DPtech IPS系列入侵防御系统测试方案资料Word文档下载推荐.docx
- 文档编号:4471878
- 上传时间:2023-05-03
- 格式:DOCX
- 页数:28
- 大小:61.18KB
DPtech IPS系列入侵防御系统测试方案资料Word文档下载推荐.docx
《DPtech IPS系列入侵防御系统测试方案资料Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《DPtech IPS系列入侵防御系统测试方案资料Word文档下载推荐.docx(28页珍藏版)》请在冰点文库上搜索。
4.4安全特性17
4.4.1用户的安全性17
4.4.2设备的安全性19
第5章测试总结21
第1章产品介绍
随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?
很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
迪普科技在IPS2000N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。
同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其内置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。
漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。
迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。
迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间内具备防御零时差攻击(Zero-dayAttack)的能力,最大程度的保护用户安全。
目前,迪普科技已成为中国国家漏洞库的主要提供者之一。
借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。
IPS2000N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。
IPS2000N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
第2章
测试计划
2.1测试方案
DPtechIPS产品主要包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDos攻击等几大主体功能,本文档的测试项主要以上述主体功能的测试展开;
同时,测试中还涉及到限流等多种响应方式,设备的可管理性、高可靠性等诸多方面的测试,以充分展示设备的完备功能和高性能。
2.2测试环境
2.2.1透明模式
图1透明模式
设备或软件名称
描述
数量
IPS主机
用于实现入侵检测,保障网络安全
1
PC主机
用于安装UMC统一管理平台软件,及实现攻击与被攻击
3
2.2.2旁路模式
图2旁路模式
SW主机
用于引出攻击镜像流量,实现旁路入侵检测
第3章
测试内容
3.1功能特性
产品功能包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDoS攻击等几大主体功能。
DPtechIPS通常部署为Online的工作模式,在数据传输的路径中,任何数据流都必须经过设备做检测,一旦发现有蠕虫、病毒、后门、木马、间谍软件、可疑代码、网络钓鱼等攻击行为,DPtechIPS会立即阻断攻击,隔离攻击源,屏蔽蠕虫、病毒和间谍软件等,同时记录日志告知网络管理员。
防病毒管理通过采用实时分析,自动阻截携带病毒的报文与异常流量。
针对这些异常流量,通常施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。
访问控制包括带宽应用限速、网络应用访问控制、URL过滤三大功能。
网络流量按照其用途的不同划分成不同的服务类型,例如HTTP服务、FTP服务、E-Mail服务等,对不同的服务类型实施不同的流量限速、阻断控制行为。
URL过滤是一种网页过滤功能,支持根据IP地址、主机名和正则表达式对HTTP的请求报文进行过滤。
URL过滤依赖一个URL过滤规则数据库,用户可以灵活定制URL过滤规则进行URL过滤。
3.2响应方式
当设备检测到有攻击发生时,能采取如下方式来响应:
发送Reset报文:
可向攻击源或目标服务器分别发送Reset报文,强行中断连接,及时保护目标服务器的安全性;
设备的攻击日志记录方式多种多样,除了支持设备本地存储,还能实时上报到Syslog日志主机、发送E-mail告警,方便IT人员及时了解网络安全状况。
3.3管理特性
为方便IT人员管理,设备提供了良好的可管理性。
支持HTTPS等安全管理方式,支持Web的友好界面,简化IPS的配置,方便用户操作和维护。
特征库的升级支持手动和自动两种方式,用户可根据实际情况随意选择特征库的升级时间。
设备支持完备的日志和报表功能。
