DS功能测试报告模版

XXX公司DeepSecurity测试报告趋势科技2014-3-27目录1.文档说明...........................................................................................................................32.测试环境需求说明...........................................................................................................43.测试环境说明...................................................................................................................64.防病毒功能测试...............................................................................................................85.防火墙功能测试.............................................................................................................106.深度包检测功能测试.....................................................................................................147.完整性监控.....................................................................................................................201.文档说明本文档用于说明趋势科技为XXX公司提供的虚拟层防护解决方案，经过用户环境测试后的有效性验证。内容包括：测试环境说明说明此次测试环境相关组件以及环境搭建过程防病毒功能测试说明此次测试验证过程以及测试结果防火墙功能测试说明此次测试验证过程以及测试结果虚拟补丁功能测试说明此次测试验证过程以及测试结果完整性监控功能测试说明此次测试验证过程以及测试结果本文档相关截图、日志、数据皆来源于此次实际测试环境，所有测试项目都达到了预计测试效果，达到测试目的。2.测试环境需求说明DSM控制台需求程序操作系统功能DSMWin2008sp264位DS管理控制台*至少分配8GB内存*至少分配2颗志强CPUSQL2008Win2008sp264位存储日志*至少分配8GB内存*至少分配2颗志强CPUDSVA客户端需求DS客户端安装是在每台物理机上以DSVA方式存在，安装方式与物理机增加无关，单台物理机上虚拟机数增加，相对应分配给DSVA的资源要增加，安装过程中，物理主机会重启，如下图所示通讯需求IP地址需求：1、DSM（SQLServer2008）、vShieldManager（VSM）各需要一个IP地址2、每个DSVA需要一个IP地址各组件访问规则需求：序源机器描述目的机器描述访问端口备注1DSMVCTcp4119双向Tcp4432VSMVCTcp443双向3DSMDSVATcp4118双向Tcp4120Tcp41224DSMVSMTcp443双向5VSMDSVATcp443双向6DSMEsxTcp443双向Tcp41197VSMEsxTcp443双向3.测试环境说明角色IP地址web控制台登录地址系统类型web控制台用户名/密码系统登录名和密码DSM10.100.60.121（DeepSecrutiy控制端）ESX110.100.61.111n/alinuxx64n/an/aESX210.100.61.113n/alinuxx64n/an/aESX310.100.61.114n/alinuxx64n/an/aESX410.100.61.115n/alinuxx64n/an/avCenter10.100.60.110使用vSphereClient登录windows2008administrator/-administrator/-vShieldManager10.100.60.122（vmware组件，用于完成底层防病毒）DSVAforESX110.100.60.123n/alinuxx64n/adsva/dsva（DeepSecurity组件之一）DSVAforESX210.100.60.124n/alinuxx64n/adsva/dsva（DeepSecurity组件之一）DSVAforESX310.100.60.125n/alinuxx64n/adsva/dsva（DeepSecurity组件之一）Test-Machine-110.100.61.167n/awindows2008n/aadministrator/-(TransferServer)注：其中为趋势DeepSecurity相关服务器vmware相关服务器测试用虚拟机ESX主机VMVMVMVMDSVAvShieldManagerESX主机VMVMVMVMvCenterConnectServerDSM项目测试环境搭建时间2014/3/27步骤描述结果备注1.部署vShieldManager该步骤用户完成vShieldAPI安装，以便完成稍后的底层无代理防病毒功能□成功2.