DPtech IPS2000系列入侵防御系统测试方案设计

杭州迪普科技有限公司DPtech入侵防御系统DDoS防范技术白皮书防范技术白皮书1、概述1.1 背景从上世纪90年代到现在，DoS/DDoS 技术主要经历大约阶段：1) 技术发展时期。

90年代，Internet 开始普及，很多新的DoS 技术涌现。

技术，其中大多数技术至今仍然有效，且应用频度相当高，等等。

2) 从实验室向产业化转换2000年前后，DDoS 出现，Yahoo, Amazon等多个著名网站受到攻击并瘫痪，SQL slammer 等蠕虫造成的事件。

3) “商业时代”最近一两年，宽带的发展使得接入带宽增加，个人电脑性能大幅提高，使越频繁，可以说随处可见，而且也出现了更专业的、用于出租的攻击的威胁已经无处不在。

DDoS（分布式拒绝服务攻击）是产生大规模破坏的武器。

不像访问攻击穿透安全周边来窃取信息，DDoS攻击通过伪造的流量淹没服务器、网络链路和网络设备瘫痪来使得网络系统瘫痪。

1.2 DDoS攻击原理由于DDoS攻击往往采取合法的数据请求技术，再加上傀儡机器，造成最难防御的网络攻击之一。

据美国最新的安全损失调查报告，跃居第一。

DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议，不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，中断或服务质量的下降；DDoS事件的突发性，往往在很短的时就可使网络资源和服务资源消耗殆尽。

DDoS攻击主要是利用了Internet协议和Internet基本数据包到任意目的地。

DDoS 攻击分为两种：要么大数据，大流量来90年代末发明和研究过许多新的Ping of death, Smurf, SYN flooding, 还有 Codered, DDoS 攻击越来‘D DoS 攻击经济’。

可以说DDoS （路由器，防火墙等）DDoS攻击成为目前DDoS攻击所造成的经济损失已经如HTTP，Email等协议，而通常采用的包过滤或限制速造成业务的间内，大量的DDoS攻击数据——无偏差地从任何的源头传送压垮网络设备和服务器，要第1页共6页如优点杭州迪普科技有限公司么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。

