入侵防御系統(tǒng)測試方案

1、網絡入侵防御系統(tǒng)測試方案網絡入侵防御系統(tǒng)測試方案 參測廠商參測廠商 測試單位測試單位 測試時間測試時間 目目 錄錄 1參測產品情況調查參測產品情況調查.4 1.1表格一：測試產品基本情況調查表.4 1.2表格二：認證、檢測及鑒定情況.4 1.3表格三：分值比例.5 2 測試環(huán)境測試環(huán)境 .5 2.1功能測試環(huán)境.5 2.2現網測試環(huán)境.6 2.3測試設備清單.6 2.4測試工具.6 3 測試總流程測試總流程 .7 3.1 測試準備.7 3.2 測試實施.7 3.3 測試記錄.7 3.4 測試報告.7 4 測試內容測試內容 .8 4.1管理功能測試.8 4.1.1.引擎管理控制功能.8 4.1.

2、2.控制中心基本管理功能.8 4.1.3.部署方式測試.9 4.1.4.策略編輯.9 4.1.5.精確報警.10 4.1.6.攻擊特征庫管理.10 4.1.7.自定義窗口顯示功能.11 4.1.8.事件過濾.11 4.1.9.動態(tài)策略.12 4.1.10.響應方式.12 4.1.11.系統(tǒng)軟件、攻擊特征升級能力.12 4.2輔助功能測試.13 4.2.1用戶管理.13 4.2.2用戶安全審計.13 4.2.3報表分析功能1TOP10統(tǒng)計.14 4.2.4報表分析功能2交叉報表.15 4.2.5日志分析系統(tǒng).15 4.3攻擊測試.16 4.3.1郵件病毒傳播保護測試.16 4.3.2蠕蟲病毒傳播

3、保護測試.17 4.3.3系統(tǒng)漏洞攻擊（攻擊包回放）.17 4.3.4系統(tǒng)漏洞攻擊（真實攻擊）.18 4.3.5木馬連接保護測試.18 4.3.6拒絕服務攻擊.19 4.3.7IPS規(guī)避攻擊.19 4.3.8間諜廣告程序攻擊.20 4.3.9 SQL注入攻擊.20 4.3.10 URL過濾.21 4.3.11其它攻擊測試.21 4.4現網運行測試.22 4.4.1多路IPS測試.22 4.4.2IP、端口訪問控制測試.23 4.4.3帶寬管理測試.24 4.4.4P2P下載檢測功能.24 4.4.5網絡游戲行為.25 4.4.6網絡聊天行為.25 4.4.7在線視頻行為.25 4.4.8惡意代

4、碼網站檢測功能.26 4.4.9現網測試延遲.26 4.5軟硬 BYPASS功能測試.27 4.4.1軟Bypass功能測試.27 4.4.2硬Bypass功能測試.27 4.6其他功能測試.28 5 測試結果綜述測試結果綜述 .28 1 參測產品情況調查參測產品情況調查 1.1 表格一：測試產品基本情況調查表表格一：測試產品基本情況調查表 項目說明 產品信息 產品生產廠家 產品名稱及版本 產品型號 界面語言 以太網監(jiān)聽口（電口）數量標配 個 千兆光監(jiān)聽口 無 有，標配 個，可擴展 個 特征庫攻擊特征數量 特征庫的更新周期 產品的組成和部署 產品組件 探測器 管理器 其它，請注明 探測器管理方

5、式 本地化技術支持 本地化技術工程師數量 應急響應事件處理能力 1.2 表格二表格二：認證、檢測及鑒定情況認證、檢測及鑒定情況 項目說明 公安部銷售許可證有 無 國家信息安全測試認證中心認證有 無 保密局涉密信息系統(tǒng)產品檢測證書有 無 計算機軟件著作權登記證有 無 其他注明： 其他注明： 1.3 表格三：分值比例表格三：分值比例 項目比例及說明 管理功能測試 15%（人性化的管理有助于減少管理員的工作量） 輔助功能測試10%（報表等功能有助于管理員的總結和匯報） 攻擊測試40%（精確阻斷乃 IPS 最主要功能） 現網運行穩(wěn)定性（3 條線路） 20%（多鏈路部署，不影響業(yè)務，現網告警準確） 軟硬

