Deep Edge深度威脅安全網(wǎng)關平臺POC測試報告

1、PAGE Deep Edge深度威脅安全網(wǎng)關平臺POC測試報告文件類型：POC報告文檔目 錄 TOC o 1-4 h z u HYPERLINK l _Toc449571757 1.測試背景 PAGEREF _Toc449571757 h 4 HYPERLINK l _Toc449571758 2.測試目的 PAGEREF _Toc449571758 h 4 HYPERLINK l _Toc449571759 3.測試計劃 PAGEREF _Toc449571759 h 4 HYPERLINK l _Toc449571760 3.1.測試時間、地點 PAGEREF _Toc449571760

2、h 4 HYPERLINK l _Toc449571761 3.2.測試人員 PAGEREF _Toc449571761 h 4 HYPERLINK l _Toc449571762 3.3.分工界面 PAGEREF _Toc449571762 h 5 HYPERLINK l _Toc449571763 3.4.測試環(huán)境 PAGEREF _Toc449571763 h 5 HYPERLINK l _Toc449571764 3.4.1.硬件環(huán)境 PAGEREF _Toc449571764 h 5 HYPERLINK l _Toc449571765 3.4.2.軟件環(huán)境 PAGEREF _Toc4

3、49571765 h 5 HYPERLINK l _Toc449571766 3.4.3.應用環(huán)境 PAGEREF _Toc449571766 h 5 HYPERLINK l _Toc449571767 3.4.4.測試設備、工具 PAGEREF _Toc449571767 h 5 HYPERLINK l _Toc449571768 4.測試方案 PAGEREF _Toc449571768 h 6 HYPERLINK l _Toc449571769 4.1.測試環(huán)境拓撲圖 PAGEREF _Toc449571769 h 6 HYPERLINK l _Toc449571770 4.2.系統(tǒng)配置管

4、理測試 PAGEREF _Toc449571770 h 6 HYPERLINK l _Toc449571771 4.3.安全策略測試 PAGEREF _Toc449571771 h 6 HYPERLINK l _Toc449571772 4.4.NAT測試 PAGEREF _Toc449571772 h 8 HYPERLINK l _Toc449571773 4.5.IPS功能測試 PAGEREF _Toc449571773 h 8 HYPERLINK l _Toc449571774 4.6.AV功能測試 PAGEREF _Toc449571774 h 9 HYPERLINK l _Toc44

5、9571775 4.7.上網(wǎng)行為管理功能測試 PAGEREF _Toc449571775 h 9 HYPERLINK l _Toc449571776 4.8.WRS功能測試 PAGEREF _Toc449571776 h 10 HYPERLINK l _Toc449571777 4.9.垃圾郵件及病毒郵件測試 PAGEREF _Toc449571777 h 11 HYPERLINK l _Toc449571778 4.10.虛擬補丁功能測試 PAGEREF _Toc449571778 h 11 HYPERLINK l _Toc449571779 5.測試結(jié)論 PAGEREF _Toc44957

6、1779 h 12 測試背景亞信安全作為業(yè)界極具影響力的專業(yè)防病毒解決方案及服務提供商，對XXXX防病毒網(wǎng)關測試項目給予高度重視，并將指派XXX作為測試項目經(jīng)理進入測試項目小組，直接掌控測試項目的技術(shù)水平和質(zhì)量。亞信安全將根據(jù)XXXX防病毒網(wǎng)關測試項目的具體要求，結(jié)合自己的業(yè)界經(jīng)驗及測試項目管理經(jīng)驗，努力滿足XXXX對本測試項目提出的目標。測試目的設備性能測試：考察亞信安全下一代安全網(wǎng)關Deep Edge性能上是否滿足XX公司組網(wǎng)要求設備功能測試：考察亞信安全下一代安全網(wǎng)關Deep Edge功能上是否滿足XX安全需求測試計劃測試時間、地點測試時間：XX月XX日至XX月XX日。測試地點：測試人員