DPtech IPS2000系列入侵防御系统安装手册杭州迪普科技有限公司为客户提供全方位的技术支持。

通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。

杭州迪普科技有限公司地址：杭州市滨江区通和路68号中财大厦6层邮编：310052声明Copyright2009杭州迪普科技有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录第1章产品介绍11.1产品概述1 1.2产品型号及规格介绍1 1.3前后面板介绍4 1.3.1IPS2000-MC-N产品外观4 1.3.2IPS2000-ME-N产品外观6 1.3.3IPS2000-GA-N产品外观8 1.3.4IPS2000-TS-N产品外观11 1.3.5IPS2000-GA-E产品外观13 1.3.6IPS2000-TM-E产品外观16 1.4端口介绍19 1.4.1C ONSOLE口19 1.4.210/100/1000B ASE-T以太网电接口20 1.4.3SFP口21 1.5产品组件24 1.5.1处理器及存储器24 1.5.2各类接口24第2章安装前的准备12.1通用安全注意事项1 2.2检查安装场所1 2.2.1温度/湿度要求1 2.2.2洁净度要求2 2.2.3防静电要求2 2.2.4抗干扰要求3 2.2.5防雷击要求3 2.2.6接地要求3 2.2.7布线要求3 2.3安装工具第3章设备安装13.1安装前的确认1 3.2安装流程2 3.3安装设备到指定位置2 3.3.1安装设备到工作台3 3.3.2安装设备到19英寸机柜4 3.4连接接地线5 3.5连接接口线缆6 3.5.1连接配置口线缆6 3.5.2连接网络管理口6 3.5.3连接业务口7 3.6连接电源线7 3.7安装后检查7第4章设备启动及软件升级14.1设备启动1 4.1.1搭建配置环境1 4.1.2设备上电4 4.1.3启动过程5 4.2W EB默认登录方式6第5章常见问题处理15.1电源系统问题故障处理1 5.2设备故障处理1图形目录图1-1IPS2000-MC-N前视图4图1-2IPS2000-MC-N前面板指示灯6图1-3IPS2000-MC-N后视图6图1-4IPS2000-ME-N前视图7图1-5IPS2000-ME-N前面板指示灯8图1-6IPS2000-ME-N后视图8图1-7IPS2000-GA-N前视图9图1-8IPS2000-GA-N前面板指示灯10图1-9IPS2000-GA-N后视图10图1-10IPS2000-TS-N前视图11图1-11IPS2000-TS-N前面板指示灯13图1-12IPS2000-TS-N后视图13图1-13IPS2000-GA-E前视图14图1-14IPS2000-GA-E前面板指示灯15图1-15IPS2000-GA-E后视图15图1-16IPS2000-TM-E前视图17图1-17IPS2000-TM-E前面板指示灯19图1-18IPS2000-TM-E后视图19图1-19RJ45水晶头外观21图1-20以太网电缆的示意图21图1-21LC型连接器外观23图1-22SC型连接器外观23图1-23光模块示意图23图1-24IPS2000-MC-N以太网接口25图1-25IPS2000-ME-N以太网接口25图1-26IPS2000-GA-N以太网接口25图1-27IPS2000-TS-N以太网接口27图1-28IPS2000-TM-E以太网接口28图3-1设备安装流程2图3-2安装设备于工作台4图3-3安装挂耳4图3-4安装设备到机柜（为清晰起见省略了机柜）4图3-5固定设备图3-6连接接地线示意图图3-7连接保护地线到接地排6图4-1通过Console口进行本地配置示意图1图4-2超级终端连接描述界面1图4-3超级终端连接使用串口设置2图4-4串口参数设置3图4-5超级终端窗口3图4-6终端类型设置4图4-7Web网管登录页面7表格目录表1-1Console口属性表19表1-2千兆以太网电接口属性表:20表1-3千兆以太网光接口属性21表2-1机房温度/湿度要求1表2-2机房灰尘含量要求2表2-3机房有害气体限值2表4-1设置串接口属性2第1章产品介绍1.1产品概述DPtech IPS2000系列IPS （Intrusion Prevention System ，入侵防御系统）产品是DPtech 公司面向企业、行业、电信开发的新一代网络入侵防御系统。

D P t e c h I P S2000系列入侵防御系统测试方案资料精品好资料-如有侵权请联系网站删除DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (2)第1章产品介绍 (1)第2章测试计划 (3)2.1测试方案 (3)2.2测试环境 (3)2.2.1 透明模式 (3)2.2.2 旁路模式 (4)第3章测试内容 (5)3.1功能特性 (5)3.2响应方式 (5)3.3管理特性 (5)3.4安全性 (6)3.5高可靠性 (6)第4章测试方法及步骤 (7)4.1功能特性 (7)4.1.1 攻击防护 (7)4.1.2 防病毒 (9)4.1.3 访问控制 (11)4.1.4 最大连接数与DDoS (12)4.1.5 黑名单功能 (13)4.2响应方式 (14)4.2.1 阻断方式 (14)4.2.2 日志管理 (15)4.3管理特性 (16)4.3.1 设备管理 (16)4.3.2 报表特性 (17)4.4安全特性 (18)4.4.1 用户的安全性 (18)4.4.2 设备的安全性 (20)第5章测试总结 (22)第1章产品介绍随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