6、 Bypass 功能測試10%（軟硬 Bypass 是否好用為 IPS 關鍵功能） 其他功能測試5% （其他方面的補充測試） 2 測試環(huán)境測試環(huán)境 2.1 功能測試環(huán)境功能測試環(huán)境 功能測試環(huán)境拓撲 具體的主機配置如下： 各主機的 ip 地址依據測試中 IPS 的部署方式不同而進行相應的設置 各主機均安裝 Windows2000 以上操作系統(tǒng) 服務器安裝 IIS 功能測試環(huán)境主要測試攻擊、病毒等在現網測試可能造成業(yè)務影響的項目。 2.2 現網測試環(huán)境現網測試環(huán)境 現網環(huán)境采取多路 NIPS 部署，每路 NIPS 單獨防護一個 ISP 接入鏈路，一臺 NIPS 可以同時防護多條鏈路；目前包括 D

7、DN 線路總共需要防護 3 條線路，每條線路采取透明 模式部署。不影響現有網絡接口和業(yè)務數據流程。 NIPS 的各路 NIPS 是相互獨立的，彼此之間沒有數據交換，互不干擾，保證了各鏈路 流量的自身安全； NIPS 實時監(jiān)測各種流量，提供從網絡層、應用層到內容層的深度安全防護。 現網測試重點關注上網行為管理、惡意代碼網站防護、流量管理功能以及網絡延遲測 試。 所用軟件和工具：遠程桌面連接工具、BT 下載工具、QQ、MSN 等 2.3 測試設備清單測試設備清單 測試設備 序號名稱數 量 硬件配置操作系統(tǒng)應用軟件 1入侵保護設備1入侵保護引擎 程序 2 千兆交換機 1標準 1000M Ethern

8、et 速率， 100/1000M RJ45 口 3PC4CPU: P4 以上 RAM: 512M 以上 NIC: 100/1000M Windows2000/XP管理控制中心 軟件，攻擊測 試中的攻擊機、 被攻擊機與正 常訪問客戶端 2.4 測試工具測試工具 序號名稱角色/功能操作系統(tǒng) 1Sniffer4.7 或 Iris攻擊測試中回放攻擊包Win2000 xp 2.第三方合法測試工具攻擊測試工具Win2000 xpLinux 3有漏洞的服務器IIS Server、Apache、BindWin2000 xpLinux 3 測試總流程測試總流程 3.1 測試準備測試準備 測試前期的準備工作包括如

9、下內容： 測試方案的編寫借鑒國內外各種 IPS 的測試方案并結合用戶自身的特點及本 次項目的需求編寫此方案。 測試環(huán)境的搭建按照 2.1 的測試環(huán)境拓撲圖來搭建測試環(huán)境，按照 2.2 的現 網部署要求在現網測試。 測試工具的整理回放的攻擊都為測試前用 Iris 進行的錄制，保證攻擊的有 效性和測試的一致性。 其他測試手段為了完整體現 IPS 的全面防御攻擊的能力。 評分標準測試之前由測試單位統(tǒng)一制定，測試開始前，參測廠商可以提出異議， 一旦測試正式開始，參測廠商無法不得異議。 3.2 測試實施測試實施 參測廠商可派 12 名技術人員在現場操作，廠家的測試環(huán)境搭建完成后不得擅自 更改設置及相關的

10、參數，以保證測試結果的有效性，如果未經同意擅自更改設置取消 該廠商的測試資格。 3.3 測試記錄測試記錄 測試過程中邊測試邊填寫測試記錄，采取截圖記錄等方式，如果參測廠商對所做記錄 有異議要在測試現場提出，測試記錄由雙方簽字確認后生效，并不得更改。 3.4 測試報告測試報告 在測試完成后由測試單位對測試結果進行評估，并對參測廠商出具最終正式測試報告 （電子文檔和紙質） 。 4 測試內容測試內容 4.1 管理功能管理功能測試測試 4.1.1. 引擎管理控制功能引擎管理控制功能 測試項目管理控制功能 測試目的測試 IPS 的控制中心對引擎的控制和管理能力 測試步驟 1、 按照測試環(huán)境拓撲圖搭建測試

11、環(huán)境 2、 安裝控制中心 3、 在控制中心上添加“網絡引擎”組件 4、 控制中心連接引擎，并下發(fā)策略 5、 從攻擊機 ping 被攻擊機 預期結果 1、 引擎跟控制中心之間的連接正常 2、 策略可以正常下發(fā)各級引擎 3、 ping 操作可以在顯示中心正常報警 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.2. 控制中心基本管理功能控制中心基本管理功能 測試項目基本管理功能 測試目的考察 IPS 系統(tǒng)的基本管理功能 測試步驟 1、 登錄控制管理端界面；（分別考察 WEB 控制臺、windows 控制臺） 2、 查看其各組件的分布情況，包括管理界面、