7、姓名承擔的主要工作負責人主 要 測 試 人 員分工界面XX單位： 負責準備好測試環(huán)境；協(xié)助測試；監(jiān)督測試按計劃進行。亞信安全：提供技術(shù)支持；進行測試操作。測試環(huán)境硬件環(huán)境客戶端PC 、Deep Edge設備、FTP/WEB服務器各一臺軟件環(huán)境 各版本操作系統(tǒng)、IIS、DB等環(huán)境軟件應用環(huán)境如測試環(huán)境拓撲圖所示：安全網(wǎng)關的GE0接口連接客戶端PC，GE1連接FTP/Web服務器，兩個接口之間工作在透明模式（橋模式）下，客戶端PC經(jīng)過NAT地址轉(zhuǎn)換后可以接入互聯(lián)網(wǎng)，出口為GE3。安全網(wǎng)關的GE3接口接入Internet。配置訪問控制策略，使得客戶端PC能夠訪問FTP/Web服務器、日志務器和Int

8、ernet。測試設備、工具模擬病毒攻擊的軟件相關的發(fā)包軟件及模擬包PUTTY測試方案測試環(huán)境拓撲圖透明網(wǎng)橋測試測試說明測試DE透明網(wǎng)橋功能測試內(nèi)容通過配置DE的透明網(wǎng)橋模式，實現(xiàn)網(wǎng)絡透傳。預置條件設備已經(jīng)配置為透明網(wǎng)橋模式且已經(jīng)串接到網(wǎng)絡當中 測試過程通過透明橋接模式實現(xiàn)串聯(lián)訪問網(wǎng)絡預期結(jié)果能夠直接訪問網(wǎng)絡測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_路由模式測試測試說明測試DE路由模式功能測試內(nèi)容通過將DE配置為路由模式，測試其作為路由網(wǎng)關的傳輸功能。預置條件設備已經(jīng)配置為路由模式并添加相關的路由表，同時設備已經(jīng)接入網(wǎng)絡測試過程通過路由網(wǎng)關模式（DE為內(nèi)網(wǎng)網(wǎng)關時）

9、訪問網(wǎng)絡跨網(wǎng)段的靜態(tài)路由訪問預期結(jié)果能夠通過路由模式訪問網(wǎng)絡測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_旁路監(jiān)控模式測試測試說明測試DE的旁路監(jiān)控功能測試內(nèi)容通過旁路監(jiān)控部署形式實現(xiàn)SPAN模式的流量威脅檢測預置條件DE已經(jīng)配置成監(jiān)控模式并且交換機已經(jīng)將流量鏡像到網(wǎng)關測試過程交換機將監(jiān)控流量鏡像到DE網(wǎng)關進行分析預期結(jié)果支持SPAN模式的流量監(jiān)控測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_系統(tǒng)配置管理測試測試說明系統(tǒng)配置管理測試測試內(nèi)容考察DE是否具備靈活的配置管理功能，是否支持通過加密方式(SSH或HTTPS)進行管理。預置條件US

10、G設備已經(jīng)接入到網(wǎng)絡中，并完成基本配置測試過程支持通過SSH進行配置管理支持通過加密的HTTPS方式進行配置管理預期結(jié)果支持上述各種管理方式測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_安全策略測試測試說明通過安全策略控制數(shù)據(jù)包的行為測試內(nèi)容考察安全網(wǎng)關產(chǎn)品是否支持安全策略控制模式預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程配置安全策略允許（Permit）客戶端PC機到ftp服務器的訪問從PC 訪問 ftp服務器，可以正常訪問ftp服務器在DE上修改該安全策略為禁止（Deny）兩接口之間的通信從PC 不能訪問 ftp服務器預期結(jié)果安全策略可以根據(jù)配置來控

11、制允許或拒絕報文通過。測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_測試說明通過接口、地址、時間表、服務控制安全策略生效的條件測試內(nèi)容考察安全網(wǎng)關產(chǎn)品是否支持安全策略匹配條件預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程配置安全策略允許（Permit）兩接口之間的通信，采用接口、地址、時間表、服務條件在符合該接口、地址、時間范圍和服務條件時，從客戶PC 訪問FTP服務器才可以通訊預期結(jié)果可以設置接口、地址、時間表、服務控制安全策略生效的條件測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_NAT測試測試說明源地址轉(zhuǎn)換NAT測試測試內(nèi)

