目前，很多企業都部署了IPS產品，用于網絡的入侵防御，在實際應用中得到了廣泛的認可。俗話說，工欲善其事，必先利其器，一款合格的IPS產品出廠之前，需要經過很多測試，才能擔負起入侵防御的重任。但你是否知道IPS需要進行哪些測試？你又是否知道怎樣對IPS進行測試？帶著這些問題，我們特別邀請51CTO安全專家葉子，為大家揭開謎底。

當前，國內外知名的安全商廠以及產品測評機構都在采用思博倫的Avalanche＋ThreatEX設備對IPS進行測試，但網絡上對ThreatEX設備的介紹比較少，很多人不知道怎么樣來使用這個設備。

ThreatEX設備的簡介

思博倫通信和Imperfect Networks公司宣布結為戰略合作伙伴關系后，思博倫通信的Avalanche與Imperfect Networks的ThreatEx產品組合能夠幫助企業在極端的負載條件下測試安全基礎設施的性能和運行狀況。

ThreatEx技術能夠檢驗IDS和IPS能否利用目前的和以往的攻擊特性抵御已知的和未知的攻擊。在思博倫通信 Avalanche的配合下，可以對IDS/IPS的阻止攻擊性能進行測試，并能夠確保在不影響性能的狀況下允許真正的用戶流通過。

ThreatEx由一臺產生攻擊的專用設備構成，包含大量的預先配置的攻擊。這些攻擊可單獨使用或與其它攻擊一起使用。用戶可以利用ThreatEx Designer軟件創建已有攻擊的變種或新的攻擊。它還可以利用ThreatWalker軟件自動評估企業存在的安全漏洞。

ThreatEx 2700可以真實地模擬數千種攻擊及變種，包括：DDoS、蠕蟲、病毒、VoIP攻擊、無線（802.11x）攻擊、協議模糊（Fuzzing）攻擊、應用滲透，以及其他更多的攻擊。

Spirent Avalanche 2500和Spirent Reflector 2500設備則提供了正常的Web、e-mail、FTP和DNS流量。

ThreatEX/2700的設備為2U的專用設備，前面板有Management Interface、Eth0-PassThru InterfaceEth1-Threat Generation、Eth2-Reflector Interface、Eth3-Unused端口，電源開關在后面板上，如下圖示：

圖1

ThreatEX設備由以下這些模塊組成：控制界面、基礎知識庫、用戶自定義事件界面、測試腳本、網絡傳輸等。如下圖所示：

圖2

ThreatEX的內部工作原理如下圖：

圖3

當用戶通過ThreatEX的控制端對攻擊腳本進行配置后，通過Controller port加載攻擊數據包，而正常的業務數據流通過Passthrough port進入設備內部，兩端口的數據通過Threat port流出，經過需要測試的IPS設備，返回ThreatEX設備的Virtual Server 端口。

ThreatEX的引擎支持加載XML攻擊腳本和PCAP Dissector來構造攻擊數據包，如下圖結構所示：

圖4

測試環境如下圖所示：

圖5

當連接好測試的網絡后，可能通過SSH登錄ThreatEX的設備管理界面進行配置，如下圖所示進行登錄：

圖6

ThreatEX設備的SSH登錄的用戶和密碼：admin/admin。登錄后，可以查看系統信息、配置網絡、配置主機名字、檢測License的狀態、關閉系統、重啟系統的操作，如下圖所示：

圖7

先安裝ThreatEX的控制端程序，可以向思博倫商廠要求提供安裝程序和license，安裝程序ThreatExSuite.exe的安裝過程跟一般程序安裝一樣，比較簡單，這里就不詳細講解了。另外注意控制端需要java的環境，如果沒有的話，可以去下載jre-6u2-windows-i586-p-s.exe進行安裝。

網絡環境都搭建好、測試程序都調試好后，就可以進行IPS的事件測試。