：SecIPS3600可同时使用两对ips同时部署防火墙前后功能灵活可达到同时防止外对内的攻击以及内对外的泄密事件灵活的虚拟IPS(VirtualIPS)SecIPS3600提供了多对IPS与多个IDS接口，可同时针对多个实体网络进行IPS安全防护与另外两个实体网络的IDS安全监测。SecIPS3600也提供VirtualIPS功能，即使因为网络基础建设的限制无法使用两组不同的IPS来进行安全防护，仍可依据不同的IP地址/IP群组、Subnet或者是VLANID设定套用不同的政策，提供弹性的安全管理政策。4结论除了内建Signature以及实时的signature更新安全防护之外,SecIPS3600有着完整丰富的自定义防护策略功能，可以针对贵单位需求定义出第七层的防护策略达成加强保护贵单位特殊应用之流量对抗各类攻击行为如DDos蠕虫等攻击行为。可以定义出完整的防护网来提升安全性净化网络。内建的带宽控管功能更能协助过滤不当数据包占用带宽之状况优化网络。此外支持HA功能更能确保贵单位的网络能24x7的安全。SecIPS3600绝对是您管理网络的最佳选择。对于内对外的户联网流量控管泄密事件SecIPS3600有比其它厂商更为强大的防御功能,总结来说SecIPS3600不单只是IPS,SecIPS3600更是多功能安全网关绝对可以担负起，对抗黑客决战境外与检查流出之数据包防止重要信息外流,达到净化优化管理网络,安内攘外的重责大任。