1.闲话
太对不起观众了,才说要写工作日志,第二天就面试去了,结果就上班了。闲话少叙,直入正题。
2.唠叨下基本概念
IPS,***防御系统,传说中IDS的升级,一般来说,IDS安装于网络入口旁路(曾经尾随一个案子,发现IDS接入核心交换机的一个镜像端口的),监视网络的输入与输出。不过说到底,就是一检查机构。貌似法院,只管审判,不管处理,没啥实质性的执行措施。遇到问题,也只有通过其他设备进行配合,对网络进行安全处理,很鸡肋哦。IPS,一般来说,是串接到网络入口处的,置于防火墙的前端或后端(个人认为是再后端比较好一点,毕竟他检查高层协议,速度没有防火墙快),可以对***源进行高层协议与高层安全威胁封锁,直接把安全隐患基本杜绝(注意,是基本杜绝,起码我没感觉这设备很强!)。这种功能,就像是外国法院,有审判,能执行。
3.测试IPS的性能(这里只查看IPS的拦包性能,至于硬件方面的测试,还没涉及)。
了解一下关于IPS的测试内容。从测试的角度看,要明确是为了对专属网络的安置的可行性测试,还是为测试而测试。说明白一点,对专属网络的安置的可行性测试比为测试而测试强度小一点。这里主要说的是对专属网络的安置的可行性测试。
首先,环境的问题。对于IPS的测试,拦截率,误拦率和丢包率几个参数是比较重要的。那么环境之中有什么因素会影响到这几个测试点呢?网络接口速率,包复杂度。所以,应当了解一下网络布局,了解基本的网络参数,这是测试的基础。除此之外,对于网络的安全漏洞,也应当做一个网络扫描,起码知道网络可能受到哪些威胁,这样,再测试阶段,才会有针对性。推荐使用的网络安全漏洞扫描软件为Nessus和Xscan。其实并不是非要这两款,做到用不同的扫描软件进行扫描就OK,因为各个扫面软件的侧重点不同(注意,再选择扫描软件时,应当看清楚扫描引擎的异同。)。
经过对基本网络环境的勘察之后,就是决定测试手法了。除了从安全漏洞引申出的***手段,还应当看一看再时代的浪潮中比较“出色”的***方式,再后来,就是被公司领导津津乐道,被大多数公司员工深恶痛绝的QQ,迅雷,BT的问题。研究好了之后,就是关于数据包的制作。如果不制作,测试的成一废柴了,只能定性,不能定量。所以对于抓包,再测试过程中也是十分重要的。推荐使用Wireshark,感觉是黄金级的抓包软件,带有非常好的过滤器,对数据包的抓取有不可磨灭的功效。其上对协议的分析也是比较透彻的,像对BT,EMule的包抓取,其协议解释精确到包(就是再协议组织中的各个阶段包的意义)。至于包该怎么抓。。。这个问题,再说。
4.测试
之后,就是测试阶段了,本来我应该主要讲这个的,但是我还是参考以下两个帖子,感觉这种测试手法很好。所以就免写一下:
网络测试工具tomahawk之一 安装篇
[url]http://blog.csdn.net/bill_lee_sh_cn/archive/2007/10/10/1818312.aspx[/url]
网络测试工具tomahawk之二 代码修改篇
[url]http://blog.csdn.net/bill_lee_sh_cn/archive/2007/10/22/1837543.aspx[/url]
5.补充
从tomahawk处得到的关于包的发送与接收数就可以得到拦截率。建议再使用混合包的形式对IPS进行测试(事前应当对测试包的包含种类与个数进行统计)。对包的抓取要保证数据包的完整性域正确性,重点看清数据包的校验和。
6.完了
不是测试人员,也就这水平,有什么不妥的提出来,一起学习,共同提高。