天清入侵防御系統（以下簡稱：天清IPS）是啟明星辰推出的入侵防御類網絡安全產品，對來自網絡上的各種病毒和深層攻擊，諸如對WEB服務器、數據庫服務器及各種應用服務器的深層次攻擊行為主動予以阻斷。天清入侵防御系統產品線包含百兆到千兆幾款不同型號的產品，本次測試選取的是天清千兆入侵防御系統NDP1000。

圖1  天清入侵防御系統NDP1000

產品介紹

天清IPS由兩部分組成：管理中心和網絡引擎。整個系統運行起來還需要第三方的數據庫來支持，如Access、SQL等。管理中心由管理控制中心、綜合顯示中心、日志分析中心、用戶管理審計、數據庫導入和升級管理中心6個部分組成，網絡引擎用來對計算機網絡進行實時監控。
 
測試內容

對本次測試的內容包括了入侵事件顯示、多種方式報警、日志報表、產品升級等功能、多級管理能力、產品自身安全性、以及入侵防御能力和產品性能等各個方面。由于當前互聯網上的黑客攻擊越來越多地集中在應用層的各種開放服務上，作為提供深層防御的入侵防御產品，是否能夠對這些攻擊和入侵進行精確的檢測和阻斷是保證業務正常運行的重要前提。為有效檢測IPS的防御能力，主要從網絡業務和Web業務兩個方面著手，測試拓撲圖如下：

圖2：攻擊測試拓撲

測試項之一：網絡業務防御能力

當前對網絡業務的深層攻擊主要來自于溢出攻擊、各種蠕蟲病毒和木馬后門等。因此在測評過程中，采用多種互聯網上廣為流傳的溢出、蠕蟲病毒、木馬后門等工具，對天清IPS的深層防御能力進行了測試。

測試工具：

◆溢出攻擊使用IIS5HACK、imap_exp、MS03-051、IDAHack、SqlExec、sqlhello、MSF、IISMiscOverflowV2_Build0013、messenger等；

◆木馬后門測試使用冬日之戀、灰鴿子、冰河、遠程桌面等；

◆蠕蟲病毒測試使用Readme.exe、Httpext.dll,tftp32.exe等；

測試結果：

天清NDP1000對這些常用溢出攻擊、木馬后門類攻擊和蠕蟲、病毒傳播行為都進行正確檢測，實時上報顯示中心報警，并根據策略進行了有效地阻斷。

天清IPS結合基于攻擊原理與基于攻擊特征的阻斷方法，運用了柔性檢測機制和啟明星辰專利技術，提高了對各種深層攻擊行為的識別能力。通過上面這些工具和常見病毒的考驗，天清IPS能夠全部精確檢測，報警并進行阻斷。

測試項之二：WEB業務防御能力測試

由于Web架構的廣泛應用，針對Web服務器的入侵攻擊，如利用SQL注入攻擊完成諸如更換Web網站主頁，盜取管理員密碼，破壞整個網站數據等惡意行為尤為突出。本次測試以Web攻擊中最普遍的SQL注入和拒絕服務攻擊為例，以手工結合常見工具的方式，對天清IPS的WEB業務防御能力進行了測試。

◆SQL注入攻擊

測試方法：

手工構造數據庫注入語句，例如：判斷是否存在注入點、猜解當前數據表中的字段數、通過char函數變形猜測、查詢管理員密碼字段名等；

測試結果：

天清IPS對GET、Cookie、Post等多種SQL注入攻擊都進行精確檢測，實時上報顯示中心報警，并根據策略進行了有效地阻斷，同時保證了對正常Web訪問的放行。

◆拒絕服務攻擊

測試工具：

ICMP Flood、UDP Flood、Syn Flood、ACK Flood等；

測試結果：

天清IPS可以自定義每種Flood攻擊的閾值、受保護服務器的最大并發連接數、遠端IP跟受保護服務器的最大并發連接數等參數，同時具備Flood流量曲線，能夠各種工具發起的拒絕服務攻擊進行阻斷。

在吞吐量、延時等參數的性能測試中，天清IPSNDP1000的吞吐量達到雙向千兆線速，并具有較小的延遲。在應用層性能測試中，各種背景流量下的檢測率仍然保持在100％。

總體評價

測試表明，啟明星辰天清入侵防護系統NDP1000管理配置簡單、界面友好、功能完善、設置合理、具有較高的檢測能力，特別在WEB業務防御方面，表現出了對各種WEB應用攻擊的高識別率和防范能力，是一款具有較強的業務信息流的處理能力及具有優異的入侵防護性能的產品。