设备能根据网络攻击情况,根据攻击事件、攻击源、攻击目的,攻击级别、动作类型,统计报表,方便用户了解网络安全状况。
3.4安全性
可设置管理员的权限,不同权限的管理员访问设备的功能权限不同。
可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。
在登录参数设置上,包括超时时间、错误登录锁定和锁定后解锁。
3.5高可靠性
DPtechIPS具有极高的软硬件可靠性,支持端口模块热插拔,支持双电源,支持在检测引擎失效的情况下二层直通,支持在掉电的情况下仍然可以转发数据,保证网络的畅通。
设备内置的监测模块以很高的频率定时地监测自身的健康状况,一旦探测到检测引擎、软件系统故障或者流量过大时,该模块会将设备设置成一个简单的二层交换设备,这个功能称为“软件bypass”。
此时,网络流量将在两个接口之间直接贯通,从而保持网络业务的连续性。
抗掉电保护,在设备异常掉电后,当IPS恢复供电,系统的状态、相关日志和配置信息正常保存。
第4章
测试方法及步骤
4.1功能特性
4.1.1攻击防护
木马程序-冰河(在线部署)
测试目的
验证设备对木马程序-冰河(在线部署)的防护
测试条件
1、测试组网,参见图1
2、添加IPS策略,安全级别选为高,需保护的IT资源全选
3、组网模式中,将接口选为透明模式
测试过程
1、使能软件bypass功能
2、PC1运行冰河8.0服务器,PC2运行冰河8.0客户端,并对PC1进行控制
3、得到预期结果1
4、在PC1被控制情况下,禁止软件bypass功能
5、得到预期结果2
6、关闭,并重新运行PC2的冰河客户端,对PC1进行控制
7、得到预期结果3
预期结果
1、PC1被成功控制,且无IPS阻断日志
2、PC1没有继续被控制,且生成IPS阻断日志
3、PC1没有被控制,且生成IPS阻断日志
其它说明和注意事项
测试结果
木马程序-冰河(旁路部署)
验证设备对木马程序-冰河(旁路部署)的检测
1、测试组网,参见图2
3、组网模式中,将接口选为旁路模式
1、PC1运行冰河8.0服务器,PC2运行冰河8.0客户端,并对PC1进行控制
2、得到预期结果1
1、PC1被成功控制,且有IPS阻断日志
旁路模式下,无法直接执行动作
溢出程序-MS08-067
验证设备对MS08-067漏洞的防护
1、禁止软件bypass功能
2、PC2运行攻击脚本
4、使能软件bypass功能
5、PC2运行攻击脚本
6、得到预期结果2
1、PC1没有开启4444端口,且生成IPS阻断日志
2、PC1开启4444端口,通过远程telnet可以获取到管理员权限,且无IPS阻断日志
攻击脚本只能攻击成功一次
攻击报文-死亡之Ping
验证设备对攻击报文-死亡之Ping的防护
2、PC2使用Iris发送死亡之Ping攻击报文
4、禁止软件bypass功能
5、PC2使用Iris发送死亡之Ping攻击报文
1、PS无IPS阻断日志
2、IPS生成IPS阻断日志
SQL注入攻击
验证基本SQL注入防护功能
2、定义SQL注入防护策略,网络用户组默认,策略动作为阻断
1、在IPS内网侧访问任一外网地址,以为例,在URL后添加字符串“?
id='
or'
1'
='
1”并敲回车访问,有预期结果1
1、IPS中出现SQL注入阻断日志,不能访问XX首页;
4.1.2防病毒
HTTP方式的病毒防护
验证HTTP方式的病毒防护
2、PC1使用xitami建立HTTP服务器
3、添加AV策略,并下发
2、PC2访问PC1的HTTP服务器,下载病毒文件
5、PC2访问PC1的HTTP服务器,下载病毒文件
1、可正常下载,设备无相关日志
2、下载被阻断,设备产生相应日志
FTP方式的病毒防护
验证FTP方式的病毒防护
2、PC1使用wftp建立FTP服务器,PC2使用Cute-FTP做FTP客户端
2、PC2通过FTP客户端,从PC1下载病毒文件
5、PC2通过FTP客户端,从PC1下载病毒文件
SMTP/POP3方式的病毒防护
验证SMTP/POP3方式的病毒防护
2、PC1建立邮件服务器,PC2使用outlook客户端
2、PC2通过outlook客户端,向PC1邮件服务器上传病毒文件
5、PPC2通过outlook客户端,向PC1邮件服务器上传病毒文件
1、可正常上传,设备无相关日志
2、上传被阻断,设备产生相应日志
4.1.3访问控制
对FTP传输限速
验证设备对FTP传输的带宽限速
2、PC1启动wftp,做FTP服务器;
PC2启动Cute-FTP,做FTP客户端
3、添加带宽限速规则,选择指定接口对和用户组,状态为使能,设置限速参数为:
文件传输,上行:
80kbps,下行:
80kbps,其它参数默认
1、在不创建带宽限速的规则的情况下,PC使用FTP下载文件
2、在原本网络条件良好的情况下,得到预期结果1
3、在创建带宽限速的规则的情况下,PC使用FTP下载文件
4、得到预期结果2
1、FTP下载没有被限速
2、FTP的下载速度被限制在80kbps或10KB/s以下
网络访问控制
验证设备对FTP的访问控制
3、添加带宽限速规则,选择指定接口对和用户组,状态为使能,服务类型为文件传输,黑名单,其它参数默认