12、報警顯示界面、數據 庫、日志查詢系統(tǒng)； 3、 配置多級管理模式，滿足控制臺控制臺控制臺引擎 的部署結構； 4、 添加多個虛擬引擎（即只添加 IP）看其是否有數量限制； 5、查看可支持的其他組件； 預期結果 1. 具備獨立的控制臺 2. 具備 web 控制臺和 windows 控制臺 3. 具備獨立的報警顯示界面 4. 可以設置多個報警顯示界面 5. 具備獨立的日志分析中心 6. 可以在控制臺上顯示并控制所有探測器 7. 控制臺可管理多個探測器 8. 有圖形化的設備顯示 9. 可以通過設備拓撲圖對設備進行管理 10. 系統(tǒng)支持網絡時間同步（NTP） 測試結果（ ）通過 （ ）未通過 （ ）未測試

13、 結果說明 簽字確認主測方： 參測方： 4.1.3. 部署方式測試部署方式測試 測試項目部署方式 測試目的 支持多種部署方式，以適應各種網絡環(huán)境，包括路由模式，交換模式， 直通模式等。 測試步驟 1.按照測試拓撲將 IPS 接入網絡； 2.利用 IPS 的前兩個接口將 IPS 分別配置為路由模式，透明模式， DIRECT 直通模式，并測試 IPS 兩接口間網絡是否通暢。 3.在上述任一種模式中（例如直通模式），將第三個接口配置為監(jiān) 聽口，并用筆記本接在監(jiān)聽口上，用 sniffer 回放一種攻擊包，查看 IPS 是否有告警，測試監(jiān)聽口是否生效。 4.混合模式的測試，由于時間關系，可任意挑選兩種模

14、式，利用 12，34 兩組端口分別配置兩種模式，進行組合測試。也可根據情 況增加測試項。 預期結果 1、 支持路由模式 2、 支持交換模式 3、 支持直通模式 4、 支持混合模式直通/監(jiān)聽模式 5、 支持 NAT 模式 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.4. 策略編輯策略編輯 測試項目策略編輯 測試目的測試 IPS 的策略定義能力 測試步驟 1、 打開策略管理菜單 2、 自定義用戶策略 test，針對 http 協議不同字段設置各種參數。 3、 打開新策略 test，并針對某一條事件定義響應方式 4、 定義響應模板，并將新模板應用都所

15、有 TCP 協議的事件 5、 導出/導入策略 預期結果 1、 具備策略向導功能 2、 可以制定用用自定義策略，自定義協議超過 40 種 3、 可以單獨對某一條事件定義響應方式，也可以批量針對多條事件 定義響應方式 4、 支持響應模板功能 5、 策略可以方便導出和導入 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.5. 精確報警精確報警 測試項目精確報警 測試目的考察入侵防御系統(tǒng)針對具體環(huán)境對入侵事件做進一步精確分析的能力 測試方法配置好目標主機的相關信息，分別觸發(fā)符合條件的事件和為符合條件的事件， 查看環(huán)境匹配窗口中的報警內容 測試步驟1、在顯示

16、中心的環(huán)境匹配信息設置中，配置好被攻擊機的相關信息，包括 主機名、IP 地址、操作系統(tǒng)類型、協議=TCP、端口=80 2、打開環(huán)境匹配報警窗口 3、從 windows 攻擊機上采用 GUI_Unicode 工具對被攻擊機發(fā)起 Unicode 攻 擊 4、 查看綜合顯示中心的報警情況 預期結果1、 Unicode 攻擊事件作為經過環(huán)境匹配后的精確事件，將在環(huán)境匹配窗口 中報警，同時也在高級事件窗口中進行報警 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.6. 攻擊特征庫管理攻擊特征庫管理 測試項目攻擊特征庫管理 測試目的考察入侵防御系統(tǒng)具有協議分析