信息⽹络安全等级保护设备IPS⼊侵防护系统解决⽅案建议书信息⽹络安全等级保护设备IPS⼊侵防护系统解决⽅案建议书⽬录1典型⽹络风险分析 (4)1.1病毒、蠕⾍泛滥 (4)1.2操作系统和应⽤软件漏洞隐患 (4)1.3系统安全配置薄弱 (5)1.4各种D O S和DD O S攻击的带来的威胁 (5)1.5与⼯作⽆关的⽹络⾏为 (6)2安全产品及解决⽅案效能分析 (6)2.1传统安全技术的薄弱之处 (6)2.1.1防⽕墙 (7)2.1.2⼊侵检测 (7)2.1.3补丁管理 (7)2.2⼊侵防御系统简介 (8)3领信信息安全保障解决⽅案介绍 (9)3.1领信信息安全保障体系 (9)3.2安⽒领信⼊侵防御系统介绍 (11)3.2.1领信⼊侵防御系统主要功能 (11)3.2.2领信⼊侵防御系统产品特点 (12)3.2.3领信⼊侵防御系统⽀持的⼯作模式 (14)3.2.4⼊侵防御系统推荐部署流程 (15)3.2.4.1IPS的学习适应期阶段 (16)3.2.4.2IPS的Inline模式⼯作阶段 (17)4⼊侵防御系统部署建议 (17)4.1系统组件说明 (17)4.1.1集中部署⽅式 (18)4.1.2分布部署⽅式 (19)4.1.3部署准备 (20)4.2边界防护部署 (21)4.3重点防护部署 (21)5⼊侵防御系统安全策略配置与应⽤ (22)6项⽬过渡⽅案及应急预案 (23)6.1过渡⽅案 (23)6.2应急预案 (24)7⼯程实施⽅案 (25)7.1分⼯界⾯ (25)7.2⼯程设计 (26)7.3产品⽣产及出⼚验收 (26)7.4设备运输、包装与到货安排 (26)7.5到货验收 (27)7.6安装调试及系统集成 (28)7.7系统测试 (28)7.8初步验收 (28)7.9系统试运⾏ (28)7.10最终验收 (28)7.11⼯程实施进度表 (29)8系统验收测试计划 (30)8.1系统上线测试 (30)8.2⽤户管理功能 (31)8.3引擎⼯作模式配置 (31)8.4组件管理 (31)8.5策略配置 (32)8.6威胁事件收集显⽰ (32)8.7攻击检测能⼒ (33)8.8系统升级能⼒ (33)8.9⽇志报表 (34)1 典型⽹络风险分析通过对⼤量企业⽹络的安全现状和已有安全控制措施进⾏深⼊分析，我们发现很多企业⽹络中仍然存在着⼤量的安全隐患和风险，这些风险对企业⽹络的正常运⾏和业务的正常开展构成严重威胁，主要表现在：1.1 病毒、蠕⾍泛滥⽬前，企业⽹络⾯临的病毒、蠕⾍威胁具有传播速度快、范围⼴、破坏性⼤、种类多、变化快等特点，即使再先进的防病毒软件、⼊侵检测技术也不能独⽴有效的完成安全防护，特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕⾍的⼊侵。

DPtech IPS2000测试方案杭州迪普科技有限公司2011年07月目录DPtech IPS2000测试方案 (1)第1章产品介绍 (1)第2章测试计划 (2)2.1测试方案 (2)2.2测试环境 (2)2.2.1 透明模式 (2)2.2.2 旁路模式 (3)第3章测试内容 (4)3.1功能特性 (4)3.2响应方式 (4)3.3管理特性 (4)3.4安全性 (5)3.5高可靠性 (5)第4章测试方法及步骤 (6)4.1功能特性 (6)4.1.1 攻击防护 (6)4.1.2 防病毒 (8)4.1.3 访问控制 (10)4.1.4 最大连接数与DDoS (11)4.1.5 黑名单功能 (12)4.2响应方式 (13)4.2.1 阻断方式 (13)4.2.2 日志管理 (14)4.3管理特性 (15)4.3.1 设备管理 (15)4.3.2 报表特性 (16)4.4安全特性 (17)4.4.1 用户的安全性 (17)4.4.2 设备的安全性 (19)第5章测试总结 (21)第1章产品介绍随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtech UTM2000入侵防御技术白皮书1、概述本篇文章主要介绍DPtech UTM2000系列产品中入侵防御功能的相关技术1.1 相关术语段(segment)：段是一个物理组网下对经过UTM设备数据的一个逻辑划分，通常是一对或者多对接口，或者包含VLAN ID的接口数据流，入侵防御相关的业务都基于segment进行配置。

1.2 网络安全现状融入全球化的Internet是企业网络发展的必然趋势，每个企业的Intranet都会有许多与外部连接的链路，如通过专线连入Internet，提供远程接入服务供业务伙伴和出差员工访问等，企业网络边界的淡化，企业面临的威胁的机会也增大了，只要一个访问入口防护不完整，则“黑客”将可以入侵企业，获取数据或者破坏。