部署DeepSecurityManager该步骤用于完成DeepSecurityManager□成功3.部署DeepSecurityVirtualAppliance该步骤用于完成vShieldAPI与趋势科技DeepSecurityVirtualAppliance联动□成功4.防病毒功能测试趋势科技通过Vmware提供的vShieldAPI，无需在GuestServer安装客户端程序，即可实现免客户端的底层防护功能，实现基于实时/手动的病毒查杀功能。1.底层防病毒功能激活选取一台虚拟机，激活底层防病毒功能2.实时扫描功能测试通过该虚拟机的解压下载的eicar.zip测试文件，实时扫描功能检测并处理位于读写状态中的EICAR测试病毒，该测试文件的解压缩过程被实时阻止并生成相关日志。测试文件解压缩失败。检测日志，在防恶意软件事件中发现解压缩的文件已经被隔离。3.测试结果项目虚拟层无客户端防病毒功能测试(针对Win2008)时间2014/3/27步骤描述结果备注1.激活实时扫描功能，将测试病毒Eicar释放到本地硬盘；正常情况下，该文件无法释放，DSM上可观察到相关文件被隔离的日志该步骤用于验证趋势科技解决方案可以实时地对来自外部的病毒进行处理□成功无2.以上步骤执行过程中，无兼容性问题该步骤用于验证趋势科技解决方案在运行中不会对用户环境产生兼容性问题□成功3.以上步骤执行过程中，无性能问题该步骤用于验证趋势科技解决方案在运行中不会对用户环境产生性能问题□成功5.防火墙功能测试趋势科技通过Vmware提供的vSafeAPI，无需在GuestServer安装客户端程序，即可实现免客户端的底层防护功能，实现基于流量内容的虚拟补丁功能，实现过滤针对利用操作系统漏洞进行攻击的流量。1.搭建用于测试的环境进入测试策略界面开启防火墙功能建立一条策略，禁止icmp包传入启用策略使用ping命令测试策略是否生效，策略已经生效同时关闭策略检测事件记录2.测试结果项目虚拟层无客户端防火墙功能测试(针对Win2008)时间2014/3/27步骤描述结果备注1.激活防火墙功能；可通过虚拟机状态以及systemevent查看是否设置该步骤用于启用防火墙防护功能，为后续测试做准备无2.在测试VM上部署icmp禁止传入测试，启用策略该步骤用于测试防火墙功能针对协议和包的有效性3.使用ping命令验证策略部署该步骤用于确认防火墙策略是否正确生效，有效拒绝icmp4.在测试VM上关闭部署的icmp拒绝策略该步骤用于对策略的二次验证5.继续使用ping命令验证策略是否生效该步骤用于确实防火墙策略取消后icmp包的传输是否正常6.以上步骤执行过程中，无兼容性问题该步骤用于验证趋势科技解决方案在运行中不会对用户环境产生兼容性问题7.以上步骤执行过程中，无性能问题该步骤用于验证趋势科技解决方案在运行中不会对用户环境产生性能问题6.深度包检测功能测试趋势科技通过Vmware提供的vSafeAPI，无需在GuestServer安装客户端程序，即可实现免客户端的底层防护功能，实现基于流量内容的虚拟补丁功能，实现过滤针对利用操作系统漏洞进行攻击的流量。1.测试工具说明A).DemoSQL为模拟SQLSlammer攻击行为的演示工具（并不会对操作系统产生实际影响），利用MicrosoftMS02-039相关漏洞。B).lesssecurity.py为模拟针对远程桌面协定重大漏洞攻击行为的演示（会对操作系统产生实际影响，不建议在生产环境中测试），利用MicrosoftMS12-020相关漏洞。2.测试一：激活虚拟补丁防护策略启用DPI策略”1000617:MS-SQLSlammerWorm”使用DemoSQL工具进行模拟攻击查看相关DPI日志3.测试二未应用虚拟补丁防护策略测试攻击攻击成功，被攻击主机蓝屏主机重启，错误信息激活虚拟补丁防护策略启用DPI策略”1004949–RemoteDesktopProtocolVulnerability(VCE-2012-0002)”攻击失败，主机未出现蓝屏查看相关DPI日志4.测试结果项目虚拟层无客户端防火墙功能测试(针对Win2008)时间2014/3/27步骤描述结果备注1.激活DPI功能；可通过对应虚拟机状态以及systemevent查看是否设置成功该步骤用于启用DPI防护功能，为后续测试虚拟补丁做准备□成功无2.使用DPI虚拟补丁策略，屏蔽SQL演示攻击；正常情况下，可以通过DPIEvent查看是否防护成功该步骤用于确认DPI虚拟补丁策略正确生效，有效屏蔽基于MicrosoftMS02-039攻击□成功2.使用DPI虚拟补丁策略，屏蔽利用远程桌面协定漏洞的演示攻击；正常情况下，可以通过DPIEvent查看是否防护成功该步骤用于确认DPI虚拟补丁策略正确生效，有效屏蔽基于MicrosoftMS12-020攻击□成功7.完整性监控趋势科技通过Vmware提供的vSafeAPI，无需在GuestServer安装客户端程序，即可实现免客户端的底层防护功能，实现基于注册表/系统文件状态检测的完成性监控功能。1.搭建用于测试的环境进入测试策略管理界面开启完整性监控功能2.开启监控hosts文件的策略，扫描生成基线3.修改测试机的hosts文件4.扫描此时测试机的完整性，同时生成基准线5.事件预警6.测试结果项目虚拟层无客户端完整性监控功能测试(针对Win2008)时间2014/3/27步骤描述结果备注1.激活完整性监控功能可以通过针对测试机生成完整性基准线该步骤用于启用hosts文件监控，生成测试系统的完整性基准线成功无2.更改测试机器的hosts文件，出发完整性监控策略的实时性该步骤用于触发部署的完整监控策略，并且以事件的形式发出通知成功