1、在不创建访问控制的规则的情况下,PC2使用FTP下载文件
3、在创建访问控制的规则的情况下,PC2使用FTP下载文件
1、FTP正常下载
2、无法建立FTP连接
URL过滤
验证设备对URL的过滤
2、PC1启动xitami,做HTTP服务器
3、添加URL过滤规则,选择指定接口对和用户组,状态为使能,过滤设置为IP,且地址为PC1的HTTP服务器地址,选择黑名单,下发URL策略
1、PC2访问PC1的web界面
3、将URL过滤状态改为禁止,下发URL策略,PC2访问PC1的web界面
5、将URL过滤策略删除,下发URL策略,PC2访问PC1的web界面
6、得到预期结果3
1、PC2无法打开PC1的web界面
2、PC2可以打开PC1的web界面
3、PC2可以打开PC1的web界面
4.1.4最大连接数与DDoS
限制FTP传输的连接数
验证限制使用FTP传输的连接数
3、添加连接数量超限控制规则,选择指定用户组,状态为使能,设置最大连接数为2
1、在不创建连接数量超限控制的规则的情况下,PC2建立5个FTP连接
3、在创建连接数量超限控制的规则的情况下,PC2建立5个FTP连接
1、可以建立5个FTP连接
2、无法建立5个FTP连接,建立连接数被限制
对SYNFlood的防护
验证设备对SYNFlood的防护
3、添加Flood防护规则,指定被保护的目标IP,以及每秒连接数的阈值
1、在不创建Flood防护规则的情况下,PC2使用HGod攻击PC1后,建立FTP连接
3、在创建Flood防护规则的情况下,PC2使用HGod攻击PC1后,建立FTP连接
1、无法建立FTP连接
2、可以建立FTP连接
4.1.5黑名单功能
手动添加黑名单
验证设备手动添加黑名单功能
2、PC1开启PING,对PC2进行连通性验证
1、将PC1的IP加入到黑名单
1、PING中断,PC1无法对PC2发起任何连接
需开启黑名单开关,旁路模式下,无法直接执行动作
自动添加黑名单
验证设备自动添加黑名单功能
2、PC1持续攻击PC2(如IP扫描、端口扫描、协议扫描等)
3、开启基本攻击防护功能,并配置相应频率
1、当攻击频率超过配置频率后
1、自动将攻击源IP加入到黑名单中,中断其所有连接
4.2响应方式
4.2.1阻断方式
发Reset包阻断攻击
发Reset包阻断攻击报文
2、添加ips策略,将规则中冰河的动作设置为阻断+双向发送Reset报文
3、PC1与PC2打开抓包工具,分别抓通过各自网卡的报文
1、PC1与PC2分别建立冰河的服务器与客户端,PC2对PC1进行控制
3、查看PC1上捕获的报文
5、查看PC2上捕获的报文
1、PC2无法控制PC1,攻击被阻断,生成阻断日志
2、捕获到Reset报文
无
4.2.2日志管理
本地存储与日志转储
攻击日志记录到本地数据库,日志可转储
1、前置动作,进行IPS的攻击
2、查看web界面上的IPS日志信息
4、点击查询页面中的导出CSV,弹出对话框
5、点击打开,得到预期结果2
6、点击保存,得到预期结果3
1、在web上能查到相关的IPS日志信息
2、文件直接被打开
3、文件保存在所指定目录下
Syslog告警方式
通过Syslog方式上报攻击日志
2、管理者的PC上安装有UMC软件
1、将业务日志的输出方向选为管理者主机,并指定该UMC的地址和端口号
2、进行IPS攻击
3、当有攻击日志后,观察UMC中的信息
4、得到预期结果1
1、UMC中有相应攻击日志,其内容为IPS检测到的攻击信息
4.3管理特性
4.3.1设备管理
丰富的管理方式
验证设备的管理方式
2、管理台用串口和设备相连,管理口用网线和设备管理口相连,且IP地址属同一网段
1、IPS支持Web操作(http/https,端口可自定义)、Telnet、SSH、串口管理
2、用上述方式管理设备,得到预期结果1
1、各种管理方式均支持
手动升级特征库
验证手动升级特征库
1、组网,参见图1
2、S设备中有该特征库的License
3、中有要升级的特征库文件
1、在web上导入该特征库
2、点确定按钮,升级最新的特征库
1、特征库升级成功
设备状态检测
验证IPSWEB界面查看设备CPU,内存使用率
1、B界面查看设备的CPU和内存使用率
2、预期结果1
1、可查看设备的CPU、内存使用率
4.3.2报表特性
攻击报表
查看设备的攻击报表
2、本地数据库中已有IPS攻击日志
1、在IPS日志模块中,进入IPS日志分析
2、分别根据周期和类型对日志进行分析
4、查看攻击日志信息
6、按照条件进行历史事件查询
1、分析的结果与实际相符
2、可查看攻击IP、端口、攻击事件、时间等信息
3、可查询符合该条件下的日志
病毒报表
查看设备的病毒报表
2、本地数据库中已有病毒日志
1、在防病毒日志模块中,进入病毒日志分析
4、查看病毒日志信息
2、可查看病毒IP、端口、攻击事件、时间等信息
报表自动导出
验证报表自动生成功能
2、本地产生攻击日志,并时时输出到UMC
1、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DPtech IPS系列入侵防御系统测试方案资料 IPS 系列 入侵 防御 系统 测试 方案 资料