17、能力，可自定義基于應用層協議的特征 測試方法 1.測試 IPS 的攻擊特征庫的質量和管理方便性。 2.演示 IPS 產品的攻擊特征庫的策略編輯方法。 3.演示 IPS 產品的攻擊特征的數量。 測試步驟1、各廠家產品操作過程不同，自行演示 預期結果攻擊規(guī)則庫按危險程度分類 2、 攻擊規(guī)則庫按服務類型分類 3、 對每個規(guī)則有詳細注釋說明，包括該攻擊影響的操作系統(tǒng)和解決方案 4、 可以對某條具體規(guī)則設置單獨的響應方式 5、 可以對某類規(guī)則設置共同的響應方式 6、 支持自定義新的規(guī)則 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.7. 自定義窗口顯示功能

18、自定義窗口顯示功能 測試項目自定義窗口顯示功能 測試目的驗證入侵防御系統(tǒng)是否支持窗口自定義及窗口過濾功能 測試方法在入侵防御系統(tǒng)界面增加窗口，并讓該窗口只顯示 IP 為的報警信息 測試步驟1、 在入侵防御系統(tǒng)界面增加一個新的報警顯示窗口； 2、 設置該窗口的過濾條件，只顯示源 IP 為的報警信息； 3、 用 sniffer 回放兩條事件，其中一條事件中的源地址與步驟 2 中的源地 址一致 4、 查看報警信息 預期結果1、 可以增加新的窗口 2、 設置的過濾條件生效 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.8. 事件過濾事件過濾 測試項目事件

19、過濾 測試目的驗證入侵防御系統(tǒng)是否基于時間、IP 地址、編號、類型等條件組合對不關心 的事件進行過濾 測試方法根據時間、IP 地址、編號、類型等條件組合進行過濾，察看事件過濾結果 測試步驟各廠家產品操作過程不同，自行演示 預期結果1、 是否可根據事件來源（地址、編號、類型）設置的過濾條件生效 2、 是否可根據事件發(fā)生的時間過濾 3、 是否可根據事件結果及引擎所采取的動作 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.9. 動態(tài)策略動態(tài)策略 測試項目動態(tài)策略 測試目的檢查入侵防御系統(tǒng)是否支持根據預設的事件發(fā)生頻率來動態(tài)調整策略中應用 的響應方式、合

20、并條件以及過濾條件，從而減少報警日志量或者自動對高級 事件調高相應級別 測試方法定義好動態(tài)策略（規(guī)則） ，觸發(fā)事件，查看策略的有效性 測試步驟1、 打開動態(tài)策略編輯菜單； 2、 添加新方案； 3、 添加動態(tài)策略規(guī)則：事件=ICMP_PING_長度異常，閥值=5 條/分鐘，事 件級別調整為“高級事件” ，響應方式=日志+報警，合并方式=按照源 IP 合并； 4、 應用方案； 5、觸發(fā)事件：ping IP L 10000 t，查看報警 預期結果 “ICMP_PING_長度異?！笔录膱缶墑e自動調整為高級 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1

21、.10.響應方式響應方式 測試項目響應方式 測試目的考察入侵防御系統(tǒng)對入侵事件的相應手段是否豐富靈活 測試方法通過界面操作和溝通的方式呈現各種響應方式 測試步驟現場演示和溝通介紹 預期結果產品支持的響應方式包括以下幾種： 1、屏幕報警 2、日志保存 3、聲音報警 4、郵件報警 5、rst 阻斷 6、防火 墻聯動 7、執(zhí)行用戶自定義程序 8、全局預警 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.1.11.系統(tǒng)軟件、攻擊特征升級能力系統(tǒng)軟件、攻擊特征升級能力 測試項目軟件、攻擊特征升級能力 測試目的IPS 系統(tǒng)也必須保持快速的升級和更新能力。包括軟件版

22、本的升級和特征庫 的更新，尤其是特征庫的及時更新非常重要 測試方法 1.測試 IPS 系統(tǒng)的升級方式有幾種。 2.測試能否在控制臺上對 IPS 探測器進行升級包的遠程升級。 3.演示事件特征庫的升級方式； 4.演示控制端的升級方式； 5.演示引擎端的升級方式； 6.演示多級管理時事件庫及引擎的升級方式； 測試步驟現場演示和溝通介紹 預期結果 1、控制軟件升級支持在線升級 2、控制軟件升級支持離線升級 3、規(guī)則庫升級支持在線升級 4、規(guī)則庫升級支持離線升級 5、規(guī)則庫更新的頻率（以公司網站為準，公司網站顯示規(guī)則升級內容描述） 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測

