目前，很多企業(yè)都部署了IPS產(chǎn)品，用于網(wǎng)絡(luò)的入侵防御，在實(shí)際應(yīng)用中得到了廣泛的認(rèn)可。俗話(huà)說(shuō)，工欲善其事，必先利其器，一款合格的IPS產(chǎn)品出廠之前，需要經(jīng)過(guò)很多測(cè)試，才能擔(dān)負(fù)起入侵防御的重任。但你是否知道IPS需要進(jìn)行哪些測(cè)試？你又是否知道怎樣對(duì)IPS進(jìn)行測(cè)試？帶著這些問(wèn)題，我們特別邀請(qǐng)51CTO安全專(zhuān)家葉子，為大家揭開(kāi)謎底。

當(dāng)前，國(guó)內(nèi)外知名的安全商廠以及產(chǎn)品測(cè)評(píng)機(jī)構(gòu)都在采用思博倫的Avalanche＋ThreatEX設(shè)備對(duì)IPS進(jìn)行測(cè)試，但網(wǎng)絡(luò)上對(duì)ThreatEX設(shè)備的介紹比較少，很多人不知道怎么樣來(lái)使用這個(gè)設(shè)備。

ThreatEX設(shè)備的簡(jiǎn)介

思博倫通信和Imperfect Networks公司宣布結(jié)為戰(zhàn)略合作伙伴關(guān)系后，思博倫通信的Avalanche與Imperfect Networks的ThreatEx產(chǎn)品組合能夠幫助企業(yè)在極端的負(fù)載條件下測(cè)試安全基礎(chǔ)設(shè)施的性能和運(yùn)行狀況。

ThreatEx技術(shù)能夠檢驗(yàn)IDS和IPS能否利用目前的和以往的攻擊特性抵御已知的和未知的攻擊。在思博倫通信 Avalanche的配合下，可以對(duì)IDS/IPS的阻止攻擊性能進(jìn)行測(cè)試，并能夠確保在不影響性能的狀況下允許真正的用戶(hù)流通過(guò)。

ThreatEx由一臺(tái)產(chǎn)生攻擊的專(zhuān)用設(shè)備構(gòu)成，包含大量的預(yù)先配置的攻擊。這些攻擊可單獨(dú)使用或與其它攻擊一起使用。用戶(hù)可以利用ThreatEx Designer軟件創(chuàng)建已有攻擊的變種或新的攻擊。它還可以利用ThreatWalker軟件自動(dòng)評(píng)估企業(yè)存在的安全漏洞。

ThreatEx 2700可以真實(shí)地模擬數(shù)千種攻擊及變種，包括：DDoS、蠕蟲(chóng)、病毒、VoIP攻擊、無(wú)線(xiàn)（802.11x）攻擊、協(xié)議模糊（Fuzzing）攻擊、應(yīng)用滲透，以及其他更多的攻擊。

Spirent Avalanche 2500和Spirent Reflector 2500設(shè)備則提供了正常的Web、e-mail、FTP和DNS流量。

ThreatEX/2700的設(shè)備為2U的專(zhuān)用設(shè)備，前面板有Management Interface、Eth0-PassThru InterfaceEth1-Threat Generation、Eth2-Reflector Interface、Eth3-Unused端口，電源開(kāi)關(guān)在后面板上，如下圖示：

圖1

ThreatEX設(shè)備由以下這些模塊組成：控制界面、基礎(chǔ)知識(shí)庫(kù)、用戶(hù)自定義事件界面、測(cè)試腳本、網(wǎng)絡(luò)傳輸?shù)取Ｈ缦聢D所示：

圖2

ThreatEX的內(nèi)部工作原理如下圖：

圖3

當(dāng)用戶(hù)通過(guò)ThreatEX的控制端對(duì)攻擊腳本進(jìn)行配置后，通過(guò)Controller port加載攻擊數(shù)據(jù)包，而正常的業(yè)務(wù)數(shù)據(jù)流通過(guò)Passthrough port進(jìn)入設(shè)備內(nèi)部，兩端口的數(shù)據(jù)通過(guò)Threat port流出，經(jīng)過(guò)需要測(cè)試的IPS設(shè)備，返回ThreatEX設(shè)備的Virtual Server 端口。

ThreatEX的引擎支持加載XML攻擊腳本和PCAP Dissector來(lái)構(gòu)造攻擊數(shù)據(jù)包，如下圖結(jié)構(gòu)所示：

圖4

測(cè)試環(huán)境如下圖所示：

圖5

當(dāng)連接好測(cè)試的網(wǎng)絡(luò)后，可能通過(guò)SSH登錄ThreatEX的設(shè)備管理界面進(jìn)行配置，如下圖所示進(jìn)行登錄：

圖6

ThreatEX設(shè)備的SSH登錄的用戶(hù)和密碼：admin/admin。登錄后，可以查看系統(tǒng)信息、配置網(wǎng)絡(luò)、配置主機(jī)名字、檢測(cè)License的狀態(tài)、關(guān)閉系統(tǒng)、重啟系統(tǒng)的操作，如下圖所示：

圖7

先安裝ThreatEX的控制端程序，可以向思博倫商廠要求提供安裝程序和license，安裝程序ThreatExSuite.exe的安裝過(guò)程跟一般程序安裝一樣，比較簡(jiǎn)單，這里就不詳細(xì)講解了。另外注意控制端需要java的環(huán)境，如果沒(méi)有的話(huà)，可以去下載jre-6u2-windows-i586-p-s.exe進(jìn)行安裝。

網(wǎng)絡(luò)環(huán)境都搭建好、測(cè)試程序都調(diào)試好后，就可以進(jìn)行IPS的事件測(cè)試。