DPtech IPS2000测试方案
迪普科技
2011年07月
目录
DPtech IPS2000测试方案 (1)
第1章产品介绍 (1)
第2章测试计划 (2)
2.1测试方案 (2)
2.2测试环境 (2)
2.2.1 透明模式 (2)
2.2.2 旁路模式 (3)
第3章测试容 (4)
3.1功能特性 (4)
3.2响应方式 (4)
3.3管理特性 (4)
3.4安全性 (5)
3.5高可靠性 (5)
第4章测试方法及步骤 (6)
4.1功能特性 (6)
4.1.1 攻击防护 (6)
4.1.2 防病毒 (8)
4.1.3 访问控制 (10)
4.1.4 最接数与DDoS (11)
4.1.5 黑功能 (12)
4.2响应方式 (13)
4.2.1 阻断方式 (13)
4.2.2 日志管理 (14)
4.3管理特性 (15)
4.3.1 设备管理 (15)
4.3.2 报表特性 (16)
4.4安全特性 (17)
4.4.1 用户的安全性 (17)
4.4.2 设备的安全性 (19)
第5章测试总结 (21)
第1章产品介绍
随着网络的飞速发展,以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。
传统的基于网络层的防护只能针对报文头进行检查和规则匹配,但目前大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。
IPS正是通过对报文进行深度检测,对应用层威胁进行实时防御的安全产品。
但目前大多数IPS都是从原有的IDS平台改制而来,性能低、误报和漏报率高、可靠性差,尤其是在新应用不断增多、特征库不断增长的情况下,性能压力持续增加,只能通过减少或关闭特征库来规避。
这样的IPS不仅起不到安全防御的作用,甚至会成为网络中的故障点。
如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延?很显然,传统的基于串行设计思想的硬件和软件架构,无论是X86、ASIC或是NP,都无法承受成千上万条且在不断更新中的漏洞库,更不用说再增加病毒库、应用协议库……。
迪普科技在IPS2000 N系列IPS中,创新性的采用了并发硬件处理架构,并采用独有的“并行流过滤引擎”技术,性能不受特征库大小、策略数大小的影响,全部安全策略可以一次匹配完成,即使在特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。
同时,迪普科技IPS还采用了管理平面和数据平面相分离技术,这种的分离式双通道设计,不仅消除了管理通道与数据通道间相互耦合的影响,极大提升了系统的健壮性,并且数据通道独特的大规模并发处理机制,极大的降低了报文处理的时延,大大提升了用户体验。
以IPS2000-TS-N为例,IPS2000-TS-N是全球第一款可提供万兆端口的IPS产品,即使在同时开启其置的漏洞库、病毒库、协议库后,性能依然可达万兆线速,目前已成功部署于多个大型数据中心、园区出口。
漏洞库的全面性、专业性、及时性是决定IPS对攻击威胁能否有效防御的另一关键。
迪普科技拥有专业的漏洞研究团队,能不断跟踪其它知名安全组织和厂商发布的安全公告,并持续分析、挖掘、验证各种新型威胁和漏洞,凭借其强大的漏洞研究能力,已得到业界普遍认可并成为微软的MAPP合作伙伴,微软在发布漏洞之前,迪普科技能提前获取该漏洞的详细信息,并且利用这一时间差及时制作可以防御该漏洞的数字补丁。
迪普科技IPS漏洞库以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布,并且能够自动分发到用户驻地的IPS中,从而使得用户驻地的IPS在最快时间具备防御零时差攻击(Zero-day Attack)的能力,最大程度的保护用户安全。
目前,迪普科技已成为中国国家漏洞库的主要提供者之一。
借助迪普科技专业漏洞研究团队的持续投入和漏洞库的持续升级,不仅显著提升了IPS的可用性,并极大减少了IPS误报、漏报给用户带来的困扰。
IPS2000 N系列是目前全球唯一可提供万兆线速处理能力的IPS产品,并在漏洞库的基础上,集成了卡巴斯基病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。
IPS2000 N系列部署简单、即插即用,配合应用Bypass等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。
第2章测试计划
2.1 测试方案