23、方： 參測方： 4.2 輔助功能輔助功能測試測試 4.2.1 用戶管理用戶管理 測試項目用戶管理功能 測試目的測試 IPS 系統(tǒng)是否具備角色、權限的管理分配能力 測試方法嘗試增加、刪除管理員賬戶，修改管理員權限 測試步驟1、登錄用戶管理審計模塊 2、添加新管理員賬戶 test/venus123 3、 修改 test 的管理權限 4、 刪除 test 賬戶 預期結果1、 產品具備多用戶管理功能（分為管理員、審計員、用戶等角色） 2、 可以對賬戶進行添加、編輯、刪除等管理 3、 管理員賬戶權限分配 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.2.2 用

24、戶安全審計用戶安全審計 測試項目用戶安全審計 測試目的考察入侵防御系統(tǒng)的自身安全性 測試方法檢查入侵防御系統(tǒng)的用戶管理功能和管理 IP 的安全性 測試步驟1、 查看產品是否具備用戶審計模塊 2、 查看對于用戶的管理是否進行了分組設置，對于每個組是否都有不同權 限 3、 查看設置是否有登錄失敗的處理機制 4、 除了系統(tǒng)自帶的口令認證方式外是否還有其他的輔助認證方式或預留接 口 5、 用端口掃描工具查看系統(tǒng)是否開放了常用的端口 6、 Ping 引擎的管理端口 ip 驗證管理端口是否屏蔽了 ping 預期結果1、 產品具備用戶審計模塊 2、 支持用戶權限分組 3、 對于不同的用戶可以賦予不同的權限

25、4、 對于每個用戶的具備登錄失敗處理 5、 每個用戶都有完整的日志審查 6、 支持可擴展的身份認證方式或提供接口 7、 探測器沒有開放常用端口 8、管理端口已經屏蔽 Ping 9、監(jiān)聽端口沒有 IP 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.2.3 報表分析功能報表分析功能 1TOP10 統(tǒng)計統(tǒng)計 測試項目報表分析功能 1TOP10 統(tǒng)計 測試目的檢查入侵防御系統(tǒng)的 TOP 統(tǒng)計功能 測試方法采用報表分析系統(tǒng)對事件進行統(tǒng)計分析 測試步驟1、 打開日志分析中心 2、 鼠標選中報表模板中的“攻擊類型統(tǒng)計” ，再設置好查詢的時間段，查看 按照攻擊類型統(tǒng)

26、計的報表，并導出到 doc 格式 3、 鼠標選中報表模板中的“源地址統(tǒng)計” ，再設置好查詢的時間段，查看按 照源地址統(tǒng)計的報表，并導出到 doc 格式 4、鼠標選中報表模板中的“目的地址統(tǒng)計” ，再設置好查詢的時間段，查看 按照目的地址統(tǒng)計的報表，并導出到 doc 格式 預期結果1、 可以查詢并導出攻擊類型 TOP10 報表 2、 可以查詢并導出攻擊地址 TOP10 報表 3、 可以查詢并導出被攻擊地址 TOP10 報表 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.2.4 報表分析功能報表分析功能 2交叉報表交叉報表 測試項目交叉報表 測試目的考察

27、入侵防御系統(tǒng)的報表分析中，是否具備多個特征的關聯查詢的能力 測試方法查看產品的交叉報表查詢結果 測試步驟1、啟動日志分析模塊； 2、配置需要查詢的時間段； 3、查看交叉報表； 預期結果1、 可以按照事件類型跟源地址、目的地址、引擎設備等形成關聯報表 2、 可以按照事件的危險級別跟源地址、目的地址、引擎設備等形成關聯報 表 3、 可以按照源地址跟事件類型、危險級別等形成關聯報表 4、 可以按照目的地址跟事件類型、危險級別等形成關聯報表 5、 可以按照引擎設備跟事件類型、危險級別等形成關聯報表 6、 雙擊關聯報表的統(tǒng)計記錄，可以展開顯示詳細的事件 測試結果（ ）通過 （ ）未通過 （ ）未測試 結

28、果說明 簽字確認主測方： 參測方： 4.2.5 日志分析系統(tǒng)日志分析系統(tǒng) 測試項目日志分析能力 測試目的能夠根據用戶的需要產生各種形式的報告，如表格形式、柱狀圖、餅圖等， 并且可以根據用戶需要設置各種過濾條件，如 IP 地址、事件名稱等，可以 自動的產生日報、周報、月報，并且可以導出成多種格式的文件。 測試方法 1 演示日志分析系統(tǒng)（報表）的生成方式； 2 演示可支持的查詢條件； 3 演示可支持的導出格式； 預期結果1、 支持日志統(tǒng)計分析 2、 支持查詢分析 3、 生成事件的月報表 4、 生成流量的周報表 5、 將生成的報表保存為 html 6、 定時日志備份 7、 日志恢復 8、 日志清除

