天清入侵防御系统（以下简称：天清IPS）是启明星辰推出的入侵防御类网络安全产品，对来自网络上的各种病毒和深层攻击，诸如对WEB服务器、数据库服务器及各种应用服务器的深层次攻击行为主动予以阻断。天清入侵防御系统产品线包含百兆到千兆几款不同型号的产品，本次测试选取的是天清千兆入侵防御系统NDP1000。

图1  天清入侵防御系统NDP1000

产品介绍

天清IPS由两部分组成：管理中心和网络引擎。整个系统运行起来还需要第三方的数据库来支持，如Access、SQL等。管理中心由管理控制中心、综合显示中心、日志分析中心、用户管理审计、数据库导入和升级管理中心6个部分组成，网络引擎用来对计算机网络进行实时监控。
 
测试内容

对本次测试的内容包括了入侵事件显示、多种方式报警、日志报表、产品升级等功能、多级管理能力、产品自身安全性、以及入侵防御能力和产品性能等各个方面。由于当前互联网上的黑客攻击越来越多地集中在应用层的各种开放服务上，作为提供深层防御的入侵防御产品，是否能够对这些攻击和入侵进行精确的检测和阻断是保证业务正常运行的重要前提。为有效检测IPS的防御能力，主要从网络业务和Web业务两个方面着手，测试拓扑图如下：

图2：攻击测试拓扑

测试项之一：网络业务防御能力

当前对网络业务的深层攻击主要来自于溢出攻击、各种蠕虫病毒和木马后门等。因此在测评过程中，采用多种互联网上广为流传的溢出、蠕虫病毒、木马后门等工具，对天清IPS的深层防御能力进行了测试。

测试工具：

◆溢出攻击使用IIS5HACK、imap_exp、MS03-051、IDAHack、SqlExec、sqlhello、MSF、IISMiscOverflowV2_Build0013、messenger等；

◆木马后门测试使用冬日之恋、灰鸽子、冰河、远程桌面等；

◆蠕虫病毒测试使用Readme.exe、Httpext.dll,tftp32.exe等；

测试结果：

天清NDP1000对这些常用溢出攻击、木马后门类攻击和蠕虫、病毒传播行为都进行正确检测，实时上报显示中心报警，并根据策略进行了有效地阻断。

天清IPS结合基于攻击原理与基于攻击特征的阻断方法，运用了柔性检测机制和启明星辰专利技术，提高了对各种深层攻击行为的识别能力。通过上面这些工具和常见病毒的考验，天清IPS能够全部精确检测，报警并进行阻断。

测试项之二：WEB业务防御能力测试

由于Web架构的广泛应用，针对Web服务器的入侵攻击，如利用SQL注入攻击完成诸如更换Web网站主页，盗取管理员密码，破坏整个网站数据等恶意行为尤为突出。本次测试以Web攻击中最普遍的SQL注入和拒绝服务攻击为例，以手工结合常见工具的方式，对天清IPS的WEB业务防御能力进行了测试。

◆SQL注入攻击

测试方法：

手工构造数据库注入语句，例如：判断是否存在注入点、猜解当前数据表中的字段数、通过char函数变形猜测、查询管理员密码字段名等；

测试结果：

天清IPS对GET、Cookie、Post等多种SQL注入攻击都进行精确检测，实时上报显示中心报警，并根据策略进行了有效地阻断，同时保证了对正常Web访问的放行。

◆拒绝服务攻击

测试工具：

ICMP Flood、UDP Flood、Syn Flood、ACK Flood等；

测试结果：

天清IPS可以自定义每种Flood攻击的阈值、受保护服务器的最大并发连接数、远端IP跟受保护服务器的最大并发连接数等参数，同时具备Flood流量曲线，能够各种工具发起的拒绝服务攻击进行阻断。

在吞吐量、延时等参数的性能测试中，天清IPSNDP1000的吞吐量达到双向千兆线速，并具有较小的延迟。在应用层性能测试中，各种背景流量下的检测率仍然保持在100％。

总体评价

测试表明，启明星辰天清入侵防护系统NDP1000管理配置简单、界面友好、功能完善、设置合理、具有较高的检测能力，特别在WEB业务防御方面，表现出了对各种WEB应用攻击的高识别率和防范能力，是一款具有较强的业务信息流的处理能力及具有优异的入侵防护性能的产品。