DPtech IPS产品主要包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDos 攻击等几大主体功能,本文档的测试项主要以上述主体功能的测试展开;同时,测试中还涉及到限流等多种响应方式,设备的可管理性、高可靠性等诸多方面的测试,以充分展示设备的完备功能和高性能。
2.2 测试环境
2.2.1 透明模式
图1 透明模式
设备或软件名称描述数量IPS主机用于实现入侵检测,保障网络安全 1 PC主机用于安装UMC统一管理平台软件,及实现攻击与被攻击 3
2.2.2 旁路模式
图2 旁路模式
设备或软件名称描述数量IPS主机用于实现入侵检测,保障网络安全 1 PC主机用于安装UMC统一管理平台软件,及实现攻击与被攻击 3 SW主机用于引出攻击镜像流量,实现旁路入侵检测 1
第3章测试容
3.1 功能特性
产品功能包括IPS攻击防护、防病毒管理、访问控制、流量分析、防DDoS攻击等几大主体功能。
DPtech IPS通常部署为Online的工作模式,在数据传输的路径中,任何数据流都必须经过设备做检测,一旦发现有蠕虫、病毒、后门、木马、间谍软件、可疑代码、网络钓鱼等攻击行为,DPtech IPS会立即阻断攻击,隔离攻击源,屏蔽蠕虫、病毒和间谍软件等,同时记录日志告知网络管理员。
防病毒管理通过采用实时分析,自动阻截携带病毒的报文与异常流量。
针对这些异常流量,通常施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。
访问控制包括带宽应用限速、网络应用访问控制、URL过滤三大功能。
网络流量按照其用途的不同划分成不同的服务类型,例如HTTP服务、FTP服务、E-Mail服务等,对不同的服务类型实施不同的流量限速、阻断控制行为。
URL过滤是一种网页过滤功能,支持根据IP地址、主机名和正则表达式对HTTP的请求报文进行过滤。
URL过滤依赖一个URL 过滤规则数据库,用户可以灵活定制URL过滤规则进行URL过滤。
3.2 响应方式
当设备检测到有攻击发生时,能采取如下方式来响应:
发送Reset报文:可向攻击源或目标服务器分别发送Reset报文,强行中断连接,及时保护目标服务器的安全性;
设备的攻击日志记录方式多种多样,除了支持设备本地存储,还能实时上报到Syslog 日志主机、发送E-mail告警,方便IT人员及时了解网络安全状况。
3.3 管理特性
为方便IT人员管理,设备提供了良好的可管理性。
支持HTTPS等安全管理方式,支持Web的友好界面,简化IPS的配置,方便用户操作和维护。
特征库的升级支持手动和自动两种方式,用户可根据实际情况随意选择特征库的升级时间。
设备支持完备的日志和报表功能。
设备能根据网络攻击情况,根据攻击事件、攻击源、攻击目的,攻击级别、
动作类型,统计报表,方便用户了解网络安全状况。
3.4 安全性
可设置管理员的权限,不同权限的管理员访问设备的功能权限不同。
可设置的权限选项有系统配置、业务配置、系统日志管理、操作日志管理和业务日志管理。
在登录参数设置上,包括超时时间、错误登录锁定和锁定后解锁。
3.5 高可靠性
DPtech IPS具有极高的软硬件可靠性,支持端口模块热插拔,支持双电源,支持在检测引擎失效的情况下二层直通,支持在掉电的情况下仍然可以转发数据,保证网络的畅通。
设备置的监测模块以很高的频率定时地监测自身的健康状况,一旦探测到检测引擎、软件系统故障或者流量过大时,该模块会将设备设置成一个简单的二层交换设备,这个功能称为“软件bypass”。
此时,网络流量将在两个接口之间直接贯通,从而保持网络业务的连续性。
抗掉电保护,在设备异常掉电后,当IPS恢复供电,系统的状态、相关日志和配置信息正常保存。
第4章测试方法及步骤4.1 功能特性
4.1.1 攻击防护
木马程序-冰河(在线部署)
木马程序-冰河(旁路部署)
溢出程序-MS08-067
攻击报文-死亡之Ping
SQL注入攻击
4.1.2 防病毒HTTP方式的病毒防护
FTP方式的病毒防护
SMTP/POP3方式的病毒防护
4.1.3 访问控制对FTP传输限速
网络访问控制
URL过滤
4.1.4 最接数与DDoS 限制FTP传输的连接数
对SYN Flood的防护
4.1.5 黑功能手动添加黑
自动添加黑
4.2 响应方式4.2.1 阻断方式发Reset包阻断攻击
4.2.2 日志管理本地存储与日志转储
Syslog告警方式
4.3 管理特性4.3.1 设备管理丰富的管理方式
手动升级特征库
设备状态检测
4.3.2 报表特性攻击报表
病毒报表
报表自动导出
4.4 安全特性
4.4.1 用户的安全性用户登陆锁定的安全性
用户超时退出的安全性
用户权限级别的安全性
4.4.2 设备的安全性手动二层回退
掉电保护
抗掉电测试
第5章测试总结。