1.3 基于网络的攻击与检测技术入侵防御的基本功能是识别尽可能多的攻击，同时又避免不必要的误报，同时也需要保证企业有限的带宽不被滥用，为了达到上述目标，单纯的采用一种技术手段是无法做到的，迪普创新性的融合了多种内容识别技术，保证了系统能够快速高效的发现异常流量并阻断，同时保证正常业务的开展，提供如下几项技术：基于流的状态特征检测技术，基于攻击固定特征的检测这是IDS/入侵防御最基本攻击检测技术，而基于流的状态特征检测技术与以往的不同的是，可以是基于协议上下文的特征检测技术，这样可以很好的避免误报的发生；如某一个特征只在三次会话之后的client方向发生，则检测时只会针对这部分数据流进行检测，而不会引起误报；·协议异常检测技术，通常也叫协议分析，即对照RFC规范对通讯的协议进行检查，这对于检测基于RFC 未规范一些未知攻击或新的攻击非常有效；同时对于基于固定特征的逃逸也具有先天的免疫；·智能的自适应多层次防护技术，可以很好的解决DoS/DDoS攻击防护问题，该技术通过对保护对象的流量进行流量学习和建模，针对不同的类型流量采用不同的动作，并通过不断的学习调整等过程，保证保护对象避免DDoS/DoS攻击的困扰；·在应用中识别威胁技术：融合协议识别和威胁识别的基础上进行有状态的深度威胁分析，从而更好减少误报；·基于滥用误用的带宽管理技术：在应用的智能识别基础上，对于识别出的滥用和误用协议可以进行多层次和多纬度的带宽管理；2、威胁的识别2.1基于滥用误用的带宽管理技术网络“以内容为王”造成了当前网络上应用的层出不穷，这种繁荣的背后意味着：必须对网络中的应用及其行为进行深入的感知和分析，对应用的流量和行为进行细粒度分层次的管理，从而预防可能的滥用和误用，杜绝各种应用所引入的潜在威胁。

杭州迪普科技有限公司DPtech UTM2000功能测试报告杭州迪普科技有限公司2011年10月杭州迪普科技有限公司目录1.测试背景 (1)2.测试说明 (2)2.1.测试方案 (2)3.应用部署与测试环境 (2)3.1.测试拓扑 (2)3.2.测试工具 (3)4.功能测试 (3)4.1.基本功能 (3)4.1.1.静态路由功能测试 (3)4.2.IPS功能 (4)4.3.流量分析功能 (5)4.3.1.业务总流量分析 (5)4.3.2.根据应用类型/类型组统计流量分布 (5)4.4.行为审计 (6)4.4.1.WEB搜索审计 (6)4.4.2.用户浏览网页应用审计 (6)5.测试总结 (7)1. 测试背景（1）目前，混合型攻击成为主流，非法访问、蠕虫病毒、垃圾邮件、带宽滥用等安全威胁不再是单兵作战，而是经常一起进行混合攻击，单一的防护技术已根本无法应对。

而在网络特别在广域网中同时部署多个安全产品，除了增加用户安全建设的成本之外，还会造成网络结构复杂，单点故障增多，维护和管理难度成几何级增大。

UTM（United Threat Management，统一威胁管理）产品的出现解决了以上问题，UTM是一种灵活、简洁、全面的安全防护手段，它在一个硬件平台下集成了防火墙、漏洞防护、防病毒、防垃圾邮件、内容过滤等多个安全功能，可以应对快速增长的各种混合攻击。

然而目前业界大多数的UTM产品均是在传统防火墙基础上进行简单的功能叠加，一旦多功能开启后，性能急剧下降，造成UTM的多功能成为一个摆设而无法真正使用。

基于上述现状，迪普科技推出了基于多核处理器架构的DPtech UTM2000 N系列UTM，UTM2000 N系列全面集成了防火墙、IPSec/SSL VPN、漏洞防护、防病毒、内容过滤、防垃圾邮件、带宽滥用控制、行为审计、无线等功能，是业界功能最全面的UTM产品；同时，为解决多功能开启后UTM 性能急剧下降的难题，迪普科技采用了独有的“并行流过滤引擎”技术，多种业务并发处理，即使在多功能同时开启、特征库不断增加的情况下，也不会造成性能的衰减和网络时延的增加。