12、容考察安全網(wǎng)關產(chǎn)品是否支持源地址轉(zhuǎn)換預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程配置地址池、源地址轉(zhuǎn)換和安全策略允許通訊從客戶端PC可以訪問外網(wǎng)地址和網(wǎng)頁預期結(jié)果通過NAT轉(zhuǎn)換后可以正常訪問外網(wǎng)測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_虛擬補丁功能測試測試說明測試DE的虛擬補丁功能測試內(nèi)容通過模擬攻擊測試查看是否可識別攻擊威脅并作出響應預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程針對性測試：針對以下服務器、終端、服務及通訊分類中的攻擊樣本，使用Metasploit進行測試關閉安全網(wǎng)關產(chǎn)品上相應安全防護策略并配置允許（permit）兩接口之

13、間的通信可從6000+規(guī)則中任意選取規(guī)則，根據(jù)規(guī)則對應的CVE編號，使用Metasploit進行測試啟用安全網(wǎng)關產(chǎn)品上相應安全防護策略啟用后模擬攻擊失敗并可在DE上查看相應日志信息預期結(jié)果虛擬補丁功能能夠正常使用，并產(chǎn)生日志1文件服務器防護 NetTerm NetFTPF 用戶緩存命令或 3Com 3CDaemon FTP 服務器溢出測試結(jié)果通過 不通過2Web 服務器防護 Microsoft Windows Explorer 拖放遠程代碼執(zhí)行、Microsoft IIS WebDAV 長請求緩存溢出等測試結(jié)果通過 不通過3郵件服務器防護 Sendmail Signal Race 漏洞、Mic

14、rosoft Exchange SMTP Service Extended Verb 請求緩存溢出等測試結(jié)果通過 不通過4通用服務防護 Microsoft SSL PCT Buffer Overflow Vulnerability、Solaris Telnetd User Authentication Bypass Vulnerability 等測試結(jié)果通過 不通過5客戶端防護 Microsoft Visual Studio WMI 對象代理未指定代碼執(zhí)行、Microsoft Internet Explorer XMLHTTP ActiveX Control setRequestHeader

15、代碼執(zhí)行等測試結(jié)果通過 不通過6即時通訊防護 IBM Lotus Sametime Multiplexer Buffer Overflow、MSN MSNP2P Message Integer Overflow 等測試結(jié)果通過 不通過7其他防護 SIP Foundry sipiXtapi 緩存溢出測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_常見攻擊測試測試說明測試DE針對各類常見攻擊的防護能力測試內(nèi)容通過模擬攻擊測試查看是否可識別攻擊威脅并作出響應預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程針對性測試：針對以下服務器、終端、服務及通訊分類中的攻擊樣本，

16、使用Metasploit或Python進行測試關閉安全網(wǎng)關產(chǎn)品上相應安全防護策略并配置允許（permit）兩接口之間的通信指定攻擊方式，使用Metasploit進行測試啟用安全網(wǎng)關產(chǎn)品上相應安全防護策略啟用后模擬攻擊失敗并可在DE上查看相應日志信息預期結(jié)果IPS功能能夠正常使用，并產(chǎn)生日志1MS12020漏洞攻擊（1）在DE 設備查找并關閉CVE-2012-0002對應防護策略（2）預先準備包含的CVE-2012-0002（MS12-020，KB2621440）漏洞的Windows2003 系統(tǒng)機器（3）客戶機使用rdpclient工具發(fā)送指定攻擊包。（4）觀察受攻擊Windows2003藍屏

17、現(xiàn)象（5）在DE上開啟對應CVE編號漏洞防護策略（6）再次開啟攻擊工具（7）觀察受攻擊Windows2003未藍屏（8）DE設備記錄相關攻擊日志測試結(jié)果通過 不通過2DOS/DDOS auxiliary/dos/windows/rdp/ms12_020_maxchannelids首先我們先以此漏洞來進行DOS攻擊，其攻擊步驟如下:（1）、search CVE-2012-0002（2）、use auxiliary/dos/windows/rdp/ms12_020_maxchannelids（3）、set RHOST (被駭端 IP);（4）、exploit測試結(jié)果通過 不通過3Buffer Ov

18、erflow一EXPLOIT MS09-001 SMB Andx Vulnerability Buffer Overflow攻擊一，首先我們先以此漏洞來進行Buffer Overflow攻擊，其攻擊步驟如下:（1）、search CVE-2008-4114（2）、use auxiliary/dos/windows/smb/ms09_001_write (Windows 7 網(wǎng)芳不能設密碼)（3）、set RHOST(被駭端 IP);（4）、exploit。測試結(jié)果通過 不通過二EXPLOIT Adobe Acrobat and Reader CoolType dll Stack Buffer