29、9、 日志歸并 測試結果（ ）通過 （ ）未通過 （ ）未測試 結果說明 簽字確認主測方： 參測方： 4.3 攻擊測試攻擊測試 攻擊測試應包括真實攻擊測試與攻擊數據包回放兩部分：真實攻擊測試采用實際的攻 擊工具在測試環(huán)境下對有漏洞的目標系統(tǒng)執(zhí)行攻擊，用于測試 IPS 對最新出現的嚴重漏洞 攻擊的檢測和阻斷能力，真實攻擊測試由于對測試環(huán)境的搭建有很高的要求，所以只能進 行有限數量的攻擊測試；攻擊數據包回放采用收集到的攻擊報文數據，將攻擊場景回放到 IPS 的監(jiān)聽端口來測試 IPS 的檢測能力，由于只需回放數據流，對測試環(huán)境的要求相對較 低，可以進行大量攻擊檢測的驗證。真實攻擊測試與攻擊數據包回放

30、最好者采用第三方的 攻擊測試工具。 真實攻擊測試相關的具體攻擊項目的選擇應符合如下標準： 攻擊工具完全由第三方獨立開發(fā)和維護。 攻擊項目應該是最近最新的嚴重威脅級別的攻擊。 攻擊工具應該具有規(guī)避 IPS 檢測的功能，可以對 IPS 的抗攻擊變形能力進行 考察。 回放攻擊數據相關的具體攻擊項目應符合如下選擇標準： 覆蓋到盡可能多的常用協議和應用，如 HTTP、SMTP、FTP、IM、P2P 等。 相關的應用軟件使用比較廣泛，比如微軟 Windows 系統(tǒng)相關的網絡服務。 攻擊相關的漏洞是比較新近的，比如選擇 2004 年以后漏洞攻擊。 測試方法 1.真實攻擊測試：選用集成化的第三方攻擊測試軟件

31、MetaSploit 3.0( )以減少收集攻擊工具的工作量，在單獨的攻擊機器上 安裝配置 MetaSploit 3.0，在目標機器上安裝一個默認配置的 Widnows 2000 Server 中文版，打開攻擊測試必要的網絡服務，也可以在目標機器上運行 VMWare 類的虛擬機作為被攻擊的目標，配置 IPS 過濾從攻擊機器到目標機器的 流量，依次執(zhí)行選擇的攻擊項目，檢查 IPS 的告警和阻斷情況。 2.回放攻擊數據測試：將安裝了數據包回放工具 IRIS 的攻擊機接入網絡，NIPS 的 一個工作端口配置為監(jiān)聽模式，依次打開每個攻擊包進行回放，查看 NIPS 控制 臺上是否能夠產生告警，清除告警信

32、息后執(zhí)行下一個測試。 4.3.1 郵件病毒傳播保護測試郵件病毒傳播保護測試 測試項目病毒傳播保護測試 1 測試目的測試 IPS 針對病毒傳播的所提供的保護功能 測試步驟1、 按照拓撲圖搭建測試環(huán)境， 2、 回放郵件病毒數據包 VIRUS_POP3_vbs.cap SMTP_MydoomAC.cap VIRUS_SMTP_pif.cap 預期結果攜帶病毒附件的郵件接收不成功，IPS 對“病毒”阻斷成功并有報警信息 POP3 服務接收 VBS 病毒郵件 SMTP 服務發(fā)送 Mydoom.AC 蠕蟲病毒附件 SMTP 服務發(fā)送可疑病毒附件 測試結果（ ）通過（ ）未通過（ ）未測試 結果備注 簽字確

33、認主測方：參測方： 4.3.2 蠕蟲病毒傳播保護測試蠕蟲病毒傳播保護測試 測試項目蠕蟲病毒傳播保護測試 測試目的測試 IPS 針對病毒傳播的所提供的保護功能 測試步驟1、 按照拓撲圖搭建測試環(huán)境， 2、 回放郵件病毒數據包 CodeRed_worm_unicode.cap CodeRed_worm_http.cap Sasser_worm.cap Slammer_worm.cap 預期結果病毒體下載不成功，IPS 對蠕蟲病毒阻斷成功并有報警信息 Code Red 蠕蟲利用 Unicode 漏洞攻擊 Code Red 蠕蟲傳播 Sasser（震蕩波）蠕蟲傳播 Slammer 蠕蟲攻擊 測試結果（