网络安全产品方案入侵防御系统测试方案厂家:XXXXX科技有限公司产品型号:XXXXXXXXX目录一. 测试需求 (1)二. 测试单元 (1)三. 测试环境及准备 (1)3.1环境准备 (2)3.2网络连接平台 (2)3.3硬件设备 (5)3.4软件环境 (5)四. 功能测试 (6)4.1产品初步评估 (6)4.2基本管理功能测试 (6)4.3部署方式测试 (6)4.3.1 虚拟线部署拓扑 (7)4.3.2 非对称路由部署拓扑 (8)4.3.3 路由模式拓扑 (9)4.3.4 二层接入部署拓扑 (10)4.4多链路接入测试 (10)4.5应用管理测试 (11)4.6数据泄露防护 (11)4.7信誉 (12)4.8防病毒测试 (13)4.9IP V6测试 (13)4.9.1 流量分析 (14)4.10用户认证测试 (15)一. 测试需求本着实事求是的态度，在项目建设时，我方(XXXXX科技有限公司) 组织了相关人员针对入侵防御系统（后简称为IPS）的测试工作，目标是通过严格的测试，来验证IPS的各项功能和性能是否能满足项目: 防洪泵站自动化远程控制系统三级保护改造设备采购项目的实际需求,测试方案如下。

二. 测试单元此次测试在内容方面主要由三个部分组成：1. 功能测试功能测试是对IPS产品可用性、易用性的综合评估。

通过功能测试筛选出能够满足测试目的中功能需求内容的产品。

2. 攻击测试攻击测试主要是评估产品是否能够及时、准确、完整的发现黑客的攻击企图和行为，包括各种类型的攻击。

如：预攻击探测扫描、后门攻击、拒绝服务攻击、应用服务攻击等等。

同时也包括IPS躲避技术和逃避技术的测试。

3. 性能测试性能测试主要是评估IPS产品的吞吐量、延时等性能参数。

三. 测试环境及准备在测试前必须对整个测试过程有周密的计划，测试人员要对整个测试过程有全面的了解。

准备详细周密的测试实施细则是测试正常进行的和顺利完成的前提。

测试人员需要对于测试实施细则进行充分的了解和讨论，以确保测试方案的正确执行，并保证高质量的测试工作。

DPtech IPS2000技术白皮书杭州迪普科技有限公司2013年8月目录一、概述 (3)二、产品简介 (3)三、产品特色技术介绍 (4)1.先进的特征提取技术 (4)1.1.协议特征形式化建模流程 (4)1.2.特征数据挖掘算法模型 (5)2.攻击防御技术 (5)2.1.基于指纹特征的检测技术 (5)2.1.1 蠕虫攻击防护 (6)2.1.2 SQL注入防护 (6)2.1.3 XSS攻击防护 (7)2.1.4 缓冲区溢出防护 (7)2.1.5 系统漏洞攻击防护 (7)2.1.6 碎片攻击防护 (7)2.1.7 未知威胁检测防护 (8)2.2.异常流量检测技术 (8)3.病毒过滤技术 (8)4.网络带宽限制技术 (10)4.1.基于用户的带宽管理 (10)4.2.基于服务的带宽管理 (10)5.网络访问控制技术 (10)6.URL过滤技术 (10)7.高可靠安全性 (11)7.1.完善的HA部署方式 (11)7.2.支持冗余电源 (12)7.3.丰富的Bypass功能 (12)一、概述随着网络的飞速发展，以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击层出不穷。

传统的基于网络层的防护只能针对报文头进行检查和规则匹配，但目前大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文头意义不大。

IPS正是通过对报文进行深度检测，对应用层威胁进行实时防御的安全产品。

但目前大多数IPS都是从原有的IDS平台改制而来，性能低、误报和漏报率高、可靠性差，尤其是在新应用不断增多、特征库不断增长的情况下，性能压力持续增加，只能通过减少或关闭特征库来规避。

这样的IPS不仅起不到安全防御的作用，甚至会成为网络中的故障点。

如何保证IPS在深度检测条件下仍能保证线速处理、微秒级时延？很显然，传统的基于串行设计思想的硬件和软件架构，无论是X86、ASIC或是NP，都无法承受成千上万条且在不断更新中的漏洞库，更不用说再增加病毒库、应用协议库……。

DPtechIPS2000AV系列产品彩页业界最高端防毒墙，万兆线速处理能力，病毒库增加不会造成性能下降管理平面与数据平面双通道设计，极大提升了系统健壮性专业的防病毒引擎，内置病毒样本十万条以上，可防御各类病毒掉电保护、应用Bypass等高可靠性机制，确保防毒墙不会成为网络故障点实时的响应方式：阻断、限流、隔离、重定向、Email内容深度检测，全面解决应用层安全问题专业的特征库团队，特征库自动更新，持续安全防护灵活的部署模式：在线模式、监听模式、混合模式支持分布式管理信息技术飞速发展，网络应用日益复杂和多元化，各种安全威胁也随之而来，病毒、蠕虫、木马、间谍软件、恶意攻击使得普通的网络安全防御无能为力。