19、overflow -1Buffer Overflow攻擊二，首先我們先以此漏洞來進行Buffer Overflow攻擊，其攻擊步驟如下:（1）、search CVE-2010-2883（2）、use exploit/windows/fileformat/adobe_cooltype_sing（3）、set payload windows/exec（4）、set CMD calc.exe（5）、exploit。（6）、將其產(chǎn)生的惡意檔案放置在Web server再從Client端下載。測試結(jié)果通過 不通過4Web Attack一VULN SQL injection or attempt -2測試

20、結(jié)果通過 不通過二EXPLOIT Cross Site Scripting -1 測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_AV功能測試測試說明測試USG的AV功能測試內(nèi)容通過病毒攻擊模擬測試查看是否可識別病毒并作出響應預置條件USG設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1客戶端pc發(fā)送各類病毒攻擊，如發(fā)送后綴為*.txt,*.Zip,*.EXE文件2安全網(wǎng)關產(chǎn)品上配置安全防護策略允許（permit）兩接口之間的通信3可在安全網(wǎng)關中查看相應日志信息 預期結(jié)果可以產(chǎn)生日志1 防病毒測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過2防勒

21、索軟件測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過3防木馬測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過4防蠕蟲測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過5防僵尸網(wǎng)絡測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過6防后門程序測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過7防間諜軟件測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過8防灰色軟件測試結(jié)果Http 通過 不通過FTP 通過 不通過SMTP 通過 不通過備注甲方人員：_乙方人員：

22、_ 測試日期：_測試日期：_APT聯(lián)動測試（可選）測試說明測試DE設備和DDAN沙盒設備聯(lián)動功能測試內(nèi)容通過配置與DDAN聯(lián)動，檢測DE是否配合APT防護功能預置條件DE和DDAN設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1部署DDAN設備2設置DE和DDAN聯(lián)動3DE是否可以和DDAN設備聯(lián)動 預期結(jié)果文件通過DE傳送到DDAN，C&C可以被DE攔截1防未知文檔漏洞攻擊測試結(jié)果通過 不通過2防C&C違規(guī)外聯(lián)測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_上網(wǎng)行為管理功能測試測試說明測試DE的上網(wǎng)行為管理功能測試內(nèi)容通過配置上網(wǎng)行為管理功能，檢測DE是否能限制用戶上

23、網(wǎng)的行為，比如登錄IE、炒股軟件等。預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1客戶端安裝IE、炒股軟件等2安全網(wǎng)關產(chǎn)品上配置上網(wǎng)行為管理模板、創(chuàng)建安全防護表開啟上網(wǎng)行為管理，創(chuàng)建訪問控制策略引用安全防護表3觀察客戶端IE登錄網(wǎng)頁或過行炒股軟件時的效果。 預期結(jié)果不能正常登錄IE或炒股軟件。測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_WRS功能測試測試說明WEB站點信譽評估測試內(nèi)容通過配置WRS功能，智能實時評估客戶機訪問WEB站點是否包含惡意威脅代碼，并自動阻止網(wǎng)頁訪問預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1. 打開 Web 瀏覽

24、器，在地址文本框指定以下文本： HYPERLINK 2. 清空管理員的本地瀏覽器緩存，然后重新訪問同一 URL。如果測試成功，管理員會收到一條下一代應用安全網(wǎng)關安全事件消息預期結(jié)果日志當中增加相關記錄測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_垃圾郵件及病毒郵件測試測試說明測試SMTP/POP3模塊病毒及垃圾郵件防護測試內(nèi)容測試DE是否能自動辨別并組織相關惡意郵件預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1客戶機發(fā)送帶附件的郵件至外部郵箱。2客戶機發(fā)送SPAM樣本郵件至外部郵箱。 預期結(jié)果在DE能觀察到上報的日志測試結(jié)果通過 不通過備注甲方人員：_乙方人員：_ 測試日期：_測試日期：_Https防護功能測試測試說明測試DE能否針對Https協(xié)議提供防護測試內(nèi)容測試DE是否能自動識別Https協(xié)議，并提供相應防護功能預置條件DE設備已經(jīng)接入到網(wǎng)絡中，并完成相關配置測試過程1. 在DE 設備設定對Https的各類防護策略2. 訪問Https的各類站點3. 觀察防護結(jié)果預期結(jié)果在DE能觀察到上報的日志，