目前，很多企业都部署了IPS产品，用于网络的入侵防御，在实际应用中得到了广泛的认可。俗话说，工欲善其事，必先利其器，一款合格的IPS产品出厂之前，需要经过很多测试，才能担负起入侵防御的重任。但你是否知道IPS需要进行哪些测试？你又是否知道怎样对IPS进行测试？带着这些问题，我们特别邀请51CTO安全专家叶子，为大家揭开谜底。

当前，国内外知名的安全商厂以及产品测评机构都在采用思博伦的Avalanche＋ThreatEX设备对IPS进行测试，但网络上对ThreatEX设备的介绍比较少，很多人不知道怎么样来使用这个设备。

ThreatEX设备的简介

思博伦通信和Imperfect Networks公司宣布结为战略合作伙伴关系后，思博伦通信的Avalanche与Imperfect Networks的ThreatEx产品组合能够帮助企业在极端的负载条件下测试安全基础设施的性能和运行状况。

ThreatEx技术能够检验IDS和IPS能否利用目前的和以往的攻击特性抵御已知的和未知的攻击。在思博伦通信 Avalanche的配合下，可以对IDS/IPS的阻止攻击性能进行测试，并能够确保在不影响性能的状况下允许真正的用户流通过。

ThreatEx由一台产生攻击的专用设备构成，包含大量的预先配置的攻击。这些攻击可单独使用或与其它攻击一起使用。用户可以利用ThreatEx Designer软件创建已有攻击的变种或新的攻击。它还可以利用ThreatWalker软件自动评估企业存在的安全漏洞。

ThreatEx 2700可以真实地模拟数千种攻击及变种，包括：DDoS、蠕虫、病毒、VoIP攻击、无线（802.11x）攻击、协议模糊（Fuzzing）攻击、应用渗透，以及其他更多的攻击。

Spirent Avalanche 2500和Spirent Reflector 2500设备则提供了正常的Web、e-mail、FTP和DNS流量。

ThreatEX/2700的设备为2U的专用设备，前面板有Management Interface、Eth0-PassThru InterfaceEth1-Threat Generation、Eth2-Reflector Interface、Eth3-Unused端口，电源开关在后面板上，如下图示：

图1

ThreatEX设备由以下这些模块组成：控制界面、基础知识库、用户自定义事件界面、测试脚本、网络传输等。如下图所示：

图2

ThreatEX的内部工作原理如下图：

图3

当用户通过ThreatEX的控制端对攻击脚本进行配置后，通过Controller port加载攻击数据包，而正常的业务数据流通过Passthrough port进入设备内部，两端口的数据通过Threat port流出，经过需要测试的IPS设备，返回ThreatEX设备的Virtual Server 端口。

ThreatEX的引擎支持加载XML攻击脚本和PCAP Dissector来构造攻击数据包，如下图结构所示：

图4

测试环境如下图所示：

图5

当连接好测试的网络后，可能通过SSH登录ThreatEX的设备管理界面进行配置，如下图所示进行登录：

图6

ThreatEX设备的SSH登录的用户和密码：admin/admin。登录后，可以查看系统信息、配置网络、配置主机名字、检测License的状态、关闭系统、重启系统的操作，如下图所示：

图7

先安装ThreatEX的控制端程序，可以向思博伦商厂要求提供安装程序和license，安装程序ThreatExSuite.exe的安装过程跟一般程序安装一样，比较简单，这里就不详细讲解了。另外注意控制端需要java的环境，如果没有的话，可以去下载jre-6u2-windows-i586-p-s.exe进行安装。

网络环境都搭建好、测试程序都调试好后，就可以进行IPS的事件测试。