据权威机构统计，90%以上的企业都曾遭受过病毒的攻击。

传统的防病毒软件基于主机进行查杀，由于主机数量众多、系统版本不同、应用软件差异等原因，因此存在着部署复杂、管理困难、病毒库升级不及时等问题，维护成本也很高；网关型防病毒设备部署在网络出口，不依赖于主机上的防病毒软件，能够实时查杀网络流量中的各种病毒。

但是当前许多厂家提供各式各样的防毒墙，特征样本库的日益增加造成性能的严重制约，尤其是大量特征样本增加，所宣称的性能急剧下降，延时大为增加，不仅起不了多大的防御效果，还造成用户对网络服务体验的大为降低，而靠减少特征库的数量来简单满足性能需求则几乎等于没有防御。

正是在这种形势下，DPtech IPS2000 AV系列防毒墙应运而生。

IPS2000 AV系列基于领先的多核和FPAG架构，并采用独创的“并行流过滤引擎”技术，解决了数据包深度检测消耗大的瓶颈，面对庞大的特征样本和复杂的安全策略，数据包无需多次解析和检测，一次解析即可完成所有安全策略，大大提升了处理效率，即使在病毒库持续增加的情况下，也不会造成性能的下降和网络时延的增加。

同时，DPtech IPS2000 AV系列还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。

DPtech IPS2000开局指导杭州迪普科技有限公司2011年07月目录DPtech IPS2000开局指导 (1)第1章前期调研 (1)1.1调研内容 (1)1.2确定部署方案 (2)第2章实施步骤 (3)2.1准备工作 (3)2.2部署条件 (3)2.3安装断掉保护PFP（如需安装） (3)2.4实施方案 (4)2.4.1 基本配置方案1-旁路部署 (4)2.4.2 基本配置方案2-透明部署 (8)2.4.3 基本配置方案3-混合部署 (11)2.4.4 扩展配置 (12)2.4.5 高级配置 (13)2.4.6 其他配置 (14)第3章实施注意事项 (18)第1章前期调研1.1 调研内容1.2 确定部署方案根据调研及交流的结果，确定物理部署位置、逻辑部署位置、开启功能策略等第2章实施步骤2.1 准备工作向用户介绍入侵防御系统实施内容、产品与用户沟通入侵防御系统实际部署时间2.2 部署条件设备正常启动连接线（双绞线、光纤等）正常可用部署机柜满足部署条件（机柜空间、插座数、功率载荷）管理地址已分配，且满足互通等要求确定部署方式（组网模式、部署链路数）2.3 安装断掉保护PFP（如需安装）将PFP插卡板安装在PFP主机上将内网连接线（如SW引出）连接至PFP“1”口，外网连接线（如FW引出）连接至PFP“4”口，流量于1——4间物理透传，此时验证网络畅通性PFP插板“2、3”口平行连接IPS主机“A、B”口，即实施后的流量流向应为：局域网——PFP1口——PFP2口——IPSA口——IPSB口——PFP3口——PFP4口——互联网，链路上下行连接错误，会导致日志分析异常此时切忌连接PFP主机与IPS主机的“USB”连接线，需完成全部功能配置后，再连接“USB”连接线2.4 实施方案2.4.1 基本配置方案1-旁路部署组网拓扑图注意：此模式下只做检测，不做控制PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin在【网络管理】->【组网模式】中，修改某一接口对组网模式为“旁路模式”注意：如上图所示，eth1/0与eth1/1接口对组网模式改为旁路模式后，此接口将无接口对概念，eth1/0与eth1/1独立存在，且均可作为旁路检测接口在【网络管理】->【网络用户组】中，添加IP用户组如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC 安装服务器的IP地址，PORT：9502）在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator在【设备管理】->【设备列表】中，添加IPS设备在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）2.4.2 