dptechips2000系列入侵防御系统测试方案.pdf

DPtech IPS2000 测试方案 杭州迪普科技有限公司 2011 年 07 月 杭州迪普科技有限公司 目 录 杭州迪普科技有限公司 第1章 产品介绍 随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS 攻击、带宽滥用为代表的应 用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但 目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报 文头意义不大。IPS 正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产 品。但目前大多数IPS 都是从原有的 IDS 平台改制而来，性能低、误报和漏报率高、可 靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只 能通过减少或关闭特征库来规避。这样的 IPS 不仅起不到安全防御的作用，甚至会成为 网络中的故障点。 如何保证 IPS 在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基 于串行设计思想的硬件和软件架构，无论是 X86 、ASIC 或是 NP ，都无法承受成千上万 条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。迪普科技在 IPS2000 N 系列 IPS 中，创新性的采用了并发硬件处理架构，并采用独有的 “并行流过滤 引擎”技术，性能不受特征库大小、策略数大小的影响，全部安全策略可以一次匹配完 成，即使在特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。同时， 迪普科技 IPS 还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不 仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据 通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。 以IPS2000-TS-N 为例，IPS2000-TS-N 是全球第一款可提供万兆端口的 IPS 产品，即使在 同时开启其内置的漏洞库、病毒库、协议库后，性能依然可达万兆线速，目前已成功部 署于多个大型数据中心、园区出口。 漏洞库的全面性、专业性、及时性是决定 IPS 对攻击威胁能否有效防御的另一关键。 迪普科技拥有专业的漏洞研究团队，能不断跟踪其它知名安全组织和厂商发布的安全公 告，并持续分析、挖掘、验证各种新型威胁和漏洞，凭借其强大的漏洞研究能力，已得 到业界普遍认可并成为微软的 MAPP 合作伙伴，微软在发布漏洞之前，迪普科技能提前 获取该漏洞的详细信息，并且利用这一时间差及时制作可以防御该漏洞的数字补丁。迪 普科技 IPS 漏洞库以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并 且能够自动分发到用户驻地的 IPS 中，从而使得用户驻地的IPS 在最快时间内具备防御 零时差攻击（Zero-day Attack ）的能力，最大程度的保护用户安全。目前，迪普科技已成 为中国国家漏洞库的主要提供者之一。借助迪普科技专业漏洞研究团队的持续投入和漏 洞库的持续升级，不仅显著提升了 IPS 的可用性，并极大减少了IPS 误报、漏报给用户 带来的困扰。 IPS2000 N 系列是目前全球唯一可提供万兆线速处理能力的 IPS 产品，并在漏洞库的 基础上，集成了卡巴斯基病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、 DDoS 攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防 御平台。IPS2000 N 系列部署简单、即插即用，配合应用 Bypass 等高可靠性设计，可满 足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求，是应用层安 全保障的最佳选择。 杭州迪普科技有限公司 第2章 测试计划 2.1 测试方案 DPtech IPS 产品主要包括 IPS 攻击防护、防病毒管理、访问控制、流量分析、防 DDos 攻击等几大主体功能，本文档的测试项主要以上述主体功能的测试展开；同时，测试中 还涉及到限流等多种响应方式，设备的可管理性、高可靠性等诸多方面的测试，以充分 展示设备的完备功能和高性能。 2.2 测试环境 2.2.1 透明模式