IPS设备测试大纲.docVIP

郑州威科姆科技股份有限公司 关于XXXXIPS设备 测试文档 用户服务中心集成部 2008年月 一、 用户需求 1 二、 关键技术指标 1 三、 测试目的 1 四、 测试环境 1 五、 测试时间 2 六、 测试地点 2 七、 测试参与者 2 八、 测试设备 2 九、 XXXIPS设备功能简介 3 十、 测试项 3 十一、 测试数据 5 1. IPS基本功能测试 5 1 特征检测能力测试 5 2 特征阻断能力 6 3 基于策略的检测 7 4 Metasploit测试 8 5 BT检测和阻断 8 6 流量控制 9 7 Skype的检测和阻断 9 8 QQ的检测和阻断 10 9 MSN的检测和阻断 10 10 DDOS攻击检测和阻断 11 11 Bypass功能测试 11 12 安全审计测试 12 13 报表测试 13 14 特征库升级测试 13 2. 基本性能测试 13 3. 设备部署方式及工程化测试 14 十二、 测试结论 14 用户需求 用户要求防火墙吞吐量要求1G，2个千兆电口或2个千兆光口，端口支持bypass功能，能够实现设备对常用协议限定以及攻击保护和检测。 关键技术指标 支持常用协议限定 攻击检测和保护机制 报表功能 设定不同保护策略 硬件设备的bypass功能 带宽管理 硬件端口及硬件性能 测试目的 检验的功能 当检测攻击检测和保护功能时，要求设置两台主机在相同网段，攻击主机中装有常用攻击软件如TCP flood、UDP flood、狂ping、扫描软件等。 检测相应协议限制部署 当检测相应协议限制功能时，要求PC能够连接到公网上，开启IM类通讯软件、p2p下载类软件、流媒体类软件。 测试时间 2008 年 X 月 X 日 2008 年 X 月 X 日 测试地点 测试参与者 测试设备测试设备： 设备名称 数量 准备方 准备情况 Client PC 2 Layer3交换机 1 网线 若干 主要由硬件平台、专用操作系统、安全等个部分组成。硬件平台根据用户使用环境的不同，选取专用安全平台或基于高性能服务器架构进行设计；专用操作系统为自主研发的安全嵌入式操作系统；安全采用模块化设计，针对不同的应用环境和不同的安全策略，可以配置不同的功能模块。 IP碎片重组流汇聚TCP状态跟踪协议识别协议分析协议异常检测吞吐量00Mbps Pass □ Fail □ 16 最大并发TCP会话数0,000 Pass □ Fail □ 17 每秒并发TCP会话数 150,000 Pass □ Fail □ 18 规则库 ≥18000 Pass □ Fail □ 19 平均无故障时间（MTBF）100,000小时IPS基本功能测试 测试步骤： 1）IPS透明接入，选用多个常见的攻击手段，比如：使用XSCAN工具 2）开启IPS的检测功能，行为方式都是“通过” 3）分别在IPS两端连接一台主机。 4 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC 预期结果： IPS能够检测到攻击。 实际结果： 特征名称 测试结果 备注 HTTP.Unknown.Tunnelling 可记录 SNMP.Restricted.OID 可记录 UDP.Public.Community.String 可记录 NBTStat.Query 可记录 Portmap.Getport.UDP 可记录 Private.Access.UDP 可记录 Sun.iPlanet.Admin.Server.Cross.Site.Scripting 可记录 Aestiva.HTML/OS.Cross-Site.Scripting 可记录 HTTP.GET.Request.Directory.Traversal 可记录 PHP.Topic.Calendar.calendar_scheduler.Cross-Site.Scripting 可记录 HTTP.CGI.Bigconf.cgi.Access 可记录 PhpInclude.Worm.B 可记录 CGI.AN-HTTPd.Command.Execution.A 可记录 FormMail.Flood.Servers.Anonymous.Email 可记录 IIS.Escape.Character.Decode.Executable 可记录 特征阻断能力 测试拓扑图: 测试步骤： 1）IPS透明接入，选用多个常见的攻击手段，比如：端口扫描（XScan） 2）开启IPS的检测功能，行为方式都是“丢弃” 3）分别在IPS两端连接一台主机。 4 在一台PC上使用选择好的攻击手段攻击IPS另一边的PC 预期结