基本配置方案2-透明部署PC直连设备管理口，缺省IP地址为192.168.0.1；用户名：admin，密码：admin在【网络管理】->【网络用户组】中，添加IP用户组如果设备需要跨网段管理，则需在【网络管理】->【单播IPv4路由】中，添加指定或默认路由在【IPS规则】中创建规则后，引用到【IPS策略】中的指定旁路接口在【日志管理】->【业务日志】中，开启将IPS日志输出UMC功能（IP：UMC安装服务器的IP地址，PORT：9514）在【审计分析】->【流量分析】中，开启将流量分析日志输出UMC功能（IP：UMC 安装服务器的IP地址，PORT：9502）在服务器安装UMC后，用IE访问其网卡IP地址（注：UMC地址需与IPS管理地址互通），用户名：admin，密码：UMCAdministrator在【设备管理】->【设备列表】中，添加IPS设备在【系统管理】->【时间同步配置】中，点击“立即同步”（注：UMC与IPS时间不一致，会影响日志统计）在【网络监控】中查看流量分析日志，在【攻击监控】中查看IPS日志（如果未使用UMC，则在IPS设备【IPS日志】中查看）2.4.3 基本配置方案3-混合部署如上图所示，eth1/0与eth1/1为旁路模式，可独立做旁路检测（IDS）；eth1/2与eth1/3，eth1/4与eth1/5为在线模式，存在接口对概念，可做在线检测（IPS）；即实现了同时在线检测与旁路检测的混合模式2.4.4 扩展配置【防病毒】，在【常用功能】->【防病毒】中，添加防病毒策略；下图策略为：从eth1/0与eth1/1接口流入的流量，进行防病毒策略的安全匹配（流行度概念，请参见用户手册）【带宽限速】，在【扩展功能】->【应用防火墙】->【网络应用带宽限速】中，添加带宽限速策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，P2P限速5000kbps（注意单位）；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，P2P限速5000kbps（注意单位）【访问控制】，在【扩展功能】->【应用防火墙】->【网络应用访问控制】中，添加访问控制策略；下图策略为：从eth1/0接口流入，且源IP组为test，目的IP组为All users的流量，阻断网络应用-即时通讯；从eth1/1接口流入，且源IP组为All users，目的IP组为test的流量，阻断网络应用-即时通讯【URL】，在【扩展功能】->【应用防火墙】->【URL过滤】中，添加URL过滤策略；下图策略为：从eth1/0接口流入，且源IP组为test的流量，对主机名为的URL进行过滤2.4.5 高级配置端口捆绑（注意：虚接口绑定遵循上下行，即上行口不能与下行口绑定）自定义IPS特征（根据报文参数，自定义设置IPS特征，并引入到IPS策略）带宽限速/访问控制自定义应用组（创建自定义网络应用组后，可应用到带宽限速/访问控制策略中）URL分类库及推送配置（注意：此功能在有URL License，且已经导入URL特征库的情况下，方可使用）2.4.6 其他配置添加管理员，并设置管理权限设置Web访问协议参数导入/出配置文件，需重启（推荐在同一软件版本下使用）修改接口同步状态（注意：当开启接口同步状态下，当接口对中的eth1/0口down后，在数秒种后，eth1/1口的管理状态会dwon，如恢复管理状态需在console口下操作，重新no shutdown该接口状态）创建IP用户组，IP用户群，IP用户簇（IP可实现分级管理，并应用到策略）Web页面修改管理口地址软件bypass，开启后流量不做安全检测（VIP流量概念，请参见用户手册）黑名单基础DDos配置（添加防护网段配置后，根据网络情况，下发DDos防护策略）基本攻击防护策略第3章实施注意事项管理服务器的安全性管理服务器安装Windows2003 Server或者Windows2008操作系统后，管理员一定要确保对Windows进行重要安全补丁修补，规范操作系统口令和密码设置，保证正常启动运行。