34、 ）通過（ ）未通過（ ）未測試 結果備注 簽字確認主測方：參測方： 4.3.3 系統(tǒng)漏洞攻擊系統(tǒng)漏洞攻擊（攻擊包回放）（攻擊包回放） 測試項目系統(tǒng)漏洞攻擊測試 測試目的測試 IPS 針對針對系統(tǒng)漏洞的攻擊所提供的保護功能 測試步驟1、 按照拓撲圖搭建測試環(huán)境， 2、 回放利用系統(tǒng)漏洞的攻擊數據包 FTP_wuftpd_site_exec .cap MSRPC_dcom_remote_overflow .cap IIS_unicode_decode.cap 預期結果IPS 對攻擊包阻斷成功并有報警信息 Wu-ftpd SITE EXEC 命令溢出攻擊 BUGTRAQ ID: 1387 CVE(

35、CAN) ID: CVE-2000-0573 微軟 IIS Unicode 解碼漏洞攻擊 BUGTRAQ ID: 1806 CVE(CAN) ID: CVE-2000-0884 微軟 RCP DCOM 接口溢出攻擊 BUGTRAQ ID: 8205 CVE(CAN) ID: CVE-2003-0352 測試結果（ ）通過（ ）未通過（ ）未測試 結果備注 簽字確認主測方：參測方： 4.3.4 系統(tǒng)漏洞攻擊（真實攻擊）系統(tǒng)漏洞攻擊（真實攻擊） 測試項目系統(tǒng)漏洞攻擊測試 測試目的測試 IPS 針對針對系統(tǒng)漏洞的攻擊所提供的保護功能 測試步驟1、 按照拓撲圖搭建測試環(huán)境， 2、 被攻擊的服務器存在系

36、統(tǒng)和應用程序漏洞 3、 使用漏洞掃描工具對被攻擊服務器漏洞掃描 4、 使用 Metasploit 工具對應用程序漏洞進行利用，檢測漏洞利用的效果 5、 開啟 IPS 防護規(guī)則 6、 重復第 4 步和第五步，對比效果 預期結果IPS 對掃描行為報警，根據 IPS 策略設置阻斷高風險的漏洞掃描插件 IPS 對 Metasploit 攻擊阻斷。 測試結果（ ）通過（ ）未通過（ ）未測試 結果備注 簽字確認主測方：參測方： 4.3.5 木馬連接保護測試木馬連接保護測試 測試項目木馬連接保護測試 1 測試目的測試 IPS 針對木馬連接的所提供的保護功能 測試步驟1、按照拓撲圖搭建測試環(huán)境 2、在被攻擊

37、機上種植木馬服務器端，在攻擊機上安裝木馬客戶端 3、從攻擊機向被攻擊機發(fā)起連接，觀察被攻擊機能否被攻擊機控制 4、回放木馬連接的數據包，觀察 IPS 報警 Backdoor_Netbus.cap Backdoor_NetbusPro.cap Backdoor_huigezi_mini.cap Backdoor_netthief.cap 預期結果木馬連接被 IPS 檢測并阻斷，無法連接成功 回放數據包時，IPS 有準確報警 NetBus 木馬 NetBus Pro 木馬 灰鴿子木馬 MINI 版 網絡神偷木馬 測試結果（ ）通過（ ）未通過（ ）未測試 結果備注 簽字確認主測方：參測方： 4.3.6 拒絕服務攻擊拒絕服務攻擊 測試項目拒絕服務攻擊測試 測試目的測試 IPS 針對拒絕服務攻擊所提供的保護功能 測試步驟1、 按照拓撲圖搭建測試環(huán)境， 2、 回放拒絕服務攻擊數據包 FTP IIS wildcard DOS S (s).cap udp flood.cap smarf attack.cap tcp scan-syn-ack.cap 預期結果IPS 對攻擊包阻斷成功并有報警信息 Windows NT IIS/4.0 FTP NLST 命令遠程拒絕服務攻擊 UDP-Flood 淹沒拒絕服務攻擊 ICMP-Flood 淹沒拒絕服務攻擊