网络入侵防御系统测试方案参测厂商测试单位测试时间目录1参测产品情况调查 (4)1.1表格一：测试产品基本情况调查表 (4)1.2表格二：认证、检测及鉴定情况 (4)1.3表格三：分值比例 (5)2测试环境 (5)2.1功能测试环境 (5)2.2现网测试环境 (6)2.3测试设备清单 (6)2.4测试工具 (6)3测试总流程 (7)3.1测试准备 (7)3.2测试实施 (7)3.3测试记录 (7)3.4测试报告 (7)4测试内容 (8)4.1管理功能测试 (8)4.1.1.引擎管理控制功能 (8)4.1.2.控制中心基本管理功能 (8)4.1.3.部署方式测试 (9)4.1.4.策略编辑 (9)4.1.5.精确报警 (10)4.1.6.攻击特征库管理 (10)4.1.7.自定义窗口显示功能 (11)4.1.8.事件过滤 (11)4.1.9.动态策略 (12)4.1.10.响应方式 (12)4.1.11.系统软件、攻击特征升级能力 (12)4.2辅助功能测试 (13)4.2.1用户管理 (13)4.2.2用户安全审计 (13)4.2.3报表分析功能1——TOP10统计 (14)4.2.4报表分析功能2——交叉报表 (15)4.2.5日志分析系统 (15)4.3攻击测试 (16)4.3.1邮件病毒传播保护测试 (16)4.3.2蠕虫病毒传播保护测试 (17)4.3.3系统漏洞攻击（攻击包回放） (17)4.3.4系统漏洞攻击（真实攻击） (18)4.3.5木马连接保护测试 (18)4.3.6拒绝服务攻击 (19)4.3.7IPS规避攻击 (19)4.3.8间谍广告程序攻击 (20)4.3.9 SQL注入攻击 (20)4.3.10 URL过滤 (21)4.3.11其它攻击测试 (21)4.4现网运行测试 (22)4.4.1多路IPS测试 (22)4.4.2IP、端口访问控制测试 (23)4.4.3带宽管理测试 (24)4.4.4P2P下载检测功能 (24)4.4.5网络游戏行为 (25)4.4.6网络聊天行为 (25)4.4.7在线视频行为 (25)4.4.8恶意代码网站检测功能 (26)4.4.9现网测试延迟 (26)4.5软硬B YPASS功能测试 (27)4.4.1软Bypass功能测试 (27)4.4.2硬Bypass功能测试 (27)4.6其他功能测试 (28)5测试结果综述 (28)1参测产品情况调查1.1 表格一：测试产品基本情况调查表1.2 表格二：认证、检测及鉴定情况1.3 表格三：分值比例2测试环境2.1 功能测试环境功能测试环境拓扑具体的主机配置如下：◆各主机的ip地址依据测试中IPS的部署方式不同而进行相应的设置◆各主机均安装Windows2000以上操作系统◆服务器安装IIS功能测试环境主要测试攻击、病毒等在现网测试可能造成业务影响的项目。

入侵检测测试方案模拟测试目的是检测设备对入侵特征库的覆盖情况，实际测试目的是观察设备在Internet背景下IPS所表现的实际能力。

第一部份模拟测试1.1测试环境Attack1.2 测试条件Attack安装专业测试入侵特征库的Blade software，Log-server安装Kiwi_Syslogd.exe日志记录软件。

1.3 测试配置1.3.1 分别连接Attack到ASA的outside和inside接口1.3.2 配置AIP-SSM监控流量1.3.3配置ASA将log发送到Log-server上1.3.4 在outside口发起攻击包括两部份，一是设置，二是实施攻击。

设置setting如图所示，标记共有四处。

1、2处的设置相似，用作设置NIC1和NIC2. 注意选择对应的网卡类型，对应的MAC地址，对应的IP地址和网关的MAC地址；3处钩选以便设定网关的MAC地址；4处设定每个攻击的时间间隔，设定为3s。

如果攻击的间隔太短部分数据包会被Firewall核心拒绝，不会到IDS引擎。

2)攻击Attack选择全部攻击模拟库，点击Run Attack按钮。

1.4测试结果：在Kiwi Syslog Server上会实时记录ASA检测到的入侵活动，根据攻击模拟库的大小，检测到日志的条目，可以得到一个百分比，此值可以反映IPS设备对攻击活动的识别能力。

第二部份实际测试实际测试指在Internet背景下来测试IPS的功能作用。

拟测试的内容有：对P2P和IM的控制，包括BitComet、eDonkey、Skype、QQ、MSN。

P2P和IM流量，特别是BT流量，已经严重地影响了Internet带来的生产力，阻断BT流量的特性也是当前企业十分关注的功能之一。

2.1 测试条件要求具备真实的上Internet环境，以便测试阻挡BT，MSN，QQ，Skype的能力。

如果能够提供此环境，可以根据现场情况，设计测试环境。